HOB Desktop-on-Demand - Remote-Zugriff auf den Arbeitsplatz PC, SSL-verschlüsselt

Überblick

HOB Desktop-on-Demand ist ein Teil der umfassenden Security-Lösung HOB RD VPN und HOB RD VPN Compact.

Zugriff mit dem Browser

Mit HOB Desktop-on-Demand greift ein Benutzer nach erfolgter Authentifizierung mit dem Browser SSL-verschlüsselt auf seinen Arbeitsplatz-PC zu.

Automatisches Einschalten des Arbeitsplatz-PCs

Ist der Arbeitsplatz-PC ausgeschaltet, wird er automatisch eingeschaltet.

Virtualisierter Arbeitsplatz (VDI)

Der Arbeitspatz-PC kann auch virtualisiert sein mit entsprechender Virtualisierungs-Software auf größeren Servern (siehe auch VDI, Virtual Desktop Infrastructure). Dabei kann der virtuelle Arbeitspatz-PC automatisch gestartet (gebootet) werden wenn der Benutzer sich anmeldet.

Unterstützung aller Client-Plattformen

Bei HOB Desktop-on-Demand werden Windows, Mac OS X und Linux als Betriebssystem auf dem Arbeitspatz-PC unterstützt.

Zugriff von überall

Der Benutzer greift über den integrierten Java RDP Client HOBLink JWT (Java Windows Terminal) in sichere Weise auf seinen Arbeitsplatz zu, meist über das Internet wie von zu Hause, vom Hotel, vom Geschäftspartner oder vom Laptop. Auch der Zugriff aus Internet Cafés ist möglich, soweit gewünscht (kann unterbunden werden).

Keine lokale Installation oder Administrator-Rechte auf dem Client notwendig

Will ein Benutzer HOB Desktop-on-Demand verwenden, muss er nichts auf dem lokalen Rechner installieren und er benötigt auch kein Administrator-Rechte. Die browserbasierte Lösung ist plattformunabhängig, man kann also mit Windows, Linux oder Apple MAC auf den firmeninternen Desktop zugreifen.

Background-Technik

Installation in der DMZ des Firmennetzes

HOB Desktop-on-Demand ist kein Third-Party Service, sondern die Komponenten werden im Firmennetz installiert, vorzugsweise in der DMZ (Demilitarized Zone). Gegenüber Third-Party Services hat die HOB Lösung den Vorteil, dass die Daten nur einmal über das Internet gesendet werden, die Performance höher ist und die Antwortzeiten kürzer sind.

Der HOB WebSecureProxy

Kernkomponente von HOB RD VPN ist die Server-Komponente HOB WebSecureProxy. Die aktuelle Version des WebSecureProxy (WSP) ist 2.2, verfügbar für Windows, Linux und Unix in insgesamt 11 verschiedenen plattformspezifischen Versionen.

Mit Betriebssystem, auch als Virtuelle Appliance

Der WSP kann auch auf HOB SCS laufen, dem Open-Source Unix-based Server-Betriebssystem von HOB. HOB SCS steht für Secure Communications Server. HOB SCS kann auch unter VMware laufen, OVF (Open Virtualization Format) wird ebenfalls unterstützt.

Alle gängigen Verschlüsselungsalgorithmen

Der WSP arbeitet mit SSL-Verschlüsselung. HOB SSL unterstützt alle gängigen Verschlüsselungsalgorithmen, auch AES (Advanced Encryption Standard) mit bis zu 256 Bit Schlüssellänge.

Im HOB WebSecureProxy eingebauter Web-Server

Der HOB WSP hat einen eingebauten Web-Server, die Komponenten des Java RDP Clients HOBLink JWT werden bevorzugt von diesem integrierten Web-Server heruntergeladen. Es ist auch möglich eine Java-Installation von dem im WSP eingebauten Web-Server vorzunehmen.

Der WSP benötigt für die Server-Authentifizierung über SSL ein Zertifikat nach X.509 welches z.B. auch in Web-Servern mit SSL / HTTPS benutzt wird.

Alle Authentifizierungsarten werden unterstützt

Authentifiziert sich ein Benutzer, so kann dies auf drei unterschiedliche Arten erfolgen, in der jeweiligen Installation festgelegt:

  • Userid und Passwort
  • Token mit one-time-password wie RSA SecurId, Secure Computing Premier Access oder VASCO DigiPass
  • Zertifikat für Client-Authentifierung über SSL

Die Authentifizierung erfolgt über den Browser der über SSL / HTTPS mit dem WSP verbunden ist. Deshalb ist bereits die Authentifizierung verschlüsselt und sicher.

Radius-Schnittstelle im HOB WebSecureProxy

Der HOB WSP hat eine integrierte Radius-Schnittstelle so dass die Authentifizierung gegenüber allen gängigen Radius-Servern erfolgen kann.

Integrity-Check des Client

Der Client kann optional nach bestimmten Kriterien überprüft werden, bevor der Zugriff auf firmeninterne Daten erlaubt wird. Diese Kriterien sind z.B. ob eine Antivirus-Software installiert ist und wann dieser das letzte Mal gelaufen ist. Dies wird bei Bedarf während der Installation im Firmennetz festgelegt.

Wake-on-LAN zum Starten des Arbeitsplatz-PCs

Hat sich ein Benutzer mit dem Browser erfolgreich gegenüber dem WSP (HOB WebSecureProxy) authentifiziert und möchte (nach optionaler Auswahl des Ziel-Servers) auf seinen Desktop-PC zugreifen, sendet der WSP ein Wake-on-LAN Paket zu dem Desktop-PC des Benutzers. Wake-on-LAN ist eine Technologie die seit 1995 besteht und heute in fast allen PCs (bzw. der Netzwerkkarte) eingebaut ist.

Wake-on-LAN Pakete müssen als UDP Broadcast gesendet werden. Ist der WSP in der DMZ, so sind eventuell Broadcast Pakete durch die Firewall zum internen Netz geblockt. Auch dafür gibt es eine Lösung: Der WSP kann auch IP Unicast Pakete senden die problemlos durch die Firewall gehen und dann von einem Wake-on-LAN Relay in ein Broadcast Paket umgeformt werden.

Das Wake-on-LAN Relay ist erhältlich als plattformunabhängige Software (Java) zur Installation auf einem beliebigen Server im firmeninternen Netz. Dieser Server sollte dann immer laufen. Von HOB gibt es auch eine Hardware-Lösung für das Wake-on-LAN Relay, dies ist ein kleiner stromsparender embedded-Linux-Rechner.

Wird ein PC über Wake-on-LAN eingeschaltet, bootet der PC und es dauert eine gewisse Zeit bis die RDP-Dienste auch hochgefahren sind. Der Java RDP Client, HOBLink JWT, wartet so lange bis der WSP eine Session zum Desktop-PC aufbauen konnte. Der Benutzer wird über den Fortschritt informiert.

Bei Windows 7 dauert es ca. eine Minuten bis ein PC gebootet hat, das Betriebssystem gestartet ist und der RDP-Dienst bereit ist. Will ein Benutzer in kürzerer Zeit zugreifen so fährt er den PC nicht ganz herunter sondern benutzt nur die Windows-Funktion SUSPEND (Ruhezustand). Alle Anwendungen bleiben aktiv, aber der PC benötigt keinen Strom mehr. Empfängt dann die Netzwerkkarte das Wake-on-LAN Paket so macht Windows nur RESUME und der Benutzer kann nach kurzer Zeit da weiterarbeiten wo er vorher aufgehört hat. Vorausgesetzt, der Desktop-PC war bereits vorher eingeschaltet, erhält der Benutzer sofort eine Session.

Starten des Arbeitsplatz-PCs als VMware-Guest

Im Liefer-Umfang enthalten ist auch das Linux-Programm lb-vdi-wol-1. Dieses empfängt Wake-on-LAN Pakete, entweder als UDP Broadcast oder als Unicast. Dann wird über das VMware VIX API der entsprechende VMware Guest gestartet. Der VMware Guest, der virtuelle Arbeitsplatz, läuft dabei unter VMware ESX oder VMware Server.

Konfiguration für Wake-on-LAN

Der WSP benötigt Daten über den Desktop-PC damit der benutzerspezifisch den entsprechenden PC einschalten und zu diesem verbinden kann. Dies sind die Internet-Adresse des Client und die MAC-Adresse der Netzwerk-Karte. Diese Daten, mit Userid und Passwort, sind entweder im XML-File der WSP-Konfiguration abgespeichert (HOB RD VPN Compact) oder in der Komponente HOB Enterprise Access.

HOB Enterprise Access benutzt entweder eine integrierte Datenbank oder die Daten werden in einem LDAP-Server abgelegt. HOB Enterprise Access unterstützt alle gängigen LDAP-Server wie auch Microsoft Active Directory. Legt HOB Enterprise Access Daten in einem LDAP-Server ab, werden die entsprechenden Strukturen durch eine Schemaerweiterung angelegt.

In HOB Desktop-on-Demand ist auch eine Komponente integriert mit der sich Internet-Adresse und MAC-Adresse komfortabel aus dem Desktop-PC auslesen lassen, die Daten fließen dann in die Konfiguration ein.

Unterstützung aller Komponenten des ferngesteuerten Desktops

Das hochperformante RDP-Protokoll

Hat ein Benutzer über den HOB JAVA RDP Client HOBLink JWT eine aktive Verbindung zu seinem Desktop, so kann er alles tun was er am lokalen Arbeitsplatz tun kann. Durch das ressourcensparende RDP-Protokoll ist der Zugriff höchst performant.

Clipboard-Unterstützung

Der Benutzer kann über das RDP-Protokoll und das Clipboard Copy und Paste zwischen dem lokalen Client und dem Desktop-PC durchführen.

Drucken mit HOB EasyPrint

Der Benutzer kann am lokalen Client etwas ausdrucken, dies wird vereinfacht durch HOB EasyPrint welches Treiber-unabhängig arbeitet.

Unterstützung von Audio

Audio vom Desktop-PC kann am lokalen PC wiedergegeben werden.

Local-Drive-Mapping zum Austausch von Files

Durch das integrierte Local-Drive-Mapping können Daten zwischen dem lokalen PC und dem Desktop-PC ausgetauscht werden.

Zugriff auf Windows-Rechner

HOB Desktop-on-Demand ist geeignet zum Zugriff auf Desktop-PCs mit Windows XP, Windows Vista oder Windows 7. Die entsprechenden Home-Versionen werden nicht unterstützt weil hier der integrierte RDP-Server von Microsoft nicht komplett freigeschaltet ist.

Zugriff auf Apple MACs

Für den Zugriff auf Apple MACs gibt es als Zusatz das HOB MAC-Gate, eine Lösung für Apple MAC OS X.

Ist auf einen MAC OS X PC die Komponente HOB MAC-Gate installiert, funktioniert HOB Desktop-on-Demand ebenso wie oben beschrieben; es wird mit dem performanten RDP-Protokoll auf dem MAC zugegriffen.

Zugriff auf Linux-Rechner

Will man mit HOB Desktop-on-Demand in analoger Weise auf Linux zugreifen, so bietet HOB dafür die Zusatz-Komponente X11Gate. HOB X11Gate setzt X11 bzw. X-Windows nach RDP um.

Sicher weil zertifiziert nach Common Criteria

HOB Desktop-on-Demand ist Teil der umfassenden Security-Lösung HOB RD VPN. HOB RD VPN ist vom BSI (Bundesamt für Sicherheit in der Informationstechnik) nach Common Criteria zertifiziert. Die Zertifizierung ist nach EAL2 unter dem Kennzeichen BSI-DSZ-CC-0260-2004 erfolgt.

Aktuell wird die Zertifizierung nach EAL4+ durchgeführt, der Abschluss wird demnächst erfolgen.

Geeignet für kleine und große Installationen

Der HOB WebSecureProxy skaliert gut. HOB führt interne Tests durch bei denen 10.000 gleichzeitige SSL Verbindungen aufgebaut werden. Dabei wird Last erzeugt die jeweils einem typischen RDP-Benutzer entspricht. Der dazu notwendige Server (Hardware) kostet weniger als Euro 5.000.-

Der HOB WebSecureProxy kann auch auf kleinen Servern laufen mit ARM-Prozessor, dies ist sehr kostengünstig. Deshalb ist HOB RD VPN ideal geeignet für sehr kleine, kleine, große oder auch sehr große Installationen.

Kein Single-Point-of-Failure

Bei größeren Installationen können alle Komponenten des HOB RD VPN im Firmennetz redundant ausgelegt werden. Dadurch wird ein Single-Point-of-Failure verhindert und unterbrechungsfreier Betrieb ist möglich.

25.09.15