In deze serie hebben we nu laten zien hoe de markt momenteel tegenover VPN staat en wat de onderliggende technische aspecten zijn. Tijd voor een praktijkvoorbeeld: hoe VPN ingezet kan worden om een alledaags probleem bij een alledaagse eindgebruiker op te lossen. Nou ja…alledaags. Stichting Novo is een grote zorginstelling in de provincie Groningen en deze instelling wilde klantgegevens op een veilige manier kunnen opvragen en bewerken via internet. Integrator Fujitsu Services deed daarom een VPN-implementatie op basis van AVM-producten.
In de zorgsector is het versturen van klantgegevens via internet altijd een heikel punt geweest, en dat zal ook in de toekomst wel zo blijven. Het grootste discussiepunt is de beveiliging van deze gevoelige informatie op de route tussen de diverse locaties waarlangs deze wordt uitgewisseld. Eigenlijk biedt alleen een compleet afgesloten eigen netwerk de juiste vorm van beveiliging, maar dat is voor de meeste instellingen financieel gezien niet haalbaar. Een andere oplossing zou zijn dat applicaties puur lokaal gedraaid worden met de benodigde gegevens, zonder directe uitwisseling van deze gegevens tussen de verschillende locaties. Ook dat is echter een onwerkbare situatie, omdat databases met klantgegevens zeer dynamisch zijn. Er zou dan regelmatig een fysieke replicatie van de gegevens moeten plaatsvinden en vervolgens zouden die gegevens, opnieuw fysiek, over de locaties moeten worden gedistribueerd. Dat is niet alleen duur, maar ook de logistieke kant brengt de nodige nadelen met zich mee.
De beste oplossing is in dit geval een centraal gehoste database die vanaf alle locaties opgevraagd kan worden. Die locaties moeten dan wel toegangsrecht hebben tot de database en er moet een veilige verbinding tussen de diverse locaties en de database worden opgebouwd. Een virtueel particulier netwerk (VPN) kan dan een goede oplossing zijn, die ook nog eens betaalbaar is. Dat laatste aspect is vooral in de gezondheidszorg een doorslaggevende factor, en dat zal de komende jaren, waarin de toenemende bezuinigingen een aanslag plegen op het te besteden budget, ook een steeds grotere rol spelen. Natuurlijk zijn er meer sectoren waar dit speelt, maar vooral de zorgsector heeft ermee te maken.
Novell-bolwerk
Stichting Novo is een instelling die ondersteuning, begeleiding en zorg biedt aan mensen met een verstandelijke beperking. Deze stichting heeft een centraal kantoor in de stad Groningen en ruim zeventig ‘remote locations’ die op dit centrale kantoor zijn aangesloten. Omdat klanten van Novo zich langs al deze locaties bewegen, is het voor Novo van essentieel belang dat de klantgegevens op alle locaties kunnen worden opgevraagd en aangepast. En dat alles op een zo veilig mogelijke manier. Daarom heeft men besloten om tussen de locaties en het centrale kantoor veilige tunnels te creëren over internet: een VPN. Guus Rozema, als systeembeheerder verantwoordelijk voor de afdeling ICT bij stichting Novo, legt uit hoe de vraag naar een VPN bij de stichting ontstond: ‘In het verleden is binnen de stichting gekozen voor het gebruik van een bepaald programma om de medewerkers in te roosteren en voor een specifiek zorginformatiesysteem. In dat systeem wordt alle relevante klantinformatie vastgelegd van de mensen die bij ons geregistreerd staan. Dan moet je niet alleen denken aan adresgegevens, maar ook aan zorgplannen en medicatie. Dat moest wel centraal gehost worden, en daarvoor moest een client-server-omgeving worden aangelegd. Dat werd een Citrix-oplossing in combinatie met een ISDN-oplossing.’
Novo ging met Fujitsu Services in zee voor de levering en implementatie van een aantal oplossingen, waaronder AVM. Eric van Uden, toen werkzaam als accountmanager bij Fujitsu Services haalde die opdracht voor Fujitsu binnen. Van Uden, inmiddels salesmanager bij fabrikant AVM, vult aan: ‘Het was hier van oudsher een Novell-bolwerk, en daardoor werd AVM ook in het geheel betrokken. In die tijd had AVM namelijk net samen met Novell de multiprotocol router gemaakt, een oplossing op Novell waarmee het mogelijk was om remote locations via ISDN te laten inbellen. Dat is hier bij Novo in 1996 begonnen met één ISDN30, waaraan veertig buitenlocaties hingen. Wij kregen van Novo de applicatie die ze gebruikten; daar zijn de nodige aanpassingen aan gedaan en zodoende werd het mogelijk om die applicatie probleemloos via ISDN te laten functioneren. In die applicatie zijn, zoals gezegd, de confidentiële klantgegevens opgenomen en daarmee kwam meteen het security-vraagstuk om de hoek kijken. In het systeem waren, en zijn ook nu nog, een aantal handigheidjes ingebouwd om het geheel te beveiligen.’
Achterdeur
Eén van de manieren om een VPN te compromitteren is namelijk de ‘gewone’ internetverbinding, die nog steeds naast de VPN-verbinding kan bestaan. Dan is de tunnel van computer tot computer wel veilig, maar bestaat bij het begin- en eindpunt van de tunnel toch de mogelijkheid om via een achterdeur naar binnen te glippen. In het project bij Novo is daar rekening mee gehouden. ‘Om dit probleem te voorkomen worden alle internetpoorten dichtgegooid op het moment dat er een verbinding met Novo wordt gemaakt,’ zo weet Van Uden. ‘Dan is het onmogelijk om in het VPN te komen. Als de verbinding met Novo wordt verbroken, komen de poorten automatisch weer vrij voor gewoon internetverkeer.’
Het systeem bij stichting Novo groeide gestaag, er kwamen steeds meer locaties bij, met steeds meer werkplekken, en ook het aantal applicaties dat gebruik maakte van de VPN-verbindingen nam toe. Op dat moment vond AVM dat het tijd werd om te stoppen met Novell en alles te migreren naar een Windows NT-omgeving. De salesmanager van AVM zegt daarover: ‘De markt van Novell werd zo klein dat het voor ons niet meer rendabel was om met Novell door te gaan. Desondanks is Novo nog een tijdje doorgehobbeld op Novell, want zij waren er wel tevreden over.’
Guus Rozema van Novo beaamt dat: ‘Het systeem werkte prima en wij hadden dan ook niet veel zin om over te stappen, vooral vanwege de kosten. Ook het beveiligingsaspect van het Novell-systeem was één van de krachtige punten. Maar op een gegeven moment ontkwamen we er niet meer aan, omdat bij AVM inmiddels alles Microsoft was geworden. We moesten dus wel over.’ Rozema plaatst nog een positieve kantkanttekening bij Novell: ‘We denken er wel eens met weemoed aan terug. Als onder Novell een bepaald onderdeel van het systeem niet meer werkt, sluit je het af en start je het desbetreffende onderdeel opnieuw op. De rest loopt gewoon door. Daar hoef je onder Windows doorgaans niet mee aan te komen. Dan moet je alles platgooien als er iets misgaat.’
De start van de NT-omgeving was, zoals Rozema aangaf, dus niet helemaal vlekkeloos: ‘In het begin heeft die NT-omgeving redelijk gewerkt, maar we waren er niet zo tevreden over. Dat kwam voornamelijk doordat de beheeromgeving niet helemaal soepel liep. We waren door de migratie dus wel moderner geworden, maar het systeem functioneerde slechter. Dat heeft daardoor ook wel wat discussie met AVM opgeleverd.’
Integrator
De uitvoerende partij is bij het project bij stichting Novo van meet af aan Fujitsu Services geweest, het vroegere ICL. Felix van den Berg, productmanager bij Fujitsu Services: ‘Wij hebben hier altijd de installaties en implementaties verzorgd en de fysieke migraties gedaan.’ Van Uden vertelt wat de band is tussen de drie partijen en welke rol een ieder speelt: ‘Novo is één van de grootste klanten van AVM in Nederland en wij hebben als fabrikant een redelijk directe band met ze, hoewel het aanspreekpunt voor Novo wat betreft AVM natuurlijk Fujitsu Services is. We hebben bijvoorbeeld de mensen van Novo getraind, zodat ze veel zelf kunnen oplossen. Daar hebben ze nu zelf de mensen en de resources dus voor.’
Desondanks kan Novo toch een keer op een probleem stuiten. Op de vraag waarom Novo met een verzoek niet naar integrator Fujitsu Services gaat, maar naar fabrikant AVM, zegt Van den Berg van Fujitsu Services: ‘Soms komt een vraag bij ons terecht, en soms is het handiger om die vraag bij AVM neer te leggen. We werken als klant, fabrikant en integrator goed samen, dus we hebben daar niet zoveel moeite mee. Het gaat erom dat de klant, in dit geval Novo, zo snel mogelijk geholpen wordt.’ Rozema vult aan: ‘Voor ons als eindgebruiker is één van de sterke punten van AVM de support. Die is gratis op het moment dat je één van de producten aanschaft. Gelukkig spreken mijn collega Meeuwes Oldengarm en ik een aardig woordje Duits, want de Duitstalige ondersteuning is fantastisch. Als je belt of mailt, krijg je altijd een antwoord terug. Natuurlijk lopen er bij Fujitsu Services ook specialisten rond, zeker op AVM-gebied, en daar maken we graag gebruik van. Maar als wij hier een probleem hebben, hebben we ook echt een probleem. Dan bellen we omwille van de snelheid dus liever meteen naar AVM.’
VPN Access Server
De rol van Fujitsu Services ligt dus bij implementatie en integratie. Felix van den Berg: ‘We zijn hier begonnen met het opbouwen, de installatie en het productioneel opleveren van de systemen, zodat ze daarna functionerend konden worden opgeleverd aan de beheerorganisatie. Verder hebben we een belangrijke rol gespeeld in de migratie van Novell naar de NT-omgeving, en ook in de laatste migratie van NT naar de VPN Access Server.’ Van Uden haakt daarop in: ‘Die laatste migratie is ook weer een gezamenlijke actie geweest. Het hele systeem van Novo was inmiddels een bedrijfskritische applicatie geworden. Als de verbinding wegvalt, zijn niet alleen de gegevens van de klanten onbereikbaar, maar ook het inroostersysteem, dat zorgt dat op de juiste plek het juiste aantal zorgverleners aanwezig is, werkt dan niet meer. Als migratiewindow is toen maximaal één dag gesteld. Binnen die dag moesten dus alle systemen zijn overgezet en weer in de lucht zijn. Dat lijkt lang, maar gezien de hele klus die geklaard moest worden, valt dat nog mee. Daar waren drie man van Novo, drie van AVM en één van Fujitsu Services bij betrokken.’
Hardwarematig moesten er onder meer zeven servers worden gemigreerd naar de nieuwe AVM VPN-oplossing. Bij de initiële migratie van Novell naar NT ging dat nog om drie machines, maar die werden bij Fujitsu Services voorgeconfigureerd, zodat ze eigenlijk alleen aangekoppeld hoefden te worden. Van den Berg: ‘Wij proberen altijd zoveel mogelijk “thuis” te doen, zodat de klant een minimale downtime heeft. De servers voor de NT-omgeving waren nieuw besteld en konden zodoende bij ons in huis worden voorbereid.’ Rozema pakt het verhaal op: ‘Bij de laatste migratie, naar de Access Server, werd de hardware echter niet vervangen, maar werden de servers ter plekke softwarematig gemigreerd. Dan moet je dus echt naar de diverse locaties toe – we hebben ook weer regiokantoren met een eigen server – en alle instellingen aanpassen. Zo wordt alles nu overgezet naar VPN.’
Ook worden de losse thuiswerkplekken momenteel omgezet naar VPN-verbindingen en krijgen alle nieuwe thuiswerkers een ADSL-verbinding met een VPN-oplossing. Aan dat traject komt Fujitsu Services bijna niet meer te pas. Van den Berg: ‘We helpen ze wel bij de instellingen, maar verder doen ze het zelf.’ Van Uden voegt daar nog aan toe: ‘Dat zie je bijna altijd. Een eindgebruiker kiest ervoor om een integrator de kern van het project te laten installeren en configureren, maar op werkplekniveau kijken ze één of twee keer het kunstje af bij die integrator en doen ze het vervolgens verder zelf.’ Novo valt wel weer terug op Fujitsu Services als er iets mis gaat. Rozema: ‘Afgelopen zomer knalde er om vijf uur ’s middags op één van de locaties een ISDN30-modem uit. De volgende ochtend om acht uur leverde de koerier het nieuwe modem af. Zij zijn onze leverancier van zulke zaken, zij hebben de voorraad, ook wat betreft licenties.’
Volgens Van den Berg is dat ook de strategie van Fujitsu Services: ‘Van alles wat we wegzetten in de markt hebben we reserveonderdelen op voorraad, zodat de reactietijden naar de klant altijd zo laag mogelijk blijven.’
Bottleneck
Tijdens het hele project deed zich één groot probleem voor. Rozema: ‘In het NT-systeem dat als voorloper draaide voor het huidige systeem, zaten twee losse pakketten, een IAS en een multiprotocol router, en die liepen niet goed naast elkaar. Dat ging dan wekenlang goed en opeens had je er weer last van. Dan moest alles gereset worden en lag iedereen er een kwartier uit. Dat gebeurde soms wel vier of vijf keer op een dag. Ik heb toen AVM opgebeld en gezegd dat het zo niet langer kon, want daar was niet meer mee te werken. AVM heeft toen voor een oplossing gezorgd door ons een oerversie van de Access Server te sturen, in het Duits. Dat was nog niet eens een bètaversie. Fujitsu Services heeft dat pakket toen samen met AVM hier geïnstalleerd. Helaas ontstonden daardoor echter weer nieuwe problemen, maar uiteindelijk kregen we toen een patch van AVM die het grootste deel van de problemen oploste.’ Van Uden vervolgt: ‘De VPN-oplossing van AVM draait, in tegenstelling tot die van concurrenten, volledig in software. Daar treden dan dus ook de eventuele problemen op. Omdat de programmatuur toen nog prematuur was, zaten er kleine onvolkomenheden in. Inmiddels hebben we de definitieve patch geïnstalleerd en draait het systeem “als de brandweer”. Stabiel dus.’
Conclusie
Het project bij stichting Novo startte in 1996 met een server en wat werkplekken. Door de jaren heen is in samenwerking met Fujitsu Services en AVM gebouwd aan een systeem waarbij een kleine negenhonderd medewerkers op ruim zeventig locaties de gegevens van zo’n twaalfhonderd klanten op een veilige manier via internet kunnen opvragen en bewerken. De ISDN-verbindingen zullen de komende tijd worden omgezet naar ADSL over ISDN-verbindingen. Het voordeel is dat de ISDN-verbinding dan nog als back-up kan dienen als de ADSL-verbinding wegvalt. De DSL-verbindingen maken het met hun grote bandbreedte mogelijk om nieuwe, zwaardere programma’s centraal te draaien en om bijvoorbeeld een eigen mailserver te gebruiken, in plaats van pop-mailboxen. Zo evolueert het systeem organisch met de wensen van stichting Novo en de technische mogelijkheden die de markt, in dit geval AVM, biedt. Stichting Novo, Fujitsu Services en AVM hebben binnenkort misschien nog een nieuwe grote uitdaging, als Novo gaat fuseren met een andere grote zorginstelling. Dan zullen alle systemen opnieuw onder de loep moeten worden genomen om ze op een functionele, maar vooral veilige manier aan elkaar te kunnen knopen.