Neukonzeption IT-Infrastruktur und -Sicherheit von forum technik

Die forum technik GmbH ist Experte im Schneiden von Dichtungen und Formteilen aus verschiedensten Materialien mit fortschrittlicher Wasserstrahltechnik in Klein- und Großserien für die gesamte Industrie. Eine ausfallsichere technische Umgebung und reibungslose Prozesse sind für das mittelständische Unternehmen überlebenswichtig. Für die Neukonzeption ihrer IT-Infrastruktur und -Sicherheit wand sich forum technik an die DECOIT® - nach vorangegangener Weiterempfehlung durch einen DECOIT®-Bestandskunden.

Ausgangssitation

forum technik GmbH

Die IT-Infrastruktur der forum technik GmbH wuchs seit 2001 langsam aber stetig an und wurde, wie in vielen mittelständischen Unternehmen, nach und nach in Teilen angeschafft. Der Einsatz neuer Komponenten war dabei immer abhängig von der Kompatibilität mit der bestehenden Struktur. Dadurch fehlte langfristig der ganzheitliche Blick, zulasten der Effizienz und Wirtschaftlichkeit. Dies erkannte Herr Müller, technischer Leiter von forum technik, rechtzeitig und sprach sich für die Optimierung der IT-Infrastruktur aus.

Anstelle der einzelnen Verwaltung von Clients mit erhöhtem Pflegeaufwand, wünschte sich forum technik eine zentrale Administration der Infrastruktur. Ein auf Open-Source-Software basierendes ERP-System mit Java auf PostgreSQL-Basis sowie ein CAD-Programm galt es ebenfalls einzubinden. Der bisher extern gehostete Mailserver sollte von nun an intern auf eigenen Servern laufen. Darüber hinaus wollte sich forum technik besser gegen Ausfälle schützen. Die bisherige Serverkapazität und physische Lösung von Serverschrank und Kühlung erwies sich als nicht mehr ausreichend hinsichtlich der gewachsenen IT-Infrastruktur.

DECOIT-Lösung in der Übersicht

  • Zentrale Verwaltung von Benutzerobjekten sowie Shares (Freigaben) und domänenweiten Konfigurationen durch Univention Corporate Server (UCS) mit LDAP-Verzeichnisdienst
  • Umsetzung einer Terminal-Server-Lösung auf Linux-Basis für Desktop-Virtualisierung
  • Einsatz ausfallsicherer Hardware-Systeme mit unterbrechungsfreier Stromversorgung (USV):
    • zwei Server-Knoten für hohe Performance, Datenraten, Hochverfügbarkeit sowie hohe Speicherkapazitäten (euroNAS)
    • Virtualisierung mit oVirt durch zwei neue Virtualisierungshosts für effiziente Ressourcen-Nutzung und Energie- und Hardware-Kostenersparnis
  • Einrichten der Backuplösung SEP Sesam, um Daten zu sichern und bei Ausfall wiederherstellen zu können
  • Installation und Einrichtung von Mailproxy in DMZ und eigenem Mailserver mit Dovecot, Postfix und Open Xchange
  • Umsetzung eines ganzheitlichen Sicherheitskonzepts zur Absicherung des Netzwerks:
    • Firewall & VPN-Gateways durch pfSense
    • Virenscanner ClamAV
    • Spamfilter rspamd
  • IT-Monitoring durch Check_MK
Forum Technik Produktionsstätte in Pattensen, Quelle: https://forum-technik.com/unternehmen - Copyright forum technik GmbH

Vorgehensweise

Die Kommunikation lief von Anfang an auf beiden Seiten unkompliziert ab. Das Team der DECOIT® wusste nach einem persönlichen Gespräch mit dem Kunden im Hause forum technik, wie die bisherige IT-Infrastruktur aufgebaut war und in welchen Bereichen Optimierung durch Austausch und Aktualisierung von Hard- und Software notwendig wurde, um die Prozessabläufe der forum technik optimal zu unterstützen. Das von der DECOIT® ausgearbeitete Konzept wurde unverändert angenommen. Nicht nur das Team der DECOIT® ging gut vorbereitet in die Implementierungsphase, auch die technische Leitung von forum technik glänzte durch vorbildliche Bereitstellung aller Informationen. Daher konnte die Migration, abgesehen von standardmäßig auftretenden unvorhersehbaren Software-Hürden, nahezu reibungslos umgesetzt werden.

Vorteile der neuen IT-Infrastruktur

Zentrale Verwaltung der Systeme

Durch Installation des Univention Corporate Servers und Einrichtung eines linuxbasierten Terminalservers kann forum technik zukünftig alle Anwendungen über ein System abrufen, sowie Benutzer und Ressourcen über das integrierte Identity- und Infrastrukturmanagementsystem von UCS zentral verwalten. Dadurch wird der Administrationsaufwand minimiert. Aufgrund der Ressourcenauslagerung liegt die Last nicht mehr, wie zuvor, auf den Clients, sondern ist zentral auf die Hosts verteilt. Für effiziente Ressourcen-Nutzung wurde der Desktop virtualisiert.

Schutz vor Spam-, Viren- & Phishing-Mails durch Trennung der Netze: Einrichtung DMZ und interner Mailserver

Der Mailproxy mit Dovecot & Postfix in der DMZ mit VLANs dient als erste Instanz beim Empfangen von E-Mails. Die Software „rspamd“ untersucht hier eingehende E-Mails auf Spam und Viren. Erst nach erfolgreichem Durchsuchen der E-Mails werden sie entweder abgewiesen oder an den internen Mailserver weitergeleitet. Durch Trennung von DMZ und Unternehmensnetzwerk ist erhöhte Sicherheit vor Spam-, Viren- und Phishing-Mails gewährleistet, da verdächtigen E-Mails schon vom Mailproxy in der DMZ der Zugang zum internen Mailserver (Open Xchange) im Unternehmensnetzwerk verwehrt wird. Im internen Mailserver werden unter Einsatz von Let‘s Encrypt E-Mail-Zertifikate zum Signieren von E-Mails abgelegt und alle drei Monate automatisch erneuert.

Ausfallsicherheit durch Redundanz und effiziente Ressourcennutzung durch Virtualisierung

Für hohe Performance, Datenraten sowie hohe Speicherkapazitäten laufen zwei Server-Knoten im Clusterverbund mittels euroNAS. Zur Hochverfügbarkeit werden beide gespiegelt. Der Vorteil dieser Redundanz ist, dass bei Ausfall eines Servers ein anderer Knoten dessen Stelle übernimmt und weiterarbeitet. Für effiziente Ressourcen-Nutzung und Energie- und Hardware-Kostenersparnis wurde die Umgebung virtualisiert. Dazu wurde auf den KVM-Hosts jeweils die Virtualisierungssoftware oVirt als Hypervisor installiert. Zur Vorbeugung eines kompletten Ausfalls der Virtualisierungsumgebung ist auf je einem Host zusätzlich eine Hosted-Engine installiert.

Um Daten zu sichern und bei einem Ausfall wiederherstellen zu können, wurde die Backuplösung SEP Sesam eingerichtet. Die SEP Backup VM sichert alle kritischen Systeme sowie die Shares vom UCS, auf das neu eingebaute NAS. Zur Vorbeugung eines kompletten Ausfalls der Domänendienste, wurde ein zusätzliches UCS-System mit der Systemrolle Backup installiert. Dieses System dient als Fallback-Instanz, um einen Ausfall des Masters (ucs1) aufzufangen und im Ernstfall die gesamten Domänencontroller-Aufgaben zu übernehmen. Die UCS Backup VM wurde auf einer separaten Proxmox Virtualisierungsumgebung aufgesetzt.

Schutz des Netzwerks durch physikalische Firewall

Der forum technik GmbH wurde eine physikalische pfSense-Firewall eingebaut und eingerichtet, um die IT-Infrastruktur zusätzlich vor Angriffen von außerhalb abzusichern und den Zugriff auf Systeme/Geräte innerhalb der Firma zu beschränken. pfSense ist komplett Open Source und beinhaltet keine Lizenzkosten, trotz des großen Funktionsumfangs. So wird hierüber beispielsweise der sichere Fernwartungszugang realisiert. Zudem kann Forum Technik nun von außen mittels OpenVPN jederzeit einen eigenen sicheren Zugang nutzen. Dadurch lassen sich Ausfallzeiten weiter minimieren.

Pro-aktives Monitoring

Das Monitoring der IT-Infrastruktur wurde mit Check_MK umgesetzt. Im Monitoring-Tool wurden alle systemkritischen virtuellen Maschinen aufgenommen und werden 24/7 überwacht. Dies ermöglicht die pro-aktive Analyse der bestehenden aktiven Systeme. Die Check_MK-Weboberfläche benachrichtigt zuverlässig über Systemausfälle, bevor ein Anwender diese bemerkt, so dass vor einem Ausfall entsprechend reagiert werden kann. Zudem werden die Pflegemöglichkeiten des Netzwerks verbessert, da der Zustand des Gesamtnetzes (Server, Clients, IP-Telefone, Netzwerk) übersichtlich dargestellt ist. Aktuelle Dokumentation wird ermöglicht, die interaktiv auf dem neusten Stand gehalten wird. Langzeitstatistiken helfen nachträglich Fehler analysieren zu können.

Die DECOIT® optimierte erfolgreich die IT-Infrastruktur der forum technik GmbH und setzte ein ganzheitliches IT-Sicherheitskonzept um. Wir bedanken uns für das entgegengebrachte Vertrauen und freuen uns auf weitere spannende Projekte.

Zurück