Projekte

In einem Software- und Beratungsunternehmen fiel während der Corona-Pandemie auf, dass die bestehende VPN-Konfiguration einen Flaschenhals verursacht, wenn viele Mitarbeiter gleichzeitig aus dem Homeoffice arbeiten. Dies hat sich vor allem in schlechter Performance während Teams-Besprechungen bemerkbar gemacht (Standbilder, Abbrüche der Verbindung, stotternde Audioübertragung). Da für Echtzeitanwendungen wie Videocalls und IP-Telefonie eine stabile Verbindung absolut unausweichlich ist, musste dieses Problem angegangen werden.

Lösung: Die Einführung einer weiteren VPN-Konfiguration mit der Nutzung von Split-Tunneling. Hierbei wird nur explizit der Netzwerkverkehr über die VPN-Verbindung geleitet, der in der Konfiguration angegeben ist. So erfolgt der Zugriff auf interne Ressourcen wie Fileserver und sonstige Dienste über die VPN, der Zugriff auf öffentliche Ressourcen im Internet läuft jedoch über die lokale Internetanbindung des Mitarbeiters und nicht mehr über das VPN-Gateway und somit über den Firmenstandort. Als Notfallvariante wurde die bestehende Full-VPN beibehalten.

Nach der Einrichtung der Konfiguration und einem mehrwöchigen Test mit einer kleinen Gruppe von Powerusern konnte die neue Split-VPN fertiggestellt und auf das gesamte Unternehmen ausgerollt werden. Im Zuge des Projekts wurde auch das Herstellen der Verbindung optimiert: Für die Einwahl ins Firmennetzwerk muss nun keine separate Software mehr gestartet werden, sondern die VPN-Verbindungen sind über das Netzwerkmenü in der Windows-Taskleiste erreichbar. Dies spart zwar nur ein paar Klicks, gibt aber ein nahtloseres Erlebnis bei der Nutzung der VPN.

Der Rollout der Konfiguration erfolgte hier über eine Gruppenrichtlinie im Active Directory, genauer gesagt über die Aktualisierung des sogenannten Einwähltelefonbuchs in Windows. Bei Bedarf kann die VPN-Konfiguration also leicht angepasst und auf alle Clients verteilt werden.

In einem mittelständischen Unternehmen sollte die bestehende VPN-Infrastruktur modernisiert und optimiert werden. Ausgangsbasis waren 2 Windows-Server, die als VPN-Gateways fungierten und bereits seit einiger Zeit im Einsatz waren. Dies hatte zur Folge, dass alte Betriebssysteme verwendet wurden und die Konfiguration einfach nicht mehr dem gängigen Standard entsprach. Durch die steigende Nutzung von Dual Stack Lite bei den Internetanschlüssen der Mitarbeiter gab es Verbindungs- und Stabilitätsprobleme, die mit der aktuellen Infrastruktur nicht mehr zu lösen waren. Folgende Anforderungen sollten umgesetzt werden:

• VPN muss auch von Mitarbeitern, die per Dual Stack Lite ans Internet angebunden sind zuverlässig genutzt werden können
• Eine Split-VPN-Konfiguration muss vorhanden sein, damit die Internetanbindung des VPN-Gateways nicht zum Flaschenhals wird
• Mitarbeiter müssen sich mit ihren bestehenden Zugangsdaten in die VPN einloggen können
• Die Installation des VPN-Clients muss per zentralem Softwarerollout realisierbar sein

Nach einem Test von WireGuard mit einer kleinen Gruppe von Nutzern ist klar geworden, dass WireGuard bzw. der genutzte VPN-Client leider nicht alle Anforderungen erfüllt. Anpassungen an der Konfiguration und die Lösung der bestehenden Probleme sind zwar möglich, aber mit hohem Einarbeitungs- und Administrationsaufwand verbunden, was die Fehleranfälligkeit erhöht und auf lange Sicht mehr Probleme schafft als behebt.

Die zweite Testphase mit OpenVPN und dem offiziellen OpenVPN Connect-Client verlief erfolgreich: Alle Nutzer mit Dual Stack Lite-Internetanbindung können sich ohne Probleme mit dem Firmenstandort verbinden. Die Verbindung ist stabil und zuverlässig und die Konfiguration kann bei Bedarf mit wenig Aufwand angepasst werden. Durch die Anbindung an das lokale Benutzerverzeichnis können sich die Mitarbeiter mit ihren bestehenden Daten in die VPN einwählen und es müssen keine neuen, separaten Zugänge erstellt und administriert werden. Die Split-VPN-Konfiguration funktioniert so wie gewünscht und der Rollout der Client-Software inklusive Konfiguration konnte per Softwareverteilung mit PowerShell-Skripten zuverlässig realisiert werden.

Für dieses Projekt sind keine Lizenz- oder sonstige Software- / Hardwarekosten entstanden, da das vorhandene Internet-Gateway bereits die Funktionalität des OpenVPN-Servers integriert hat. So konnte kostengünstig zu einer neuen VPN-Technologie migriert werden. Durch den Wegfall der alten Windows-VPN-Gateways werden Ressourcen und Administrationsaufwand eingespart.

In einem mehrstöckigen Apartmentgebäude in Kaiserslautern war die WLAN-Verfügbarkeit stark eingeschränkt, da das WLAN-Signal nur von einer FritzBox im Erdgeschoss und ein paar Repeatern ausgestrahlt wurde. Da die WLAN-Repeater lediglich in Steckdosen im Gebäudeflur steckten, bestand hier eine hohe Gefahr des Diebstahls der Geräte. Um dieses Problem zu lösen, sollten WLAN-Access-Points installiert werden, die nicht einfach im Vorbeigehen gestohlen werden können und das gesamte Gebäude mit einem stabilen WLAN-Signal versorgen.

Zur Vorbereitung wurden bereits durch eine Elektrikerfirma Netzwerkkabel durch die Wände bis in den Keller verlegt, mit einem nutzbaren Kabel auf jedem Stockwerk. Anforderung des Kunden war so wenig wie möglich an der sonstigen Infrastruktur zu ändern und lediglich das WLAN-Signal zu verbessern. Aus diesem Grund wurde die bestehende FritzBox als Router weitergenutzt; für die WLAN-Hardware kamen ein PoE-Netzwerkswitch und 5 Access Points von Ubiquiti zum Einsatz. Nach der Vorkonfiguration und Test der neuen Geräte konnten die Access Points angebracht, der Switch und die Fritzbox in den Hausanschlussraum verlegt und alles wieder in Betrieb genommen werden. Ein abschließender Test zeigte, dass alle sonstigen Geräte (Telefonanlage, Bezahlterminal, etc.) wieder genau wie vorher liefen und die neuen Access Points das gesamte Gebäude mit einem stabilen WLAN-Signal ausleuchten.

Die Ubiquiti-Geräte verbinden sich übers Internet mit einer Management-Oberfläche, auf der der aktuelle Status und Performance des WLANs überwacht werden können. So können auch Anpassungen an der Konfiguration oder auftretende Verbindungsprobleme aus der Ferne vorgenommen bzw. gelöst werden, ohne persönlich vor Ort sein zu müssen. Sollte es zu Ausfällen der Hardware oder sonstigen Komplikationen kommen, erhalte ich eine Benachrichtigung der Management-Oberfläche und kann direkt reagieren. Dies erleichtert sowohl mir als auch dem Kunden den Aufwand für den Betrieb des Systems und sorgt für einen angenehmen Aufenthalt der Gäste im Gebäude.

An Nebenstandorten eines Unternehmens in Bremen und Stuttgart war die Netzwerk-Infrastruktur veraltet und eine Modernisierung fällig. Die Firewall lief auf einer alten pfSense-Version, die Switches waren teilweise 10 Jahre alte Cisco-Geräte ohne grafische Benutzeroberfläche und auch die Verkabelung war unaufgeräumt und schwer zu durchschauen.

Beide Standorte wurden innerhalb von jeweils 2 Tagen komplett auf UniFi-Netzwerkgeräte umgestellt: Neue Firewalls, neue Switches und eine neue und saubere Verkabelung. Die bestehenden Access Points von UniFi können weitergenutzt werden und fügen sich nahtlos in den Rest der Infrastruktur ein.

Durch die zentrale grafische Benutzeroberfläche können alle Geräte einfach verwaltet und überwacht werden, so dass Erweiterungen und Anpassungen am Netz mit wenig Aufwand umgesetzt werden können. Die saubere Verkabelung hilft dabei, den Überblick zu behalten und vereinfacht weitere Wartungsarbeiten.

Die Mitarbeiter konnten sich aus dem Homeoffice ins Firmen-VPN am Hauptstandort verbinden und ohne Einschränkungen weiterarbeiten, so dass weder der Arbeitsalltag noch die Umstellung des Netzwerks gestört wurden.

Die Vorbereitung der Hardware nahm dank der einfachen Benutzeroberfläche etwa einen Tag in Anspruch, so dass auch dieses Projekt schnell und kostengünstig abgeschlossen werden konnte.

Die aktuell genutzte Software lief auf einem Windows-Server und war umständlich in der Bedienung: Die Einsicht in die Monitoring-Oberfläche ging nur über eine Remotedesktop-Verbindung auf den entsprechenden Server, die Benutzeroberfläche des Programms war träge und schwer zu bedienen, alles in allem keine optimale Lösung für ca. 300 überwachte Dienste und Sensoren.

Innerhalb von 3 Tagen konnte die Open-Source-Lösung Zabbix implementiert werden. Alle überwachten Metriken wurden auch wieder in Zabbix angelegt und es konnten weitere Sensoren für relevante Dienste hinzugefügt werden. Durch die aktive Community von Nutzern gibt es für viele Systeme vorgefertigte Templates, die schnell installiert und eingerichtet sind, so dass zügig neue Systeme in die Überwachung aufgenommen werden können.

Zabbix läuft auf einem Linux-Server ohne grafische Benutzeroberfläche, die Monitoring-Oberfläche von Zabbix selbst ist über den Browser erreichbar und auch mit wenig Arbeitsspeicher des Servers sehr flüssig zu bedienen. So können Hardware-Ressourcen eingespart und effizient genutzt werden.

Die einzigen Kosten in diesem Projekt sind tatsächlich nur die Arbeitszeit der Installation und Konfiguration, da Zabbix lizenzfrei verfügbar ist und beliebig skaliert werden kann. Auf dem bereits verfügbaren Server können vorhandene Hardware-Ressourcen genutzt werden, so dass auch hier keine weiteren Kosten entstehen.

Eine der Anforderungen der ISO-Norm 27001 zur Informationssicherheit besagt, dass Organisationen den Zugriff auf Webseiten beschränken sollen, unter anderem um Risiken im Zusammenhang mit Phishing und Malware zu reduzieren.

Hierzu gibt es verschiedene Lösungsansätze, unter anderem auch die in manchen Firewalls bereits vorhandenen Webfilter-Funktionalitäten. Bei einem Kunden war diese Funktionalität in der Firewall aktiviert, konnte jedoch nur ein- oder ausgeschaltet und nicht individuell angepasst werden. Dies führte zu False Positives beim Aufruf von Webseiten, die fälschlicherweise als schädlich eingestuft wurden.

Um dieses Problem zu umgehen musste eine neue Lösung her, welche in der Open-Source-Software NxFilter gefunden wurde. NxFilter steuert den Zugriff auf Webseiten, indem es DNS-Anfragen zu schädlichen oder unangemessenen Webseiten blockiert, so dass der Endnutzer eine solche Seite nicht aufrufen kann, solange er sich im Firmennetz befindet. Die Software bringt zwar schon fertige, regelmäßig aktualisierte Blocklisten an solchen Webseiten mit, kann aber noch individuell angepasst und konfiguriert werden. Dies ermöglicht eine genauere Steuerung des Webzugriffs und die Lösung von False Positives durch die explizite Freigabe einer Webseite.

Da NxFilter auf einem Linux-Betriebssystem ohne grafische Benutzeroberfläche läuft, benötigt es wenige Ressourcen und ist trotzdem performant. Die Administration erfolgt über ein Webinterface, welches intuitiv zu bedienen ist und viele Informationen zu DNS-Anfragen im Netzwerk bereitstellt. Durch die Nutzung von bereits vorhandenen Server-Ressourcen waren keine Hardware-Anschaffungen notwendig und aufgrund der kostenlosen Verfügbarkeit von Betriebssystem und Filter-Software fielen auch hier keine weiteren Lizenzkosten an.

Um die Sicherheit von zwei Firmenstandorten zu erhöhen, sollten Überwachungskameras installiert und eingerichtet werden. Die Aufnahmen sollten sicher gespeichert und jederzeit verfügbar sein.

Da bereits kompatible Firewalls des Herstellers Ubiquiti mit Festplatteneinschub vorhanden waren, konnten diese Geräte als Netzwerkvideorekorder genutzt werden. Die Installation der entsprechenden Software erfolgt in wenigen Klicks, auch die Kameras selbst werden innerhalb weniger Minuten erkannt und liefern direkt ein hochauflösendes, sauberes Bild. Die Einrichtung weiterer Funktionen wie Bewegungserkennungszonen und automatischen Benachrichtigungen läuft über das einfach zu bedienende Webinterface, welches auch für das Management von Netzwerkinfrastruktur von Ubiquiti genutzt wird.

Somit konnten innerhalb weniger Arbeitsstunden mehrere Überwachungskameras in Betrieb genommen werden. Da Ubiquiti keine Lizenzgebühren erhebt (weder für den Betrieb der Kameras, noch für die Nutzung der Überwachungssoftware), mussten lediglich die Kameras selbst und ein paar Festplatten für die Speicherung der Aufnahmen beschafft werden. Laufende Kosten entstehen hier nicht.