NASK garant sicherer Breitband-Internetzugang für 25.000 Schulen

1991 verband NASK (Naukowa i Akademicka Siec Komputerowa oder Forschungs- und akademisches Computernetzwerk) Polen mit dem Internet. Heute überwindet die Organisation die digitale Kluft, die polnische Kinder in Dörfern und Städten daran hindert, ihr volles akademisches Potenzial auszuschöpfen. NASK verwaltet Polens landesweites Bildungsnetzwerk (OSE), das mehr als fünf Millionen Schülern und Lehrern einen schnellen, sicheren und kostenlosen Internetzugang bietet.

"Wir stellen allen Grund- und weiterführenden Schulen in Polen Internetkonnektivität und Sicherheitsdienste zur Verfügung", sagt Michal Mroczek, der Architekt von OSE und leitender Netzwerkingenieur bei NASK.

Wie in vielen Ländern gibt es auch in Polen eine digitale Kluft zwischen Stadt und Land. Etwa 40 Prozent der Menschen, darunter rund 1,5 Millionen Kinder, leben in ländlichen Gebieten - in kleinen Städten, winzigen Weilern und abgelegenen Bauernhöfen. OSE will diesen Schülern die gleichen digitalen Voraussetzungen für die Zukunft geben.

"In den großen Städten Polens ist die Internetanbindung gut", sagt Mroczek. "Unser Fokus liegt auf den Kleinstädten und Dörfern, in denen die Schulen möglicherweise nur einen schlechten oder gar keinen Internetzugang haben."

NASK hat 15.000 polnische Schulen mit 100-Mbit/s-Internet versorgt, und bis Ende 2020 werden alle 23.000 Schulen im Land angeschlossen sein. Über das Breitband-Internet hinaus wird OSE auch Schüler und Lehrer mit Zugang zu Inhalten und Lehrplänen unterstützen, um digitale Lernmethoden zu fördern. Seit Beginn des OSE-Netzwerkausbaus hat sich der Bandbreitenverbrauch an den Schulen verdoppelt.

"Als wir vor zwei Jahren anfingen, verbrauchte eine einzelne Schule etwa 5 Mbit/s an Internet-Bandbreite", sagt Mroczek. "Jetzt verbraucht eine Schule 10 Mbps. Wenn man Schülern und Lehrern mehr Internet-Bandbreite zur Verfügung stellt, werden sie auch mehr nutzen."

Das OSE-Projekt wurde ins Leben gerufen, um den Zugang zu Online-Lehrmitteln zu verbessern und Bereiche der digitalen Ausgrenzung zu beseitigen. Das Programm wurde vom Ministerium für digitale Angelegenheiten in Zusammenarbeit mit dem Bildungsministerium im Rahmen des Nationalen Bildungsnetzwerkgesetzes entworfen. Das Gesetz legt auch NASK (Nationales Forschungsinstitut) als OSE-Betreiber, d.h. als Verwaltungsorgan, fest.

Die Gewährleistung der Sicherheit für ein so großes Netzwerk war ein besonders komplexes Projekt. Die OSE sollte ein öffentliches Telekommunikationsnetz sein, das auf der bestehenden Breitbandinfrastruktur basiert, die im Rahmen einer kommerziellen Investition entwickelt und mit öffentlichen Mitteln subventioniert wurde. Das Netz sollte Lehrern und Schülern in über 80 Prozent der polnischen Schulen Zugang zum Hochgeschwindigkeitsinternet bieten. Dies würde eine hohe Verkehrsdichte von Millionen von Endpunkten mit sich bringen.

Die Herausforderung

In der Entwicklungsphase wurden diverse Szenarien für die Bereitstellung von Sicherheitsdienstleistungen im OSE-Netzwerk analysiert. Das reichte von einem Modell, bei dem alle Sicherheitsfunktionen per CPE-Übertragung an den Endgeräten stattfanden, bis zu einem Szenario, in dem der Datenverkehr in einem der 16 Knoten aus ganz Polen analysiert wurde. Nach Marktkonsultationen und monatelangen Analysen wurde das letztgenannte Modell ausgewählt und durch 3 weitere Backboneknoten ergänzt, um die Dienste zu unterstützen, die vom OSE-Netzwerk im Internet angeboten werden. Durch die Entscheidung zugunsten dieses Systems war es notwendig, die Sicherheitssysteme auf ein Niveau anzuheben, das Datenverkehr über 1 Tbit/s ermöglicht. Im Verlauf der technischen Gespräche wurden verschiedene Optionen für solche Datenverkehrsdienste erörtert. Allerdings waren viele Anbieter nicht in der Lage, die Anforderungen für derart hochwertige Sicherheitsdienstleistungen erfüllen, was eine der Prioritäten bei diesem Projekt ist. Dennoch wurde ständig nach Lösungen gesucht, um hochwertige Dienste zu finden, die sich mit dem Umfang des Projekts kombinieren lassen

Parallel zu den Designaktivitäten fand ein Pilotprogramm statt, mit dem die Merkmale des von den Bildungseinrichtungen generierten Netzwerkverkehrs identifiziert werden sollten. Entsprechend den Prognosen eines Teams von Architekten würde ein wesentlicher Teil des Internetverkehrs aus webbasierter Kommunikation bestehen, die von HTTP/HTTPS-Protokollen unterstützt wird. Aus den gesammelten statistischen Daten geht hervor, dass der Anteil an verschlüsseltem Datenverkehr über das geplante Netzwerk über 80 Prozent des gesamten Datenverkehrs ausmachen würde.

Testergebnisse zeigen, dass angesichts des hohen Anteils an verschlüsseltem Datenverkehr über das geplante Netzwerk eine SSL/TLS-Verkehrsüberwachung notwendig wäre. Das ist eine Voraussetzung, um Bedrohungen entdecken und Content beim Zugriff aufs Internet angemessen filtern zu können. Auf diese Weise wird auch die hohe Qualität von Sicherheitsdienstleistungen für Schulnetzwerke gewährleistet. Die Verschlüsselung findet für Datenverkehr in beide Richtungen statt, was die Analyse von Anfragen und Content ermöglicht, die über das Netzwerk gesendet werden. Die Umsetzung des Verschlüsselungsprozesses über das Netzwerk des Betreibers wurde mit verschiedenen technischen und organisatorischen Herausforderungen in Verbindung gebracht. Die größte organisatorische Herausforderungen war die Verteilung von Zertifikaten an alle Geräte, die an das OSE-Netzwerk angeschlossen sind.

Umfang des der Entschlüsselung unterworfenen Datenverkehrs

Die größte technische Herausforderung war der Umfang des Datenverkehrs, der einer Verschlüsselung unterliegt, sowie die Differenzierung von Content, der nicht analysiert werden soll, zum Beispiel Datenverkehr mit Banken-, medizinischen und anderen Portalen. Die geschätzte Menge des zu analysierenden OSE-Datenverkehrs belief sich auf mehr als 1 Tbit/s. Die Grundausstattung des Sicherheitssystems des Netzwerks bestand aus einer Next Generation Firewall (NGFW) und einem Secure Web Gateway (SWG). Allerdings gibt es auf dem Markt keine derartigen Geräte, die eine solche Bandbreite unabhängig bearbeiten könnten, wenn alle benötigten Sicherheitsmechanismen angewendet werden. Das bedeutet, dass für eine angemessene Entschlüsselung, Analyse und Wiederverschlüsselung des Datenverkehrs eine hohe Zahl an NGFW und SWG benötigt wird. Das würde die Komplexität des Sicherheitssystems sowie die Kosten für Beschaffung und Instandhaltung in die Höhe treiben.

Um sich dieser Herausforderung zu stellen, wurden zwei Verfahren für die Lastverteilung zwischen den Geräten der Sicherheitsinfrastruktur in Betracht gezogen. Beim ersten Verfahren handelt es sich um ein ECMP-Protokoll, das auf Routern läuft, die auf das OSE-Netzwerk verteilt sind. Leider haben Anbieter von Netzwerklösungen im Verlauf der Gespräche mit der Industrie auf wesentliche Unterschiede bei der Umsetzung dieses Protokolls hingewiesen. Manche dieser Unterschiede, wie eine mangelnde Verknüpfung zwischen ein- und ausgehendem Datenverkehr an/von einem bestimmten Benutzer eines spezifischen Gerätes mit SSL/TLS-Entschlüsselung (keine vollständige TCP-Sitzungssichtbarkeit), verhinderten die Bereitstellung aller Sicherheitsdienstleistungen im OSE-Netzwerk. Das genannte Beispiel sorgt dafür, dass das genannte Gerät nicht in der Lage ist, den SSL/TLS-Datenverkehr zu überwachen, obwohl dies eine der Grundlagen des vorgenannten Projekts ist.

Die tatsächliche Anforderung zur Übertragung der SSL/TLS-Verkehrsüberwachung von Systemen der SWG- und NGFW-Klasse auf externe Geräte wurde von dem Wunsch getragen, die Nutzung von Hardwareressourcen in den Sicherheitssystemen zu optimieren. Für die Nutzung von NGFW- und SWG-Systemen ist es außerdem notwendig, den Datenfluss an die einzelnen Geräte zu überwachen, d.h. den Datenverkehr zu teilen. Um eine effektive Überwachung zu gewährleisten, ist es notwendig, die aktuelle Belastung der einzelnen Geräte zu kennen und zu wissen, dass die Router diese Datenmenge nicht bewältigen konnten.

Angesichts der vorgenannten Überlegungen wurde das ECMP-Protokoll nicht länger verwendet. Im zweiten Modell war vorgesehen, dass ADC-Geräte (Application Delivery Controller) in das OSE-Netzwerk integriert werden. Nach einer ähnlichen Analyse wie beim ersten Modell wurde festgestellt, dass alle führenden Produkte in dieser Klasse in der Lage waren, die architektonischen und funktionalen Ziele des OSE-Netzwerkprojekts zu erfüllen. Darüber hinaus bieten ADC-Produkte Flexibilität im Hinblick auf Netzwerk- und Datenverkehr-Engineering, was ein weiterer Vorteil ist. Ein ADC-Gerät teilt den gesamten eingehenden Datenverkehr intelligent auf. Es ist das erste Gerät im Sicherheitssystem und kontrolliert die weitere Verteilung des Datenflusses. Die vorstehenden Argumente waren für die Wahl dieses Modells entscheidend.

Es folgt die definitive Anordnung der Knoten, die Application Delivery Controller, SSL Orchestrator sowie NGFW- und SWG-Produkte umfassen.

Mögliche Lösungen

Aus dem vorstehenden Konzept ergaben sich funktionalen Anforderungen an die einzelnen Komponenten des OSE. Später kam noch eine Ausschreibung für eine Sicherheitsstruktur, die mit ADC, SSLO, NGFW und DNS Firewall-Systemen kompatibel ist. Nachdem der vorteilhafteste Kostenvoranschlag in der Ausschreibung ausgewählt wurde, wurden auf F5-Technologie basierende ADC- und SSLO-Lösungen ausgewählt. In diesem Zusammenhang wurden die folgenden Prämissen berücksichtigt:

• die beste Quote an SSL-Transaktionen pro Sekunde (Leistung bei Entschlüsselung und Wiederverschlüsselung von Datenverkehr) im Zusammenhang mit den physischen Abmessungen der Geräte sowie ihre Gesamtzahl. Die OSE-Netzwerkknoten hatten vorab definierte Höchstleistungswerte (kW) und Rack-Fläche im Serverschrank.
• Die benötigte Leistung der Application Delivery Controller sowie die Möglichkeit, Datenverkehr für eine Bandbreite über 200 Gbit/s in regionalen Knoten zu überwachen.
• Die benötigte Flexibilität der Application Delivery-Geräte für entschlüsselten und unverschlüsselten Datenverkehr, einschließlich Umsetzung von Entschlüsselungsausnahmen, die entweder auf Vorschriften für den Schutz personenbezogener Daten oder auf einer Entscheidung der autorisierten Mitarbeiter basieren.
• Umfassender Schutz von OSE-Netzwerkanwendungen gegen externe Angriffe durch Nutzung einer Web Application Firewall.
• Bereitstellung von sicherem Fernzugriff für OSE-Netzwerkadministratoren oder externe Auftragsverarbeiter über SSL- und VPN-Technologie.
• Die benötigte Integration in die Wartungsumgebung.

„Die Nutzung von Application Delivery Controller und SSL Orchestrators wirkte sich positiv auf die Simplizität des gesamten OSE-Sicherheitssystems und seine Wirksamkeit aus“, erklärte Krzysztof Chwedorczuk, Leiter des NASK Security Services Teams. „F5-Lösungen sind äußerst kompatibel mit anderen Sicherheitskomponenten und einer der grundlegenden Bausteine für den Erfolg des polnischen Nationalen Bildungsnetzwerks. Die Umsetzung der F5-Technologie dauerte 5 Monate, was angesichts der Komplexität des Projekts ein hervorragendes Ergebnis ist.“ Krzysztof Chwedorczuk fügt hinzu: „Das OSE ist um kontinuierliche Weiterentwicklung bemüht, allerdings hatten wir bisher noch keine Probleme im Hinblick auf die Lastenverteilung in den Knoten oder mit der Datenverkehrsanalyse, und wir erwarten auch keine Probleme.“