Die Bietigheimer Mediengesellschaft war durch geschäftliche und damit strukturelle Unsicherheiten Ihres bisherigen Providers auf der Suche nach einem neuen, leistungsstarken und kompetenten Partner um Ihre Webserver zu betreuen. Zielvorgabe war es - durch diesem Umzug - sofort auf neue Technologien zu setzen, die das System in Zukunft auch besser ausbaufähig machen sollten. Auf den Servern waren eine große Anzahl von eigenen und Kunden-Domains mit Mail-, Web- und FTP-Dienste gehostet. Der Wechsel vom alten zum neuen Provider sollte natürlich möglichst reibungslos ablaufen. Einen längerer Betriebsausfall der Firmen-Web-Angebote galt es unbedingt zu vermeiden.

Der Providerwechsel der gesamten Domains wurde komplett von cron durchgeführt, wobei größter Wert darauf gelegt wurde, dass der Kunde so wenig wie möglich damit konfrontiert wurde. Nur die Zustimmungen/Signaturen - wo erforderlich - wurden für einen Wechsel von den Domain-Inhabern geleistet.

Eingerichtet wurden zwei baugleiche Linux-Hochleistungs-Rechner, mit einer bewährten Administrationsoberfläche (Confixx), damit die Mitarbeiter der Bietigheimer Mediengesellschaft möglichst schnell und effektiv Ihre Kundenstrukturen neu verwalten konnten (neue Webserver einrichten, Kunden anlegen usw.). Während der Einrichtung der Server wurde bedeutender Wert auf die Sicherheit gelegt, durch den Einsatz von LIDS wurde der Kernel gehärtet. Dadurch ist gewährleistet, dass bei einem potentiellen Einbruch kaum Schaden entstehen kann.

Während der gesamten, dualen Einrichtungsphase (der alte Webserver lief zeitgleich noch beim früheren Provider) standen die Server im Rechenzentrum von cron in Schwäbisch Hall. Dort konnte der Kunde seine Webserver nach belieben konfigurieren und seine neue Administrationsoberfläche testen und einrichten - cron hatte damit die Option, bei Bedarf noch physikalischen Zugriff auf die Server zu nehmen. In dieser Phase war eine sehr intensive Kommunikation mit der Bietigheimer Mediengesellschaft notwendig. Hilfestellungen wurden jederzeit gegeben und auf besondere Wünsche konnte unmittelbar eingegangen werden.

Ergebnis waren zwei optimal konfigurierte neue Webserver. Diese wurden zum endgültigen Standort in unser Rechenzentrum in Frankfurt/M. transportiert und installiert, mit direkter Anbindung an DE-CIX. Damit steht nun eine optimale Bandbreite zur Verfügung.

Letztlich wurde der Nameservice auf die neue IP umgestellt, und in kürzester Zeit waren die neuen Webserver nun diejenigen, die aktuell vom Publikum angesprochen werden.

Das gesamte Projekt wurde abgewickelt, ohne dass die Kunden den Wechsel wahrgenommen haben. Diesen stehen nun neue, leistungsfähige Server, ein optimaler Standort und ein komplett neues Betriebssystem zur Verfügung. Die konstante Wartung und Administration von Technik und Sicherheit wir durch cron gewährleistet.

Ziel war es, die vorhandene Internet-Anbindung auf 2.3MBit/s aufzurüsten und dabei das Sicherheitskonzept zu überarbeiten und zu dokumentieren. Weiterhin ging es zum einen um die Umstellung der offiziellen IPs, die nun durch den neuen Provider vergeben wurden und zum anderen um die Umkonfiguration der Dienste, die davon abhingen.

Nach einer Analyse vor Ort wurde das bestehende Netz dokumentiert und ein neues Sicherheitskonzept entwickelt. Das neue Konzept sieht eine stärker abgeschottete DMZ für den E-Mail und andere Unix-Server - die von außen erreichbar sind. Diese Funktionalität realisiert eine Firewall eines führenden Firewall-Herstellers, den wir hier aus Sicherheitsgründen nicht preisgeben wollen.

Das neue Sicherheitskonzept sieht vor, dass eingehenden Emails auf einem Unix-Server in der DMZ zunächst ankommen. Hier werden Sie automatisch nach Viren untersucht und dann dem Enterprise Mail-Server, der dann die E-Mails den Mitarbeiterinnen und Mitarbeitern zur Verfügung stellt, weitergeleitet. Weiterhin sieht das neue Konzept eine Fall-Back Lösung über ISDN via dial-on-demand. Damit ist bei Ausfall der Standleitung eine eingeschränkte Kommunikation möglich.

Die gesamte Konzeption, weitere Umstellungspunkte, Firewall- und Server-Konfiguration wurde zunächst schriftlich festgehalten und sorgfältig theoretisch verifiziert.

Die Bestellung der neuen DSL Standleitung wurde durch cron komplett abgewickelt. Am Tag der Umstellung haben zwei Techniker von cron die Umstellung an einem Nachmittag vollständig durchgeführt.

Zwei verschiedene Backup-MX-Server von cron, an redundant angebundenen Standorten, wurden für die Domains eingerichtet und runden das gesamte Konzept ab.

Projektvorgabe: Ein Netzwerk aus 8 PCs sollte aufgebaut werden. Die Clients - als Frontend für die Kanzlei-Software RA-Micro und Winsolvenz - sollen unter Windows 2000 laufen, Email- und Internetzugang soll auf allen Arbeitsplätzen vorhanden sein, auch hier standortunabhängig.

Um den Sicherheitsanforderungen gerecht zu werden haben wir uns dazu entschieden, zwei getrennte Server für - 1) Internet-Zugang/Firewalling/Email und 2) Daten - zu verwenden. Durch den Einsatz eines Switches mit VLANs können die 2 Server nicht miteinander kommunizieren.

Hier wäre der Einsatz eines 2. Linux-Servers für Daten auch denkbar gewesen, da zum damaligen Zeitpunkt sowohl die Software RA-Micro als auch die Software Winsolvenz über File-sharing arbeiteten. Nach Rücksprache mit dem Hersteller wurde uns mitgeteilt, dass zukünftige Versionen einen Microsoft SQL-Server und somit Windows NT/2000 als Serverbetriebsystem voraussetzen. Um die Updatefähigkeit nicht zu beeinträchtigen entschieden wir uns, einen Windows 2000 Server als Datenspeicher, PDC und Backup einzusetzen. Obwohl wir eine physikalische Trennung zwischen Daten und "Internet" errichtet haben, wurde trotzdem entschieden, die Linux-Maschine abzuhärten; d.h. eine lokale Firewall - welche die eingehenden Verbindungen abblockt - sowie LIDS - als Hacker-Schutz - kamen zum Einsatz.

Eine USV-Anlage mit integriertem Blitzschutz schützt die zwei Server sowie die Telefonanlage vor Stromschwankungen/-ausfällen. Die Server werden bei einem länger andauernden Stromausfall automatisch und ordnungsgemäß heruntergefahren.

Sowohl der Windows- als auch der Linux-Server werden über ISDN / Call-Back gewartet.