IT-Systemhaus Berlin - Server-Lösungen IT-Sicherheit & IT-Service

IT-Sicherheit

IT-Dienste wie Internet, Internetsicherheit, E-Mailing erlangen in Ihrer täglichen Arbeit einen immer höher werdenden Stellenwert.

Aus diesem Grund ist es ratsam die Komponenten, die für die Gewährleistung verantwortlich sind, ausfallsicher anzulegen.

Der Endverbraucher sollte von einem Ausfall nichts bemerken. Fällt eine Firewall aus, sollte innerhalb weniger Sekunden die zweite einspringen. Dieser Bereich ist eine Kernkompetenz von double-D-IT.

Die heutigen guten Firewalls können applikationsdiensttief filtern. Nehmen wir exemplarisch den Dienst Skype: Die Skypesprache ist erlaubt, Skype-Datenübertragen werden verhindert.

Möchten Sie grundsätzliches Webmailing unabhängig vom Anbieter deaktivieren, dann lösen wir das für Sie.

E-Mail-Sicherheit

E-Mails sind eines unserer Hauptkommunikationsmittel und werden für uns alle immer wichtiger. Darum ist erforderlich, E-Mails ein- sowie ausgehend auf Viren, Trojaner und jeglicher Art von Verseuchung zu prüfen. Als eine der grundlegenden  Arbeitserleichterungen sollte ein Spam-Filter angesehen werden, damit man sich nur mit den relevanten Themen zu befassen braucht. Zu beachten ist hier, dass es ein hochwertiger Filter sein sollte, der keine positiven E-Mails durchlässt (false positive). Wir setzen in sowie externe Anti-Spam-Dienstleister beziehungsweise Anti-Spam-Software ein. Dieses geschieht häufig integriert in ausfallsichere Firewalls von zum Beispiel Sophos, Sonic Wall, WatchGuard,...



Ausfallsichere Firewalls

Für einen optimalen Betrieb empfehlen wir die vorhandene Firewall-Variante durch einen zweite, der gleichen Systemart, zu ergänzen. Dieser HA-Cluster kann aktiv-aktiv wie auch aktiv-passiv aufgesetzt werden. Je nach Leistungsbedarf werden die Dienste auf beide Firewalls verteilt oder alle Dienste laufen auf einer Firewall und werden im Ausfall auf die zweite geschwenkt. Wir setzen ausfallsichere Firewalls von zum Beispiel Sophos, Sonic Wall, WatchGuard,...ein.



Datensicherheit

In der heutigen Zeit ist es mit einem einfachen Virenscanner nicht mehr getan. Die Bedrohungen werden immer komplexer, tarnen sich raffiniert und überlisten selbst langjährig erfahrene IT-Fachkräfte. Aus diesem Grund setzen wir Virenscanner ein, die sich in die jeweilige Firewall integrieren, das heißt sie stehen in stetiger Kommunikation mit der zentralen IT-Sicherheitskomponente des Unternehmens.

Server- und Clientkonzepte

Beispiele für verschiedene Server-Lösungen

Klassisches Server-Client-Konzept

Das bereits in die Jahre gekommene Modell beinhaltet Installationen auf allen PCs. Bei diesem Konzept werden Programminstallationen direkt auf dem Client-Rechner vorgenommen. Das hat den Vorteil, jeder Client-PC hat seine individualisierten Programminstallationen. Der Nachteil bei diesem Konzept ist, dass keine einfache Platzänderung möglich ist. Exemplarisch sei hier der Sekretariatsrechner angeführt. Fällt dieser aus, wird ein neuer Rechner benötigt, der die gleichen Programminstallationen und Systemeinstellungen aufweist. Teilweise werden Daten lokal, auf diesen Rechnern, gespeichert, was sich nachteilig auf das Backup-Konzept auswirkt.



Terminalserverkonzept

Dieses Konzept verwaltet zentralisiert die Programminstallationen. Ein Client-PC erhält lediglich eine Sitzung, die in den Bildschirm des Client- PCs eingebettet wird. Der Vorteil ist, dass eine Arbeitsplatzänderung leicht möglich ist. Der Bildschirm der Sitzung kann auf jedes Smartphone, I-Pad und auf zukünftige Rechnersysteme abgebildet werden. Durch spezielle Softwareoptimierer, WAN-Accelarator, können die Terminalserverbildschirme optimal auf schmalbandige Internet-Leitungen durchgereicht werden.



Virtual Desktop

Virtual Desktop ist die Symbiose aus beiden Varianten, sprich dem klassischen Server-Client- und Terminalserver-Konzept. Das Ergebnis ist ein hochgradig individualisierter Desktop mit Terminalservereigenschaften.

Cloud Computing versus Inhouse

Cloud Computing

Im Zeitalter der Optimierung ist es unumgänglich an die Ressourcenverwendung und -schonung zu denken. Eine für die aktuelle Zeit gekaufte Serverlandschaft ist innerhalb eines kurzen Zeitfensters nicht mehr aktuell. Es folgt die Notwendigkeit eines Serverwechsels. In manchen Fällen kann es ratsam sein, einen Leistungspuffer nach oben zu haben der einen steigenden IT-Bedarf und eine erhöhte IT-Leistung mit abdecken kann. Diese Faktoren sollte man berücksichtigen, wenn man sich für eine Inhouse-Lösung entscheidet. Um die Aufwendungen zu umgehen kann man sich Platz in einem Rechenzentrum mieten. Hier kann man die Leistung, je nach Bedarf, anpassen. Diese Option nennt man Cloud Computing, dass heißt, das Sie lediglich Ihre Server in einem Rechenzentrum platzieren. Ein Wechsel in ein anderes Rechenzentrum ist jederzeit unkompliziert möglich. Es besteht kein Zusammenhang zwischen Hardware und dem virtuellen Server.



Inhouse

Die Inhouse-Lösung ist die, bis dato, noch häufigste Variante eines Serverkonzeptes. Hier finden sich häufig ein bis X Server im Keller, einer Abstellkammer, im Schrank oder an anderen nicht optimierten Orte im Büro wieder. In dieser Servervariante sind sämtliche Kosten für Backup, deren Sicherung, Datenspeicher und alles was Drumherum an Hard- und Software notwendig ist, unmittelbar zu tragen. Ein Techniker wird vor Ort benötigt, wenn es sich um einen härteren Ausfall handelt. Die Serveranlage sollte über ein Monitoring ihren aktuellen Zustand melden, damit dieser ausgewertet werden kann. Bei fehlerhaftem Verhalten, und je nach Schwierigkeitsgrad des Fehlers, besteht schneller Handlungsbedarf.




Virtuelle oder physische Server?

Baut man heute ein neues System auf, stellt sich häufig noch die Frage, ob das Serverbetriebssystem auf den Hardware-Host-Server selbst installiert oder eine Virtualisierungssoftware wie VM Ware, XEN oder Hyper-V verwendet wird. In einzelnen Fällen kann eine direkte Installation Sinn machen, zum Beispiel bei spezialisierten Datenbankservern, Grafikapplikationen oder Applikationen die direkten Zugriff auf spezielle Serverkomponente benötigen.

Das virtuelle System verfügt über drei große Vorteile gegenüber der physischen Installation. Als erstes ist hier die einfach und optimierte Backup-Möglichkeit von virtuellen Maschinen, im laufenden Betrieb, zu nennen. Die zweite ist die Snapshot-Möglichkeit. Man kann verschiedene Testszenarien zu unterschiedlichen Zeitpunkten definieren, modifizieren, verwerfen oder auch in die Livesituation einfügen. Es bieten sich mit dieser Funktion endlose Optionen. Die dritte ist die Migration einer virtuellen Maschine, im laufenden Zustand, auf einen anderen Server. Das bringt enorme Vorteile in der Wartungssituation. Es werden Freiräume geschaffen, die physischen Server zu upgraden, optimieren oder auch zu reparieren. Der normale PC-User bekommt von dem Vorgang nichts mit.

Backup-Service

Jede IT-Situation erfordert eine eigene Backup-Strategie.

Klassisches Backup

Das Backup-Konzept basiert fundamental auf der eingesetzten Server-Technologie. Es werden Daten auf physischen Servern gelagert. Es befinden sich "echte" Datenbankserver im Einsatz. In diesem Fall benötigt man eine klassische Backup-Software, zum Beispiel Symantec-Backup, Veritas oder ähnliche, bei der entsprechende Agents zum Einsatz kommen.



Virtuelles Backup

Anders verhält es sich bei einer virtualisierten Landschaft. Hier wird fast immer der gesamte Server gesichert, sprich periphere Daten plus Systemzustand. Häufig wird ein ausgeklügeltes Differenzbackupverfahren eingesetzt, um ein tägliches Vollbackup zu erzeugen.




Desaster Backup

Um ein valides Desaster-Recovery-Backup zu erhalten, ist die Backup-Technologie maßgeblich. Ziel eines Desaster-Recovery-Backup ist die Spiegelung des Hauptsystems. Die Angleichung des Hauptsystems mit dem Desaster-Recovery-System erfolgt oftmals über schmalbandige Leitungen (Internet). In der virtuellen Welt lässt sich die Angleichung um ein deutliches einfacher darstellen, als in einem klassischen Server-System.

Voice over IP (VoIP)

Telefonanlagen der heutigen und zukünftigen Zeit werden nur noch Sprache über das Netzwerk transportieren.

Internes VoIP mit ISDN-Breakout

Eine Art Übergangslösung stellt das Konzept internes VoIP externes ISDN-Breakout dar. Hierbei werden die Telefone mitteln LAN-Technologie in das Netzwerk eingebunden. Die bislang immer noch häufig anzutreffende 2-Draht-Bus-Technik wird nicht mehr in neuen Anlagen eingesetzt. Der Transport der Sprachdaten kann über intelligente Switches priorisiert werden, um eventuelle Störgeräusche wie zum Beispiel rauschen zu verhindern. Die tatsächlich ein- und ausgehenden Anrufe erfolgen über klassische ISDN-(Anlagen)- Anschlüsse.



VoIP in- und extern (SIP)

Die nächste potentielle Ausbaustufe ist fast grundlegend identisch mit dem zuvor genannten System. Allerdings werden hier ein- und ausgehende Telefonate mittels SIP realisiert. Diese Variante benötigt keine expliziten NTBA-Gerätschaften für die Bereitstellung von Sprachkanälen. Im VoIP-Bereich werden die Sprachkanäle (ISP-Trunk) lediglich nur durch die Bandbreite des Internetanschlusses begrenzt.



Netzwerke zwischen Niederlassungen

Hier stehen sich zwei grundsätzliche Konzepte gegenüber.

Zum Einen gibt es hier die Installation einer zentralisierten Telekommunikations-Anlage (TK-Anlage) im Rechenzentrum oder der Hauptniederlassung. Alle Telefone, auch die der Niederlassungen, sind sternförmig mit der zentralen TK-Anlage verbunden. Die Vorgehensweise macht Sinn, wenn es eine überschaubare Anzahl an Teilnehmern in den Zweigniederlassungen gibt und man zum Beispiel flexible Rufnummerntransfers, in allen Niederlassungen, benötigt.

Das zweite Konzept ist die dezentralisierte TK-Anlage. Sie wird häufig dann eingesetzt, wenn die Zweigniederlassungen einen eigenen Rufnummernpool erhalten sollen und eine gewisse Anzahl an TK-Teilnehmern übersteigt. Die TK-Masteranlage ist mit allen Zweigniederlassungs-TK-Anlagen stetig verbunden. Telefonate zwischen den Standorten erfolgen kostenneutral über das Internet.

Niederlassungsanbindung (VPN)

Durch den Einsatz spezialisierter Firewalls/ Gateways können wir Hardware- oder Software-VPN-Tunnel erzeugen.

VPN-Anbindung zwischen Master- und Slave-Firewall

Die Anbindung zwischen einzelnen Niederlassungen lassen sich mittels intelligenter Firewalls realisieren. Hier kommt es in der Regel nicht auf den Herstellen an. Moderne Firewalls, unterschiedlicher Hersteller, lassen sich untereinander verbinden. Dieses Verfahren macht dann Sinn, wenn man innerhalb der Zweigniederlassung ein spezielles Routing-Regelwerk einsetzen möchte.

Wenn man ein Netzwerk-Routing-Regelwerk benötigt, dann ist dieses Verfahren die richtige Wahl. Zu beachten ist jedoch, dass jeder Firewall einzeln einen Verwaltungs- und Pflegeaufwand verursacht sowie auch Lizenzkosten (Subscriptions) mit sich führt.



VPN-Anbindung Master-Firewall und Remote-Ethernet-Device (RED)

Einige Firewall-Hersteller bieten Geräte an, die in der Lage sind, das Netzwerk-Routing-Regelwerk der Masteranlage in die Zweigniederlassung zu transportieren, ohne dass diese Einheit als tatsächliche Firewall fungiert. Durch das Verfahren wird keine Firewall innerhalb der Zweigniederlassung benötigt. Das hat deutliche Kostenersparnisse zur Folge. Das Remote-Ethernet-Device wird über die zentrale Firewall verwaltet. Der automatisch generierte Tunnel zwischen der RED-Einheit und der Master-Firewall ist ein Layer-2-Tunnel. Dieser kann für diverse Angelegenheiten eingesetzt werden, exemplarisch seien hier genannt die Telefonanbindung, Monitoring, jegliche Art von Netzwerkanbindung kann übertragen werden.



VPN-Anbindung Rechenzentrum- Remote-Ethernet-Device (RED)

In dem Fall, wenn Sie Ihre Server in unserem Rechenzentrum betreiben, benötigen Ihre Niederlassungen lediglich einen Remote-Ethernet-Device. Sie haben keine laufenden Firewall-Kosten und genießen trotzdem den maximalen Schutz.

Bring your own device (BYOD)

Nutzen Sie die geballte technische Power Ihrer Mitarbeiter/innen.

Zentralisierte Verwaltung von unterschiedlichen Geräten

Moderne Gateways/ Firewalls können Zugänge von Gerätschaften verwalten. Grundsätzlich können diese Access in das Internet zulassen, Zugriffe zu speziellen Servernetzwerken freigeben oder blocken. Der Vorteil ist, dass es eine zentralisierte Einheit gibt, mithilfe derer man sich einen Überblick zur aktuellen Zugriffssituation verschaffen kann. Solche Verwaltungseinheiten werden zum Beispiel von Cisco, Sophos, Lancom, WatchGuard und SonicWall angeboten.



Internetzugriffskontrolle nach Zeit und Volumen

Möchte man fremden Geräten einen temporären Zugang in Internet oder in andere Netzwerke bereitstellen, können moderne Gatways Voucher erzeugen, die eine Limitierung nach Zeit und Volumen ausgeben. Selbige können einfach und selbst erstellt werden. Der Voucher wird dem Gast übergeben und selbiger erhält, entsprechend den vorgegebenen Kriterien, Zugriff in das Netzwerk.



Platzierung von temporären WiFi-Netzen mit Verteilung auf unterschiedliche Access-Points

Durch eine zentralisierte Access-Point-Verwaltung können zu jedem beliebigen Zeitpunkt WiFi-Netzwerke hinzugefügt oder entfernt werden. Der Vorgang dauert nur wenige Minuten. So können unsichtbare Handscanner, Drucker, Smartphones oder x-beliebige Gerätschaften bereitgestellt werden, die nicht für jedermann einsehbar sein sollen. Ebenso können komplette temporäre Strukturen für WiFi-Netzwerke angelegt werden, zum Beispiel für einen Zugang von speziellen Geräten von Gastgruppen zu Schulungszwecken. Diese Netzwerke können so platziert werde das sie, auf Wunsch, nur Zugriff auf spezielle Ressourcen haben wie Drucker und eben nicht die Serverlandschaft. Genauso schnell wie sie erzeugt werden, können sie wieder entfernt werden. Um Bandbreite zu schonen können diese WiFi-Netzwerke auf nur speziellen Access-Points veröffentlicht werden.



Mobile Device Management (MDM)

Durch den fortlaufenden und immer stärker werdenden Vordrang der Smartphones, Tablets, Phablets und allen anderen Gerätevarianten kommt man, ab einer gewissen Anzahl, nicht mehr an einer eigenständigen Verwaltung der externen Geräte vorbei. Die Trennung von firmeneigenen und privaten Daten ist, zum Beispiel durch die Containertechnik, möglich. Das sich zunehmend sensiblere Daten auf den Endgeräten befinden, sollte man bereits im Vorfeld über Daten- und Kontaktsicherheit sowie Access-Kontrolle, von außen, nachdenken, beziehungsweise ein Instrumentarium geschaffen werden, um im Nachgang ein entsprechendes Regelwerk auf den Geräten zu publizieren. Dieses sollte es ermöglichen Änderungen am Smartphone vornehmen zu können, ohne es in den Händen halten zu brauchen. Im Falle eines Totalverlustes können so die Daten des Smartphones gelöscht und selbiges gesperrt werden. Durch ein MDM lässt sich eine erhebliche Zeiteinsparung ermöglichen. Nicht auf jedem einzelnen Gerät bedarf es der Installation von Verbindungseigenschaften in die Firma oder Zertifikaten, sondern sie können bequem zentral auf die Geräte gepusht werden. Alles das lässt sich auch in Nachgang, nach Aushändigung eines Smartphones, realisieren.

Qualifizierung

Das Fundament jeder guten IT basiert auf einer strukturellen Vernetzung.

Klassische IT-Vernetzung

In der heutigen Zeit ist eine strukturelle, häufig sternförmige, Typologie das Maß aller Dinge. Dieses Netzwerk wird für immer mehr Komponenten eingesetzt. Sprich nicht nur für Rechner, Drucker und Server verwenden Netzwerktechnologien, sondern zukünftig ebenso Kühlschränke, Kaffeemaschinen und jegliche Art von Geräten. Eine Auswertung, Steuerung und Analyse des Endgerätes wird von jedem Platz auf der Welt möglich sein. Alles das basiert auf einer gut vorgenommenen hochwertigen IT-Verkabelung.



IT-Vernetzung etagenübergreifend

Unterschiedliche Bedürfnisse benötigen differenzierte IT-Verkabelungen. In der horizontalen Verflechtung arbeitet man sich sternförmig voran, in der vertikalen verwendet man häufig eine Punkt-zu-Punkt-Vernetzung. Bei jeglicher Art der Vernetzung darf man das Ziel nicht aus den Augen verlieren. Nicht jedes Signal lässt sich per Glasfaser transportieren. Aus diesem Grund findet man in der Praxis häufig eine Mischform der IT-Verkabelung, bestehend aus CAT- und Glasfaservernetzung.



Validierung- Qualifizierung von Netzwerkstrukturen

Das bloße Verlegen der IT-Infrastruktur reicht uns nicht aus. Wir haben spezialisierte Messgeräte die sensibel Leitungsdämpfung, Wellenwiderstände im Glasfaserbereich, Kreuzungen von Adern, Performance-Checks und Reflexionen auf Leitungen sichtbar machen können. Einfache Fehler wie offene oder schlecht angeschlossene Verkabelungen lassen sich leicht erkennen. Aufwendigen wird es bei Fehlern die sporadisch auftreten oder die die Leitungsqualität verschlechtern, so dass das Signal deutlich beeinträchtigt, aber nicht gekappt wird.



Performance-Check in der IT-Infrastruktur

Wir haben die Messtechnik um zu überprüfen, ob Ihre bestehende IT-Verkabelung den aktuellen technischen IST-Performance-Zustand erfüllt. So kann es zum Beispiel vorkommen, dass eine defekte Netzwerkkarte ein hohes Störpotenzial im System verursacht und dadurch das gesamte System, in seiner Leistungsfähigkeit geschwächt wird. Solche Fehler sind schwer zu orten, da sie unter Umständen eventuell nur dann auftreten, wenn das defekte Gerät aktiv ist. Wir können diese Prüfungen, und weitere dieser Art, in kurzer Zeit hocheffektiv durchführen und die geeigneten Optimierungsschritte benennen.



WiFi-Ausleuchtung mit Access-Point-Optimierung

Benötigen Sie eine professionelle WiFi-Ausleuchtung Ihres Büros, Ihrer Halle oder Ihrer Freifläche, dann können wir Ihnen unsere Dienste anbieten. Bitte beachten Sie, dass ein ungünstig platzierter Access-Point nicht nur für eine schlechte Datendurchsatzrate sorgen, sondern möglicher Weise eine unnötig hohe Fehlerrate in der Kommunikation erzeugen und dieses wiederum viele Teilnehmer betreffen kann.