1. Überblick
HOB Desktop-on-Demand ist ein Teil der umfassenden
Security-Lösung HOB RD VPN und HOB RD VPN Compact.
1.1. Zugriff mit dem Browser
Mit HOB Desktop-on-Demand greift ein Benutzer nach
erfolgter Authentifizierung mit dem Browser SSL-verschlüsselt auf seinen
Arbeitsplatz-PC zu.
1.2. Automatisches Einschalten des Arbeitsplatz-PCs
Ist der Arbeitsplatz-PC ausgeschaltet, wird er
automatisch eingeschaltet.
1.3. Virtualisierter Arbeitsplatz (VDI)
Der Arbeitspatz-PC kann auch virtualisiert sein mit
entsprechender Virtualisierungs-Software auf größeren Servern (siehe auch VDI,
Virtual Desktop Infrastructure).
Dabei kann der virtuelle Arbeitspatz-PC automatisch
gestartet (gebootet) werden wenn der Benutzer sich anmeldet.
1.4. Unterstützung aller Client-Plattformen
Bei HOB Desktop-on-Demand werden Windows, Mac OS X und Linux als Betriebssystem auf dem
Arbeitspatz-PC unterstützt.
1.5. Zugriff von überall
Der Benutzer greift über den integrierten Java RDP Client
HOBLink JWT (Java Windows Terminal) in sichere Weise auf seinen Arbeitsplatz zu,
meist über das Internet wie von zu Hause, vom Hotel, vom Geschäftspartner oder
vom Laptop.
Auch der Zugriff aus Internet Cafés ist möglich, soweit
gewünscht (kann unterbunden werden).
| |
HOB Desktop-on-Demand - Funktionsprinzip |
1.6. Keine lokale Installation oder Administrator-Rechte
auf dem Client notwendig
Will ein Benutzer HOB Desktop-on-Demand verwenden, muss
er nichts auf dem lokalen Rechner installieren und er benötigt auch kein
Administrator-Rechte. Die browserbasierte Lösung ist plattformunabhängig, man
kann also mit Windows, Linux oder Apple MAC auf den firmeninternen Desktop
zugreifen.
2. Background-Technik
2.1. Installation in der DMZ des Firmennetzes
HOB Desktop-on-Demand ist kein Third-Party Service, sondern
die Komponenten werden im Firmennetz installiert, vorzugsweise in der DMZ (Demilitarized Zone). Gegenüber Third-Party Services hat die HOB Lösung den
Vorteil, dass die Daten nur einmal über das Internet gesendet werden, die
Performance höher ist und die Antwortzeiten kürzer sind.
2.2. Der HOB WebSecureProxy
Kernkomponente von HOB RD VPN ist die Server-Komponente HOB
WebSecureProxy. Die aktuelle Version des WebSecureProxy (WSP) ist 2.2,
verfügbar für Windows, Linux und Unix in insgesamt 11 verschiedenen
plattformspezifischen Versionen.
2.3. Mit Betriebssystem, auch als Virtuelle Appliance
Der WSP kann auch auf HOB SCS laufen, dem Open-Source Unix-based Server-Betriebssystem von HOB. HOB SCS steht für Secure
Communications Server.
HOB SCS kann auch unter VMware laufen, OVF (Open
Virtualization Format) wird ebenfalls unterstützt.
2.4. Alle gängigen Verschlüsselungsalgorithmen
Der WSP arbeitet mit SSL-Verschlüsselung. HOB SSL
unterstützt alle gängigen Verschlüsselungsalgorithmen, auch AES (Advanced
Encryption Standard) mit bis zu 256 Bit Schlüssellänge.
2.5. Im HOB WebSecureProxy eingebauter Web-Server
Der HOB WSP hat einen eingebauten Web-Server, die
Komponenten des Java RDP Clients HOBLink JWT werden bevorzugt von diesem
integrierten Web-Server heruntergeladen.
Es ist auch möglich eine Java-Installation von dem im WSP
eingebauten Web-Server vorzunehmen.
Der WSP benötigt für die Server-Authentifizierung über SSL
ein Zertifikat nach X.509 welches z.B. auch in Web-Servern mit SSL / HTTPS
benutzt wird.
2.6. Alle Authentifizierungsarten werden unterstützt
Authentifiziert sich ein Benutzer, so kann dies auf drei
unterschiedliche Arten erfolgen, in der jeweiligen Installation festgelegt:
-
Userid und Passwort
-
Token mit one-time-password wie RSA SecurId, Secure
Computing Premier Access oder VASCO DigiPass
-
Zertifikat für Client-Authentifierung über SSL
Die Authentifizierung erfolgt über den Browser der über SSL
/ HTTPS mit dem WSP verbunden ist. Deshalb ist bereits die Authentifizierung
verschlüsselt und sicher.
2.7. Radius-Schnittstelle im HOB WebSecureProxy
Der HOB WSP hat eine integrierte Radius-Schnittstelle so
dass die Authentifizierung gegenüber allen gängigen Radius-Servern erfolgen
kann.
2.8. Integrity-Check des Client
Der Client kann optional nach bestimmten Kriterien
überprüft werden, bevor der Zugriff auf firmeninterne Daten erlaubt wird.
Diese Kriterien sind z.B. ob eine Antivirus-Software installiert
ist und wann dieser das letzte Mal gelaufen ist. Dies wird bei Bedarf während der
Installation im Firmennetz festgelegt.
2.9. Wake-on-LAN zum Starten des Arbeitsplatz-PCs
Hat sich ein Benutzer mit dem Browser erfolgreich gegenüber
dem WSP (HOB WebSecureProxy) authentifiziert und möchte (nach optionaler
Auswahl des Ziel-Servers) auf seinen Desktop-PC zugreifen, sendet der WSP ein Wake-on-LAN Paket zu dem Desktop-PC des Benutzers.
Wake-on-LAN ist eine Technologie die seit 1995 besteht und
heute in fast allen PCs (bzw. der Netzwerkkarte) eingebaut ist.
Wake-on-LAN Pakete müssen als UDP Broadcast gesendet
werden. Ist der WSP in der DMZ, so sind eventuell Broadcast Pakete durch die
Firewall zum internen Netz geblockt.
Auch dafür gibt es eine Lösung:
Der WSP kann auch IP Unicast Pakete senden die problemlos
durch die Firewall gehen und dann von einem Wake-on-LAN Relay in ein Broadcast
Paket umgeformt werden.
Das Wake-on-LAN Relay ist erhältlich als
plattformunabhängige Software (Java) zur Installation auf einem beliebigen
Server im firmeninternen Netz. Dieser Server sollte dann immer laufen.
Von HOB gibt es auch eine Hardware-Lösung für das Wake-on-LAN Relay, dies ist ein kleiner stromsparender embedded-Linux-Rechner.
Wird ein PC über Wake-on-LAN eingeschaltet, bootet der
PC und es dauert eine gewisse Zeit bis die RDP-Dienste auch hochgefahren sind.
Der Java RDP Client, HOBLink JWT, wartet so lange bis der WSP eine Session zum
Desktop-PC aufbauen konnte.
Der Benutzer wird über den Fortschritt informiert.
Bei Windows XP dauert es ca. 1,5 Minuten bis ein PC
gebootet hat, das Betriebssystem gestartet ist und der RDP-Dienst bereit
ist.
Will ein Benutzer in kürzerer Zeit zugreifen so fährt er
den PC nicht ganz herunter sondern benutzt nur die Windows-Funktion SUSPEND
(Ruhezustand).
Alle Anwendungen bleiben aktiv, aber der PC benötigt keinen Strom mehr.
Empfängt dann die Netzwerkkarte das Wake-on-LAN Paket so
macht Windows nur RESUME und der Benutzer kann nach kurzer Zeit da
weiterarbeiten wo er vorher aufgehört hat. Vorausgesetzt, der Desktop-PC war bereits vorher
eingeschaltet, erhält der Benutzer sofort eine Session.
2.10. Starten des Arbeitsplatz-PCs als VMware-Guest
Im Liefer-Umfang enthalten ist auch das Linux-Programm
lb-vdi-wol-1. Dieses empfängt Wake-on-LAN Pakete, entweder als UDP Broadcast
oder als Unicast. Dann wird über das VMware VIX API der entsprechende VMware
Guest gestartet. Der VMware Guest, der virtuelle Arbeitsplatz, läuft dabei unter
VMware ESX oder VMware Server.
2.11. Konfiguration für Wake-on-LAN
Der WSP benötigt Daten über den Desktop-PC damit der
benutzerspezifisch den entsprechenden PC einschalten und zu diesem verbinden
kann.
Dies sind die Internet-Adresse des Client und die
MAC-Adresse der Netzwerk-Karte.
Diese Daten, mit Userid und Passwort, sind entweder im
XML-File der WSP-Konfiguration abgespeichert (HOB RD VPN Compact) oder in der
Komponente HOB Enterprise Access.
| |
HOB Desktop-on-Demand - Typisches Einsatzszenario |
HOB Enterprise Access benutzt entweder eine integrierte
Datenbank oder die Daten werden in einem LDAP-Server abgelegt.
HOB Enterprise Access unterstützt alle gängigen LDAP-Server
wie auch Microsoft Active Directory.
Legt HOB Enterprise Access Daten in einem LDAP-Server ab,
werden die entsprechenden Strukturen durch eine Schemaerweiterung angelegt.
In HOB Desktop-on-Demand ist auch eine Komponente
integriert mit der sich Internet-Adresse und MAC-Adresse komfortabel aus dem
Desktop-PC auslesen lassen, die Daten fließen dann in die Konfiguration ein.
3. Unterstützung aller Komponenten des ferngesteuerten
Desktops
3.1. Das hochperformante RDP-Protokoll
Hat ein Benutzer über den HOB JAVA RDP Client HOBLink JWT
eine aktive Verbindung zu seinem Desktop, so kann er alles tun was er am lokalen
Arbeitsplatz tun kann. Durch das ressourcensparende RDP-Protokoll ist der
Zugriff höchst performant.
3.2. Clipboard-Unterstützung
Der Benutzer kann über das RDP-Protokoll und das Clipboard
Copy und Paste zwischen dem lokalen Client und dem Desktop-PC durchführen.
3.3. Drucken mit HOB EasyPrint
Der Benutzer kann am lokalen Client etwas ausdrucken, dies
wird vereinfacht durch HOB EasyPrint welches Treiber-unabhängig arbeitet.
3.4. Unterstützung von Audio
Audio vom Desktop-PC kann am lokalen PC
wiedergegeben werden.
3.5. Local-Drive-Mapping zum Austausch von Files
Durch das integrierte Local-Drive-Mapping können Daten
zwischen dem lokalen PC und dem Desktop-PC ausgetauscht werden.
3.6. Zugriff auf Windows-Rechner
HOB Desktop-on-Demand ist geeignet zum Zugriff auf
Desktop-PCs mit Windows XP, Windows Vista oder Windows 7. Die entsprechenden
Home-Versionen werden nicht unterstützt weil hier der integrierte RDP-Server von
Microsoft nicht komplett freigeschaltet ist.
3.7. Zugriff auf Apple MACs
Für den Zugriff auf Apple MACs gibt es als Zusatz das HOB
MAC-Gate, eine Lösung für Apple MAC OS X.
Ist auf einen MAC OS X PC die Komponente HOB MAC-Gate
installiert, funktioniert HOB Desktop-on-Demand ebenso wie oben beschrieben;
es wird mit dem performanten RDP-Protokoll auf dem MAC zugegriffen.
3.8. Zugriff auf Linux-Rechner
Will man mit HOB Desktop-on-Demand in analoger Weise auf
Linux zugreifen, so bietet HOB dafür die Zusatz-Komponente X11Gate. HOB X11Gate
setzt X11 bzw. X-Windows nach RDP um.
4. Sicher weil zertifiziert nach Common Criteria
HOB Desktop-on-Demand ist Teil der umfassenden
Security-Lösung HOB RD VPN. HOB RD VPN ist vom BSI (Bundesamt für Sicherheit in
der Informationstechnik) nach Common Criteria zertifiziert. Die Zertifizierung
ist nach EAL2 unter dem Kennzeichen
BSI-DSZ-CC-0260-2004 erfolgt.
Aktuell wird die Zertifizierung nach EAL4+ durchgeführt,
der Abschluss wird demnächst erfolgen.
5. Geeignet für kleine und große Installationen
Der HOB WebSecureProxy skaliert gut. HOB führt interne
Tests durch bei denen 10.000 gleichzeitige SSL Verbindungen aufgebaut werden.
Dabei wird Last erzeugt die jeweils einem typischen RDP-Benutzer entspricht. Der
dazu notwendige Server (Hardware) kostet weniger als Euro 5.000.-
Der HOB WebSecureProxy kann auch auf kleinen Servern laufen
mit ARM-Prozessor, dies ist sehr kostengünstig. Deshalb ist HOB RD VPN ideal
geeignet für sehr kleine, kleine, große oder auch sehr große Installationen.
6. Kein Single-Point-of-Failure
Bei größeren Installationen können alle Komponenten des HOB
RD VPN im Firmennetz redundant ausgelegt werden. Dadurch wird ein Single-Point-of-Failure
verhindert und unterbrechungsfreier Betrieb ist möglich.
15.08.09 KB
|
| English |
Überblick
