IT biztonság a SuSE Linux tűzfalával az osztrák postahivatalokban

[SuSE Magyarország] Ausztriában az egyik legnagyobb informatikai rendszer az osztrák postáé, a rendszert működtető központi szervereket pedig az Omnitec GmbH kezeli. Számokban ez azt jelenti, hogy országszerte 1628 postahivatalt, igazgatóságot, partnert és iskolát kötöttek össze, vagyis 4480 munkahelyet, kereken 120 szervert és 6860 aktív felhasználót.

Természetesen mindenki azt várja, hogy a nap 24 órájában zavartalanul működjön a rendszer, így a biztonság és a stabilitás két alapvető követelmény. Ehhez pedig konzisztens biztonsági koncepcióra illetve annak végrehajtására van szükség. Meg kell akadályozni, hogy a postahivatalok napi ügyleteibe, a banki műveletekbe bárki kívülről be tudjon avatkozni vagy azt meg tudja zavarni.

A cél egy modern, nagyteljesítményű üzemi hálózat működtetése, amely az Internettel is összeköttetésben áll. Ebből kifolyólag ki van téve mindazoknak a veszélyeknek, amelyek ebből az internetes technológiából adódnak.

2001 decemberében egy szakértői csapat kezdett dolgozni a biztonsági koncepció kibővítésén, egy új tűzfal-megoldás alapján. Először egy költség/haszon/kockázat elemzést hajtottak végre a már meglévő hálózati struktúrát alapul véve. A nagy hálózat kevés kivételtől eltekintve Windows NT alatt fut. 5 db IBM AIX System egészíti a szerverparkot, plusz 3 Apache webszerver áll rendelkezésre Compaq DL 380 gépeken SuSE Linuxszal, amely mind az Omitec cég, mind pedig a postahivatalok számára ellátja az egész szolgáltatást.

Miután igen kedvező tapasztalatokat szereztek a SuSE nyilt forráskódú operációs rendszerével és a webszerverrel, úgy döntöttek, hogy kedvező addigi tapasztalatok alapján a SuSE Linux üzleti termékeit is megvizsgálják a biztonság növelése érdekében. A SuSE Linux Firewall on CD megoldást választották, amely akkortájt újnak számított, így először alaposan tesztelték a terméket, amelynek nagyon kedvező volt a teljesítmény/ár aránya.

Különösen jónak találták a tesztelők, hogy nagyon rugalmasan lehetett beállítani a szűrőket, amelyek maximális biztonságot adnak és egyben védik az egyes felhasználókat.

"Az igényelt tűzfal megoldás abszolút kritikus komponense az egész rendszernek. A funkcionalitás és a stabilitás tekintetében ezért kompromisszumos megoldás nem jöhet szóba. Ennek ellenére a beruházás költségoldaláát is figyelembe kell venni. A költség- és hasznossági analízisek után a SuSE Linux Firewall on CD VPN kiadására esett a választás" -- magyarázta a döntési folyamatot Michael P. Vrbicky, a projekt vezetője.

A beüzemelés nagyon összetett folyamat volt, mivel a futó rendszert nem lehetett leállítani. Először egy tesztrendszert építettek, melybn a valós komponenseket képezték le. A tesztek után lépésről lépésre kapcsolták rá a tűzfalkonfigurációra a valós komponenseket.

"Annak ellenére, hogy a SuSE Linux Firewall on CD a projekt kezdetekor még egy viszonyleg fiatal termék volt, a professzionális területen kifejezetten kedvezőnek számító ár-teljesítmény viszony meggyőzött minket. A tesztek során kiderült, hogy a SuSE tűzfala egy kiforrott termék. Különösen a grafikus felületű, FAS névre hallgató adminisztrációs felület sikerült nagyon jóra, és minimalizálja a fejlesztési és üzemeltetési ráfordítást" -- vélekedett a projektvezető, aki egy ötfős csapatot irányított mind a tesztek mind az éles üzem kialakítása alatt.

A biztonság üzemzavar esetére is vonatkozik, a leállás megakadályozására két, hasonlóan konfigurált Compaq DL 380 típusú szervert állítottak be fürtözve, de közülük csak egyik dolgozik, a másik őrködik, és üzemzavar esetén azonnal automatikusan átveszi a hibás gép összes funkcióját.

Az osztrák posta projektvezetőjének összegzése szerint a SuSE megoldása igen biztonságos és stabil, nagyon jó ár/teljesítmény aránnyal rendelkezik és egyszerűen üzemeltethető.