De Europese faciliteit voor synchrotronstraling (ESRF) in Grenoble, moet aan de ene kant zijn netwerk openstellen voor zesduizend gasten per jaar, maar het tegelijkertijd ook beschermen tegen aanvallen.
Gespannen staan vijf onderzoekers rond een imposante microscoop. Witte wolkjes dampen omhoog, vanaf de plek waar hun gekoelde onderzoeksmateriaal doorstraald wordt met een heldere en energierijke bundel röntgenstraling. Een van hen sluit de deur, uit angst dat het groepje bezoekers hun experiment stoort. Na een maandenlange voorbereiding heeft hun onderzoeksgroep 72 aaneengesloten uren de beschikking over één van de 42 röntgenbundels van de Europese faciliteit voor synchrotronstraling (ESRF) in Grenoble. De röntgenbundel, die onvergelijkbaar veel krachtiger en helderder is dan de straling afkomstig van een röntgenapparaat in een ziekenhuis, stelt de onderzoekers in staat om de driedimensionale structuur van eiwitten te bekijken, chemische reacties te filmen, of de atomaire structuur van nieuwe materialen te doorgronden.
Bruno Lebayle is als netwerkbeheerder verantwoordelijk voor het veilig transporteren van de terabyte aan data die alle onderzoekers samen dagelijks produceren. Het is zijn taak om zijn netwerk open te stellen voor de zesduizend onderzoekers die hier jaarlijks over de vloer komen, maar om de infrastructuur tegelijkertijd te beschermen tegen aanvallen van buitenaf en binnenuit. Geen gemakkelijke taak, in een tijd waarin webapplicaties steeds vaker gebruikt worden om toegang te krijgen via pc’s en er nog altijd veel te veel tijd verstrijkt tussen het opduiken van een bedreiging en het beschikbaar komen van de benodigde patches.
Geen wonder dus dat het af en toe mis gaat. Lebayle geeft dat ruiterlijk toe: “In 2005 is onze mailserver verschillende keren down gegaan vanwege virusaanvallen.”
Om de bescherming van het netwerk in de toekomst te verhogen startte de ESRF een firewallproject, onder andere met de bedoeling de stroom van het mailverkeer beter te controleren. Als onderdeel van dit project schakelde de ESRF over op switches van Extreme Networks. Lebayle: “Redenen daarvoor waren onder andere hun robuustheid en de geavanceerde mogelijkheden voor analyse van het netwerkverkeer.” Jan Hof, marketing director EMEA van Extreme Networks: “Zodra onze switches verdacht gedrag signaleren, blokkeren of vertragen ze het dataverkeer over de betreffende poort en spiegelen het voor analyse naar een externe beveiligingsserver. Dat kan de Sentriant van Extreme Networks zijn, maar ook elk ander beveiligingsapparaat. Op die manier wordt het netwerk van binnenuit beveiligd zonder het dataverkeer te vertragen.”
Draadloze en VPN-verbindingen
Draadloze verbindingen creëren een ander netwerkrisico waarmee de ESRF rekening moet houden. Lebayle: “Onderzoekers kunnen nu alleen nog een draadloze verbinding maken via een afzonderlijk netwerk, dat bovendien via een andere provider met het internet verbonden is. Op dit moment implementeren we echter een ‘captive portal’. Een captive portal onderschept alle datapakketten en opent een speciale webpagina waarop de gebruiker zich moet authenticeren zodra hij een browser opent om te internetten. Deze methode wordt ook gebruikt bij het verlenen van toegang tot WiFi-hotspots. In de toekomst wordt het zo mogelijk voor gasten om ook draadloos toegang te krijgen tot het interne netwerk. Dat kan echter alleen als de gast zich authentificeert met een intern LDAP-account.
In het hart van de ESRF, in de onderzoeksruimten die meteen grenzen aan de röntgenbundels, krijgen onderzoekers alleen bij hoge uitzondering toestemming voor draadloze verbindingen. Lebayle: “We adviseren hen om gebruik te maken van de ESRF-pc’s. Draadloze verbindingen worden alleen toegestaan onder supervisie van de manager van de röntgenbundel, nadat deze zich ervan verzekerd heeft dat de machine voldoende beveiligd is. Netwerktools houden de machine vervolgens scherp in de gaten. Tot nu toe zijn er geen incidenten opgetreden.”
Ook VPN-verbindingen worden strikt gecontroleerd. Lebayle: “Het aantal pc’s dat op deze manier – via VPN/SSL – kan verbinden is beperkt en pc’s krijgen alleen toegang als ze deel uitmaken van een specifieke LDAP-groep en zijn voorzien van onze meest recente antivirussoftware.”
Real-time data-analyse
Onderzoekers maken meer en meer gebruik van de rekenclusters van de ESRF. Lebayle: “Onze rekenclusters zijn niet alleen interessant vanwege hun kracht – in ons datacentrum staan 150 Sun Fire X4100-servers – maar ook vanwege de waardevolle wetenschappelijke softwarepakketten die er op draaien.” Met die pakketten analyseren onderzoekers hoe uit het afbuigingspatroon van de röntgenstraling zoals dat door de CCD’s van de synchrotronmicroscoop is waargenomen, informatie kan worden afgeleid over de structuur van het door hen onderzochte materiaal.
Voor de toekomst heeft Lebayle ambitieuze plannen: “Het is een enorm karwei, maar over enkele jaren willen we real-time precalculaties kunnen uitvoeren op de onderzoeksresultaten. Onderzoekers kunnen dan on-the-fly controleren of de condities van hun experiment in orde zijn.”
