HOB Remote Desktop VPN
Arbeitsplatz immer im Zugriff
Der deutsche Hersteller HOB bietet mit seiner Lösungsfamilie HOB Remote Desktop VPN (RD VPN) eine Sammlung von Programmen für die sichere Nutzung von Terminalserverfarmen. Dabei erlaubt HOB WTS Computing einen plattformunabhängigen Internetzugriff auf Windows-Terminalserver. HOB Desktop-on-Demand wiederum ermöglicht es zum Beispiel für Heimarbeitsplätze oder mobile Mitarbeiter, via Internet auf PCs im Unternehmen zuzugreifen.
Ein wichtiger Bestandteil der RD-VPN-Lösung von HOB ist der Websecureproxy (WSP). Dieser ist vorzugsweise in der DMZ des Unternehmens positioniert und verbindet externe Mitarbeiter mit Terminalservern, die im internen Netzwerk stehen. Dazu bauen externe Anwender über das Internet eine HTTPS-Verbindung zum Websecureproxy auf, der die Verbindung auf einen der internen Terminalserver weiterleitet. Ein einzelner WSP kann mehrere Terminalserver bedienen, HOB bietet aber auch die Möglichkeit, einen ausfallsicheren WSP-Cluster aufzubauen. Zudem erlaubt RD VPN den Zugriff auf heterogene Systemlandschaften, beispielsweise auf Webserver im Intranet oder IBM-Midrange-Systeme.
RD VPN bietet mehrere Arten von Verschlüsselung. Als Standard ist 256-Bit-AES eingestellt. Mit HOB Enterprise Access, ebenfalls in RD VPN enthalten, managen Systemverwalter von zentraler Stelle mit einem Server alle Benutzer und Gruppen, die per HOB-Client auf Terminalservern arbeiten. Dies umfasst auch die Möglichkeit, auf LDAP-Verzeichnisse zuzugreifen.
WSP ist von Microsoft im Rahmen des Logo-Programms "Certified for Windows Server 2003" zertifiziert, funktioniert aber auch unter Windows Server 2008 ohne Probleme. Ausführbar ist WSP auf den Plattformen Windows (x86, EM64T, Itanium), Linux (x86, EM64T, Itanium), Sun Solaris (Sparc, EM64T), HP-UX (PA-Risc, Itanium) sowie IBM AIX. Diese umfangreiche Plattformunterstützung stellt sicher, dass das gemäß der firmeninternen Sicherheitsrichtlinien entsprechende Betriebssystem zum Einsatz kommen kann.
Microsoft hat allerdings in Windows Server 2008 das Terminaldienste-Gateway, das ähnlichen Funktionsumfang wie der WSP bietet, als Bordfunktion integriert. Das Terminaldienste-Gateway bietet Zugriff auf Windows Server 2000/2003/2008 und sogar noch auf Windows NT 4.0 Terminalserver Edition
Zur Authentifizierung unterstützt WSP neben dem obligatorischen Weg über Benutzername und Kennwort auch Einmal-Password-Tokens. Die Kommunikation mit dem Authentifizierungsserver erfolgt via Radius-Protokoll. Auch eine vollständige Unterstützung von Zertifikaten und Smartcards ist integriert. LDAP-Unterstützung (zum Beispiel Microsoft Active Directory Services, Novell NDS etc.) ist ebenfalls Bestandteil der HOB-Lösung.
Verbindungsaufbau über das Internet
Für den Verbindungsaufbau zu den Terminalservern lädt der Client-PC nach der Authentifizierung den RDP-Client Hoblink JWT herunter. Der Client ist webbasiert und benötigt Java auf dem Client-Rechner. Der Client baut anschließend eine SSL-geschützte Verbindung zum WSP und anschließend zum Terminalserver auf. Die Verbindung zwischen dem Websecureproxy und dem internen Terminalserver verschlüsselt die Lösung nicht. Die Absicherung der Kommunikation im Internet reicht allerdings meist vollkommen aus. Auch Microsoft verschlüsselt die Verbindung zwischen dem Windows Server 2008 Terminaldienste-Gateway und den Terminalservern nicht.
Nur erfolgreich authentifizierte Benutzer können eine Verbindung zu den internen Terminalservern aufbauen, was diese vor Gefahren aus dem Internet zuverlässig schützt. Die gesamte Kommunikation zwischen Client und Websecureproxy baut auf dem SSL-Port 443 auf, weitere Port-Freischaltungen benötigt das Programm nicht.
Im Lieferumfang enthalten ist eine spezielle Load-Balancing-Lösung, die im Vergleich zur Windows-basierten DNS-Round-Robin-Methode wesentlich mehr Komponenten auf den Terminalservern überprüft, um den am besten geeigneten Server für den Anwender zu ermitteln. Berücksichtigung finden dabei CPU-Last, Speichernutzung, bereits aktive Sitzungen, Netzwerkauslastung und weitere Parameter. Dazu sendet WSP zunächst eine Anfrage an die einzelnen Server und verbindet anschließend den Benutzer mit dem am wenigsten ausgelasteten Server. Auch getrennte Sitzungen berücksichtigt die Lösung, sodass Anwender nach der Trennung wieder ihre vorherige Sitzung öffnen können.
Die Lösung enthält außerdem ein internes Logging-System, das jede erfolgreiche und fehlgeschlagene Benutzeranmeldung erfasst und übersichtlich in der Verwaltungsoberfläche darstellt. Der RDP-Client ist vollkommen Windows-kompatibel, außerdem ist ein spezieller Easyprint-Treiber enthalten, der das Ausdrucken von Dokumenten in der Terminalserversitzung auf dem Client-Drucker vereinfacht.
Die Grundlage für den Verbindungsaufbau zu den Terminalservern liefert Java. Was bezüglich der Systemoffenheit von Vorteil ist (der Client funktioniert unter Windows, Linux, Mac OS X und Unix), kann aber eventuell auch Probleme bereiten: Auf dem Client-Rechner muss ein Java-Paket installiert sein, was bei vielen PC-Herstellern der Fall, aber nicht immer gewährleistet ist. Weniger geübte Anwender haben dann - zum Beispiel beim Fernzugriff von einem Hotelzimmer aus - vielleicht Schwierigkeiten, die passende Java-Version herunterzuladen und zu installieren, vor allem weil die Standardinstallation mit einer nervigen Auto-Update-Funktion ausgestattet ist. Sie verursacht Sicherheitsmeldungen bei einer Reihe von Firewalls oder Windows-Sicherheitsprogrammen, sodass die IT-Abteilung oder der Support helfen müssen.
Noch schwieriger wird der Einsatz mit dem Internet Explorer 7, vor allem unter Windows Vista. Hier benötigt der HOB-Client erst einige interne Konfigurationen im Browser, bevor der Verbindungsaufbau funktioniert. Spätestens hier werden die meisten Anwender mit wenig IT-Erfahrung überfordert sein.
Ebenfalls Bestandteil der RD-VPN-Lösungsfamilie ist HOB Desktop-on-Demand. Dieses Programm ermöglicht den Zugriff auf Arbeitsstationen unter Windows XP/Vista per RDP-Sitzung und HOB-Terminalserver-Client. Der Verbindungsaufbau läuft dabei genauso ab wie zu einem Terminalserver: Erst muss sich der Anwender über das Internet am WSP authentifizieren. Dann startet der HOB-Terminalserver-Client, auch hier ist die Installation von Java auf dem Rechner Voraussetzung. In der Konfiguration des Websecureproxys hinterlegen Systemverwalter die IP-Adressen der Rechner und verknüpfen diese mit dem jeweiligen Benutzer. Dadurch verbindet der Proxy automatisch den Anwender nach erfolgreicher Authentifizierung mit der jeweiligen Arbeitsstation. Die Lösung unterstützt Wake-on-LAN, sodass Anwender auch auf ausgeschaltete Rechner zugreifen können, vorausgesetzt natürlich, dass diese via Netzwerk aktivierbar sind.
Die Verbindung des Clients zum Arbeitsplatzrechner findet auch hier SSL-verschlüsselt statt. Wichtig ist zudem, dass der Websecureproxy, sofern er in der DMZ platziert ist, per Broadcast auf das interne Netzwerk zugreifen können muss. Dazu müssen in der internen Firewall Broadcasts aus der DMZ zugelassen sein. Da dies aus Sicherheitsgründen nicht in allen Unternehmen möglich ist, unterstützt die HOB-Lösung ein so genanntes Wake-on-LAN-Relay. Mit diesem baut der WSP eine Verbindung auf und fordert das Wake-on-LAN an. Das Relay wiederum führt diesen Vorgang im internen Netzwerk aus.
Fazit
Die Java-basierende Produktfamilie HOB RD VPN, die für den Zugriff auf unternehmensinterne Ressourcen und heterogene Systemlandschaften entwickelt wurde, ist eine effiziente Lösung, um Clients mit den verschiedensten Betriebssystemen sicher an die IT im Unternehmen anzubinden. In Verbindung mit WTS Computing ist sie eine seit Jahren bekannte und ausgereifte Lösung für die Anbindung an Terminalserver. Die Lösungsfamilie setzt die Installation einer Java Virtal Machine (JVM) voraus, jede weitere Softwareinstallation auf dem Endgerät entfällt dafür im Gegenzug. Somit ist die Anbindung sämtlicher Plattformen, für die es eine JVM gibt, möglich. Unternehmen, die mehrere externe Mitarbeiter oder Partner möglichst unkompliziert an interne Terminalserver anbinden möchten oder den Zugriff auf Arbeitsstationen ermöglichen müssen, erhalten mit dem Produkt eine praktische Lösung. Die Konfiguration ist recht einfach und übersichtlich, und es gibt ausreichend deutsche Dokumente. Die Anbindung externer Mitarbeitern gestaltet sich so einfach und sicher.
Info: HOB Tel.: 09103/715-289 Web: www.hob.de
Lesen Sie mehr zum Thema
