Case Study
Firewall Cluster lässt bei RTL II keinen durch
IT-Sicherheit bei innovativem Privatsender
Über RTL II gehen die Meinungen auseinander, aber jeder Fernsehzuschauer hat eine. In dem Programm des TV-Senders werden Frauen getauscht, ranzige WGs von Putzteufeln auf Vordermann gebracht, Menschen auf ihrem Weg durch Schönheitsoperationen begleitet und die Geschehnisse von Big Brother aus dem Container übertragen. Diese Doku-Soaps & Dokutainments setzen auf Emotionen und begeistern besonders junge Zuschauer. Andere Zuschauer sind angesichts der gewährten Einblicke dagegen hin und wieder empört. Provokation durch unkonventionelle Formate gehört zum Konzept des erfolgreichen Senders, erfordert jedoch auch Schutzmaßnahmen. Denn so mancher Protest entlädt sich über das Internet, und bereits einige Male attackierten entzürnte Gegner den Mail-Server des Privatsenders mit organisierten Massenanfragen. Doch an dieser Stelle setzt RTL II auf bewährte Lösungen: Zwei Firewall-Systeme genugate, verknüpft zu einem hochverfügbaren Cluster, schützen das Netzwerk des Senders gegen Angriffe aus dem Internet.
Für ein Medienunternehmen wie RTL II ist die Internet-Anbindung ein zentraler Lebensnerv: Nahezu jede Recherche der Redaktionen beginnt im World Wide Web, und der schnelle Informationsaustausch auch mit den externen Mitarbeitern basiert auf der Kommunikation via E-Mail. Der Sender nutzt darüber hinaus das Netz, um Journalisten und Werbekunden komfortablen Online-Service zu bieten. Aus der Presse-Lounge kann Text- und Bildmaterial zum gesamten Programm von RTL II abgerufen werden, und im Kundenbereich stehen aktuelle Informationen über freie Werbezeiten bereit. Diese Dienste und Anwendungen erfordern die Freischaltung zahlreicher Zugänge zum Internet, die jedoch gegen unbefugte Zugriffe geschützt werden müssen.
Bewährte Firewall zu Cluster aufgerüstet
Als sich der Sender vergrößerte und in München-Geiselgasteig eine neue Firmenzentrale bezog, musste auch die Frage der IT-Sicherheit neu gelöst werden. Denn die Zahl der PC-Arbeitsplätze und die Bandbreite der Internet-Anbindung wurden erheblich erweitert: RTL II entschied, die bereits eingesetzte High Resistance Firewall genugate wird mit einem weiteren identischen System zu einem leistungsstarken Cluster hochgerüstet. „Als TV-Sender sind wir auf eine leistungsfähige Internet-Anbindung angewiesen und stellen hohe Anforderungen an die IT Security. Deshalb sind wir auf Nummer sicher gegangen und haben die Firewall, die sich in den letzten Jahren in zahlreichen kritischen Situationen bestens bewährt hat, mit dem Cluster einfach an die neuen Leistungsanforderungen angepasst“, erläutert Reinhard Görtner, Leiter IT und Services bei RTL II.
Hohe Leistung und Ausfallsicherheit durch Cluster
Die Möglichkeit, genugates in Clustern zusammenzufassen, ist ein wichtiges Merkmal der Firewall-Lösung des IT-Security-Spezialisten genua. Die Systeme in den Clustern teilen sich die Aufgaben und überwachen sich gegenseitig. Sollte ein System ausfallen, übernimmt das andere kurzfristig die gesamte Last. So sind starke Performance und Hochverfügbarkeit garantiert, und die Sicherheitslösungen können stets mit den Anforderungen des Anwenders mitwachsen.
Demilitarisierte Zone für Online-Services und sicher abgeschottetes LAN
Die Firewalls bilden einen Schutzriegel zwischen dem Internet und dem Firmennetz. Zusätzlich unterteilen sie den internen Bereich von RTL II in zwei separate Netze, die Demilitarisierte Zone (DMZ) und das eigentliche Local Area Network (LAN). In der DMZ stehen die Systeme, auf die sowohl von außen aus dem Internet als auch aus dem LAN zugegriffen werden kann. Dies sind das Redaktionssystem für die Presse-Lounge, über das RTL II umfassende Informationen zu seinem Programm für Journalisten und in Kürze auch für Werbekunden bereitstellt, sowie der zentrale Server für den Mail-Austausch. Das LAN mit den Clients ist dagegen noch stärker abgeschottet. Hier sind – abgesehen von gezielt zugelassenen Verbindungen – keine Zugriffe von außen möglich. „Die neutrale Pufferzone zwischen Internet und LAN ist eine intelligente Lösung“, betont Reinhard Görtner: „So können wir mit unseren Redaktionssystem nach außen komfortable Online-Dienste anbieten, ohne die Sicherheit unseres Firmennetzes zu gefährden.“
Die beiden internen Sicherheitszonen können problemlos eingerichtet werden, da genugate zwei Firewall-Systeme in einer Lösung bietet: ein Application Level Gateway und einen Paketfilter. Beide Systeme stecken in einem Gehäuse, sind jedoch unterschiedliche Firewall-Typen und laufen auf physisch getrennten Rechnern. So wird die DMZ vom Internet durch das Application Level Gateway abgeschirmt, während das LAN zweistufigen Schutz durch den zusätzlich vorgeschalteten Paketfilter genießt.
Starker Schutz: Zwei Firewall-Systeme in einer Lösung
Daten aus dem Internet müssen also zwei Firewall-Systeme passieren, um ins LAN von RTL II zu gelangen. Aber bereits am ersten Kontrollpunkt ist ihr Weg zu Ende: Das Application Level Gateway stoppt die Datenpakete – eine durchgehende Verbindung lässt es niemals zu. Das System schaut in die Pakete hinein, analysiert die Inhalte und blockt schädliche Daten wie Viren, Spam oder aktiven Web Content. Auch der Absender wird überprüft. Bei gefälschten Adressen, dem typischen Kennzeichen von „Denial of Service“-Attacken mit massenhaften Anfragen, werden die Datenpakete zurückgewiesen. Erst nach dieser sorgfältigen Prüfung auf der Anwendungsebene leitet das Application Level Gateway die Daten über eine neue Verbindung weiter.
Die zweite Firewall, der Paketfilter unmittelbar vor dem LAN, ist noch restriktiver ausgelegt. Er lässt generell nur Datenpakete passieren, die zuvor aus dem LAN angefordert wurden. Dazu werden die Datenpakete auf der Netzwerk- und Transportebene anhand der Header-Informationen kontrolliert. Für andere Verbindungen von außen müssen gezielt einzelne Ports freigeschaltet werden. „Die beiden Firewalls bilden einen massiven Schutzschild. Hier ist noch nie ein Angriff durchgekommen“, bestätigt Reinhard Görtner.
Sicherheitslösungen erfordern kontinuierliche Pflege. Dabei nutzt RTL II den Service des Herstellers. Der Support von genua loggt sich mehrmals täglich über SSH-verschlüsselte Verbindungen in das Firewall Cluster ein und kontrolliert die Leistungsdaten. Darüber hinaus halten die Experten das System mit Updates auf dem neuesten Stand. So werden bspw. die Viren-Patterns ständig aktualisiert, um das System gegen die immer neuen Gefahren aus dem Internet zu immunisieren. So kann sich RTL II auf seine IT-Sicherheit stets verlassen, auch wenn ein neues TV-Format mal wieder für Aufregung sorgt.