Einführung einer UTM-Lösung mittels Astaro Security Gateway im Bach-Archiv Leipzig

Ausgangssituation

Die Absicherung des Internetzugangs sowie des Mailverkehrs des Bacharchivs erfolgte bislang über 3 HP-Server mit den Einzelfunktionen Firewall, SMTP-Proxy, http-Proxy, jeweils auf Open-Source-Basis. Zusätzlich sind weitere externe Netze (Übergang zur Universität Leipzig, Ticket-Online zwecks Eintrittskartenverkaufs) anzubinden. Wegen der verschiedenen Netzübergänge werden die jeweils erforderlichen Proxy-Server durch eine proxy.pac zur Verfügung gestellt.

Zwar konnte schon bisher mit verschiedenen Mitteln wie Black- und Greylisting das Spamaufkommen deutlich reduziert werden, allerdings war die laufende Pflege des Systems mit nicht unerheblichen Zeitaufwänden verbunden. Auch die Firewallregeln (Paketfilter iptables) waren im Laufe der Zeit stark angewachsen.

Problemstellung

Zum Einen sollte der Energiebedarf für Stromversorgung und Klimatisierung reduziert werden, zum Anderen die Konfiguration der Einzelsysteme übersichtlicher und verständlicher ausgeführt werden, um eine komfortablere Administration zu gewährleisten.

Lösung

Unter Berücksichtigung der speziellen zu ersetzenden Serverfunktionalitäten drängte sich der Einsatz einer sog. UTM-Lösung (Unified Thread Management) geradezu auf.

UTM-Lösungen vereinen unterschiedliche Sicherheitsaufgaben auf einer Plattform. Hierzu gehören:

• Internet-Gateway
• Firewall
• Virtual Private Network (VPN) Gateway
• Virus Protection
• Intrusion Detection System
• Contentfilter 
• Spam Protection
• Surf Protection
• Authentifizierung
• Quality of Service (QoS)
• Reporting

Ziel des UTM ist es somit, an einem zentralen Punkt Sicherheit für das gesamte Netzwerk zu er-langen. Auf Grund unserer umfangreichen positiven Erfahrungen als „Prefered Partner" mit den Produkten der Astaro AG empfahlen wir unserem Kunden den Einsatz einer Astaro Security Gateway ASG220 Appliance mit Web- und Mailsecurity.
Basierend auf bewährten Open-Source-Anwendungen wie exim, iptables, snort, postgresql, er-gänzt um einen professionellen Virenschutz und einen Spamschutz auf Basis zentral gepflegter Blacklists sowie um eine intuitive ajaxbasierende Administrationsoberfläche wird eine hochkomfortable, mehrfach ausgezeichnete UTM-Lösung zur Verfügung gestellt.

Unter einer einheitlichen Oberfläche werden die Paketfilterregeln, NAT (statisch, D-NAT, S-NAT), SMTP-Proxy, Spam-, Phishing- und Virenschutz konfiguriert, ohne dass der manuelle Eingriff in textbasierte Konfigurationsdateien notwendig wäre.
Um extern arbeitende Mitarbeiter einbinden zu können, ist deren Anbindung mittels VPN-Client möglich. Dies ist bereits in der Minimalvariante über SSL möglich; komfortabler und sicherer ge-schieht dies über einen zusätzlich erwerbbaren IPSec-Client.
Definitionen für den Spam- und Virenschutz werden automatisch aktualisiert, so dass die Sicherheit des Systems durchgängig gewährleistet ist.
Systemupdates werden gleichfalls automatisch heruntergeladen, müssen aber durch den Admi-nistrator mittels eines Assistenten manuell eingespielt werden.

Projektrealisierung

Die Firma klopfer datennetzwerk wurde mit der Lieferung der Appliance sowie mit den Installati-ons- und Konfigurationsleistungen beauftragt.
Hierzu gehörten neben der Einrichtung der Basisdienste (Schnittstellen, DNS, Routing, NAT, SMTP-Proxy) insbesondere die Umsetzung der umfangreichen Firewallregeln sowie die Festle-gungen für den Viren-, Phishing- und Spamschutz.
Trotz der umfangreichen Änderungen in der Intranetstruktur konnte das neue System innerhalb des vorgegebenen Zeitrahmens in Betrieb gehen, ohne dass es zu größeren globalen Ausfällen kam.
Die Funktionsfähigkeit der verschiedenen Teilbereiche konnte nachgewiesen werden.
Abschließend wurden die Netzdokumentation aktualisiert und der Administrator eingewiesen.

Fazit

Durch den Einsatz der mehrfach ausgezeichneten UTM-Lösung Astaro Security Gateway 220 konnten 3 Einzel-Server abgeschaltet werden, was die Energiekosten des Kunden senkt. Gleich-zeitig unterstreicht das Bacharchiv Leipzig hiermit seine Verantwortung für einen effektiven Um-gang mit den Ressourcen unserer Umwelt.

Zusätzlich wurden die verschiedenen Teillösungen für den Internetübergang administrativ und physikalisch konsolidiert, die Übergänge insgesamt sicherer gemacht.