Damit Sie Lösungen nicht suchen, sondern finden ! Damit Sie Lösungen nicht suchen, sondern finden !


 

Kurz & bündig

Der Betrieb eines Web-Servers für eigene Zwecke war zunächst Anlaß genug für das Unix-orientierte Beraterteam "Rent-a-Guru" in Darmstadt, ein ausgefeiltes Sicherheitskonzept zu entwickeln. Fernziel: Vermarktung einer Sicherheitsdienstleistung auch im Internet-Umfeld an Dritte, zum Beispiel für Electronic Banking. Generell sind Hochverfügbarkeits-Anwendungen auf großen Unix- Servern anvisiert. Auch für typische Meßwerterfassungen mit Sensoren ist das Verfahren geeignet. Eine Zentrale kann damit beliebig viele Meßstellen abfragen und die Werte auch miteinander verknüpfen.





Extrem hohe Verfügbarkeit war gefordert

Frühwarnsystem meldet Alarm und
Telemetriedaten per Handy

Computerwoche 23.02.1996

Von Martin Weitzel


Ein spezielles Alarmsystem nutzt das DV-Beraterteam "Rent-a-Guru", Darmstadt, um Zugangssicherheit und Verfügbarkeit der eingesetzten Server zu überwachen. Eine entscheidende Rolle spielt der Short Message Service (SMS) des D2-Mobilfunknetzes zusammen mit spezieller Software.

"Rent-a-Guru" hat sich seit den frühen achtziger Jahren im Unix-Umfeld bewegt, sicherheitssensitive DV-Anwendungen sind seither eine bekannte Größe. Ziel des Zusammenschlusses von Freiberuflern aus dem Rhein-Main-Gebiet war der Austausch von Know-how und Personal im Trainings- und Projektbereich. Die im folgenden zu beschreibende Anwendung war durch das neueste Betätigungsfeld motiviert: den Betrieb eines Web-Servers für eigene Zwecke und das Angebot entsprechender Dienstleistungen für Dritte. Daß Rent-a-Guru hier zugleich Anwender und Provider ist, rückte die Zuverlässigkeit der eingesetzten Software und des verwendeten Verfahrens in den Mittelpunkt der Überlegungen.

Verbindungsausfall kann ein Meldekriterium sein

Zuverlässigkeit muss auch dann gewaehrleistet sein, wenn herkömmliche Meldewege, wie zum Beispiel Mail-Verbindungen, ganz oder teilweise versagen, denn der Ausfall von Kommunikationsverbindungen kann ja gerade das Meldekriterium sein. Viel Personal will man nicht brauchen. Der Servicetechniker, der rund um die Uhr neben der Konsole des Servers sitzt und auf den hoffentlich nie eintretenden Störungsfall wartet, ist sicher nicht die geeignete Lösung.

Bei näherem Hinsehen zeigte sich, daß die vermeintlich vorhandenen Lösungen meist darin bestanden, daß anstelle eines D-Netz-Mobiltelefons ein Pager (Cityruf oder ähnliches) verwendet wurde. Dieser Benachrichtigungsweg hat jedoch den gravierenden Nachteil, daß die Nachricht leicht verlorengehen oder verstümmelt werden kann - für ein Alarm- und Telemetriesystem schlichtweg inakzeptabel. In einigen Fällen konnte der Verkäufer eine funktionierende D-Netz-Software für Windows vorweisen, der es jedoch an Offenheit mangelte. Die Unterstützung von Unix- Plattformen war in einigen Fällen wohl bestenfalls angedacht, und von der Integrationsfähigkeit in ein Warnsystem war man in jedem Fall weit entfernt.

Es genügt keineswegs, ein geeignetes Softwarepaket zu finden, denn die eigentliche Arbeit steckt in der Konzeption, und die Software ist lediglich eines von mehreren Mitteln zum Zweck. Die geplante Dienstleistung ist für Betreiber von großen Rechnersystemen gedacht, die fast ständig verfügbar sein müssen. Den Zuschlag bekam das Münchener Unternehmen "Dignatz Consulting", das nicht nur die entsprechende Software für Unix- Plattformen anbot. Daß die verwendete Software "SMS-Alert" nur Werkzeugcharakter haben kann, bestätigt selbst deren Hersteller: "Das ist keine Plug-and-play-Anwendung. Die eigentliche Leistung steckt in dem Konzept, das für jede Anwendung kundenspezifisch erstellt werden muß. Und genau damit sind die PC-Fritzen überfordert, selbst wenn sie ihre Software erfolgreich von Windows auf Unix portiert haben. Von Sicherheit und von Hochverfügbarkeits-Anwendungen auf wirklich großen Maschinen verstehen die soviel wie Eskimos von der großen Hitze."

Die meisten Systembetreiber schaffen es nicht aus eigener Kraft, Konzepte zu entwickeln, deren Umsetzung Sicherheit oder extrem hohe Systemverfügbarkeit garantieren soll. In der Regel ist externes Know-how notwendig, um folgende Punkte zu klären:

  1. Wie hoch muß die Verfügbarkeit/Sicherheit eines Systems oder Netzwerks wirklich sein? 100 Prozent sind unmöglich.
  2. Worin besteht die Verfügbarkeit/Sicherheit im einzelnen (Kriterien)?
  3. Was darf die Verfügbarkeit/Sicherheit maximal kosten?
  4. Welche Arten von Betriebsstörungen können eintreten, bei denen ein Systemtechniker alarmiert werden soll?
  5. Wie sollen die Schwellenwerte pro Ereignis eingestellt werden, bei deren Über- oder Unterschreitung eine Alarmierung erfolgen soll?
  6. Welcher Personenkreis soll per Handy oder auf anderen Meldewegen informiert werden?
  7. Was soll der alarmierte Personenkreis bei welchem Ereignis tun, und welche Infrastruktur ist dafür bereitzustellen?
  8. Soll vorgesehen werden, daß zum Beispiel ein Supervisor mitverfolgen kann, wann seine Systemtechniker die Alarmmeldungen auf ihren Handies erhalten?

Schwellenwerte richtig festlegen

Diese Liste ist keineswegs vollständig, kann aber einen Eindruck davon vermitteln, daß es nicht genügt, "drauflos" zu alarmieren. Das Rent-a-Guru-Alarmierungssystem sollte für eigene Zwecke folgende Ereignisse, zum Teil nach Überschreitung bestimmter Schwellenwerte, per Handy melden:

  1. Nichtautorisierte Systemverwalter-"login"- oder "su"-Versuche, vor allem über Modemanschlüsse (Meldung immer);
  2. volle Dateisysteme (Meldung bei Überschreitung eingestellter Grenzwerte);
  3. Fehler bei der automatischen Datensicherung (Meldung immer);
  4. Nichterreichbarkkeit von Rechnern im LAN (Meldung immer) sowie
  5. Spannung des Notstromakkus einer remote eingesetzten Alarmanlage sinkt unter oder steigt über die eingestellten Schwellenwerte.

Die Lösung nennt bei Meldungen zu jedem dieser Punkte immer den Namen und Standort des betreffenden Rechners mit. Bei nichtautorisierten Systemverwalter-Logins (Punkt 1) wird auf das Handy-Display übermittelt, auf welchem Rechner an welchem Ort zu welcher Zeit an welchem Anschluß ein solcher Versuch erfolgte und ob er erfolgreich war. Dieses Verfahren läßt sich durch einfache Konfigurationseinträge auf beliebige Benutzer ausdehnen. Die ersten vier Zeilen einer solchen Meldung werden auf dem Handy angezeigt. Es kann nur vier Zeilen a 16 Zeichen gleichzeitig darstellen, doch eine SMS-Meldung kann maximal 160 Zeichen lang sein. Wer noch mehr braucht, kann bis zu 640 Zeichen verschicken. In diesem Fall segmentiert das Mobilfunknetz die lange Nachricht in vier einzelne SMS-Nachrichten a 160 Zeichen.

Unautorisierte Login-Versuche gab es in der Vergangenheit - vom Prinzip her - ausschliesslich über Modemanschlüsse. Durch das Internet wird sich das ändern. Der Zufall wollte es, daß auch Dignatz Consulting im vergangenen Jahr zeitweilig unter Einbruchsversuchen zu leiden hatte und deshalb schon im eigenen Interesse ein entsprechendes Warnsystem zur sofortigen Benachrichtigung implementierte. Ein weiteres Problem: "Wenn Mitarbeiter, die keine Systemverwalterfunktion haben, versuchen, sich als Root einzuloggen, dann sollten Sie zumindest telefonisch reagieren können. Entweder braucht der Mitarbeiter Hilfe, und wenn man Pech hat, stehen alle Räder still, oder er versucht einen Sicherheitsbruch."

Wann ein Dateisystem als überfüllt gelten soll (Punkt 2), läßt sich nur empirisch ermitteln. Zum einen soll die Alarmierung erfolgen, bevor ein bestimmtes Dateisystem tatsächlich voll ist und gar nichts mehr geht. Nur so läßt sich vermeiden, daß Anwendungen, die auf Plattenplatz angewiesen sind, zwangsweise beendet werden. Zum anderen will man die Aufmerksamkeit eines Systemtechnikers aber auch nicht dadurch strapazieren, daß ständig Meldungen auf seinem Handy eingehen, die inhaltlich belanglos sind und keine Intervention erfordern. Hier wird mitgeteilt, welche Partition wie voll ist.

Fehler bei der Datensicherung (Punkt 3) ergeben sich typischerweise bei Schreibfehlern auf dem verwendeten Magnetband. Kritischer kann es jedoch werden, wenn die Datensicherung nicht erfolgt, weil die vorangehende Dateisystemüberprüfung auf einer Plattenpartition Fehler festgestellt hat. In diesem Fall ist manuelles Eingreifen vor Ort zwingend erforderlich. Dieser letztere Fall ist heute extrem selten. Wenn er allerdings auftritt, sind die Fehler auf der Plattenpartition gravierend.

Eine typische Telemetrieanwendung

Das System informiert über LAN-Fehlfunktionen und Rechnerabstürze (Punkt 4), die in der vorgegebenen Umgebung jedoch ausgesprochen selten sind. Die Kontrolle von elektrischen Spannungen (Punkt 5) stellt eine typische Telemetrieanwendung dar, bei der eine Messung in regelmässigen Abständen genügt. Die Intervalle müssen allerdings so kurz sein, daß sich signifikante Wertänderungen rechtzeitig erkennen lassen. Das sogenannte Polling-Verfahren hat den Vorteil, daß an der entfernten Messstelle keinerlei eigene Intelligenz etwa in Form eines Rechners oder Mikro-Controllers notwendig ist. Dadurch lassen sich bei Bedarf mit geringsten Mitteln zusätzliche Meßstellen einrichten, die jeweils über eine Telefon-Modem-Verbindung abgefragt werden. Eine Zentrale kann beliebig viele Meßstellen abfragen und bei Bedarf alle Messwerte miteinander verknüpfen. Rent-a-Guru überwacht auf diese Weise eine Münchner Notstromversorgung von Darmstadt aus.

Keinen eigenen Gebrauch macht Rent-a-Guru von einer Softwarefunktion, die für einige Kunden unverzichtbar sein dürfte: Wenn eine Alarmmeldung an das Handy eines Systemtechnikers verschickt wird, kann beispielsweise ein Supervisor bei Bedarf feststellen, wann das Handy des Technikers die Nachricht tatsächlich bekommen hat. Dazu wird der Mobilfunkrechner des D2-Netzes von der SMS-Alert-Software zusätzlich aufgefordert, auf ein weiteres Handy eine Art Zustellbericht zu schicken. SMS-Nachrichten des Mobilfunknetzes gehen nämlich nicht verloren, sondern werden zwischengelagert, wenn das Handy des Empfängers nicht erreichbar ist. Die Zustellung der Nachrichten erfolgt dann aber völlig automatisch, sobald sich das Handy wieder in das Mobilfunknetz einbucht. Anders als bei Pagern, die reine Empfangsgeräte sind, geschieht die Übertragung von SMS-Nachrichten zum Handy unter Verwendung eines Kommunikationsprotokolls, so daß sie nicht verfälscht ankommen können.

Dignatz Consulting stellte sich schon in der ersten Version von SMS-Alert auf einen möglichen Boom des Internet-Bankings ein: "Wer als Geldinstitut Internet-Banking anbietet, braucht im Katastrophenfall schnelle Meldewege, die notfalls auch quer durch die Hierarchie gehen. Und da muß sofort nachvollziehbar sein, wer was wann bekommen hat."

Abschließend noch eine kurze Anmerkung zum Thema "Make or Buy". Die "Gurus" vom Main hatten erwogen, die Software ausschliesslich selbst zu erstellen. Kostenmäßig wäre das allerdings kein sehr weiser Entschluß gewesen, und auch die unmittelbare Verfügbarkeit der benötigten Funktionalität sprach gegen die Selbstprogrammierung. Auch wenn demnächst die Überwachung fremder Web-Server angeboten wird, wird daher das mittlerweile bewährte Prinzip des Meldewegs über SMS-Nachrichten beibehalten.


Martin Weitzel ist DV-Berater in Darmstadt.

© Alle Rechte: Computerwoche

zum Seitenanfang   Seitenanfang
vorherige Seite   zurück