HOB Connectivityspacer | English | Français |

 

HOB RD VPN Remote Access
 		      

HOB VDI Business - Virtual Desktop Infrastructure

1. Überblick

1.1. Die Technologie

Mit der Technologie VDI laufen single-user Betriebssysteme wie Windows XP, Windows Vista oder Windows 7 nicht mehr am Arbeitsplatz des Users sondern im Rechenzentrum. Im Rechenzentrum laufen die Betriebssysteme mit den Anwendungen entweder auf Blades oder virtualisiert.

 

1.2. Zugriff über das Protokoll RDP

Der Zugriff vom Client erfolgt üblicherweise mit dem performanten Protokoll RDP (Remote Desktop Protocol) welches standardmäßig in Windows eingebaut ist. In den entsprechenden Home-Editionen ist aber der RDP-Server von Microsoft nicht freigeschaltet. Mit HOB VDI kann der Zugriff entweder direkt erfolgen oder, SSL-verschlüsselt, über die umfassende Security-Lösung HOB RD VPN.

 

1.3. Pool von SUOS

Bei HOB VDI hat man einen Pool von VDI Single-User Operating Systems, kurz SUOS genannt. Wenn ein Benutzer seinen RDP-Client startet dann erhält er automatisch ein freies SUOS. Hat ein Benutzer die Verbindung verloren, so bleibt das SUOS noch eine Zeit lang im Zustand disconnected und der Benutzer macht bein erneuten Starten seines RDP-Clients automatisch ein Reconnect.

 

1.4. Abgrenzung gegenüber Terminal Server Lösungen

VDI hat gegenüber WTS (Windows Terminal Services) den Vorteil dass auch Applikationen verwendet werden können die nicht WTS-tauglich sind. Auch sind die einzelnen Benutzer bei VDI mehr gegeneinander abgeschirmt was manchmal im Rahmen von Security gewünscht ist. Bei VDI benötigt man aber deutlich mehr Hardware im Vergleich zu WTS.

 

1.5. Die Lösung HOB VDI-WSP

Bei der HOB-Lösung VDI-WSP erfolgt der Koordinierung des Zugriffs im HOB WebSecureProxy (WSP), der HOB WebSecureProxy ist Bestandteil der umfassenden Security-Lösung HOB RD VPN. HOB RD VPN basiert auf SSL. Der Zugriff erfolgt ohne Installation am Client und ohne Administrator-Rechte browser-basiert.

 

2. Die Architektur

2.1. Die Load-Balancing Technologie

HOB hat eine patentierte Technologie für Load-Balancing für WTS (Windows Terminal Services) welche auch bei HOB VDI zum Einsatz kommt. Der RDP Client sendet kleine UDP Pakete um Server bzw. VDI Single-User Operating Systems, kurz SUOS, zu finden. Diese UDP Pakete können als Broadcast gesendet werden. Oder man hat eine Server-Liste und es werden UDP Unicast Pakete an alle Server bzw. SUOS (oder Relay, siehe unten) gesendet. Ist ein SUOS frei oder kann ein Reconnect erfolgen so antwortet das SUOS mit einem entsprechenden UDP Paket. Erhält ein RDP-Client mehrere UDP Pakete als Antwort auf den Load-Balancing Request so kann der RDP-Client den optimalen Server bzw. SUOS aussuchen.

 

2.2. RDP-Komponten mit HOB Load-Balancing

Load-Balancing ist eingebaut im Java RDP Client HOBLink JWT (Java Windows Terminal). Das HOB Load-Balancing ist auch eingebaut in die Server-Komponente HOB WebSecureProxy (WSP) welcher Teil der umfassenden Security-Lösung HOB RD VPN ist. Der HOB WebSecureProxy verschlüsselt die Daten zum Client mit SSL.

 

2.3. Der VDI-Agent

Bestandteil der HOB VDI Lösung ist immer das Programm ibbslb02, der VDI Agent. Dieser VDI Agent wird auf jedem SUOS, also Windows XP, Windows Vista oder Windows 7, installiert und läuft als Dienst. Der VDI Agent kennt den aktuellen Stand im SUOS. Der VDI Agent empfängt UDP Pakete für Load-Balancing oder VDI-Administration. Bei Bedarf antwortet der VDI Agent mit entsprechenden UDP Paketen.

 

2.4. Das HOB VDI Administrations Tool

Für die HOB VDI Lösungen gibt es ein entsprechendes Administrations Tool. Dieses ist ein MMC (Microsoft Management Console) Snap-In nach dem Standard MMC Version 3. Mit diesem Administrations Tool kann ein Administrator alle VDI SUOS abfragen und den aktuellen Zustand des entsprechenden Systems. Ein Administrator kann über das Administrations Tool auch aktiv in das SUOS-System eingreifen und Disconnect oder Logoff des Users erzwingen. Auch Shutdown oder Restart eines oder mehrerer SUOS ist über das Administrations Tool möglich. Das Administrations Tool sendet UDP Pakete zum VDI Agent. Diese Pakete sind mit einem verschlüsseltem Passwort versehen. Auf jedem SUOS ist eine Liste der gültigen Passworte hinterlegt und auch ob mit diesem Passwort nur Abfragen möglich sind oder auch aktive Eingriffe ins System des SUOS. Zusätzlich zur Verschlüsselung des Passworts sind die UDP Pakete noch mit einem Timestamp versehen, dadurch werden Replay-Attacken verhindert.

 

2.5. Funktionen des HOB RDP-Clients HOBLink JWT

Verwendet ein Benutzer über den HOB RDP Client HOBLink JWT seinen Desktop als VDI, so kann er alles tun was er an einem lokalen Arbeitsplatz auch tun könnte. Durch das resourcen-sparende RDP-Protokoll ist der Zugriff höchst performant, dies gilt besonders wenn die Daten über das Internet gehen.

Der Benutzer kann über das RDP-Protokoll und das Clipboard Copy und Paste zwischen dem lokalen Client und seinem SUOS machen. Der Benutzer kann am lokalen Client etwas ausdrucken, dies wird vereinfacht durch HOB EasyPrint welches Treiber-unabhängig arbeitet. Sound bzw. Audio vom SUOS kann am lokalen Client wiedergegeben werden. Durch das integrierte Local-Drive-Mapping können Daten zwischen dem lokalen Client und dem SUOS ausgetauscht werden.

 

3. Die Lösung HOB VDI-WSP

3.1. Zugriff über HOBLink JWT

Die Lösung HOB VDI-WSP ist ein Bestandteil der umfassenden Security-Lösung HOB RD VPN. Als Client wird der Java RDP Client HOBLink JWT (Java Windows Terminal) verwendet. Eine lokale Installation des Clients oder Administrator-Rechte sind nicht nötig, alles ist browser-basiert. HOBlink JWT ist als Java Programm platform-unabhängig, man kann also mit Windows, Linux oder Apple MAC auf die SUOS über HOB VDI-WSP zugreifen. Der Zugriff ist sicher weil alle Daten mit SSL verschlüsselt werden. Der Zugriff ist möglich über das Internet wie z.B. von zuhause, vom Hotel, vom Geschäftspartner oder vom Laptop. Auch der Zugriff aus Internet Cafes ist möglich, soweit gewünscht (kann unterbunden werden).

 

 

 

3.2. Authentifizierung

Will ein User über HOB VDI-WSP auf ein SUOS zugreifen, dann startet er seinen Browser, gibt die entsprechende URL ein und muss sich dann authentifizieren. Die Authentifizierung des Benutzers kann auf drei unterschiedliche Arten erfolgen, in der jeweiligen Installation festgelegt:

  • Userid und Passwort

  • Token mit one-time-password wie RSA SecurId, Secure Computing Premier Access oder VASCO DigiPass

  • Zertifikat für Client-Authentifierung über SSL

Die Authentifizierung erfolgt über den Browser der über SSL / HTTPS mit dem WSP verbunden ist. Deshalb ist bereits die Authentifizierung verschlüsselt und sicher. Je nach Komplexität der Installation des jeweiligen HOB RD VPN kommt der User dann direkt auf VDI-WSP, oder es erfolgt vorher eine Auswahl was der Benutzer tun möchte.

 

3.3. Überprüfung des PCs des Clients

Ab HOB RD VPN 1.3 kann der Client auch nach bestimmten Kriterien überprüft werden bevor der Zugriff auf firmeninterne Daten erlaubt wird. Dies wird bei Bedarf bei der Installation im Firmennetz festgelegt.

 

3.4. Der HOB WebSecureProxy

Kernkomponente von HOB RD VPN ist die Server-Komponente HOB WebSecureProxy. Die aktuelle Version des WebSecureProxy oder kurz WSP ist 2.2, verfügbar für Windows, Linux und Unix in insgesamt 11 verschiedenen plattform-spezifischen Versionen.

  

Der WSP kann auch in HOB SCS laufen, dem Open-Source Unix-based Server-Betriebssystem von HOB. HOB SCS steht für Secure Communications Server.

  

Der WSP arbeitet mit SSL-Verschlüsselung. HOB SSL unterstützt alle gängigen Verschlüsselungs-Algorithmen, auch AES (Advanced Encryption Standard) mit bis zu 256 Bit Schlüssellänge. Der HOB WSP hat einen eingebauten Web-Server, die Komponenten des Java RDP Clients HOBLink JWT werden bevorzugt von diesem integrierten Web-Server heruntergeladen. Es ist auch möglich eine Java-Installation von dem im WSP eingebauten Web-Server vorzunehmen.

Der WSP benötigt für die Server-Authentifizierung über SSL ein Zertifikat nach X.509 welches z.B. auch in Web-Servern mit SSL / HTTPS benutzt wird.Der HOB WSP hat eine integrierte Radius-Schnittstelle so dass die Authentifizierung gegenüber allen gängigen Radius-Servern erfolgen kann.Der HOB WSP hat spezielle Funktionen eingebaut für VDI-WSP, z.B. die Kommunikation mit den VDI-Agents.

 

3.5. Twin-Trimming

Wenn man HOB VDI-WSP einsetzt und erreichen will dass es keinen single-point-of-failure gibt, dann sollte man mehrere WSP installieren. Über mehrere Internet-Adressen im DNS-Server bzw. auch Round-Robin kann man Load-Balancing der HOB WSP aktivieren. Es gibt aber dann das Problem dass unter gewissen Umständen zwei WSP dasselbe SUOS an unterschiedliche Clients melden würden. Um dies zu verhindern ist im WSP das sogenannte Twin-Trimming eingebaut, mehrere WSP Version 2.2 kommunizieren über UDP und somit gibt es hier keine Probleme.

 

3.6. Konfigurations-Daten und HOB Enterprise Access

Für VDI-WSP werden Konfigurations-Daten benötigt. Die sicherheits-kritischen Konfigurations-Daten für den WSP sind in einem XML-File abgespeichert, müssen also nicht die DMZ verlassen. Für die Konfiguration dieses XML-Files gibt es von HOB ein komfortables und plattformunabhängiges Java GUI Programm.

 

Zusätzlich können (optional) Konfigurations-Daten in der Komponente HOB Enterprise Access abgespeichert werden, HOB Enterprise ist die zentrale Komponente für umfassend Konfigurations-Daten. HOB Enterprise Access benutzt entweder eine integrierte Datenbank oder die Daten werden in einem LDAP-Server abgelegt. HOB Enterprise Access unterstützt alle gängigen LDAP-Server wie auch Microsoft Active Directory. Legt HOB Enterprise Access Daten in einem LDAP-Server ab so werden die entsprechenden Strukturen durch eine Schema-Erweiterung angelegt.

 

3.7. Server für SUOS des VDI-WSP

Die SUOS, Windows XP, Windows Vista oder Windows 7, benötigen Hardware auf der sie installiert sind und laufen. Bei der Lösung HOB VDI-WSP können die SUOS entweder auf Blades laufen oder virtualisiert auf entsprechend größeren Servern. Bei HOB VDI-WSP kann jede beliebige Virtualisierungs-Software eingesetzt werden, soweit Windows XP, Windows Vista oder Windows 7 als Guest unterstützt werden. Das sind die Produkte von VMware, Microsoft oder auch XEN, um die wichtigsten zu nennen.

 

3.8. Sonstiges zu HOB VDI-WSP

In größeren Installationen können alle Komponenten des HOB RD VPN im Firmennetz redundant ausgelegt werden. Man hat keinen single-point-of failure und unterbrechungsfreier Betrieb ist möglich. Die Lösung HOB VDI-WSP hatte früher den Namen HOB Desktop-on-Blade.

 

17.08.08 KB

08.03.11 KWi
akt. 13.12.11 KWi

 

 

 

 
Golden Bridge Award
 		  

HOB RD VPN gewinnt den Golden Bridge Award im Bereich "Innovations in Information Technology - VPN/IPsec/SSL"

weiterlesen weiter
 
Award for HOB  

HOB gewinnt den Award des Info Security Products Guide
weiterlesen weiter

 

Download HOB RD VPN Software
 

Download der Software
(4 Wochen lauffähig)
HOB Video
 

Video:
HOB RD VPN Überblick
HOB RD VPN Brochüre

Download
HOB RD VPN
Info-Broschüre

 

HOB RD VPN Manual

Download
HOB RD VPN
Administration Guide

 

Weitere Informationen

weiter Whitepapers

 

weiter Fragen zu HOB VDI Business

Bei vertrieblichen Fragen stehen Ihnen unsere Geschäftsstellen gerne zur Verfügung.

 

Bei technischen Fragen wenden Sie sich bitte an unseren Support.

 

Bezugsquellen

HOB VDI Business können Sie beziehen über:

 
           

 

Home Sitemap Datenschutz Kontakt Anfahrt Softwaretests Impressum

Bookmark and Share