Home Office Technischer Stand: Jahre 2001-2005. Diese Artikel werden nicht mehr aktualisiert. Der Artikel beschreibt den Aufbau einer Home Office-Arbeitsumgebung, die kostengünstig aufzubauen ist, Freiraum für Erweiterungen bietet und sicher und stabil genug für professionelle Nutzung ist. Meine Frau und ich nutzen eine derartige Systemkonfiguration beruflich und privat. Vielleicht können Sie mit einigen Anregungen etwas anfangen. Ihre Hinweise und Anregungen nehme ich gern auf. Hinweise auf spezifische kommerzielle Produkte versuche ich zu vermeiden, Empfehlungen gebe ich höchstens, wenn es sich um Open Source-Produkte handelt. Einzelne Howto's: Fileserver mit Linux und Software RAID Zugang zu T-DSL mit OpenBSD Firewall mit OpenBSD 3.4 Dedicated Server (Rootserver) als Webserver und Mailserver einrichten Kampf gegen Spam mit Postfix und Spamassassin Public WLAN Hotspot

Überblick

Die Infrastruktur besteht aus:

• 100 Mbit Ethernet auf Cat 5-Basis (zum Gigabit Ethernet aufrüstbar)
• drahtlose Netze (privates WLAN und öffentlicher Hotspot)
• TK-Anlage mit internem S0-Bus, sternförmiger ISDN- und Analogtelephonverteilung
• zwei DECT-Basisstationen sowie Repeater in Grundstücksmitte
• ADSL-Anschluß
• verschiedene Serverrechner

Ziel und Prioritäten

1. Vernetzung aller Räume, unter Einbeziehung eines Nebengebäudes mit den Büroräumen meiner Frau. Abdeckung des gesamten Grundstücks durch das WLAN sowie durch DECT Repeater. Fest- und Funknetz
2. Lärmminimierung von Arbeitsplatzsystemen. Eigenbau
3. Spätere Einbindung einer Video-Überwachungsanlage für die unmittelbare Hausumgebung.
4. Zentralisierte Datenhaltung und Segmentierung des Datenbestandes nach Wichtigkeit und Reproduzierbarkeit. Datenorganisation
5. Ablage für Musik- und Photoarchiv. (Auf Fileserver in MP3- und JPEG-Form, im Intranet über Webserver erreichbar)
6. Weitgehend Einsatz freier Software.
7. Sichere und flexible Client-Server-Struktur.
8. Ständige Verfügbarkeit von Internet-Verbindung, Email und weiteren Diensten.
9. Hohe Sicherheit bei vernünftigem Aufwand. Firewall und USV
10. Erreichbarkeit aller Daten und Dienste sowohl über das Internet als auch über Einwahlverbindungen. VPN

Fest- und Funknetz

Die Verlegung von Cat 5-Kabel sollte bei Neubauten unbedingt vorgesehen werden. Man läßt alle Kabel sternförmig zum Beispiel im Hausanschlußraum zusammenlaufen. Telephon (ISDN und analog) kann man auf einem zweiten Kabel auf gleiche Weise verteilen. Wo es nicht auf höhere Geschwindigkeit ankommt, läßt sich alter Immobilienbestand besser über ein Funknetz (WLAN) erschließen.

Das Funknetz deckt den gesamten Garten ab, die maximal zu überbrückende Entfernung beträgt 80 Meter. Man gewöhnt sich schnell an den Luxus, an beliebiger Stelle des Hauses oder des Gartens zu arbeiten. Die Funkabdeckung ist der kritische Teil und macht auf baumbestandenen Grundstücken nicht gerade reine Freude. Es geht auch ohne direkte Sichtverbindung, aber die Bandbreite ist schnell auf 1 Mbit abgesunken. Eine stationäre Außenantenne am Haus kann viel bewirken, erfordert allerdings Blitzschutz und wird dadurch den Aufwand nicht wert sein.

Das (private) WLAN ist mit zwei Access Points realisiert, die im selben IP-Adreßsegment arbeiten, also eine nahtlose Übergabe zwischen den Funkzellen erlauben. Ein dritter Access Point in einem anderen IP-Adreßsegment bedient den Public (öffentlichen) Hotspot.

Über das private WLAN ist ein separates Netzsegment in einem Nebengebäude angeschlossen, das für sich wieder als fest verdrahtetes LAN aufgebaut ist. Der Anschluß ist mit einem Single-Disk-Router auf Linux-Basis realisiert. Ein Rechner ohne Festplatte (486er reicht aus) wird mit der Routersoftware von einer einzigen Diskette gebootet. Diese Lösung kann einem ausgedienten Notebook zu neuem Leben verhelfen und ist dann billiger als die Anschaffung eines weiteren Access Points.

Die Sicherheit des Funknetzes ist kritisch. Man sollte nur Technik mit 128 Bit Schlüssellänge einsetzen und den Schlüssel gelegentlich wechseln. Eine richtige VPN-Lösung auf Basis von IPsec ist mir zu aufwendig. Um gewisse zusätzliche Sicherheit zu erhalten und nicht allen WLAN-Verkehr ungeprüft an das "Allerheiligste" zu lassen, filtere ich den Verkehr mit einigen einfachen Regeln über die Firewall. Es gibt übrigens auch Firewalls, die sich als Bridge betreiben lassen. OpenBSD zum Beispiel kann das. Ich habe aber nicht ausprobiert, wie OpenBSD mit WLAN-Karten zurechtkommt.

Es gibt einen guten Grund, neben einem privaten WLAN ein öffentliches WLAN (einen sogenannten "Hotspot") zu betreiben. Sie wollen natürlich nicht Ihrem freundlichen Nachbarn etwas Gutes tun, denn das würde Ihrem Privatkundenvertrag mit der Telekom zuwiderlaufen. Aber Sie möchten einen "Honigtopf" ins Fenster stellen, der von Ihrem eigentlichen, wichtigen, geheimen, verschlüsselten WLAN ein wenig ablenkt.

Das kostet natürlich einen zusätzlichen Access Point. Wie es geht, ist hier beschrieben.

Eigenbau

Wer einen schnellen und leisen Rechner für einen günstigen Preis möchte, sollte es mit Eigenbau versuchen. Mit der zweitneuesten Hardwaregeneration ist man meist am besten dran. Testberichte gehen inzwischen regelmäßig auf die Geräuschentwicklung ein.

Datenorganisation

Man sollte sich Gedanken über seine Datenorganisation und seinen zu erwartenden Speicherbedarf machen. Hinsichtlich Verfügbarkeit, Sicherung, Reproduzierbarkeit stellen

• kurzfristig veränderliche Daten (Arbeitsbereich)
• Email-Postfächer
• Dateiarchiv (Langzeitablage nicht mehr zu ändernder Daten)
• Intranet inclusive Datenbank (z.B. MySQL)
• Musik- und Photoarchiv
• Festplattenkopien von Daten-CDs
• von außen erreichbare Web-, FTP- und Streamingdaten
• etc.

unterschiedliche Anforderungen.

Häufig verwendete und veränderliche Daten werden auf einem Fileserver mit Software-RAID abgelegt. Emails werden durch einen IMAP-Server verwaltet.

 

Betriebssystem und Software

Als Betriebssystem auf Arbeitsstationen kommen Windows NT bzw. Windows 2000 zum Einsatz. Euphorisch begonnene Versuche mit Linux und dem Unix-Derivat FreeBSD waren nicht befriedigend. Der Aufwand, alles zum Laufen zu bringen überwiegt bei weitem die Vorteile eines freien Betriebssystems. Alle Klarheit und Schönheit des Unix wiegt die vergeudete Zeit nicht auf.

Das Angebot an Multimedia-Anwendungen ist noch zu mager und die Unterstützung neuer Hardware läßt zu wünschen übrig; Drucken ist nach wie vor ein Abenteuer. An die graphische Oberfläche von KDE konnte ich mich auch trotz guten Willens nicht gewöhnen. Aber Linux & Unix holen auf, in einem Jahr wird die Situation ganz anders aussehen.

Es bleibt also vorerst bei Windows. Die meisten grundlegenden Windows-Anwendungen sind heute ohnehin auch als Freeware oder Open Source für den Privatanwender kostenfrei verfügbar. Für den beruflichen Einsatz besitzt man die durch die Firma korrekt lizensierte Software.

Im Serverbereich sieht es anders aus. Wo graphische Anwendungen keine Rolle spielen und es auf Langzeitstabilität und Sicherheit ankommt, habe ich mit Unix die besten Erfahrungen gemacht. Am einfachsten läßt sich nach meiner Erfahrung OpenBSD handhaben. Das klassische Unix hatte hier genügend Zeit auszureifen. OpenBSD wird sehr konservativ weiterentwickelt und ist grundsolide. Es gilt auch als das sicherste Betriebssystem im Low-end-Bereich; wo es wirklich auf Sicherheit ankommt, nämlich bei Firewall und Demilitarisierter Zone (DMZ), ist es unbedingt zu empfehlen. Die Installation ist die reine Freude; selbst der ältesten mir verfügbaren Hardware verweigerte das System sich nicht. Zur Konfiguration eines OpenBSD für permanenten Internetzugang mit T-DSL gebe ich einige Hinweise.

Die Versuche, Software-RAID mit OpenBSD zum Laufen zu bringen, verliefen nicht so glücklich. Dagegen erwies sich die RAID-Implementierung in Debian Linux als ausgereift. Ähnlich wie OpenBSD wird Debian konservativ weiterentwickelt und freigegeben. Auch zum Aufsetzen eines Software-RAID unter Linux sind hier Hinweise zu finden.

Die Entscheidung für Open Source kann man ganz ideologiefrei treffen. Im privaten Bereich ist die Kostenrechnung (Beschaffung wie Unterhalt) schnell gemacht, aber auch im kommerziellen Umfeld sind häufig signifikante Einsparungen nachweisbar. Bezüglich Sicherheit, wo ich auf stärker auf Vertrauen angewiesen bin, vertraue ich lieber einer weltweit verteilten Entwickler- und Reviewer-Community, die von anderen Interessen geleitet wird als rein kommerzielle Industrieunternehmen. (Wobei selbstverständlich auch Linux sich jetzt in der Phase der Kommerzielisierung befindet.)

Client-Server-Struktur

Das ist ein Teil, mit dem man erst einige Erfahrungen sammeln muß. Der Aufbau der Struktur dauert seine Zeit. Man sollte solch eine Konfiguration langsam wachsen lassen und zwischendurch keine Sicherheitslücken aufreißen. Der komplette hier gezeigte Server-Anteil basiert auf Open Source, was sonst.

Wo an Stabilität und Sicherheit gelegen ist, sollte man nicht alles auf einen Serverrechner legen. Da alle Server ohne graphische Oberflächen betrieben werden und Unix bzw. Linux traditionell genügsam in ihren Hardwareanforderungen sind, ist die Hardwareausstattung eines Servers für kleine Arbeitsgruppen in den meisten Punkten unkritisch. Beispiele:

• Für einen Firewall-Router ist ein Pentium der ersten Generation mit etwa 200 MHz und 2 GB Festplatte ausreichend.
• Ein Raid-Fileserver ist mit einem Pentium 3 mit 500 MHz, Festplatten mit 5400 rpm und UDMA/100 IDE-Controllern ausreichend ausgestattet.

Gebraucht sind solche Rechner sehr billig zu haben. Die Beispiele beziehen sich natürlich nur auf Home Office. Für größere Arbeitsgruppen, wo man auch auf Verfügbarkeitsgarantien achten muß, gelten andere Regeln.

Für die Außenwelt müssen wirklich nur wenige Dienste erreichbar sein, und diese müssen in einer sicheren Umgebung auf separaten Maschinen laufen (in der sogenannten Demilitarisierten Zone, DMZ). Die Firewall sorgt (bzw.: die Firewalls sorgen) für eine Trennung jeweils zwischen Internet, DMZ und Intranet.

Intern sind Dienste wie Fileservice, Email und Fax die wichtigsten. Auf einen Windows-Server kann man dabei verzichten. Samba als Fileservice ist absolut stabil und im professionellen Umfeld gehärtet.

Wer umherreist und von irgendwo auf Daten und Dienste zuhause zugreifen will, braucht ein "Virtuelles Privates Netz" (VPN), oder zumindest eine VPN-ähnliche Lösung.

 

Externe Kommunikation

Der Kommunikationsserver wählt sich automatisch beim DSL-Provider ein, hält die Verbindung permanent offen und wählt sich nach Verbindungsabbruch (also bei Telekom mindestens alle 24 Stunden) automatisch neu ein. Durch dynamische DNS-Dienste, die teilweise auch kostenlos angeboten werden, ist das Heimatnetz immer unter einem festen Domainnamen zu erreichen.

DSL ist bequem, aber noch wichtiger als Bandbreite ist die "Flatrate", also der Fixpreis. Damit kann man seinen Mailserver auch alle 10 Minuten Email austauschen lassen und muß nicht daran denken, den Webbrowser möglichst bald wieder zu schließen. Bedarf ist eigentlich immer, und die DSL-Verbindung bleibt permanent offen.

Wer unterwegs an seine Daten herankommen will, muß eigentlich nur ein einziges Loch in seine Firewall bohren: Über eine SSH-Verbindung ist sowohl Login als auch Dateitransfer möglich, beides sicher verschlüsselt. Für die Sicherheit eines solchen Virtuellen Privaten Netzes (VPN) muß man aber einiges tun.

Für Fälle, wo es unterwegs keinen Internetzugang gibt und vielleicht sogar nur ein Mobiltelephon zur Verfügung steht, ist eine Einwahl über analoges Modem vorgesehen. Auch diese Einwahlverbindungen gehen über die Firewall, die auch hier als einzige mögliche Verbindungsform eine SSH-Verbindung erlaubt.  

Mailsystem

Als Email-Verteiler auf dem Mailserver (gleichzeitig Datenserver, Betriebssystem OpenBSD) läuft

• sendeseitig Postfix, das das Standard-Sendmail ersetzt
• zum Einsammeln der Email von den diversen Internetkonten Fetchmail
• empfangsseitig Courier (mit den Diensten IMAP und POP3)
• als Spamfilter Spamassassin

IMAP hat den Vorteil, daß Emails auf dem Server verbleiben und dort sicher archiviert sind. Bei Zugriffen aus der Ferne über POP3 übertragen die meisten Email-Clients (auch Outlook) die komplette Nachricht mit allen Anhängen. Das IMAP-Protokoll ist darauf angelegt, daß nur die Kopfzeilen übertragen werden und die Inhalte nur auf Anfrage. Outlook ist auch für IMAP der komfortabelste Email-Client für Windows.

Direkt eingehende Mail landet in der DMZ und wird von dort wie aus dem Internet über Fetchmail abgeholt. Zur kompletten Konfiguration des Mailservices gibt es noch weitere Hinweise.

1. LAN Hausverteiler
2. ISDN-Anlage
3. DSL-Modem
4. Einwahl- und Faxmodems
5. Printserver
6. USV 1,4 kW
7. Firewall-Router für Internet und WLAN (Pentium 1 mit OpenBSD)
8. File- und Mailserver intern (Pentium 3 mit Debian Linux, Software-Raid 4 x 80 GB)
9. Fallback-Firewall
10. nicht im Bild: Fallback-Internetserver (DMZ; Pentium 3 mit Debian Linux)

Firewall

Egal, ob Standleitung oder Flatrate: durch längere Einwahlzeiten vergrößert sich die Angriffsfläche erheblich. Sicherheit ist äußerst wichtig, ein bißchen paranoid schadet nicht.

Die Firewall schützt vor Angriffen von außen und sollte sehr restriktiv konfiguriert sein.

Von außen erreichbar sind:

• Standarddienste wie HTTP- und FTP-Server, die in der "Demilitarisierten Zone" (DMZ) laufen, sofern man diese zuhause betreibt, und
• das VPN mit Kommandozugriff auf beliebige Rechner über SSH2, Filetransfer von beliebigen Dateien über SFTP (via SSH2) und Zugriff auf weitere private Dienste über SSH2-Tunnel

Eine Firewall (mit stateful inspection) auf dem Kommunikationsserver und eine sogenannte "Personal Firewall" auf der Arbeitsstation sind nicht übertrieben, denn sie tun verschiedene Dinge. Letztere schützt vor unerwünschten Zugriffen von drinnen nach draußen. Da man nicht immer weiß, welche Software möglicherweise versucht, unbemerkt Daten irgendwohin zu exportieren, bekommen Applikationen auf den Arbeitsstationen nur selektiv Verbindung nach draußen. Auf den Servern hat ohnehin nur gründlich geprüfte Software etwas zu suchen.

Ein Intrusion Detection System (IDS) ergänzt das Sicherheitskonzept. Läßt man es auf beiden Seiten der Firewall arbeiten, erkennt man sowohl Angriffsversuche aus dem Netz als auch solche von innen (durch Viren, trojanische Pferde, erfolgreiche Angriffe auf den Webserver etc.).

Die Logdateien von Firewall und IDS sollte man natürlich regelmäßig überprüfen und gegebenenfalls an den Filterregeln nachbessern. Eine sofortige automatische Alarmierung über Email und SMS bei wichtigen IDS-Meldungen "von der Innenseite" kann helfen, Schaden zu begrenzen.

VPN

Ein Virtuelles Privates Netz (VPN) erlaubt die Ausdehnung eines privaten Netzes über das Internet oder ein beliebiges anderes öffentliches Paketnetz. Sicherheitsfragen machen VPN zu etwas Besonderem. Eine Wählleitung hat man im Prinzip für sich, und wer nicht gerade Ärger mit Staatsanwaltschaft oder Verfassungsschutz hat, kann auch sensible Daten darüber übertragen.

Wer in der Welt herumreist und die Kosten für eine Wählleitung nach Hause scheut, der kann sich auch einen lokalen Internetprovider suchen. Das Internet ersetzt dann den Draht nach Hause, sofern der Server daheim eine ständig aktive Verbindung ins Internet hat.

Eine Verbindung über das Internet, über die persönliche Daten transportiert werden, sollte aber immer geschützt, also sicher hinsichtlich der Anmeldung und sicher hinsichtlich der Verschlüsselung sein.

Es gibt einige verbreitete Methoden, ein VPN zu bauen:

• Microsofts PPTP ist simpel, aber aus Sicherheitsgründen nicht zu empfehlen,
• IPsec ist die große, professionelle Lösung: sicherer, aber aufwendig zu administrieren,
• SSH 2 gilt als sicher, ist einfach zu handhaben und verbreitet sich zusehends.

SSH 2 ist die günstigste Lösung für private Anwender. Clients werden inzwischen auch für PDAs (Handheld-Computer) verfügbar. SSH 2 erlaubt fast jede Art von Anwendung, außer Verbindungsaufnahme über einen dynamisch ausgehandelten Port, was die Verwendbarkeit für Audio-/Videokommunikation sehr einschränkt. Mit SFTP unterstützt SSH2 auch einen Filetransfer zum Windows- oder Unix-Dateizugriff.

Sicherung gegen Stromausfall

Auch BSD Unix-Systeme sind nach meiner Erfahrung relativ robust gegenüber Stromausfällen. Der Wiederanlauf machte bislang keine Probleme und Datenverluste waren nicht zu spüren. Beim Fileserver mit Software RAID sollte man dieses Risiko nicht eingehen. Zumindest dieser Server sollte mit einer Unterbrechungsfreien Stromversorgung (USV) ausgestattet sein. Diese Geräte puffern einen Stromausfall batteriegestützt zumindest für einige Minuten, je nach Budget, das man ausgeben will. Es ist darauf zu achten, daß der Hersteller Software mitliefert, die den Rechner auf Befehl der USV automatisch herunterfahren kann. Windows-Software ist Standard; wer Linux einsetzt, sollte hierauf besonders achten. Vom Marktführer APC bekommt man auch größere USV-Geräte gebraucht und guterhalten über Ebay; die erforderliche Software ist als Debian-Paket verfügbar.

DMZ

Im Home Office braucht man keine Dienste für die Außenwelt bereitzustellen. Eine DMZ zuhause zu betreiben ist überflüssig. Selbst ein Webserver mit nur fünf verlinkten Seiten wäre Angriffen von außen ausgesetzt. Apache muß daher auf einem separaten Rechner laufen, der von den anderen Anwendungen sorgsam abgeschottet ist. (Das ist eben die sogenannte DMZ.) Für fünf Seiten stellt man sich aber kaum einen extra Rechner hin.

Wer also nur seine Homepage mit ein paar Seiten ins Netz stellen will, nutzt eines der Fast-schon-umsonst-Angebote mit wenigen Megabyte Speicherplatz. Wer mehr vorhat, mietet sich einen dedizierten Root-Server mit fester IP-Adresse, die in den letzten Monaten erschwinglich geworden sind. (Server in Deutschland sind zurzeit sogar billiger als Server in USA.)

Wenn man das getan hat und außerdem an die Telekom nicht monatlich Zusatzgebühren für die Nutzung von smtprelay.t-online.de zahlen will, installiert sich in der DMZ einen eigenen Mailserver, sorgt aber dafür, daß Spammer diesen nicht als Open Relay mißbrauchen können. Das würde schnell für einen schlechten Ruf sorgen, den man kaum wieder los wird, selbst wenn man seinen Fehler eingesehen hat.