Integrales USV-Management

Ordnungsmerkmale

erschienen in: <kes> 2004^#4, Seite 30

Zusammenfassung: USV-Management hat heutzutage mehr zu besagen als den regelmäßigen Austausch von Akkus. Mit den meisten Systemen für unterbrechungsfreie Stromversorgung (USV) kommen auch Shutdown- und Monitoring-Software zum Einsatz, die eine umfassende Einbindung in das Gesamtsystem von IT und Haustechnik ermöglichen.

Autor: Von Frank Blettenberger, Hamburg

Unterbrechungsfreie Stromversorgung (USV) klingt eigentlich ganz einfach: "Batterie" kaufen, hinstellen und warten, bis man sie braucht. Doch ganz ähnlich wie beim Backup von Daten ist es auch beim Strom-Backup: Behält man das nicht ständig im Auge, findet man Fehler oft erst im Falle eines Falles, wenn man sie so gar nicht gebrauchen kann. Eine eventuell vorhandene Möglichkeit zum kontrollierten Server-Shutdown durch die USV stellt überdies sicherheitsrelevante Eingriffsmöglichkeiten in den IT-Betrieb dar, die es zu beurteilen und zu überwachen gilt. Zudem bieten aktuelle USV-Management-Systeme aber auch weitergehende Chancen zur Einbindung in Sicherheits- und Gebäudetechnik.

In der Praxis zeigen sich häufig drei Problemfelder: Mangelnde Vernetzung beziehungsweise Systemsicht, unklare Verantwortlichkeit und ungenügende Wartung sowie drittens das Fehlen einer Risikobewertung von Eingriffsmöglichkeiten in den Rechner-Betrieb sowohl im Sinne eines (internen) Angriffs (unerwünschter Shutdown) als auch hinsichtlich des Fehlschlagens erwünschter Aktionen.

USV im Haus-Netz

Zur Sicherheit eines Rechenzentrums oder sonstigen IT-Betriebs gehören auch Klimatechnik, Brandschutz und Alarmanlage sowie die Telekommunikation in allen Formen. Diese Systeme benötigen genauso Strom wie die eigentliche IT. Wer pauschal nur Server und wichtige Arbeitsplätze per USV absichert, "verliert" bei Stromausfällen wichtige Komponenten seiner Infrastruktur. Eventuell funktioniert dann außer den Geräten selbst auch ihre Überwachung nicht, sodass der Ausfall möglicherweise längere Zeit unbemerkt bleibt. Besonders heikel ist das beim Brandschutz, denn eine USV im Batteriebetrieb stellt ein nicht unerhebliches Hitzerisiko und somit eine erhöhte Brandgefahr dar. Neben der Überwachung der USV selbst, sollte man daher zumindest auch ihre unmittelbare Umgebung besonders intensiv beobachten, gerade im Störfallbetrieb.

Es empfiehlt sich, die USV mit anderen Systemen der Sicherheits- oder Gebäudetechnik zu vernetzen. Entweder integriert man dazu die USV-Meldungen in die sonstigen Systeme oder man bindet wichtige Umgebungsparameter in die USV-Überwachung mit ein. Moderne Kommunikationsmodule für USV-Systeme bieten dazu eine Vielzahl möglicher Übertragungsprotokolle und Aufschaltmöglichkeiten. Das Generex-Modul CS121 (als OEM-System von über 25 USV-Herstellern eingesetzt) besitzt beispielsweise standardmäßig vier Alarmeingänge und die Möglichkeit zur Ergänzung durch Temperatur- und Feuchtigkeitssensoren oder allgemeine Telemetrieein- und -ausgänge (Demosystem mit Klimaüberwachung im Web unter  http://q01.generex.de - Admin-Passwort lautet "cebit2004").

USV-Steuermodule können oft auch externe Alarme und Sensoren einbinden.

Für die "logische" Einbindung in eigene Systeme sollte man darauf achten, dass die USV sich sowohl in die Haustechnik als auch das IT-Management einbinden lässt. Wichtig ist hier der Internet-Standard RFC 1628 "UPS Management Information Base (MIB)" [1], der die Verwaltung von USV-Systemen (engl.: Uninterruptible Power Supply, UPS) per Simple Network Management Protocol (SNMP) beschreibt – gegebenenfalls erweitert um herstellerspezifische Teile. Je nach Anbieter können auch spezielle Snap-ins für (IT-)Management-Systeme verfügbar sein. Zur Anbindung an ein Facility-Management (Gebäudeüberwachung) dient hingegen beispielsweise das MODBUS-Protokoll.

Um einen korrekten zeitlichen Protokollverlauf in zentralisierten Management-Systemen zu gewährleisten, sollte sich die USV-Komponente regelmäßig mit einem NTP-Zeitserver (Network Time Protocol) synchronisieren können.

Verantwortlichkeit und Wartung

Die unbeliebte Verantwortlichkeit für USV-Geräte ist in Unternehmen immer wieder ein organisatorisches Problem: Niemand mag sich wirklich um dieses Thema kümmern, weil es keine Möglichkeit gibt, sich zu profilieren und man nur selten Anerkennung erntet – weil es ja "eigentlich nie" zum Shutdown kommt. Wenn allerdings etwas nicht funktioniert, dann befindet man sich schnell im Mittelpunkt der Kritik. Oft lehnt daher die IT-Abteilung eine Verantwortung für die Stromversorgung ab (besteht aber gleichzeitig auf ihrer Zuverlässigkeit). Die Haustechnik kann sich zwar gegen diese Aufgabe nur schlecht wehren, lässt aber womöglich das notwendige IT-Wissen vermissen, um im Fehlerfall korrekte Entscheidungen treffen zu können.

Durch die Möglichkeit auch USV-Alarme zu behandeln, kann ein Gebäudealarmsystem automatisch reagieren und die USV-Überwachung gegebenenfalls problemloser der Haustechnik überantwortet werden. Gleichzeitig kann der IT-Betriebsverantwortliche auf seinem Management-System Informationen über den USV-Status und eventuell auch von wichtigen Umgebungssystemen erhalten. Im Falle eines Stromproblems kann dann der jeweilige Nutzer selbst die angemessene Reaktion festlegen.

Die empfohlene Einbindung in die verschiedenen Management-Systeme senkt zudem die Hemmschwelle für den Betreiber erheblich. Dadurch, dass die Informationen über ein Strom- oder anderes Gebäudeaggregatproblem je nach ihrer Art zur Haustechnik oder IT geleitet werden, sollten Fehlreaktionen oder Nichbeachtung einer unverständlichen Nachricht auf beiden Seiten weitgehend ausgeschlossen sein.

Eine individualisierte Oberfläche kann beim USV-Management enorme Vorteile bieten.

Wenn zusätzlich die zentrale USV-Verwaltung mit einer individualisierten Oberfläche ausgestattet wird, die spezifische Gegebenheiten der örtlichen oder betrieblichen Installation berücksichtigt, so zeigt die Erfahrung, dass nicht nur die Übersichtlichkeit steigt, sondern gleichzeitig die ablehnende Haltung der Verantwortlichen erheblich abnimmt. Ein derartiges System bildet auch eine gute Grundlage für einen Dialog zwischen Haustechnik und IT zu Stromproblemkonzepten. Eine personalisierte Bildschirmausgabe muss dabei keine Unsummen verschlingen, sondern ist bereits ab rund 1000 Euro zu haben.

Fehler-Sicherheit

Das größte Problem in der USV-Technik sind Fehlalarme: Die RS-232-Protokolle (serielle Schnittstelle) der meisten Hersteller sind extrem schlecht bis gar nicht gegen Fehler gesichert. Zum Teil erzeugt die USV auch selbst schon fehlerhafte Daten, sodass eine Protokollsicherung (Checksummenberechnung) nichts nützen würde. Überdies: Viele USVs "stören sich selbst" durch eine hohe elektromagnetische Abstrahlung, die zu verfälschten Bytes bei der seriellen Übertragung auf der RS-232- oder USB-Schnittstelle führt.

Noch heute ist bei einigen USVs jede zehnte Antwort fehlerhaft. Wichtig ist daher, dass die Softwareseite beim USV-Management falsche Datensätze erkennen kann und dementsprechend (nicht) reagiert. Hierzu bedarf es einiger Erfahrung und Anpassungen an verschiedenste USV-Modelle.

Falls tatsächlich ein Alarm einen (evtl. netzwerkweiten) Shutdown einleiten soll, stellt sich zudem die Frage nach der zuverlässigen Ausführung dieses Kommandos. In Installationen, die betriebssystemeigene Tools oder Remote-Shells für den Netzwerk-Shutdown verwenden, kommt es immer wieder zu Fehlern, weil beispielsweise Benutzerrechte, Passwörter oder Accounts geändert wurden: Das Zielsystem antwortet dann eventuell nur noch mit "user does not have rights to execute a shutdown" – was vor ein oder zwei Jahren beim ersten Test noch funktioniert hat, geht auf einmal nicht mehr... Eine regelmäßige Überprüfung sollte daher auch hier selbstverständlich sein.

Als zuverlässiger sieht Generex allerdings die Nutzung einer speziellen (USV-)Remote-Komponente an, die auf jedem betreffenden System zu installieren ist und generell beim Rechnerstart als Systemdienst anläuft. Der Rechner befindet sich quasi ständig im Zustand "Shutdown now!" – nur das Auslösesignal fehlt noch. Sollte mit den Berechtigungen etwas schief laufen, so fällt dies in den normalen Betriebsprotokollen auf; ansonsten steht der Shutdown auf dem System sicher "zum Abruf" bereit.

Zum Nicht-Ausführen eines Shutdown-Kommandos kann es jedoch auch kommen, wenn das Netzwerk überlastet ist. Manche Shutdown-Software läuft hier sogar Gefahr, sich ihr eigenes "Denial-of-Service-Grab" zu schaufeln: Tools, die nur funktionieren, wenn sie durch ständigen Kontakt (polling) mit der USV deren Zustand abfragen, belasten das Netz erheblich und sind ab etwa 100 Clients praktisch nicht mehr einsetzbar. Zumindest sollte man sich vergewissern, dass die benötigte Bandbreite auch in Spitzenzeiten zur Verfügung steht, damit Shutdown-Signale jederzeit "durchkommen".

Generell gilt: Je weniger Geräte im Einsatz sind, desto weniger Fehlerquellen gibt es. Das trifft – bezogen auf das USV-Management – sowohl auf die Client-/Server-Komponenten als auch die Geräte selbst zu. Eine Menge kleiner USVs im Firmennetz machen nicht nur die Verwaltung komplizierter, sondern geben gleichzeitig auch jedem Nutzer potenziell die Möglichkeit (Software) an die Hand, damit Unfug zu treiben.

Moderne USV-Software kann große Mengen von Systemen verwalten.

Dezentral vs. zentral

Wo viele kleine USVs eingesetzt werden, für die jeder Computerbenutzer zudem noch mehr oder weniger selbst verantwortlich ist, sind Totalausfälle fast schon ein Normalzustand. Ursache ist meist die fehlende Wartung der Klein-USVs: Schon nach relativ kurzer Zeit kann es vorkommen, dass die Batterien defekt sind und im Störfall gar keine Wirkung mehr zeigen. Ohne Batterieüberwachung ist es nicht möglich zu sagen, ob eine Batterie nach wenigen Tagen oder erst nach vielen Jahren ausgefallen ist. Da viele solcher Klein-USVs nur Offline- oder Line-Interactive-Geräte sind [2,3], wird dieses Problem meist erst bemerkt, wenn es zu spät ist. Bei Online-USVs ist zwar sichtbar, dass ein technisches Problem auftritt (USV geht auf Bypass) – aber "vor Ort" scheint sich nie jemand dafür zu interessieren: IT-Benutzer schenken der USV-Wartung kaum Beachtung und ignorieren oft auch Warnungen, da sie ihren Inhalt nicht verstehen oder sie schlicht zu häufig auftreten.

Als Resultat bleibt festzustellen, dass Klein-USVs zwar das Gewissen beruhigen, aber ohne Wartung genauso gut oder schlecht sind wie gar keine USV. Vor allem die "preiswerten" Geräte (meist Offline bzw. Line-interactive-Systeme), die erst auf Batterie umschalten, wenn ein Problem auftritt, sind selbst ein Problem. Viele USVs stehen beim Benutzer und leuchten brav "grün" vor sich hin; nach ein paar Jahren würde jedoch nicht einmal die Hälfte einen Stromausfalls überbrücken können.

Eine zentrale USV vermeidet diese Probleme, zumindest wenn klare Verantwortlichkeiten für ihre Wartung festgelegt sind. Dabei darf man allerdings nicht vergessen: Je weniger Geräte zu managen sind, desto weniger Aufwand bedeutet diese Überwachung zwar, aber desto sorgfältiger muss man auch auf eine funktionierende Überwachung Wert legen.

Besondere Aufmerksamkeit verlangt dabei auch der Fall parallel-redundanter USV-Anlagen, bei denen einige Module als Reserve ausgelegt sind. Hierbei muss beziegungsweise darf der Ausfall einer einzelnen USV keinen Shutdown auslösen, solange die geforderte Gesamtkapazität noch gegeben ist. Viele "handelsübliche" SNMP-Software kann eine solche fallweise Bearbeitung nicht leisten; nur komplexe Software wie beispielsweise CA Unicenter stellt Programmiersprachen bereit, die solche Fälle erfassen. Spezielle USV-Management-Software muss für dieses Anwendungsszenario ebenfalls speziell gerüstet sein: Geräte, die zu einer Redundanz-USV gehören, muss man als Gruppe definieren können und festlegen, wie viele Geräte ausfallen dürfen, bevor ein "Gruppenalarm" ausgeführt wird; die Festellung eines "Ausfalls bis zum Redundanzverlust" kann als Warnstufe beziehungsweise "Voralarm" hilfreich sein.

Sabotage-Sicherheit

Auch das unrechtmäßige Auslösen eines Shutdowns oder anderer Fernsteuerfunktionen erfordert eine nähere Betrachtung. Gegenüber dem Internet sollten die entsprechenden Protokolle natürlich möglichst abgeschirmt sein. Sich vor Sabotage durch Mitarbeiter zu schützen, ist deutlich schwerer. USV-Managementsysteme und -Shutdown-Software arbeiten üblicherweise heutzutage nicht mit Verschlüsselung und starken Authentifizierungssystemen: Listen von berechtigten Systemen (IP-Nummer oder Hostname) sowie einfache Passwörter sind hier weiterhin Standard. Ein versierter Netzwerker kann womöglich schnell herausfinden, wie man ein USV-Steuersystem umgeht und dann relativ leicht auch Schaden anrichten. Man sollte daher darauf achten, dass die USV-Software zumindest eine verlässliche Protokollierung besitzt, sodass man den Angriff eines Innentäters wenigstens lokalisieren und ahnden kann.

Hilfreich kann es hier auch sein, wenn die Shutdown-Software keine starren Befehle zum Ziel transportiert, sondern lediglich ein "Signal" gibt, das auf dem Zielsystem eine dort hinterlegte spezifische Aktion (Skript) ausführt. So könnte man beispielsweise durch automatische Rotation der Shutdown-Skripte erreichen, dass während des beaufsichtigten Betriebs zunächst nur die Verantwortlichen informiert werden, während in den Nachtstunden und am Wochenende die Systeme ohne weiteres heruntergefahren werden.

Frank Blettenberger ist Technical Director der GENEREX GmbH ( www.generex.de).

zurück zum Inhalt
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2004^#4, Seite 30