Beiträge

Bei einem Intrusion Detection Service, abgekürzt IDS, handelt es sich um ein performantes Sicherheitssystem. Es ist in der Lage, Angriffe auf einzelne Computer, Server oder auf gesamte Netzwerke automatisch zu erkennen und die verantwortlichen Administratoren darüber zu informieren. Ein Intrusion Detection System kommt in der Regel in Kombination mit einer Firewall zum Einsatz, um eine bestmögliche Sicherheit von Computer-Netzwerken und -Systemen zu gewährleisten.

Allgemeine Informationen

Ein Intrusion Detection Service ist in der Lage, Angriffe auf Computernetzwerke oder Systeme automatisch zu erkennen und Anwender oder Administrationen darüber zu informieren. Intrusion Detection Systeme sind in unterschiedlichen Varianten erhältlich. So können Sie beispielsweise als dedizierte Hardware im Rahmen eines Netzwerks realisiert oder auch als Softwarekomponente auf einem Betriebssystem installiert sein. Ein IDS ist von einem Intrusion Prevention System (IPS) zu unterscheiden. Während ein Intrusion Detection System Angriffe aktiv verhindert, nimmt ein Intrusion Detection System potenzielle Angriffe lediglich wahr und verhindert diese nicht aktiv.

Administratoren oder weitere Sicherheitssysteme leiten die entsprechenden Gegenmaßnahmen bei Angriffen ein, die anhand der Alarmierung durch den Intrusion Detection Service ausgelöst werden. Im Vergleich zu einer gewöhnlichen Firewall zeichnet sich ein Intrusion Detection Service durch einen besseren Schutz aus. Dies ist auf die Tatsache zurückzuführen, da ein IDS auch Angriff nach einer Penetration der Firewall erkennen und nachverfolgen kann. Um sinnvolle und vor allem wirksame Gegenmaßnahmen zur Abwehr des Angriffs zu treffen, ist es von großer Bedeutung, dass der Intrusion Detection Service genaue Informationen über die Art und Weise sowie die Herkunft der Attacke liefert. So lassen sich zum Beispiel betroffene Services oder Ports automatisch herunterfahren oder blockieren.

Verschiedene Arten im Überblick

Intrusion Detection Systeme sind in unterschiedlichen Varianten erhältlich. Abhängig von dem Einsatzbereich und dem zu schützenden Netzwerk bzw. Computersystem kann man grundsätzlich zwischen drei unterschiedlichen IDS-Varianten unterscheiden:

– die Host-basierten Intrusion Detection Services (HIDS)

– die Netzwerk-basierten Intrusion Detection Services (NIDS)

– die hydriden Intrusion Detection Services (IDS)

Host-basierte IDS

Die Host-basierten Intrusion Detection Systeme werden direkt auf den zu überwachenden und zu schützenden Systemen installiert und stellen die älteste Art von Angriffserkennungssystemen dar. Das IDS überwacht auf dem Host den gesamten eingehenden und ausgehenden Netzwerkverkehr und sammelt unterschiedliche Daten des Systems. Falls ein potenzieller Angriff erkannt wird, werden die betroffenen Ports oder Services auf dem jeweiligen Host automatisch geblockt und die zuständigen Administratoren oder Anwender werden darüber in Kenntnis gesetzt. Obwohl ein IDS hocheffektiv ist, kann es nicht alle Angriffe gleichermaßen gut erkennen und analysieren. Wird ein Host beispielsweise durch eine Denial of Service-Attacke außer Gefecht gesetzt, ist IDS prinzipiell unwirksam.

Vorteile:

– Sehr genaue Aussagen über die Attacken

– Hosts werden umfassend überwacht

Nachteile:

– Kann durch einen DoS-Angriff unwirksam gemacht werden

Netzwerk-basierte IDS

Netzwerk-basierte Intrusion Detection Systeme versuchen, alle ein- und ausgehenden Pakete im Netzwerk aufzuzeichnen. Diese werden automatisch analysiert, um verdächtige Aktivitäten und Muster zu erkennen. Da heutzutage der Netzwerkverkehr im hohen Maße über das Internetprotokoll realisiert wird, muss eine Attacke auch über dieses Protokoll erfolgen. Demzufolge lässt sich ein gesamtes Netzwerksegment mit nur einem Intrusion Detection System überwachen. Die Bandbreite moderner Netzwerke kann jedoch die Kapazität des IDS übersteigen. In diesem Fall müssen dann Pakete verworfen werden, weswegen eine lückenlose Überwachung nicht mehr gewährleistet werden kann.

Vorteile:

– Ein IDS kann ein gesamtes Netzwerksegment überwachen

– Durch das gezielte Ausschalten eines Zielsystems ist die Funktion des IDS nicht gefährdet

Nachteile:

– Bei Überlastung kann keine lückenlose Überwachung gewährleistet werden

– Bei verschlüsselter Kommunikation können verschlüsselte Inhalte nicht analysiert werden

Hybride IDS

Ein hybrider Intrusion Detection Service verbindet beide Prinzipien, um eine höhere Erkennungsrate von Angriffen zu ermöglichen. Bei solchen Systemen spricht man von einer Kombination Host- und Netzwerk-basierter IDS-Typen, die über ein zentrales Managementsystem gesteuert werden. Die meisten modernen IDS basieren auf einem solchen hybriden Funktionsprinzip.

 

Funktionsweise eines Intrusion Detection Service

Die Funktionsweise eines Intrusion Detection Service lässt sich grob in zwei Schritte unterscheiden, und zwar:

– Datensammlung, und

– Datenanalyse

Während Host-basierte und hybride ID Systeme unterschiedliche Quellen für ihren Datenbestand nutzen, sammeln Netzwerk-basierte IDS ihre Daten auf Basis des Datenverkehrs. Besonders wichtig ist, dass alle Daten aus zuverlässigen Quellen stammen oder vom Intrusion Detection Service selbst gesammelt werden, sodass eine Manipulation nicht möglich ist. Das IDS untersucht die gesammelten Daten nach Auffälligkeiten und bekannten Angriffsmustern. Zu diesem Zweck zieht das Intrusion Detection System Datenbanken heran, sodass es in der Lage ist, Abweichungen und vom Normalbetrieb und Anomalien mit hoher Trefferquote zu erkennen. Bei modernen IDS kommen außerdem Erkennungs- und Analyseverfahren zum Einsatz, die auf künstlicher Intelligenz basieren.

Honeypots als wichtige Bestandteile moderner IDS

Einen wichtigen Bestandteil vieler Intrusion Detection Services stellen sogenannte Honeypots dar. Dabei handelt es sich um einen Computer oder einen Service im Netzwerk, der ungesichert ist und somit einen Hackerangriff provozieren soll. Er zieht Angriffe auf sich und bietet Administratoren die Möglichkeit, die Attacken genauer zu analysieren. Anhand dieser Analysen lassen sich besserer Präventions- und Abwehrmaßnahmen entwickeln.

IMAP (Internet Message Access Protocol) ist ein Protokoll, das die Verwaltung und das Herunterladen von E-Mails regelt. Diese Übertragung betrifft die Verbindung von Mailserver zum Endgerät, das Sie als Benutzer verwenden und worauf Sie Ihre E-Mails lesen. Das Post Office Protocol oder POP wird dafür immer mehr vom neueren Protokoll IMAP abgelöst, das wesentlich weitergehende Funktionen bietet.

Wie wird eine E-Mail übermittelt?

E-Mails sind Nachrichten, die in der Form von Datenpaketen zwischen Mailservern ausgetauscht werden. Diese Mailserver sind ständig mit dem Internet verbunden und deshalb für eine solche Übertragung immer erreichbar. Sie als Benutzer müssen nicht ständig erreichbar und online sein. Deshalb brauchen Sie einen Mailserver, der Ihre E-Mails für Sie bereithält. Protokolle wie POP und IMAP regeln das Vorhalten der E-Mails auf dem Mailserver und die Übertragung zwischen Ihrem Mailserver und Ihrem Endgerät.

Von POP zu IMAP

POP ist ein älteres Protokoll zur Verbindung von E-Mail Nutzern und ihrem Mailserver. POP bietet Ihnen nur wenig Auswahl darüber, was mit Ihren E-Mails geschehen soll. Sie können Sie entweder auf dem Mailserver belassen, wo aber alle E-Mails in einem Postfach zusammen gespeichert werden. Es gibt also keine Möglichkeit, die einzelnen E-Mails in verschiedenen Fächern zu speichern und so zu organisieren und zu gliedern. Die Alternative ist ein Herunterladen auf Ihr Endgerät, womit die Nachrichten aber auf dem Mailserver gelöscht werden. Gibt es also ein Problem mit Ihrem Endgerät, verlieren Sie Ihre E-Mails oder Sie erhalten alle auf dem Mailserver gespeicherten nochmals.

IMAP oder das Internet Message Access Protocol erweitert und ergänzt die Funktionen von POP. Mit IMAP können Sie Ihre E-Mails auf dem Mailserver in verschiedenen Postfächern speichern, die Sie zu diesem Zweck anlegen. Für die Datensicherheit ist das Protokoll selbst allerdings nicht ausgerüstet. Sie müssen zur Sicherstellung der Vertraulichkeit Ihrer E-Mails entweder über eine gesicherte SSL-Verbindung auf Ihren Mailserver zugreifen oder das erweiterte Protokoll IMAPS verwenden.

Die Vorteile von IMAP

Mit POP können Sie neu angekommene E-Mails nur durch eine Anfrage an Ihren Mailserver lesen. Das neue Protokoll IMAP bietet Ihnen eine Push-Benachrichtigung. Das bedeutet, dass der Mailserver von sich aus an Ihr Endgerät eine Nachricht schickt, wenn eine E-Mail in Ihrem Briefkasten angekommen ist. Damit erhalten Sie eine neue Nachricht sofort und ohne lästiges und dauerndes Abfragen Ihres Postkastens.

Auf dem Mailserver ist eine Speicherung aller E-Mails möglich und zwar in sinnvoller Gliederung. Sie können Ihre gesamten E-Mails auch auf dem Server nach Schlüsselwörtern oder anderen Kriterien durchsuchen.

Die E-Mails können Sie auch auf Ihr Endgerät herunterladen und dann bei Ihrem nächsten online Kontakt mit dem Mailserver synchronisieren. Insbesondere ermöglicht Ihnen das IMAP-Protokoll, dass Sie von mehreren Geräten nicht nur auf Ihre E-Mail zugreifen können, sondern die lokale Version auf allen diesen Geräte automatisch bei jedem Kontakt synchronisiert wird. Sie haben also auf allen Endgeräten die aktuelle Version Ihrer gesamten E-Mails gespeichert.

Nicht nur Sie allein, sondern auch andere Benutzer können auf das gleiche Postfach per IMAP zugreifen. Das ist besonders dann interessant, wenn in einer Organisation mehrere Mitarbeiter für die Betreuung bestimmter Kundenanfragen an eine bestimmte E-Mail Adresse zuständig sind. Auch möglich ist es, verschiedenen Benutzern auf sie jeweils angepasste Zugangsrechte einzuräumen.

Mittlerweile unterstützen die meisten Mailprogramme zumindest die Grundfunktionen des IMAP-Protokolls. Das gilt allerdings nicht für die erweiterten Funktionen wie die auf einzelne Benutzer angepassten Zugangsrechte. Diese Erweiterungen werden beispielsweise von Mozilla Thunderbird, Alpine und Microsoft Outlook unterstützt.

Der Unterschied zwischen IMAP und SMTP

POP und IMAP sind Protokolle zum Herunterladen und Verwalten von E-Mails auf Ihrem Mailserver. Das Simple Mail Transfer Protocol oder SMTP dient dagegen dem Senden und Weiterleiten von Nachrichten. Mit SMTP laden Sie die zum Absenden vorgesehenen E-Mails zu Ihrem Mailserver hoch. Auch die Weiterleitung an den Mailserver des Empfängers wird durch SMTP gesteuert.

Anydesk ist eine Softwarelösung, die Ihnen einen Fernzugriff auf Ihre oder die Computer Ihrer Kunden ermöglicht. Die Technologie der deutschen Herstellerfirma fußt auf einer eigenen Entwicklung des Übertragungsdatenformats und bietet deshalb auch an Orten mit langsamem Internetservice effiziente Verbindungen. Anydesk ermöglicht eine Vielzahl von Anwendungen vom privaten Haushalt bis zum Großunternehmen.

Anwendungen von Anydesk

Die klassische Anwendung ist die Remote-Desktop Lösung. Sie können damit von jedem Gerät auf Ihren Computer zu Hause oder in Ihrer Firma zugreifen. Die Technologie bietet also die Grundlage für das Arbeiten im Home-Office. Genauso können Sie auf Geschäftsreisen von überall auf Ihre Computer zugreifen. Dabei sind Sie nicht auf den Transfer von Dateien beschränkt, obwohl dieser natürlich auch möglich ist. Es werden alle Daten zur Darstellung des Bildschirms und alle Eingaben von Maus und Tastatur in Echtzeit übertragen. Sie können damit auf Ihrem Computer von überall fast so arbeiten, als säßen Sie direkt vor Ihrem Gerät.

Darüber hinaus eröffnen sich in Unternehmen weitergehende Anwendungen. Ganze Gruppen von Mitarbeitern können mit Anydesk gemeinsam Dokumente bearbeiten. Workshops und Meetings lassen sich unabhängig davon organisieren, an welchen Orten sich die Teilnehmer gerade befinden. Den Kunden Ihres Unternehmens können Sie eine individuell angepasste Benutzeroberfläche bieten, die sich in 28 Sprachen auf Ihre Bedürfnisse anpassen lässt.

Support und Wartung wird immer wichtiger und Ihre Kunden erwarten, bei Problemen sofort Hilfe in Anspruch nehmen zu können. Probleme über ein Telefongespräch zu erkennen ist schon umständlich genug und eine Lösung wird nur in einfachen Fällen auf diese Weise möglich sein. Mit Anydesk können Ihre Supportmitarbeiter sofort eine direkte Verbindung zum Gerät Ihrer Kunden herstellen und das Problem unmittelbar diagnostizieren und beheben.

Features von Anydesk

Anydesk funktioniert mit allen gängigen Betriebssystemen wie Windows, Mac OS, iOS, Android, Linux und auch FreeBSD und Raspberry Pi. Wenn Sie Anydesk aktivieren, können Sie sofort erkennen, welche Remote Computer gerade online sind. Es ist sogar ein Zugriff auf Rechner möglich, die sich im Ruhemodus befinden und die Sie über Anydesk aufwecken können. Als äußerste Maßnahme ist auch ein Neustart eines Remote Computers möglich.

Sicherheit ist ein offensichtliches Thema, wenn es um Fernzugriffe auf Computer geht. Um dieses Problem in den Griff zu bekommen, verwendet Anydesk das Protokoll TLS 1.2, das auch für Online Banking zum Einsatz kommt. Des Weiteren ist eine 2-Faktor-Authentifizierung möglich. Dabei ist für einen Fernzugriff ein Code erforderlich, der von einer Smartphone App erzeugt wird. Sollten Sie ein eigenes Netz von Geräten betreiben wollen, können Sie Anydesk ohne Zugriff auf die Server von Anydesk oder auch nur das Internet betreiben.

Neu in der im Jahr 2020 eingeführten Version 6 von Anydesk werden Ihnen detaillierte Administratorenfunktionen zur Verfügung gestellt. Damit können Sie Einstellungen für Gruppen von Arbeitsplätzen vornehmen, die dann automatisch von allen Geräten im Netzwerk übernommen werden. Ein Passwort kann an bestimmte Berechtigungen gekoppelt werden. Dann ist beispielsweise die Verwendung des Dateitransfers mit einem eigenen Passwort geschützt. Für die Gültigkeit können Sie darüber hinaus noch ein Zeitlimit festlegen. Zum Zugriff auf Ihren Rechner kann ein Eintrag des Nutzers auf einer Whitelist als Voraussetzung bestimmt werden.

Gerade bei Anwendungen in größeren Firmen sind oft Aufzeichnungen von Sitzungen von Vorteil. Diese sind mit Anydesk mit einem Klick zu starten und zu stoppen. In der Aufzeichnung können Sie dann ganz einfach zu einem beliebigen Zeitpunkt springen.

Die Technik dahinter

Der Kern von Anydesk ist eine eigene Entwicklung der Herstellerfirma. Dabei handelt es sich um ein Video Codec mit der Bezeichnung DeskRT. Dieses Video Codec zeichnet sich durch besonders hohe Effizienz in der Übertragung aus. Auch mit einer Übertragungskapazität von gerade einmal 100 kByte pro Sekunde kann Anydesk zur Fernsteuerung von Computern genutzt werden.

Anydesk zeichnet sich auch als besonders schlanke Lösung aus. Heruntergeladen werden muss nur eine Datei im Umfang von 3,2 MByte, die für eine Verwendung von Anydesk bereits ausreicht.

Die Serverlösungen von Anydesk sind in der Programmiersprache Erlang entwickelt, die besonders für Anwendungen im Bereich der Telekommunikation geeignet ist.

Die Nutzung von Anydesk zu privaten Zwecken ist kostenlos. Für Unternehmen gibt es die Möglichkeit, die Software vor Erwerb einer Lizenz gratis zu testen. Der Preis für Unternehmenslösungen hängt davon ab, ob Sie nur einen Benutzer oder beliebig viele vorsehen wollen. Des Weiteren beeinflusst den Preis, wie viele gleichzeitige Sitzungen Sie benötigen. Sie können zuerst eine Lizenz für eine wenig umfangreiche Benutzung erwerben und diese bei Bedarf mit intensiverer Verwendung einfach mitwachsen lassen. Updates sind bei Anydesk kostenlos für die Inhaber von Lizenzen. Die Versionen sind miteinander kompatibel.

Das Unternehmen dahinter

Es wurde 2014 gegründet und hat seinen Sitz in Stuttgart. Das Unternehmen sieht sein Produkt als grundlegendes Werkzeug zur möglichst reibungslosen Zusammenarbeit von Gruppen von Mitarbeitern. Besonderen Wert legt Anydesk darauf, die Anregungen von Nutzern und Kunden aufzunehmen und in die neuen Versionen einfließen zu lassen, was gerade auch in der neuen Version 6 eine Rolle gespielt hat.

Mit dem englischen Begriff Virtual Desktop Infrastructure (VDI) wird eine IT-Infrastruktur zur Zentralisierung und Virtualisierung der Funktionalitäten von Desktop-Rechnern bezeichnet. Durch den Einsatz von VDI lässt sich die Ausstattung der Desktop-Clients am Arbeitsplatz wesentlich reduzieren.

Allgemeine Informationen

Das Konzept der Desktop-Virtualisierung basiert auf dem Ansatz, sämtliche Funktionalitäten eines Arbeitsplatz-Rechners über ein zentrales System, wie beispielsweise Hyper-V, zur Verfügung zu stellen. Der Anwender benötigt am Arbeitsplatz lediglich einen Client, auf dem er den virtualisierten Desktop-PC aufruft. Die Bedienung gestaltet sich dabei wie bei einem gewöhnlichen Desktop-PC. Per Tastatur und Maus wird der Client gesteuert und die Ausgabe der grafischen Anzeige erfolgt lokal über den Monitor, während sämtliche Software-Komponenten auf einem zentralen Server ausgeführt werden.

Der Anwender befindet sich an einem anderen Ort als sein virtueller Desktop-PC. Die Übertragung aller Ein- und Ausgaben zwischen dem Client und Server wird über das Netzwerk realisiert. Der Zugriff auf eine Virtual Desktop Infrastructure (VDI) ist prinzipiell sowohl über das Internet als auch über ein lokales Netzwerk möglich. Um alle Funktionalitäten performant bereitstellen zu können, muss das Netzwerk bestimmte Mindestanforderungen in Bezug auf die Bandbreite und Latenz erfüllen. Im Kontext einer Virtual Desktop Infrastructure wird der Client als Terminal und der Server als Terminal-Server bezeichnet. Die Protokolle, über die die gesamte Kommunikation realisiert wird, sind bei den meisten Systemen proprietär und unterscheiden sich von Anbieter zu Anbieter. Eines der bekannteren Protokolle ist zum Beispiel das Remote Desktop Protocol (RDP), das von Microsoft entwickelt wird.

Bekannte Systeme

Auf dem Markt gibt es eine Vielzahl von Herstellern die unterschiedliche Virtual Desktop Infrastructure-Systeme anbieten. Neben kostenpflichtigen Lösungen sind auch Open Source-Lösungen für die Virtualisierung der Desktop-Infrastruktur samt Clients erhältlich. Die bekanntesten kommerziellen VDI Systeme werden von folgenden Herstellern entwickelt:

–       HP

–       Fujitsu

–       Microsoft

–       Dell

–       Citrix

–       VMWare

–       ViewSonic

–       VXL Instruments

Frei verfügbare VDI-Lösungen auf Open Source-Basis sind beispielsweise:

–       QVD Community Edition

–       Linux Terminal Server Project

Die verschiedenen Client-Arten im Überblick

Im Rahmen einer Virtual Desktop Infrastructure können unterschiedliche Arten von Clients eingesetzt werden. Grundsätzlich werden drei verschiedene Client-Typen unterschieden. Eine eindeutige Abgrenzung zwischen den einzelnen Typen existiert jedoch nicht:

–       Zero Client

–       Thin Client

–       Thick Client

Der Zero Client

Bei dem sogenannten Zero Client handelt es sich um ein maximal abgespecktes Gerät. Zero Clients sind prinzipiell ohne Eingriff eines Administrators einsatzfähig. Eine individuelle Anpassung  des Zero Clients für den Fernzugriff ist nicht nötig. Sobald der Zero Client an das Netzwerk angebunden und mit einer Maus und Tastatur verbunden ist, kann er als virtueller Desktop eingesetzt werden. Die meisten Zero Clients setzen sich aus einem sehr kleinen Computergehäuse zusammen, das sich mit dem Monitor, der Maus und Tastatur sowie dem Netzwerk verbinden lässt. Weitere charakteristische Merkmale eines Zero Clients sind:

–       kein Konfigurationsaufwand und eine simple Administration

–       auf dem Zero Client befindet sich keine oder nur Minimalsoftware

–       aufgrund der abgespeckten Hardware sind die Anschaffungskosten geringer als bei den anderen beiden Client-Varianten

–       ein geringer Stromverbrauch

Der Thin Client

Thin Clients kommen für die Darstellung virtueller Desktops zum Einsatz. Solche Clients sind mit leistungsschwächerer Hardware ausgestattet und sind i auf die wichtigsten Komponenten zur Ausführung des virtuellen Desktops ausgerichtet. Oft werden bei solchen Geräten keine Massenspeicher oder CD-/DVD-Laufwerke eingesetzt. Da der Hauptprozessor und andere Hardwarekomponenten aufgrund der geringen Leistung wenig Wärme produzieren, arbeiten Thin Clients in der Regel ohne aktive Kühlung und  völlig geräuschlos. Dies wirkt sich äußerst positiv auf die Nutzungsdauer aus, weswegen die Hardware seltener ersetzt werden muss.

Der Thick Client

Bei einem Thick Client handelt es sich um einen voll ausgestatteten PC, auf dem ein Software-Paket zur Darstellung der virtuellen Desktop-Umgebung installiert ist. Konkret bedeutet das, dass der Thick Client sowohl über einen eigenen Desktop als auch über einen Remote-Desktop verfügt. Der wesentliche Vorteil eines solchen Clients ist, dass er sowohl für virtuelle Desktop-Anwendungen als auch für lokal betriebene Anwendungen gleichermaßen gut nutzbar ist. Ein bedeutender Nachteil spiegelt sich jedoch in der Tatsache wider, dass viele Vorteile einer VDI Infrastruktur durch den Einsatz eines Thick Clients verloren gehen.

Vorteile einer VDI Infrastruktur im Überblick

Durch den Prozess der Virtualisierung und Zentralisierung der Desktop-PCs ergeben sich zahlreiche Vorteile. Die zentrale Bereitstellung der Desktop-Services vereinfacht deren Administration und Konfiguration. Updates lassen sich auf diese Weise schnell und einfach einspielen und mit wesentlich weniger Aufwand als in traditionellen LANs durchführen. Des Weiteren können Inkompatibilitäten oder auftretende Probleme dank virtueller Server an einer zentralen Stelle analysiert und gelöst werden. Viele Bereitstellungsprozesse der Desktop-Funktionalitäten sowie Backup-Services lassen sich automatisieren und dadurch wesentlich vereinfachen.

Die bedeutendsten Vorteile einer Virtual Desktop Infrastructure ergeben sich in erster Linie durch den Einsatz weniger aufwendiger Client. Dadurch kann man auch vollwertige PCs mit Komplettausstattung verzichten, die in der Regel viel teurer als die entsprechenden Client-Lösungen sind. Darüber hinaus wird die Verflechtung zwischen Software- und Hardwareanwendungen aufgehoben, sodass ein Austausch der Clients aufgrund neuer Software- oder Hardwareanforderungen überflüssig wird. Die Clients weisen dadurch eine deutlich höhere Nutzungsdauer auf.

Bei Hardwarestörungen muss der Administrator das Problem nicht mehr lokal vor Ort beim Nutzer beheben, sondern die Probleme lassen sich an einem zentralen Server beheben. Auch das Einspielen bzw. Zurückspielen von Updates sowie das Wiederherstellen gelöschter Daten werden zentral realisiert. Da die gesamte Infrastruktur für den professionellen Einsatz ausgelegt ist, erhöht sich die Verfügbarkeit der virtuellen Clients deutlich und ist im direkten Vergleich zu traditionellen Desktops um ein Vielfaches höher. Des Weiteren sollten die Vorteile der VDI Infrastruktur auch in Sachen Ressourcenschonung sowie Energieeffizienz keinesfalls vernachlässigt werden.

Die Abkürzung SSH steht für Secure Shell, Secure Shell ist ein Netzwerkprotokoll, mit dem sichere Verbindungen zwischen zwei Geräten über ein potenziell unsicheres Netzwerk eingerichtet werden können. Mit Secure Shell kann eine verschlüsselte Verbindung von einem lokalen Computer zur Kommandozeile (Shell) auf einem Webserver oder einem anderen Gerät hergestellt werden. Eingaben auf dem lokalen Computer werden an den Server übertragen und Ausgaben der entfernten Konsole auf dem lokalen Computer angezeigt.

Die Übermittlung von Daten und die Fernwartung oder Steuerung von Servern über das Internet ist potenziell unsicher. Um die Kommunikation über ein unsicheres Netzwerk wie dem Internet vor Angriffen und unbefugten Zugriffen zu schützen, ist eine sichere Verbindung erforderlich. Seit Mitte der 1990er-Jahre wird SSH eingesetzt, um Verbindungen über das Internet und andere Netzwerke abzusichern.

Die erste Version von SSH, heute SSH-1 bezeichnet, wurde vom finnischen Entwickler Tatu Ylönen 1995 vorgestellt. Bereits im Dezember des gleichen Jahres gründete Tatu Ylönen das Unternehmen SSH Communication Security, um Secure Shell als proprietäre Software zu vertreiben. Nur wenig später wurde auf der Grundlage von SSH-1 OpenSSH entwickelt. OpenSSH ist kostenlos. Die aktuelle von der Internet Engineering Task Force (IETF) zertifizierte kostenpflichtige Version ist SSH-2. Sie wurde entwickelt, da die erste Version Sicherheitslücken aufwies.

Wofür wird SSH verwendet?

SSH ermöglicht Nutzern den Aufbau einer sicheren, authentifizierten und verschlüsselten Verbindung zwischen zwei Computern über ein potenziell unsicheres Netzwerk wie dem Internet. Das Secure Shell Protokoll bietet Nutzern drei wichtige Eigenschaften:

  • Authentifizierung der Gegenstelle
  • Verschlüsselung der Datenübertragung
  • Datenintegrität

Bei der Verwendung von Secure Shell wird sichergestellt, dass eine Verbindung nur zwischen den zwei Computern aufgebaut wird, die miteinander verbunden werden sollen. Dadurch die Verschlüsselung ist ein Abhören der übermittelten Daten durch einen Man-in-the-Middle-Angriff nicht möglich. Die übertragenen Daten können zudem nicht manipuliert werden.

Einsatzgebiete von Secure Shell sind:

  • Remote-Systemadministration
  • Remote-Befehlsausführung,
  • sichere Datenübermittlung
  • Aufruf, Ändern und Speichern von Dateien
  • sichere Erstellung von Backups

SSH Client und SSH Server

Das SSH-Protokoll basiert auf dem Client/Server-Modell. Der lokale Computer ist in der Regel der Client. Client ist gleichzeitig die Bezeichnung für die installierte Secure Shell Software. Diese Software ist standardmäßig auf UNIX-, Linux– und MacOS-Rechnern vorhanden. In Windows wurde SSH erstmals ab der Version 1709 implementiert. In Windows 10 ist ein OpenSSH-Client seit dem Oktober 2018 Update (Version 1809) standardmäßig installiert.

Für ältere Windows Versionen muss die Secure Shell Software separat installiert werden. Das bekannteste kostenlose SSH Software Tool für Windows Betriebssysteme ist Putty. Alternativ kann das von der SSH Communications Security vertriebene kostenpflichtige Tectia SSH installiert werden. Dieses Tool enthält zusätzlich die benötigte Server Software. Die Bezeichnung SSH-Server wird für einen physischen Server und eine Software, die beispielsweise auf einem Webserver installiert ist, gleichermaßen verwendet. Der Server ist der Kommunikationspartner des Clients.

Wie funktioniert SSH?

Die beiden zentralen Funktionen von SSH sind die Authentifizierung der beiden beteiligten Computer und die Verschlüsselung der Daten. Der Aufbau einer sicheren Verbindung geht immer vom Client aus. Der Server registriert eingehende Verbindungsanforderungen und antwortet darauf. Normalerweise gelangen Verbindungsaufforderungen über den TCP-Port 22 auf das Hostsystem. Sobald der Server eine Verbindungsaufforderung erhält, beginnt der Verbindungsaufbau mit der Authentifizierung.

Authentifizierung von Server und Client

Die Authentifizierung über SSH ist mit einem auf den Server hinterlegten Passwort möglich. Da dass Passwort erraten werden kann, ist bei Secure Shell alternativ die Authentifizierung mit dem Public-Key-Verfahren möglich. Bei diesem Verfahren werden ein öffentlicher und ein privater Schlüssel verwendet. Um dieses Verfahren nutzen zu können, muss zunächst ein Schlüsselpaar auf dem lokalen Client erzeugt werden. Der private Schlüssel liegt immer auf dem Client und muss vor unbefugten Zugriffen gesichert werden. Der öffentliche Schlüssel wird auf den Server übertragen.

Für die Authentifizierung schickt der Server eine zufällig generierte und mit dem öffentlichen Schlüssel des Clients verschlüsselte sogenannte „Challenge“ an den Client. Diese Challenge kann nur mit dem privaten Schlüssel des Clients wieder entschlüsselt werden. Die entschlüsselte Challenge wird vom Client an den Server zurückgesendet. Ist die Entschlüsselung korrekt, ist die SSH Authentifizierung abgeschlossen und die Identität des Benutzers bestätigt.

Verschlüsselung der übertragenen Daten

Nach dem Abschluss der gegenseitigen Authentifizierung von Client und Server kann die verschlüsselte Verbindung über SSH aufgebaut werden. Für diese Verbindung wird ein eigener Schlüssel erzeugt. Dieser Schlüssel ist nur für eine Sitzung gültig und verfällt, wenn die Sitzung beendet wurde. Für die sichere Verbindung nutzen Server und Client den gleichen Schlüssel. So können ausgetauschte Nachrichten von beiden Teilnehmern verschlüsselt und wieder entschlüsselt werden. Die Erstellung des Schlüssels erfolgt gleichzeitig auf dem Server und dem Client, ist aber unabhängig voneinander. Für die Erstellung des Schlüssels werden geheime und bestimmte öffentliche Informationen, die beide Verbindungspartner kennen, verwendet.

Zusätzlich werden die über SSH übermittelten Daten durch Hashing gesichert. Hierzu wird aus den Daten mithilfe eines Algorithmus ein sogenannter Hash erstellt. Ein Hash ist im Prinzip wie ein Fingerabdruck oder eine eindeutige Signatur für einen bestimmten Datensatz. Werden die Daten bei der Übertragung verändert, verändert sich auch der Hashwert. Dadurch kann sichergestellt werden, dass die Daten während der Übertragung nicht manipuliert worden sind.

Virtual Network Computing oder VNC ist ein System zur Interaktion mit einem Computer, wenn Sie sich an einem beliebigen Standort befinden. Arbeiten Sie an einem üblichen Desktop, steht der Computer in Ihrer unmittelbaren Nähe. Die Maus, die Tastatur und der Bildschirm sind drahtlos oder über ein Kabel direkt mit dem Computer verbunden.

Mit VNC können Sie an einem weit entfernten Computer so arbeiten, als säßen Sie direkt davor. Ein- und Ausgaben werden einfach über das Internet übertragen. Die Software VNC übernimmt die Details, sodass Sie sich auf Ihre Arbeit in so vielfältigen Bereichen wie dem Homeoffice oder der Administration von Computern widmen können.

Nutzen Sie VNC, ist Ihre Arbeitsumgebung praktisch dieselbe, nur läuft die Verbindung zum Computer über das Internet. Diese Technologie erlaubt Ihnen einen unmittelbaren Kontakt mit entfernten Servern.

Dafür muss das System allerdings einige Probleme lösen. Zum einen muss die Übertragung schnell genug sein, um im benutzerfreundlichen Rahmen zu bleiben. Zum anderen müssen für die Daten geeignete Formate gefunden werden. Nicht zuletzt muss die Übertragung sicher sein. Nur so können Sie ohne Bedenken auch Daten wie Passwörter eingeben. Die unmittelbare Erfahrung des Desktops kann zu unsicherem Verhalten verleiten, wenn die Übertragung durch unsichere Netze nicht gebührend berücksichtigt wird.

Anwendungsmöglichkeiten für VNC

Die einfachsten Anwendungen finden Sie im Bereich des Homeoffice und des Remote Desktops. Gleich ob Sie einfach zu Hause arbeiten wollen oder auf Reisen sind, ein direkter Zugriff auf Ihren Server am Arbeitsplatz kann Ihre Effizienz stark erhöhen. Statt nur auf einzelne Dateien zugreifen zu können, sehen Sie den Bildschirm so vor sich, wie Sie es gewöhnt sind.

VNC eignet sich aber auch als Werkzeug für Netzwerkadministratoren. Sie können mit VNC eine entfernte Maschine übernehmen, neue Software darauf installieren oder sich auf Fehlersuche begeben.

Je nach Anwendungsbereich kann eine Überwachung eines Computers als Chance oder als Problem gesehen werden, was beides auch mit VNC möglich ist. Für den lokalen Nutzer ist es dabei nicht immer klar ersichtlich, ob ein Zugriff auf seinen Computer aus der Distanz erfolgt.

Das VNC zugrundeliegende Protokoll

Das System VNC baut auf dem Remote Framebuffer Protocol oder RFB auf, das für den Zugriff auf eine grafische Benutzeroberfläche von Computern entworfen wurde. RFC baut auf TCP auf, also auf einem zentralen Baustein des Internets.

Beim Verbindungsaufbau bietet der Server verschiedene Authentifizierungsmethoden an, aus denen der Client eine auswählt. Die zentrale Funktion von RFB ist das Anzeigen der Benutzeroberfläche auf der einen und die Weiterleitung von Eingaben an den entfernten Server auf der anderen Seite.

Das Protokoll ist zustandslos, wie das auch eine HTTP-Verbindung ist. Das bedeutet, dass jede Anfrage des Clients an den Server von den vorhergehenden unabhängig ist. Damit ist ein Wechsel des Clientgeräts oder eine Unterbrechung problemlos zu bewältigen.

Die Übertragung der Bildschirmdaten erfolgt über einen Grafikspeicher, der den gesamten Bildschirm darstellt. Dynamik wird mit der Übertragung der Änderungen bewältigt, was die notwendige Bandbreite wesentlich reduziert. Die Bildqualität wird dabei vom Client angefordert, der also die Grafik an seine technischen Möglichkeiten anpassen kann. Damit ist VNC mit einer Vielzahl von Clients nutzbar. In den neuen Versionen von VNC wird die Bewegung des Mauspfeils auf dem Client direkt gesteuert, was wiederum die Darstellungsgeschwindigkeit weiter erhöht.

Technische Details

Für das System sind Implementierungen für alle gängigen Betriebssysteme verfügbar und deshalb kann VNC als plattformunabhängig gelten. Die Software ist quelloffen und damit für jeden auf Sicherheitslücken überprüfbar. Verfügbar sind auch zahlreiche Abspaltungen mit Zusätzen und Verbesserungen, die aber in der Regel mit dem Original kompatibel sind.

RFB ist selbst nicht verschlüsselt, weswegen zur Sicherheit eine Verbindung über TLS erforderlich ist. Insbesondere die Übertragung von Passwörtern sollten Sie ohne eine solche Vorkehrung unterlassen.