Beiträge

Auf dem Remote Framebuffer Protocol bauen Anwendungen wie VNC auf, die das Arbeiten an einem Computer über eine Netzwerkverbindung ermöglichen. Sie als Benutzer sitzen an einem mit Client bezeichneten Gerät, das über das Internet mit einem anderen Computer verbunden ist. Auf diesem Computer laufen Ihre Anwendungen (Software). Was Sie bei direktem Kontakt mit dem Server auf seinem Bildschirm sehen würden, wird über das Netz übertragen.

Das Remote Framebuffer Protocol und seine Eigenschaften

Das RFP liegt im OSI-Netzwerkmodell in der Anwendungsschicht, im Protokollstack des Internets ist es über TCP angesiedelt.

RFP verwendet ein Client-Server-Modell. Der Client ist das Gerät, das Sie für Ihre Benutzerinteraktion verwenden. Der Server ist ein Computer, auf dem die von Ihnen verwendete Software läuft. RFP verbindet diese beiden Geräte so, dass Sie auf dem Client ähnlich wie direkt am Server arbeiten können.

Das Remote Framebuffer Protocol lässt den Server einen Screen anbieten, der vom Client dargestellt wird. Der Client wiederum nimmt Ihre Eingaben an Text und Maussteuerung entgegen und übermittelt sie an den Server.

Diese Übertragung ist grafikorientiert und deshalb für verschiedene Fenstersysteme geeignet. Das Remote Framebuffer Protocol ist zustandslos. Das bedeutet, dass hintereinander erteilte Anfragen des Clients an den Server voneinander unabhängig sind. Das ermöglicht einen einfachen Wechsel des Clients in einer Sitzung, da eine neue Verbindung nicht auf gespeicherte Parameter zugreifen muss.

Kodierung der Daten im Remote Framebuffer Protocol

Eine ständige Übertragung aller Pixel einer grafischen Benutzeroberfläche kann sehr aufwendig sein, wenn Sie zum Beispiel durch eine große Datei scrollen oder einen Webbrowser verwenden.

Eine Lösung für dieses Problem besteht zum Teil in der Wahl einer geeigneten Kodierung. Darüber hinaus werden nur die Änderungen übertragen, die in einem kurzen Zeitintervall angefallen sind. Der Client fordert in seiner initialen Anfrage eine bestimmte Farbtiefe vom Server. Dieser entspricht dieser Anforderung, wenn sie in seinem Angebot enthalten ist.

Die erste Version von RFP behandelte auch die Darstellung des Mauszeigers wie alle anderen zu übertragenden Daten. Das ergibt nicht nur hohe Datenraten, sondern auch eine hohe Latenz. Zwischen der Bewegung der Maus und der Darstellung auf dem Bildschirm entsteht also eine merkliche zeitliche Lücke, was für Sie als Benutzer irritierend wäre. Um diesen Punkt zu verbessern, wird ab der Version 3.8 der Mauszeiger vom Client dargestellt.

Anwendung im Virtual Network Computing

Virtual Network Computing oder VNC ist eine Implementation des RFP. Es ist plattformunabhängig und verfügbar für alle gängigen Betriebssysteme. Seit 1998 wird VNC als quelloffene Software angeboten.

Eine typische Verwendung von VNC ist die Anbindung Ihres eigenen Computers an ein Firmennetzwerk, um im Home Office arbeiten zu können. Geschäftsreisende können mit VNC von jedem Reiseziel ebenfalls auf die Ressourcen ihrer Firma zugreifen. Nicht zuletzt wird VNC oft für Supportdienstleistungen verwendet, wenn auf dem Gerät des Kunden Änderungen vorgenommen werden müssen.

VNC ist auch geeignet für die Verwendung mit einem Client geringer Leistung und deshalb ist Dateitransfer nicht als Standardfunktion enthalten. Für die Verwendung kann eine Konfiguration von Firewall oder Router erforderlich sein.

Die Sicherheit des Remote Framework Protocol und von VNC

An sich ist das Remote Framebuffer Protocol kein sicheres Protokoll, die Sicherheitsanforderungen müssen deshalb mit eigenen Maßnahmen erfüllt werden. Es ergeben sich zwei Probleme im Zusammenhang mit Informationssicherheit. Zum einen muss die Übertragung vertraulicher Daten zwischen Client und Server gesichert werden. Zum anderen sollte der Benutzer des Clients sicher sein, dass niemand eine Remote Framebuffer Protocol-Verbindung zu seinem Bildschirm hergestellt hat und ihn so überwachen kann. Vor einer solchen Überwachung möchten Sie auch oder sogar besonders dann geschützt sein, wenn sie von Ihrer Organisation durchgeführt wird.

Zur Übertragung von vertraulichen Daten wie Passwörtern kann eine Verschlüsselung auf einer tieferen OSI-Ebene eingesetzt werden. Dafür kommt eine SSL-Verschlüsselung auf der Transportschicht in Frage. Es steht mit VeNCrypt auch ein eigenes Verschlüsselungsprotokoll zur Verfügung, das besonders auf die Verwendung mit VNC optimiert ist. Eine elegante Lösung ist die Verwendung eines VPN, was mehrere Vorteile hat. Die Übertragung des Bildschirminhalts ist durch den VPN gesichert. Sie erhalten vom VPN eine neue IP-Adresse, was eine gewisse Anonymität verschafft. Schließlich kann die Verwendung eines VPN sonst möglicherweise auftretende Konfigurationsprobleme lösen.

Das andere Sicherheitsproblem ergibt sich daraus, dass ein Desktop-Sharing auch ohne das Einverständnis der Person am Client-Gerät aktiviert werden kann, wenn dem nicht eigene Riegel vorgeschoben werden. Eine Implementierung kann vom Benutzer diese Zustimmung aktiv anfordern und ein Screen-Sharing nur mit dieser Bestätigung aktivieren.

Road Warriors (englisch für Straßenkämpfer) gehören zu jener Gruppe von Mitarbeitern, die viel außerhalb des eigenen Unternehmens arbeiten und für die ein fest eingerichteter, fixer Arbeitsplatz in einem stationären Büro kaum bis gar keine Bedeutung hat. Was einen Road Warrior ausmacht, und wie er sich von Menschen unterscheidet, die im Home Office arbeiten, erfahren Sie in diesem Beitrag.

Der Begriff Road Warrior stammt aus einer Zeit, in der es die heute aus dem Arbeits- und Wirtschaftsleben nicht mehr wegzudenkenden Telekommunikationsmittel noch nicht gegeben hat. Schon vor den 1990er Jahren wurden Menschen, die beruflich viel unterwegs waren, also zum Beispiel Handelsvertreter oder Kundenberater im Außendienst als Road Warrior bezeichnet. Diese Mitarbeiter sind eigentlich nur zur Erledigung ihrer administrativen Verpflichtungen oder für wichtige Besprechungen ins Büro gekommen, oder, wenn sie Kommunikationsmittel wie das Telefax verwenden wollten. Diese technischen Ressourcen waren damals sehr teuer und nicht im Übermaß vorhanden, sondern standen an einer zentralen Stelle zur gemeinsamen Nutzung zur Verfügung.

Die Verbindung über VPN

Von besonderer Bedeutung ist, wie Sie, wenn Sie der außerhalb des Unternehmens arbeiten, auf das Netzwerk, die Programme und Dateien des Unternehmens zugreifen können. Dies erfolgt heutzutage fast immer über Remote-Desktop-Lösungen, weil es in den meisten Fällen praktischer und günstiger ist, als Software auf die einzelnen externen Computer zu spielen.

Der Zugriff von Remote-Usern auf Anwendungen des Unternehmens wird durch die Virtual-Private-Networks-Technologie (VPN-Technologie) ermöglicht. Ein virtuelles privates Netzwerk erweitert ein privates Netzwerk auf ein öffentliches Netzwerk und ermöglicht es Benutzern, Daten über gemeinsam genutzte oder öffentliche Netzwerke zu senden und zu empfangen.

Anwendungen, die über ein VPN ausgeführt werden, können von der Funktionalität, Sicherheit und Verwaltung des privaten Netzwerks profitieren. Natürlich ist die Sicherheit ein großes Thema, wenn eine Vielzahl externer Geräte auf Unternehmensressourcen zugreifen. Die Netzwerkverbindung erfolgt daher mithilfe eines verschlüsselten Tunnelprotokolls, der Road Warrior oder Mitarbeiter im Home Office muss sich identifizieren, um in das System einsteigen zu können. Diese Identifikation kann mittels eines Kennworts, biometrischer Daten (Iris-Erkennung, Fingerabdruck) oder Zwei-Faktor-Authentifizierung erfolgen.

Mit dem Aufkommen des Internets und der rasanten Verbreitung leistbarer, effizienter und mobiler Telekommunikationstechnologie in Form von Mobiltelefonen, Laptops, Smartphones und Tablets wurde die Arbeit für den Road Warrior insofern einfacher, als er noch weniger auf ein stationäres Büro bzw. einen fixen Arbeitsplatz angewiesen war. Heutzutage kann der Road Warrior praktisch alle seine administrativen Aufgaben bequem auswärts erledigen, ins Büro kommt er nur mehr für Besprechungen und zur Aufrechterhaltung der sozialen Anbindung an das Unternehmen.

Heute versteht man also denjenigen als Road Warrior, der seine Arbeit von unterwegs mit mobilen internetfähigen Geräten wie Tablets, Laptops und Smartphones erledigt. Über diese Technologien ist er mit Vorgesetzten, Mitarbeitern und Kollegen verbunden und kann mobil auf Unternehmensnetzwerke zugreifen.

Road Warriors haben eigentlich als erste vorgelebt, dass es funktionieren kann, ohne stationären Arbeitsplatz auszukommen. Ihre Art des mobilen Arbeitens hat wohl auch das Aufkommen von Arbeitsformen wie Heimarbeit (Home Office, Teleworking) unterstützt.

Unterschiedliche Arten, außerhalb des Unternehmens zu arbeiten

Die Art, wie ein Road Warrior arbeitet, würde man im Deutschen wohl als „mobiles Arbeiten“ bezeichnen. Dies ist begrifflich von der Arbeit im Home Office oder am Telearbeitsplatz zu unterscheiden. Road Warriors sind übrigens auch keine digitalen Nomaden. Darunter versteht man Menschen, die aufgrund einer persönlichen Entscheidung ohne festen Wohnsitz leben und von überall auf der Welt ausarbeiten.

Mobiles Arbeiten liegt auch dann vor, wenn Menschen, die eigentlich keine Road Warriors sind, von unterwegs oder von zu Hause aus berufliche Tätigkeiten verrichten. Dazu gehört das abendliche Lesen von E-Mails nach Arbeitsschluss, das berufliche Telefonieren im Auto, oder das Bearbeiten von Unterlagen nach Dienstschluss im privaten Umfeld.

Home Office (auch Telearbeit oder Heimarbeit genannt) lässt sich dagegen wie folgt charakterisieren: Der Beschäftigte arbeitet regelmäßig, dauerhaft und vertraglich verfestigt nicht nur ausnahmsweise zu Hause. Dabei kann es sein, dass der Arbeitnehmer vom Arbeitgeber Arbeitsmittel und -geräte beigestellt bekommt.

Was in allen Fällen wichtig ist

Zunächst muss die Art des Arbeitens rechtlich korrekt vereinbart werden, und es sind die einschlägigen Rechtsnormen einzuhalten. Weiters darf man soziale Aspekte, wie die Einbindung in das Unternehmensgefüge nicht aus den Augen verlieren.

Abgesehen von diesen Aspekten müssen aber natürlich vor allem die technischen und organisatorischen Voraussetzungen geschaffen werden, dass Home Office und mobiles Arbeiten funktionieren. So ist es wichtig, dass geeignete Hardware zur Verfügung steht, und eine leistungsstarke Internetverbindung vorhanden ist. Es sollte klar geregelt werden, wer die diesbezüglichen Kosten trägt. Dies ist in der Praxis nämlich erfahrungsgemäß immer wieder ein Streitpunkt. In der Regel wird man mit einem Mobiltelefon, einem PC, Notebook oder Laptop samt Maus und einem Bildschirm auskommen.

Wenn jeder Teilnehmer als Knoten in einem Netz mit einer Zentrale verbunden ist, kann ein Knoten über die Zentrale direkt mit jedem anderen Knoten Verbindung aufnehmen. Diese Organisation ist nur in kleinen Netzen sinnvoll. Größere IT-Netze werden in kleinere gegliedert, die untereinander Verbindungen haben. Zwischen zwei Knoten können für eine Übertragung also mehrere Zwischenstationen nötig sein. Routing ist das Verfahren zur Zustellung Ihrer Daten von einem Knoten zum anderen.

Die Idee des Routing in verschiedenen Netzwerken

Routing kommt in einem System von mindestens einem Netz zum Einsatz, wobei keins dieser Netze von den anderen isoliert ist. Muss eine Standleitung hergestellt werden wie beispielsweise im Telefonsystem, wird mit Routing die Wahl der Knoten zwischen Ihnen und Ihrem Gesprächspartner getroffen.

Müssen Datenpakete ausgetauscht werden, versteht man unter Routing die Vermittlung dieser Pakete vom Absender zum Empfänger. Verschiedene Pakete können verschieden geroutet werden, auch wenn sie auf einer höheren Ebene als Teil derselben Kommunikation angesehen werden.

In beiden Typen von Netzen bezeichnet Routing die Gesamtheit aller Entscheidungen über die Verbindung von einzelnen Knoten. Unter Forwarding versteht man die Entscheidung einzelner Knoten betreffend die von diesem Knoten behandelten Datenpakete.

In einem kleinen lokalen Netz

In einem hinreichend kleinen Netz können Datenpakete an alle angeschlossenen Knoten verschickt werden. Technisch lässt sich das durch das Anlegen von Spannung an eine mit allen Knoten verbundene Leitung umsetzen, wenn nicht sogar eine drahtlose Funkverbindung zum Einsatz kommt. Jeder Knoten überprüft die Adresse jedes Datenpakets, verwirft die für andere Knoten vorgesehenen und empfängt die für ihn bestimmten Daten.

Senden zwei Knoten in einem solchen Netz gleichzeitig, kann keine erfolgreiche Übertragung stattfinden. Die Kollision wird bemerkt und nach einem Intervall zufällig gewählter Länge wird ein neuer Versuch unternommen. Nachdem beide Knoten diese Länge unabhängig voneinander wählen, kommt es nur mit einer sehr geringen Wahrscheinlichkeit nochmals zu einer Kollision.

Ein solches System braucht viel Übertragungskapazität und kann deshalb keine große Zahl von Knoten bewältigen. Sind mehr Knoten erforderlich als auf diese Weise möglich, müssen zwei oder mehrere solche Netze über eine Verbindung zusammengeschaltet werden.

Zur Verbindung kann ein sogenannter Switch zum Einsatz kommen. Ankommende Datenpakete werden von diesem Switch nur an diejenigen Unternetze oder Geräte verschickt, für die sie ihrer Adresse nach bestimmt sind.

Die Zusammenschaltung von Netzen

Als einfaches Beispiel für Routing betrachten wir folgendes Protokoll. Ein Knoten sendet an alle anderen im selben Netz befindlichen. Wenn die Zieladresse einem dieser Knoten entspricht, ist die Übertragung erfolgreich abgeschlossen.

Wenn nicht, wird das von mindestens einem Gerät im Netz erkannt. Dieses Gerät wird auch als Router bezeichnet und übernimmt dann die Übermittlung des Datenpakets in ein anderes Netzwerk, das näher an der Zieladresse liegt. Nichttriviales Routing besteht aus den verschiedenen Strategien, diese Wahl eines Netzwerks zu treffen.

Routing im Internet

Das Protokoll IP ist für den Zweck der Weiterleitung von Datenpaketen entworfen worden. Dieses Routing ist eine zentrale Funktion des Internets und ermöglicht das flexible Zusammenschalten von vielen einzelnen Netzen. Dabei können Daten über viele Knoten in verschiedenen Netzen ans Ziel transportiert werden.

Source Routing

In diesem Fall ist die gesamte Struktur der Verbindungen aller Knoten bekannt und stabil. Der Weg eines Datenpakets kann deshalb vom Absender festgelegt werden. Jeder Router übermittelt das Paket an die nächste Adresse auf der Liste, bis es am Ziel angekommen ist. Dieses System ist nur für fix entworfene Netzwerke praktikabel.

Statisches Routing

Für jeden Zielknoten verfügt der Router über eine Tabelle mit möglichen Nachbarroutern und einer Gewichtung, mit welcher Präferenz die einzelnen Möglichkeiten in dieser Tabelle zu wählen sind. Daraus ergeben sich viele mögliche Wege ans Ziel. Statisch heißt die Methode darum, weil diese Tabellen über längere Zeit gleich bleiben.

Dynamisches Routing

Die Router verändern ihre Routingtabellen abhängig von der Situation im Netz. Einzelne Kriterien sind zunächst die Erreichbarkeit der Nachbarrouter, die Auslastung der Verbindungen und Informationen über ihre Situation von Nachbarroutern. Diese Informationen können beispielsweise die Qualität der Verbindungen zu weiter entfernten Netzwerken betreffen.

Der Vorteil dynamischen Routings besteht darin, dass beim Ausfall eines Netzes die Routingdaten und -tabellen schnell geändert werden können. Das Gesamtnetz kann sich so an neue Bedingungen anpassen und bleibt stabil.

Dieses Verfahren ist der Hauptgrund für die Stabilität des Internets und seine Widerstandsfähigkeit gegen Ausfälle einzelner Teile. Im globalen Netz werden ständig neue Unternetze angeschlossen und ebenso Teile abgeschaltet. Das bedeutet, dass auf der einen Seite die Ausfälle bewältigt und die Aufgaben der ausgefallenen Teile anders verteilt werden müssen. Genauso ist es aber auch wesentlich, dass neu angeschlossene Netzteile nützlich integriert werden und ihre Übertragungskapazitäten sinnvoll zum Einsatz kommen.

Anydesk ist eine Softwarelösung, die Ihnen einen Fernzugriff auf Ihre oder die Computer Ihrer Kunden ermöglicht. Die Technologie der deutschen Herstellerfirma fußt auf einer eigenen Entwicklung des Übertragungsdatenformats und bietet deshalb auch an Orten mit langsamem Internetservice effiziente Verbindungen. Anydesk ermöglicht eine Vielzahl von Anwendungen vom privaten Haushalt bis zum Großunternehmen.

Anwendungen von Anydesk

Die klassische Anwendung ist die Remote-Desktop Lösung. Sie können damit von jedem Gerät auf Ihren Computer zu Hause oder in Ihrer Firma zugreifen. Die Technologie bietet also die Grundlage für das Arbeiten im Home-Office. Genauso können Sie auf Geschäftsreisen von überall auf Ihre Computer zugreifen. Dabei sind Sie nicht auf den Transfer von Dateien beschränkt, obwohl dieser natürlich auch möglich ist. Es werden alle Daten zur Darstellung des Bildschirms und alle Eingaben von Maus und Tastatur in Echtzeit übertragen. Sie können damit auf Ihrem Computer von überall fast so arbeiten, als säßen Sie direkt vor Ihrem Gerät.

Darüber hinaus eröffnen sich in Unternehmen weitergehende Anwendungen. Ganze Gruppen von Mitarbeitern können mit Anydesk gemeinsam Dokumente bearbeiten. Workshops und Meetings lassen sich unabhängig davon organisieren, an welchen Orten sich die Teilnehmer gerade befinden. Den Kunden Ihres Unternehmens können Sie eine individuell angepasste Benutzeroberfläche bieten, die sich in 28 Sprachen auf Ihre Bedürfnisse anpassen lässt.

Support und Wartung wird immer wichtiger und Ihre Kunden erwarten, bei Problemen sofort Hilfe in Anspruch nehmen zu können. Probleme über ein Telefongespräch zu erkennen ist schon umständlich genug und eine Lösung wird nur in einfachen Fällen auf diese Weise möglich sein. Mit Anydesk können Ihre Supportmitarbeiter sofort eine direkte Verbindung zum Gerät Ihrer Kunden herstellen und das Problem unmittelbar diagnostizieren und beheben.

Features von Anydesk

Anydesk funktioniert mit allen gängigen Betriebssystemen wie Windows, Mac OS, iOS, Android, Linux und auch FreeBSD und Raspberry Pi. Wenn Sie Anydesk aktivieren, können Sie sofort erkennen, welche Remote Computer gerade online sind. Es ist sogar ein Zugriff auf Rechner möglich, die sich im Ruhemodus befinden und die Sie über Anydesk aufwecken können. Als äußerste Maßnahme ist auch ein Neustart eines Remote Computers möglich.

Sicherheit ist ein offensichtliches Thema, wenn es um Fernzugriffe auf Computer geht. Um dieses Problem in den Griff zu bekommen, verwendet Anydesk das Protokoll TLS 1.2, das auch für Online Banking zum Einsatz kommt. Des Weiteren ist eine 2-Faktor-Authentifizierung möglich. Dabei ist für einen Fernzugriff ein Code erforderlich, der von einer Smartphone App erzeugt wird. Sollten Sie ein eigenes Netz von Geräten betreiben wollen, können Sie Anydesk ohne Zugriff auf die Server von Anydesk oder auch nur das Internet betreiben.

Neu in der im Jahr 2020 eingeführten Version 6 von Anydesk werden Ihnen detaillierte Administratorenfunktionen zur Verfügung gestellt. Damit können Sie Einstellungen für Gruppen von Arbeitsplätzen vornehmen, die dann automatisch von allen Geräten im Netzwerk übernommen werden. Ein Passwort kann an bestimmte Berechtigungen gekoppelt werden. Dann ist beispielsweise die Verwendung des Dateitransfers mit einem eigenen Passwort geschützt. Für die Gültigkeit können Sie darüber hinaus noch ein Zeitlimit festlegen. Zum Zugriff auf Ihren Rechner kann ein Eintrag des Nutzers auf einer Whitelist als Voraussetzung bestimmt werden.

Gerade bei Anwendungen in größeren Firmen sind oft Aufzeichnungen von Sitzungen von Vorteil. Diese sind mit Anydesk mit einem Klick zu starten und zu stoppen. In der Aufzeichnung können Sie dann ganz einfach zu einem beliebigen Zeitpunkt springen.

Die Technik dahinter

Der Kern von Anydesk ist eine eigene Entwicklung der Herstellerfirma. Dabei handelt es sich um ein Video Codec mit der Bezeichnung DeskRT. Dieses Video Codec zeichnet sich durch besonders hohe Effizienz in der Übertragung aus. Auch mit einer Übertragungskapazität von gerade einmal 100 kByte pro Sekunde kann Anydesk zur Fernsteuerung von Computern genutzt werden.

Anydesk zeichnet sich auch als besonders schlanke Lösung aus. Heruntergeladen werden muss nur eine Datei im Umfang von 3,2 MByte, die für eine Verwendung von Anydesk bereits ausreicht.

Die Serverlösungen von Anydesk sind in der Programmiersprache Erlang entwickelt, die besonders für Anwendungen im Bereich der Telekommunikation geeignet ist.

Die Nutzung von Anydesk zu privaten Zwecken ist kostenlos. Für Unternehmen gibt es die Möglichkeit, die Software vor Erwerb einer Lizenz gratis zu testen. Der Preis für Unternehmenslösungen hängt davon ab, ob Sie nur einen Benutzer oder beliebig viele vorsehen wollen. Des Weiteren beeinflusst den Preis, wie viele gleichzeitige Sitzungen Sie benötigen. Sie können zuerst eine Lizenz für eine wenig umfangreiche Benutzung erwerben und diese bei Bedarf mit intensiverer Verwendung einfach mitwachsen lassen. Updates sind bei Anydesk kostenlos für die Inhaber von Lizenzen. Die Versionen sind miteinander kompatibel.

Das Unternehmen dahinter

Es wurde 2014 gegründet und hat seinen Sitz in Stuttgart. Das Unternehmen sieht sein Produkt als grundlegendes Werkzeug zur möglichst reibungslosen Zusammenarbeit von Gruppen von Mitarbeitern. Besonderen Wert legt Anydesk darauf, die Anregungen von Nutzern und Kunden aufzunehmen und in die neuen Versionen einfließen zu lassen, was gerade auch in der neuen Version 6 eine Rolle gespielt hat.

Mit dem englischen Begriff Virtual Desktop Infrastructure (VDI) wird eine IT-Infrastruktur zur Zentralisierung und Virtualisierung der Funktionalitäten von Desktop-Rechnern bezeichnet. Durch den Einsatz von VDI lässt sich die Ausstattung der Desktop-Clients am Arbeitsplatz wesentlich reduzieren.

Allgemeine Informationen

Das Konzept der Desktop-Virtualisierung basiert auf dem Ansatz, sämtliche Funktionalitäten eines Arbeitsplatz-Rechners über ein zentrales System, wie beispielsweise Hyper-V, zur Verfügung zu stellen. Der Anwender benötigt am Arbeitsplatz lediglich einen Client, auf dem er den virtualisierten Desktop-PC aufruft. Die Bedienung gestaltet sich dabei wie bei einem gewöhnlichen Desktop-PC. Per Tastatur und Maus wird der Client gesteuert und die Ausgabe der grafischen Anzeige erfolgt lokal über den Monitor, während sämtliche Software-Komponenten auf einem zentralen Server ausgeführt werden.

Der Anwender befindet sich an einem anderen Ort als sein virtueller Desktop-PC. Die Übertragung aller Ein- und Ausgaben zwischen dem Client und Server wird über das Netzwerk realisiert. Der Zugriff auf eine Virtual Desktop Infrastructure (VDI) ist prinzipiell sowohl über das Internet als auch über ein lokales Netzwerk möglich. Um alle Funktionalitäten performant bereitstellen zu können, muss das Netzwerk bestimmte Mindestanforderungen in Bezug auf die Bandbreite und Latenz erfüllen. Im Kontext einer Virtual Desktop Infrastructure wird der Client als Terminal und der Server als Terminal-Server bezeichnet. Die Protokolle, über die die gesamte Kommunikation realisiert wird, sind bei den meisten Systemen proprietär und unterscheiden sich von Anbieter zu Anbieter. Eines der bekannteren Protokolle ist zum Beispiel das Remote Desktop Protocol (RDP), das von Microsoft entwickelt wird.

Bekannte Systeme

Auf dem Markt gibt es eine Vielzahl von Herstellern die unterschiedliche Virtual Desktop Infrastructure-Systeme anbieten. Neben kostenpflichtigen Lösungen sind auch Open Source-Lösungen für die Virtualisierung der Desktop-Infrastruktur samt Clients erhältlich. Die bekanntesten kommerziellen VDI Systeme werden von folgenden Herstellern entwickelt:

–       HP

–       Fujitsu

–       Microsoft

–       Dell

–       Citrix

–       VMWare

–       ViewSonic

–       VXL Instruments

Frei verfügbare VDI-Lösungen auf Open Source-Basis sind beispielsweise:

–       QVD Community Edition

–       Linux Terminal Server Project

Die verschiedenen Client-Arten im Überblick

Im Rahmen einer Virtual Desktop Infrastructure können unterschiedliche Arten von Clients eingesetzt werden. Grundsätzlich werden drei verschiedene Client-Typen unterschieden. Eine eindeutige Abgrenzung zwischen den einzelnen Typen existiert jedoch nicht:

–       Zero Client

–       Thin Client

–       Thick Client

Der Zero Client

Bei dem sogenannten Zero Client handelt es sich um ein maximal abgespecktes Gerät. Zero Clients sind prinzipiell ohne Eingriff eines Administrators einsatzfähig. Eine individuelle Anpassung  des Zero Clients für den Fernzugriff ist nicht nötig. Sobald der Zero Client an das Netzwerk angebunden und mit einer Maus und Tastatur verbunden ist, kann er als virtueller Desktop eingesetzt werden. Die meisten Zero Clients setzen sich aus einem sehr kleinen Computergehäuse zusammen, das sich mit dem Monitor, der Maus und Tastatur sowie dem Netzwerk verbinden lässt. Weitere charakteristische Merkmale eines Zero Clients sind:

–       kein Konfigurationsaufwand und eine simple Administration

–       auf dem Zero Client befindet sich keine oder nur Minimalsoftware

–       aufgrund der abgespeckten Hardware sind die Anschaffungskosten geringer als bei den anderen beiden Client-Varianten

–       ein geringer Stromverbrauch

Der Thin Client

Thin Clients kommen für die Darstellung virtueller Desktops zum Einsatz. Solche Clients sind mit leistungsschwächerer Hardware ausgestattet und sind i auf die wichtigsten Komponenten zur Ausführung des virtuellen Desktops ausgerichtet. Oft werden bei solchen Geräten keine Massenspeicher oder CD-/DVD-Laufwerke eingesetzt. Da der Hauptprozessor und andere Hardwarekomponenten aufgrund der geringen Leistung wenig Wärme produzieren, arbeiten Thin Clients in der Regel ohne aktive Kühlung und  völlig geräuschlos. Dies wirkt sich äußerst positiv auf die Nutzungsdauer aus, weswegen die Hardware seltener ersetzt werden muss.

Der Thick Client

Bei einem Thick Client handelt es sich um einen voll ausgestatteten PC, auf dem ein Software-Paket zur Darstellung der virtuellen Desktop-Umgebung installiert ist. Konkret bedeutet das, dass der Thick Client sowohl über einen eigenen Desktop als auch über einen Remote-Desktop verfügt. Der wesentliche Vorteil eines solchen Clients ist, dass er sowohl für virtuelle Desktop-Anwendungen als auch für lokal betriebene Anwendungen gleichermaßen gut nutzbar ist. Ein bedeutender Nachteil spiegelt sich jedoch in der Tatsache wider, dass viele Vorteile einer VDI Infrastruktur durch den Einsatz eines Thick Clients verloren gehen.

Vorteile einer VDI Infrastruktur im Überblick

Durch den Prozess der Virtualisierung und Zentralisierung der Desktop-PCs ergeben sich zahlreiche Vorteile. Die zentrale Bereitstellung der Desktop-Services vereinfacht deren Administration und Konfiguration. Updates lassen sich auf diese Weise schnell und einfach einspielen und mit wesentlich weniger Aufwand als in traditionellen LANs durchführen. Des Weiteren können Inkompatibilitäten oder auftretende Probleme dank virtueller Server an einer zentralen Stelle analysiert und gelöst werden. Viele Bereitstellungsprozesse der Desktop-Funktionalitäten sowie Backup-Services lassen sich automatisieren und dadurch wesentlich vereinfachen.

Die bedeutendsten Vorteile einer Virtual Desktop Infrastructure ergeben sich in erster Linie durch den Einsatz weniger aufwendiger Client. Dadurch kann man auch vollwertige PCs mit Komplettausstattung verzichten, die in der Regel viel teurer als die entsprechenden Client-Lösungen sind. Darüber hinaus wird die Verflechtung zwischen Software- und Hardwareanwendungen aufgehoben, sodass ein Austausch der Clients aufgrund neuer Software- oder Hardwareanforderungen überflüssig wird. Die Clients weisen dadurch eine deutlich höhere Nutzungsdauer auf.

Bei Hardwarestörungen muss der Administrator das Problem nicht mehr lokal vor Ort beim Nutzer beheben, sondern die Probleme lassen sich an einem zentralen Server beheben. Auch das Einspielen bzw. Zurückspielen von Updates sowie das Wiederherstellen gelöschter Daten werden zentral realisiert. Da die gesamte Infrastruktur für den professionellen Einsatz ausgelegt ist, erhöht sich die Verfügbarkeit der virtuellen Clients deutlich und ist im direkten Vergleich zu traditionellen Desktops um ein Vielfaches höher. Des Weiteren sollten die Vorteile der VDI Infrastruktur auch in Sachen Ressourcenschonung sowie Energieeffizienz keinesfalls vernachlässigt werden.

Die Abkürzung SSH steht für Secure Shell, Secure Shell ist ein Netzwerkprotokoll, mit dem sichere Verbindungen zwischen zwei Geräten über ein potenziell unsicheres Netzwerk eingerichtet werden können. Mit Secure Shell kann eine verschlüsselte Verbindung von einem lokalen Computer zur Kommandozeile (Shell) auf einem Webserver oder einem anderen Gerät hergestellt werden. Eingaben auf dem lokalen Computer werden an den Server übertragen und Ausgaben der entfernten Konsole auf dem lokalen Computer angezeigt.

Die Übermittlung von Daten und die Fernwartung oder Steuerung von Servern über das Internet ist potenziell unsicher. Um die Kommunikation über ein unsicheres Netzwerk wie dem Internet vor Angriffen und unbefugten Zugriffen zu schützen, ist eine sichere Verbindung erforderlich. Seit Mitte der 1990er-Jahre wird SSH eingesetzt, um Verbindungen über das Internet und andere Netzwerke abzusichern.

Die erste Version von SSH, heute SSH-1 bezeichnet, wurde vom finnischen Entwickler Tatu Ylönen 1995 vorgestellt. Bereits im Dezember des gleichen Jahres gründete Tatu Ylönen das Unternehmen SSH Communication Security, um Secure Shell als proprietäre Software zu vertreiben. Nur wenig später wurde auf der Grundlage von SSH-1 OpenSSH entwickelt. OpenSSH ist kostenlos. Die aktuelle von der Internet Engineering Task Force (IETF) zertifizierte kostenpflichtige Version ist SSH-2. Sie wurde entwickelt, da die erste Version Sicherheitslücken aufwies.

Wofür wird SSH verwendet?

SSH ermöglicht Nutzern den Aufbau einer sicheren, authentifizierten und verschlüsselten Verbindung zwischen zwei Computern über ein potenziell unsicheres Netzwerk wie dem Internet. Das Secure Shell Protokoll bietet Nutzern drei wichtige Eigenschaften:

  • Authentifizierung der Gegenstelle
  • Verschlüsselung der Datenübertragung
  • Datenintegrität

Bei der Verwendung von Secure Shell wird sichergestellt, dass eine Verbindung nur zwischen den zwei Computern aufgebaut wird, die miteinander verbunden werden sollen. Dadurch die Verschlüsselung ist ein Abhören der übermittelten Daten durch einen Man-in-the-Middle-Angriff nicht möglich. Die übertragenen Daten können zudem nicht manipuliert werden.

Einsatzgebiete von Secure Shell sind:

  • Remote-Systemadministration
  • Remote-Befehlsausführung,
  • sichere Datenübermittlung
  • Aufruf, Ändern und Speichern von Dateien
  • sichere Erstellung von Backups

SSH Client und SSH Server

Das SSH-Protokoll basiert auf dem Client/Server-Modell. Der lokale Computer ist in der Regel der Client. Client ist gleichzeitig die Bezeichnung für die installierte Secure Shell Software. Diese Software ist standardmäßig auf UNIX-, Linux– und MacOS-Rechnern vorhanden. In Windows wurde SSH erstmals ab der Version 1709 implementiert. In Windows 10 ist ein OpenSSH-Client seit dem Oktober 2018 Update (Version 1809) standardmäßig installiert.

Für ältere Windows Versionen muss die Secure Shell Software separat installiert werden. Das bekannteste kostenlose SSH Software Tool für Windows Betriebssysteme ist Putty. Alternativ kann das von der SSH Communications Security vertriebene kostenpflichtige Tectia SSH installiert werden. Dieses Tool enthält zusätzlich die benötigte Server Software. Die Bezeichnung SSH-Server wird für einen physischen Server und eine Software, die beispielsweise auf einem Webserver installiert ist, gleichermaßen verwendet. Der Server ist der Kommunikationspartner des Clients.

Wie funktioniert SSH?

Die beiden zentralen Funktionen von SSH sind die Authentifizierung der beiden beteiligten Computer und die Verschlüsselung der Daten. Der Aufbau einer sicheren Verbindung geht immer vom Client aus. Der Server registriert eingehende Verbindungsanforderungen und antwortet darauf. Normalerweise gelangen Verbindungsaufforderungen über den TCP-Port 22 auf das Hostsystem. Sobald der Server eine Verbindungsaufforderung erhält, beginnt der Verbindungsaufbau mit der Authentifizierung.

Authentifizierung von Server und Client

Die Authentifizierung über SSH ist mit einem auf den Server hinterlegten Passwort möglich. Da dass Passwort erraten werden kann, ist bei Secure Shell alternativ die Authentifizierung mit dem Public-Key-Verfahren möglich. Bei diesem Verfahren werden ein öffentlicher und ein privater Schlüssel verwendet. Um dieses Verfahren nutzen zu können, muss zunächst ein Schlüsselpaar auf dem lokalen Client erzeugt werden. Der private Schlüssel liegt immer auf dem Client und muss vor unbefugten Zugriffen gesichert werden. Der öffentliche Schlüssel wird auf den Server übertragen.

Für die Authentifizierung schickt der Server eine zufällig generierte und mit dem öffentlichen Schlüssel des Clients verschlüsselte sogenannte „Challenge“ an den Client. Diese Challenge kann nur mit dem privaten Schlüssel des Clients wieder entschlüsselt werden. Die entschlüsselte Challenge wird vom Client an den Server zurückgesendet. Ist die Entschlüsselung korrekt, ist die SSH Authentifizierung abgeschlossen und die Identität des Benutzers bestätigt.

Verschlüsselung der übertragenen Daten

Nach dem Abschluss der gegenseitigen Authentifizierung von Client und Server kann die verschlüsselte Verbindung über SSH aufgebaut werden. Für diese Verbindung wird ein eigener Schlüssel erzeugt. Dieser Schlüssel ist nur für eine Sitzung gültig und verfällt, wenn die Sitzung beendet wurde. Für die sichere Verbindung nutzen Server und Client den gleichen Schlüssel. So können ausgetauschte Nachrichten von beiden Teilnehmern verschlüsselt und wieder entschlüsselt werden. Die Erstellung des Schlüssels erfolgt gleichzeitig auf dem Server und dem Client, ist aber unabhängig voneinander. Für die Erstellung des Schlüssels werden geheime und bestimmte öffentliche Informationen, die beide Verbindungspartner kennen, verwendet.

Zusätzlich werden die über SSH übermittelten Daten durch Hashing gesichert. Hierzu wird aus den Daten mithilfe eines Algorithmus ein sogenannter Hash erstellt. Ein Hash ist im Prinzip wie ein Fingerabdruck oder eine eindeutige Signatur für einen bestimmten Datensatz. Werden die Daten bei der Übertragung verändert, verändert sich auch der Hashwert. Dadurch kann sichergestellt werden, dass die Daten während der Übertragung nicht manipuliert worden sind.