Forschungs-IT im Wandel 10.10.2006 Carsten Schäuble – Rechnerbetrieb 12.11.2018

zentrale Aufgaben eines universitären Rechnerbetriebs Bereitstellung von Computern für Lehre und Forschung in den Bereichen mobile Computer, Arbeitsplatzsysteme, Server. d.h. Bereitstellung von Büroapplikationen und z.T. Betasoftware Internet Dienste (WWW, E-Mail) interne Infrastruktur (Verkabelung, Funknetze, Drucker, Klimatisierung, Strom usw.) Entwicklung der Infrastruktur Überwachung der Einhaltung der IT-Sicherheitsrahmenrichtlinie Überwachung der Einhaltung von gesetzlichen und betrieblichen Vorgaben 12.11.2018

Entwicklung am Fachbereich ab 2006 Serverkonsolidierung Office Services Mobile Services/Access bis 2006 UNIX Server PC-Server (Lin/Win) Mobile Systeme zentrale UNIX APs + Server selbstadm. Windows selbstadm. Linuxe 2000 Netzumstellung Komplexität bis 2000 Anfänglich ein Institut für theoretische Informatik und damit der Mathematik zugeordnet. Mitte der 90er Jahre Anstieg der Rechenleistung und der nutzbaren Betriebssysteme. Hier Solaris, Windows NT und DOS, MacOS 9. Lehrbetriebssysteme wie z.B. Minix Ab 2000 kommen immer mehr Arbeitsgruppen und damit mehr Rechner. Vor allem verschiedene Anforderungen (KI, DB, Technische Informatik), die u.a. Windowsserver erfordern. Der Aufbau von Funknetzen und die Anforderungen an die immer stärker werdende Internetanbindung und damit das Diensteangebot führen zur Anpassung der Betriebskonzepte und zu einem starken Anstieg der Komplexität. zentrale UNIX APs + Server ab 1997 Windows APs ab 1999 Linux APs 1993 zentrale Unixe, Beschaffung, Installation, Admin, Drucker, Netz 12.11.2018

aktuelle Arbeitplatzsysteme sind … + Langläufer - gegen interne und externe Angreifer abgesichert - mit mehreren Betriebssystemen versehen - haben immer aktuelle Software ~ niemals kaputt + durch einen Wartungsvertrag gesichert ~ haben keine wartungsbedingten Ausfälle ~ sind leise und schnell und kosten fast nichts! Es ergeben sich heutzutage einfache Anforderungen der Benutzer, die in recht komplexen technischen Gebilden enden: Wartungsverträge 12.11.2018

aktuelle Server sind + mit dynamischem Hintergrundspeicher versehen ~ schnell herbeigezaubert und konfiguriert + jederzeit verfügbar ~ virtuell und beliebig + schnell und stabil ~ energieeffizient + und häufig um ein vielfaches leistungsfähiger als benötigt und natürlich wieder echt günstig! 12.11.2018

Beispiel: Netzsicherheitszonen externe Dienste (DMZ) Web, Webmail, VPN, Exchange zentrale Dienste (R) File-, Print-, Mail-, DB- Service etc. Virtualisierung? Verfügbarkeit? VPN Experimentalrechner (S) Labornetze (R/S) Lehre (R) Laptopnetze (R/S) APs (R) Netzwerkkomponenten 12.11.2018

Sicherheitsniveaus systematische Firewallstruktur schließt unsichere Dienste ein (erster Zaun) und schützt sekundär Systeme Primärer Schutz kann immer nur vom Dienst/System selbst erbracht werden (zweiter Zaun). Damit ist das Sicherheitsniveau „Außen“ nur solange hoch, wie der betreffende Dienst nicht unsicher wird oder unsichere Dienste versehentlich exponiert werden Sicherheitsniveau von 1 bis 10, 10 als sicher angenommen 12.11.2018

die virtuelle Infrastruktur Virtualisierung in unserem Sinne umfasst den Betrieb von mehreren, unterschiedlichen Betriebssystemumgebungen auf einem gleichartigen Wirtssystemkomplex Betreibt viele Hosts auf wenigen Wirten erhöht signifikant die Komplexität der Infrastruktur für Gastsysteme Testbasis sind aktuell x86 (32- und 64-Bit) Wirtssysteme mit XEN oder VMWare Als Gastsysteme wird Linux, Windows und u.U. auch Solaris zum Einsatz kommen Virtualisierung muss im Einzelnen bewertet werden z.B. sind Computeserver nicht zur Virtualisierung geeignet kann nicht alles ~ 80%-Lösung 12.11.2018

die virtuelle Infrastruktur Wirtssysteme der Virtualisierung sind … auf ihre Hardware hin optimiert, d.h. sie können sie gesamte, benötigte Hardware ansprechen sind gleichartig und damit austauschbar nur im Management und Monitoring direkt ansprechbar betreiben nur Gastsysteme schotten alle Gastsysteme - soweit notwendig - durch VLANs (802.1q) oder Routing gegeneinander ab auf Dauerbetrieb ausgelegt (>99,99% = ~ 1,5h/Jahr) mit Wartungsverträgen abgesichert; ggf. muss ein Austauschzyklus vorab bekannt sein 12.11.2018

die virtuelle Infrastruktur Zentraladministrierte, virtuelle Server ... müssen in das Schema der Netzsicherheitszonen passen benötigen u.U. mehrere IP-Adressen sollten schnell von einem Wirtssystem auf ein anderes Übertragbar sein müssen innerhalb der Virtualisierung über ausreichend Ressourcen verfügen, um nicht von anderen Gastsystemen gestört zu werden können durch mehrfache Ausprägung innerhalb der Virtualisierung fehlertolerant erscheinen 12.11.2018

die virtuelle Infrastruktur Benutzeradministrierte, virtuelle Server … müssen voneinander und dem Rest der Server geschützt werden sind als experimentell zu betrachten sind ein akutes Sicherheitsrisiko benötigen im Gastsystem eine private IP-Adresse, erhalten aber für ihre Dienste eine öffentliche IP-Adresse erschweren durch eine erhöhte Sicherheitskomplexität die Verschiebbarkeit von Servern müssen ständig von der Zentraladministration überwacht werden 12.11.2018

die virtuelle Infrastruktur Uplink mehrere IP Netze Verwaltet 160.45.117.0 192.168.100.1 Wirtssystem 192.168.100.2 Gastsysteme 192.168.100.3 160.45.117.7/29 160.45.117.2 160.45.117.4 160.45.117.3 192.168.102.1,5,9… 160.45.117.8/29 subnet on Ethernet 192.168.102.2,6,10,… separierte Subnetze  12.11.2018