|
Inne menu (browser bez JS)
|
|
| Ulubione projekty |
|
Scribus to program
do DTP na licencji GNU
GPL. Tutaj znajdziesz informacje przeznaczone dla
polskich użytkowników
Scribusa.
|
|
|
|
| Na warsztacie |
|
|
|
|
|
| Przebieg migracji na Linuksa w niemieckim MSZ |
|---|
2003.06.23: W majowym numerze niemieckiego miesięcznika Linux Magazin
(zobacz również angielskojęzyczny odpowiednik Linux Magazine) ukazał się ciekawy artykuł, opisujący przebieg migracji na Linuksa
niemieckiego MSZ wraz ze wszystkimi podlegającemi mu przedstawicielstwami
zagranicznymi. Chciałbym wyrazić moje podziękowania redakcji Linux-Magazin, a w
szczególności panu Janowi Kleinertowi, za zgodę na publikację poniższego
tłumaczenia.
Biotop dla pingwinów: Ministerstwo Spraw
Zagranicznych Joschki FischeraTux inside
Fred Andresen, Ulrich Wolf
Kiedy niemiecki ambasador gdzieś na świecie komunikuje
się ze swoją centralą - Ministerstwem Spraw Zagranicznych, nie chce być przy tym
podsłuchiwany. Specjalny system komunikacyjny kosztuje dużo pieniędzy, potrzebne
jest więc niedrogie połączenie VPN.
Nasze zlecenie brzmi: " Oprogramowanie Open Source, tam, gdzie ma to
sens i jest to możliwe!" Dr Rolf Schuster, kierujący strategią
informatyczną w Ministerstwie Spraw Zagranicznych w Berlinie, wyjaśnia,
jakie reformy Joschka Fischer zaaplikował swoim urzędnikom. "Musimy
połączyć siecią nasze ambasady z centralą. Ambasady są jednak nie tylko
w krajach uprzemysłowionych, ale też w miejscach takich jak Kabul,
Bagdad czy Phenian. W miejscach, w których zdarzają się czasem
wielogodzinne przerwy w dostawach prądu i nie działa telefon."
W Ministerstwie Spraw Zagranicznych migracja z monokultury na
multikulturowość w dziedzinie systemów operacyjnych jest w pełnym toku.
W czasach skromnych środków budżetowych oprogramowanie Open Source jest
bardziej atrakcyjne niż kiedykolwiek dotąd. Liczne analizy pokazały, że
migracja jest możliwa i uzasadniona ekonomicznie. W dziedzinie migracji
na wolne oprogramowanie urząd Joschki Fischera wysunał się na czoło
przed inne ministerstwa. Komunikacja z przedstawicielstwami
zagranicznymi wymaga, aby wszyscy współpracownicy
-
mieli dostęp do niezbędnego przepływu informacji,
- otrzymywali niezbędne informacje w tym samym czasie,
- mieli bezpieczny dostęp do oferowanych serwisów intranetowych i
poczty elektronicznej i
-
mogli bezpiecznie korzystać z internetu.
"Musieliśmy sprostać rosnącym wymaganiom przy jednoczesnej stagnacji
finansowej. Operacyjnie mogliśmy to zrealizować tylko przez modernizację
istniejącej techniki, uniknięcie wysokich kosztów będących następstwem tych
zmian oraz uwolnienie się od sztucznie przyspieszonych cyklów wymiany
produktów." Dr Schuster wymaga pewności inwestycji na przyszłość:
modularności i skalowalności. MSZ przekonało się, że stosowanie wolnego
oprogramowania zwiększa bezpieczeństwo i zmniejsza uzależnienie od
softwarowych monokultur. "Oczywiście znaczącą rolę odgrywa w związku z tym
zmieniona polityka licencyjna Microsoftu."
200 przedstawicielstw
Do końca 2003 roku ponad 200 ambasad oraz konsulatów generalnych na całym
świecie połączonych ma być z centralą w bezpieczny globalny intranet.
Oznacza to, że komunikacja ambasad z centralą musi być bezpiecznie
szyfrowana. Dostępne na rynku urządzenia szyfrujące są drogie, koszty
połączeń z odległymi krajami wysokie.
Kwadratura koła powiodła się dzięki urządzeniu szyfrującemu połączenia
IP, wykonanemu na zlecenie Federalnego Urzędu ds. Bezpieczeństwa w
Informatyce (BSI[1]) na bazie Linuksa. Architektura SINA (patrz rubryka
"Architektura SINA") autorstwa Security Networks AG[2] otwiera bezmiar
internetu, który w wielu krajach można mieć za przystępną cenę. Ambasady
na trudnym terenie można podłączyć za pomocą dedykowanych połączeń przez
przedstawicielstwa w krajach uprzemysłowionych, w których płaci się
niewysokie ryczałtowe opłaty za dostęp do internetu. Ponadto projekt
zlecony przez BSI opiera się na platformie standardowych komputerów PC
wyposażonych w procesory Intela, dzięki czemu dopiero można było sobie
pozwolić na zakup dużej ilości sztuk.
 Ilustracja 1:
SINA-Box firmy Secunet jest sercem wysoce bezpiecznego rozwiązania VPN, którego
używa Ministerstwo Spraw Zagranicznych, aby połączyć w sieć swoje ambasady. Na
urządzeniach tych działa "zahartowany"Linux.
Biotop dla Linuksa rośnie
Urządzenia szyfrujące nie są jedynym zajęciem pingwinów w Ministerstwie
Spraw Zagranicznych. Całe tuziny linuksowych serwerów, od Biszkeku do
Nowego Jorku, są już w użyciu i zastąpiły windowsowe serwery plików i
poczty elektronicznej. Przy tak dużej ilości serwerów to duża różnica,
czy trzeba wkalkulować opłaty licencyjne, czy też nie. Dr Schuster
szacuje, że oszczędności poczynione tylko dzięki serwerom linuksowym
leżą w obszarze pięcio do sześciocyfrowym (euro, przyp. tłum.).
"Na początku nasi pracownicy nie byli zbyt zachwyceni. W naszej
windowsowej monokulturze Linux był nieznanym pojęciem." Zmiana nastąpiła
po szkoleniu dla inżynierów w hotelu Linuxhotel[3] w Essen: "Tydzień
szkolenia przeprowadzonego przez kompetentnych entuzjastów przekonał
wszystkich, że w Linuksie też się da." Gdy potem ktoś w ciągu niewielu
minut, używając szyfrowanego połączenia, przez wolne łącze satelitarne
zdalnie zainstalował i skonfigurował serwer stojący w Środkowej Azji,
ten z Szawła stawał się Pawłem. "Niech pan spróbuje zrobić coś takiego z
serwerem Windows 2000", powiedział jeden z inżynierów w Ministerstwie
Spraw Zagranicznych.
OpenLDAP jako strategiczny wybór
Globalna architektura systemowa została opracowana przez Secunet w ten
sposób, że bezpieczeństwo zachowane jest dla wszystkich komponentów
sieci (klientów, serwerów, urządzeń kodujących, routerów i
przełączników) - oczywiście przy konsekwentnym zastosowaniu otwartych
standardów. Użytkownicy zachowują system operacyjny, do którego
przywykli - "zahartowany" Windows XP. Linux na serwerach i różne usługi
pozostają jednak przejrzyste dla użytkowników. Centralne, strategiczne
znaczenie ma przestawienie usługi katalogowej z Exchange na
OpenLDAP[4]. W ten sposób otwarte standardy będą mogły być konsekwentnie
stosowane również w przyszłości.
Bezpieczeństwo bez granic
Środki bezpieczeństwa w informatyce bazują na zdefiniowanych wymaganiach
bezpieczeństwa dotyczących całego systemu oraz pojedynczych systemów, na
zdefiniowanych informatycznych procesach bezpieczeństwa i na bazujących na
procesach sposobach postępowania, jak też na opartym na podziale ról
zarządzaniu uprawnieniami i na kontroli dostępu.
Dzięki architekturze SINA ta technologia VPN została po raz pierwszy
zastosowana w najwyższych urzędach federalnych, w całej ich rozciągłości
oraz na arenie międzynarodowej. Wysokie bezpieczeństwo urządzenia
SINA-Box nie jest zależne od usługodawcy internetowego - nie musi on
więc być zobowiązywany do ochrony tajemnic. Dla ministerstwa jest do
duża zaleta: w wielu krajach można wykorzystać niedrogie połączenia z
internetem oferowane przez lokalnych usługodawców internetowych.
Również transport do miejsca przeznaczenia jest prosty i tani: ponieważ
w urządzeniach nie są jeszcze zapisane żadne tajemnice, można je
przesyłać bez zaostrzonych środków bezpieczeństwa.
Mechanizmy bezpieczeństwa zastosowane w urządzeniu SINA-Box odpowiadają
standardowi IPsec. Zapewnia to nie tylko międzyoperacyjność, ale też
wzajemną wymianę powszechnie używanych algorytmów kryptograficznych.
Ministerstwo może przy szczególnych wymaganiach bezpieczeństwa sięgnąć
również po zamknięte algorytmy. Systemy IDS (Intrusion Detection
Systems, systemy wykrywania włamań) również zresztą bazują na
rozwiązaniach Open Source.
Serwer i usługi
Ambasady i konsulaty używają "zahartowanych" serwerów linuksowych. Przerwa w
połączeniu z centralą w Niemczech - zdarza się to w niektórych
przedstawicielstwach w egzotycznych krajach - powinna mieć co najwyżej
niewielki wpływ na pracę. Domena przedstawicielstwa zagranicznego musi być
dostępna przez cały czas. Do udostępniania plików i dysków używana jest
Samba[5] jako PDC albo BDC.
Działający na miejscu w przedstawicielstwie zagranicznym katalog LDAP służy
do uwierzytelniania użytkowników: centrala replikuje na serwer
przedstawicielstwa przeznaczoną dla niej część drzewa katalogowego. Dzięki
temu katalog użytkowników można administrować centralnie, jednocześnie
jednak meldowanie się w domenie Samby dokonywane jest w lokalnym, a nie w
centralnym katalogu LDAP.
Szczególnym wyzwaniem dla grupy realizującej projekt była koncepcja ról
dla użytkowników. Ze względu na zaszeregowanie do różnych poziomów
bezpieczeństwa nie każdy użytkownik ma dostęp do wszystkich zasobów.
Samba rozpoznaje przynależność do grupy i definiuje za pomocą pliku
reguł ustawienia bezpieczeństwa dla klienckich stacji roboczych.
Squid[6], serwer pośredniczący dla HTTP i FTP, ogranicza dostęp do
dozwolonego obszaru intranetu po uprzednim uwierzytelnieniu użytkownika
w LDAP. Poszczególne ambasady udostępniają również lokalne serwery HTTP
i FTP, które są zdalnie administrowane. W ten sposób zalety centralnej
administracji połączone zostały z zaletami dostępności danych na
miejscu.
System poczty elektronicznej jest jedną z najważniejszych usług w nowej
sieci. Emaile przechowywane są lokalnie w skrzynkach pocztowych na
serwerach w przedstawicielstwach dyplomatycznych. Trasowanie poczty
elektronicznej poza granice przedstawicielstwa zagranicznego, a więc
także do internetu, odbywa się za pośrednictwem centrali w Niemczech.
Jako Message Transfer Agent (MTA) służy wszędzie Exim[7]. Skrzynki
pocztowe obsługiwane są przez Cyrus IMAP Server[8] za pomocą protokołu
IMAP albo POP3. Informacje potrzebne do konfiguracji i uwierzytelnienia
dostarczane są przez katalog LDAP. Dla celu uwzględniania ważnych reguł
w przypadku nieobecności i zastępstwa pracowników katalog został
odpowiednio rozbudowany. Interfejs internetowy pozwala personelowi na
samodzielne zarządzanie tymi regułami.
Jako rozwiązanie do pracy grupowej wewnątrz poszczególnych przedstawicielstw
zagranicznych ministerstwo postawiło na program X-manage firmy X-dot[9] z
otwartymi standardami. Sieć z ponad 8000 użytkowników na całym świecie
stawia wysokie wymagania w stosunku do usług katalogowych. "Dotąd mieliśmy
tylko jeden katalog Exchange, wersję 5.5. Dla planowanego wdrożenia VPN na
całym świecie było to rozwiązanie za drogie i nie wchodziło w grę", wspomina
dr Schuster. "Ponieważ jednak i tak chcieliśmy użyć oprogramowania Open
Source, postawiliśmy na OpenLDAP."
Projekt struktury usług katalogowych uwzględnia silną dyslokację oraz
połączenia o częściowo niskiej prędkości przesyłu. Każde
przedstawicielstwo zagraniczne tworzy własne odgałęzienie drzewa
katalogowego. W centrali stoi główny serwer (master server), który
zawiera informacje wszystkich odgałęzień.
Replikacja katalogu LDAP
Z tego miejsca każdy serwer zagranicą replikuje zmiany katalogu.
OpenLDAP dysponuje już wbudowanym mechanizmem dla tego celu - nie był on
jednak wystarczający i został zastąpiony innym, poszerzonym. Dzięki
niemu dowolna ilość replikacji każdego odgałęzienia drzewa katalogowego
jest tak samo małym problemem jak awarie sieci czy niestabilne
połączenia. Administracja katalogów byłaby jednak zbyt skomplikowana i
podatna na błędy z użyciem zwykłych przeglądarek i narzędzi do obsługi
LDAP z powodu wielu odnośników i zależności wewnątrz katalogów.
Narzędzia bazujące na modułach Webmina[10] radzą sobie teraz pewnie z
tym zadaniem.
"Oczywiście migracja wymaga czasu i istnieją punkty, gdzie stara
technika styka się z nową", przyznaje Schuster. "Dla nas jest ważne,
abyśmy mogli możliwie łatwo i konsekwentnie zarządzać naszymi zasobami,
a więc musieli wpisywać zmiany nie wiele razy, a tylko raz. Dlatego
zleciliśmy wykonanie konektorów i mechanizmu propagującego, które
pozwalają na automatyzację koniecznych zmian i wynikających z nich akcji
w Exchange, OpenLDAP i banku danych personelu."
Administracja
Linuksowe routery administrowane są za pomocą narzędzia konfiguracyjnego
napisanego w PHP - dzięki szablonom daje się to robić szybko. Późniejsze
zmiany dokonywane są za pośrednictwem SSH i SCP. Monitorowanie oparte jest w
największej części na SNMP; do nadzorowania obciążenia służy Argus[11]. Dane
interfejsu do późniejszej analizy zbiera MRTG. Zagubione pakiety i czas
działania analizuje Smoke-ping[12].
Kontrola i dziagnoza błędów przełączników przeprowadzana jest za pomocą
HP OpenView[13] w oparciu o SNMP, podobnie analiza ważnych parametrów
serwerów: procesów, obciążeń procesów i systemów plików. Do konfiguracji
usług i serwisów służy Webmin. Obsługiwany przez przeglądarkę
internetową i niezależny od platformy Webmin zapewnia dostęp z różnych
miejsc i mógł być w prosty sposób dopasowany do wymagań Ministerstwa
Spraw Zagranicznych.
Administracja dla przedstawicielstwa zagranicznego ma zawsze miejsce w dwu
miejscach. Pierwsze to samo przedstawicielstwo: administruje ono DHCP,
Samba Shares i Quotas. Drugie miejsce to centrala: jest ona odpowiedzialna
za zarządzanie bezpieczeństwem, mail tracking, dopasowywanie rozdzielnika
poczty elektronicznej i konfigurację użytkowników.
Wewnątrz projektu uproszczono i dopasowano istniejące moduły Webmina,
względnie napisano całkiem nowe. Ministerstwo udostępnia stworzone na
swój użytek rzeczy wspólnocie deweloperów. Tak jak w przypadku innych
usług, Webmin miał też umożliwić podłaczenie LDAP. Każdemu użytkownikowi
można w ten sposób przydzielać i odbierać prawo dostępu. Webmin
uwierzytelnia użytkownika sprawdzając jego hasło w katalogu LDAP.
Migracja
Połowa wszystkich przedstawicielstw zagranicznych miała już wcześniej
podłączenie poczty elektronicznej do centrali. Opierało się ono w
całości o MS-Mail i łączu X.25. Migracja była właśnie tam trudnym
zadaniem, opowiada dr Schuster, ponieważ niektóre przedstawicielstwa są
takie duże, że przestawienie poczty elektronicznej za jednym zamachem
było nie do zrobienia. To znaczy, że serwer MS-Mail tak długo pozostaje
w sieci, aż migracja zostanie zakończona.
Ponieważ linuksowy serwer nie ma interfejsu do MS-Mail, oba światy musiały
zostać połączone w inny sposób. Podczas migracji funkcję pośrednika pełni
serwer Exchange: dodatkowo dostarczony notebook albo nadwyżkowy pecet.
Serwery Exchange i MS-Mail zostają po zakończonej migracji odłączone od
sieci.
Zaleta: pecety użytkowników można kompletnie przestawić w cetralnym
katalogu LDAP - niezależnie od rzeczywistej kolejności czynności w
trakcie migracji - na trasowanie poczty przez VPN. "Dzięki zastosowaniu
Open Source i przejściu na VPN oparty na IP mogliśmy wreszcie dokonać
włączenia do sieci wszystkich przedstawicielstw zagranicznych." Tak, jak
tego wymagało zlecenie od Joschki Fischera.
|
Architektura SINA
|
Architektura SINA tworzy VPN (Virtual Private Network) i złożona jest z
licznych pojedynczych komponentów. Centralną częścią składową jest bramka
VPN, czyli SINA-Box. Na ogólnodostępnym sprzęcie dla pecetów działa
"zahartowany" Linux. Użytkownicy uwierzytelniają się za pomocą smartcards
przy swoim stanowisku biurowym. SINA-Box ma certyfikat BSI aż do poziomu
"Tajne". Przekaz danych przez satelitę i VoIP (przekaz głosu przez Internet
Protocol) jest aktualnie optymalizowany.
Dane techniczne
System operacyjny: "zahartowany" Linux, bootuje z CD-ROMu albo z
Flash-ROMu
Platforma: Intel
Interfejsy sieciowe: 10/100/1000 MBit Ethernet, WLAN (802.11b), Token
Ring
Smartcards: Card OS 4.01, TCOS 2.0, Aladdin eToken Pro (USB)
Czytnik SC: Kobil B1 Professional
Symetryczna procedura kryptograficzna: AES, 3DES, Chiasmus (BSI), Libelle
(chip kryptograficzny PLUTO)
Asymetryczna procedura kryptograficzna: RSA, EC-DAS, Diffie-Hellman
|
© Copyright for the Polish translation by Maciej
Hański, 2003
|
|
|
|
|
|
