USB-Geräte im Netzwerk zur Verfügung stellen

VDI-Umgebungen (virtuelle Desktops) binden USB-Geräte per Remote Desktop Protocol (RDP) über das Netzwerk ein, zum Beispiel USB-Festplatten. Diese Technik geht auf die von Citrix entwickelte Multiwin-Technik zurück, für die Microsoft Lizenzen erwarb. Multiwin ermöglichte erstmals, dass sich mehrere Benutzer gleichzeitig am Server anmelden konnten. Der Terminal-Server war geboren.

Neben Bildschirmausgaben sowie Tastatur- und Mauseingaben erlaubt RDP heute in der Regel auch die Tonausgabe. Selbst bei Verwendung von Thin Clients auf Linux-Basis funktioniert diese Weiterleitung, sofern sie über die Management-Oberfläche aktiviert ist.

Problematisch sind hingegen spezielle Audio- oder Videogeräte, Fingerabdruckscanner oder Dongles zum Softwareschutz. Sie lassen sich nicht so einfach per RDP an Terminals weiterleiten. Das liegt vor allem daran, dass diese Geräte erwarten, am lokalen PC zu laufen, und über das Netzwerk als Freigabe nicht funktionieren.

Anfang 2010 erweiterte Microsoft RDP um eine Funktionalität namens RemoteFX. Bei RemoteFX handelt es sich nicht um einen Nachfolger für RDP, sondern lediglich um eine Verbesserung des bestehenden Protokolls, insbesondere für eine deutlich flüssigere grafische Darstellung.

Im Zusammenspiel mit lokalen USB-Geräten bietet Microsoft mit Remote FX ebenfalls eine Umlenkung auf USB- statt lediglich auf Geräteebene an. Mit neueren Servern und leistungsfähigen Client-Rechnern ist nun ein Zugriff auf viele USB-Geräte möglich.

Diese neuen Funktionen könnten dazu beitragen, in größeren Unternehmen die Akzeptanz von Remote-Desktop- und VDI-Landschaften zu erhöhen.

Für Spezialfälle, zum Beispiel für Kopierschutzstecker (Dongles), reicht die Unterstützung durch RDP trotz Remote-FX-Erweiterung allerdings nicht aus.

Dongles, auch Key oder Hardlock genannt, dienen besonders bei teuren Softwareprodukten wie CAD- oder DTP-Programmen dazu, um diese vor unerlaubter Vervielfältigung zu schützen. Das Programm prüft, ob der Dongle am PC zu finden ist. Wurde er entfernt, so beendet sich das Programm oder wichtige Funktionen sind nicht mehr nutzbar. Dongles sind eine sichere Kopierschutzmaßnahme, da Cracker sie nur mit sehr großem Aufwand und mit viel Know-how überlisten können.

Sogenannte Dongle-Simulatoren bekämpfen die Hersteller mit immer stärkeren Prüfsummen. Modernste Dongles verwenden Public Keys und einen gesicherten Tunnel von der Treiberkomponente bis hin zum USB-Dongle.

Ein Problem bei der Verwendung von Dongles im geschäftlichen Umfeld besteht darin, dass Unberechtigte den kleinen USB-Stick an der PC-Rückseite mitnehmen könnten. In erster Linie sind jedoch IT-Administratoren die Leidtragenden der Dongle-Bereitstellung. Sie sind es, die Strategien entwickeln müssen, die Missbrauch verhindern und gleichzeitig die Verfügbarkeit sicherstellen.

Ein weiteres Problem: Softwareverteilungslösungen aus dem IT-System-Management können teilweise die geschützten Programme überhaupt nicht aus der Ferne installieren, da einige Schutzsysteme sogar Setup-Vorgänge verhindern, sofern der Dongle nicht entdeckt wird. In kleineren Firmen mag es durchaus möglich sein, dass IT-Mitarbeiter jede Installation vor Ort vornehmen. In größeren Unternehmen schlägt sich der Mehraufwand jedoch in deutlich höheren Kosten für die Softwarebereitstellung nieder.

Das in Bielefeld ansässige Unternehmen SEH hat für die Dongle-Bereitstellung im Unternehmen zwei Hardware-Appliances im Portfolio: den myUTN-80 mit Platz für acht USB-2.0-High-Speed-Devices mit Fast-Ethernet-Anbindung und die größere Variante, den myUTN-800. 

Während das 80er-Modell eher für Büros und Kanzleien gedacht ist, wartet die 800er-Maschine mit 20 USB-2.0-Ports für Dongles, zwei Gigabit-Ethernet-Anschlüssen und doppelt angelegter, ausfallsicherer Stromversorgung für den professionellen Einsatz in Unternehmen, Universitäten oder Schulen auf. Funktionell sind die zwei Systeme identisch: Sie erlauben eine komplett browserbasierte Administration mit Monitoring, Konfiguration und Firmware-Aktualisierung. Beide Systeme sind VLAN-fähig, unterstützen die 802.1x-Authentifizierung und lassen sich durch den Adminis­trator über SNMP in ausgereifte Netzwerküberwachungslösungen einbinden. Aber auch ohne die SNMP-Einbindung können die aus stabilem Metall gefertigten und abschließbaren Geräte dem Administrator Meldung machen, dazu verschicken sie bei Bedarf einfach eine E-Mail. Sehr praktisch: Im 800er-Modell ist zur Speicherung der Konfigurationsdateien ein Kartenleser mit 4-GByte-SD-Karte eingebaut.

Die Installation des Servers und die Einrichtung der Software sind in wenigen Minuten erledigt. Das Gerät wird mit dem Netzwerkkabel an einen Switch angeschlossen und dann über das Netzteil mit Strom versorgt. Die Dongle-Server booten in ein paar Sekunden. Bei der Überprüfung der Dongle-Funktionalität mit dem Production-Server der Firma Colorgate – eine RIP-Lösung für den professionellen Druck – funktionierte der Dongle-Schutz auf einem virtualisierten Windows-Server-2012R2-Terminal-Server exakt so, als wäre der Dongle direkt am Server eingesteckt. 

Technisch arbeitet die Methode so: Der Hersteller SEH „virtualisiert“ über die myUTN-Software den USB-Port, als wäre das USB-Kabel beliebig verlängert. Hierbei entsteht eine Punkt-zu-Punkt-Verbindung zwischen dem Client-PC und dem Dongle im Netzwerk. Im Detail geschieht das durch eine Kapselung der USB-Pakete über das Ethernet/TCP-IP-Protokoll. Außerhalb der Kapselung kommen die Standard-Softwarekomponenten von Microsoft zum Einsatz.

Wenn das Schutzsystem der Software nur den USB-Port abfragt und nicht die gleichzeitige Mehrfachnutzung, so bleibt die Mehrfachnutzung auch bei Verwendung von myUTN erhalten, da die Software nur das angeschlossene Gerät im Netzwerk verfügbar macht.

Welcher Client-Computer welchen USB-Stick/Dongle in einer Sitzung verwendet, ist über die UTN-Manager-Software für den Administrator gut ersichtlich. Die Software listet die zur Verfügung stehenden USB-Geräte auf und zeigt an, welcher PC aktuell mit einem Gerät verbunden ist. Je nach Konfiguration ist es möglich, dass der Benutzer darüber informiert wird, wenn ein USB-Gerät wieder frei ist. Wird eine Software zum Beispiel von verschiedenen Benutzern im Wechsel genutzt, so ist diese Info sehr hilfreich. Auch ohne dass der Anwender seinem Kollegen mitteilen muss, dass er das Programm verwenden kann, sieht dieser das anhand der Meldung.

Einen unerwünschten Zugriff auf USB-Dongles verhindert der Administrator bei Bedarf über ein Port- oder Gerätepasswort. Dieses generiert die Software der myUTN-Server bei Bedarf selbst. Eine grundlegende Form der Automatisierung erlaubt die Software über sogenannte Aktionen. So ist es beispielsweise möglich, beim Applikationsstart automatisch den virtuellen USB-Port zu mappen, ohne dass der Benutzer etwas tun müsste. Die myUTN-Software läuft außer auf Microsoft Windows auch auf Linux und OS X.

Mit rund 950 Euro für den myUTN-80 und rund 2020 Euro für das größere myUTN-800-Modell liefert SEH zwei robuste, sichere und professionelle Systeme für das Vorhalten von USB-Dongles im Netzwerk. Neben USB-Dongles könnten Administratoren und Benutzer auch andere USB-Devices über diese Technik bereitstellen. Das Gerätedesign ist allerdings rein für den Betrieb mit Dongles ausgerichtet. eingesteckte Dongles lassen sich durch eine abschließbare Klappe vor Diebstahl schützen.

SEH ist mit der Technologie zur Bereitstellung von USB-Geräten über das Netzwerk nicht mehr allein auf dem deutschen Markt vertreten. Das Systemhaus Bressner Technology präsentierte im Sommer dieses Jahres mit der sogenannten AnywhereUSB-Serie von DIGI eine Reihe von USB-Hubs, die ebenfalls zur Bereitstellung von USB-Ge­räten in IP-basierten Netzwerken geeignet sind.

Mit Lösungen wie AnywhereUSB wird die sonst übliche maximale Entfernung von fünf Metern zu einem USB-Gerät, das über Kabel direkt an einem PC angeschlossen ist, aufgehoben. Da die Client-Computer die Hubs über das Netzwerk wie physikalisch angeschlossene Geräte einbinden und ansprechen, können sie sich überall im Netzwerk befinden. So können Techniker zum Beispiel USB-Festplatten, USB-Sticks, USB-Kameras, Fingerabdruckscanner, Softwarelizenz-Dongles, Kreditkartenleser oder Rezeptdrucker an jedem Ort im Unternehmen anbringen, je nachdem wo sie benötigt werden. AnywhereUSB unterstützt jedoch keine asynchronen USB-Geräte, wie es beispielsweise viele Audiosysteme oder einige Video-Streaming-Geräte erfordern. Bevor IT-Profis versuchen, mit dem Gerät eine Bereitstellung von USB-Audio- und -Videosystemen umzusetzen, empfiehlt sich daher der Blick auf die Support-Seite von Hersteller DIGI.

Ein Kernstück der Technik ist die sogenannte RealPort-Software, die als Treiber die am Hub freigegebene USB-Funktionalität auf dem Zielsystem abbildet. AnywhereUSB selbst unterstützt die drei verbreiteten Standards 2.0, 1.1 sowie 1.0, reduziert jedoch den High-Speed-Modus von USB 2.0 auf das Tempo von USB 1.1. Softwareseitig läuft die Lösung laut Herstellerangaben auf Windows XP bis Windows 8.1, Windows Server 2003, 2008 und 2008R2 sowie unter Windows XP Embedded. In der Praxis zeigte sich jedoch, dass sich auch ein aktueller Windows-10-Enterprise-Client in der x64-Ausprägung mit dem USB-Hub verbinden lässt, ohne auf irgendwelche Schwierigkeiten zu stoßen. Lediglich den passenden Treiber über die Webseite zu finden war nicht trivial. Zwar gibt es in den Auswahllisten viele Windows-Varianten, doch bekommt der Benutzer zumeist sowieso dieselbe Datei angeboten. Eine Unterstützung für Linux, Unix oder OS X gibt es überhaupt nicht.

Der Hersteller DIGI hebt auf seiner Homepage die Kompatibilität zum Hypervisor VMware ESX besonders hervor, allerdings beschränkt sich die tatsächliche Nutzung ausschließlich auf die virtualisierten Gastbetriebssysteme. Auf dem ESX-Host selbst wird die Software nicht direkt installiert – hier sind sicherlich Missverständnisse vorprogrammiert. Dennoch beschreibt ein Whitepaper von DIGI, das in Zusammenarbeit mit VMware erstellt wurde, die Funktionalität der Anbindung an virtuelle Maschinen äußerst detailreich, sodass der Eindruck entsteht, es wäre das äußerst kompliziert. Glücklicherweise ist es aber gar nicht so komplex, wie es auf den ersten Blick aussieht.

Der kleine, aus einfachem Kunststoff gefertigte USB-Hub mit Ethernet-Anschluss wird an das Netzwerk angeschlossen, zieht sich eine DHCP-Lease und wird über eine browserbasierte Konfigurationsseite administriert. Die meisten einstellbaren Parameter haben dabei nicht viel mit der USB-Funktionalität selbst zu tun, sondern drehen sich um Netzwerkanbindung, Aktivierung der Secure-Shell-Verbindung (SSH), SNMP-Parameter oder Backup/Recovery der Einstellungen.

Hinsichtlich der USB-Einstellung ist eigentlich nur die Zuordnung der „Groups“ wichtig, da Anwender diese dafür nutzen, um festzulegen, auf welches Device sie zugreifen möchten. Bei AnywhereUSB/14 und  AnywhereUSB/5 nennt sich dieses Feature Multi-Host-Funktion. Damit können mehrere Computer im Netzwerk oder auch mehrere virtuelle Maschinen auf jeweils einen USB-Port des Hubs und ein dort angeschlossenes Gerät zugreifen. Die Anzahl von Gruppen liegt also bei dem kleineren Gerät bei fünf und bei dem größeren System bei 14. Die Konfiguration auf dem Client erfolgt über ein Remote-Configuration-Utility. IT-Profis können mit der Software mehrere Hubs gleichzeitig im Netzwerk betreiben und ansteuern. Die Treibersoftware ist für den weniger versierten Anwender zunächst allerdings wenig intuitiv.

Wie myUTN von SEH erleichtert AnywhereUSB von DIGI ebenfalls die Nutzung von Software, die über Hardware-Dongle geschützt ist.

Der Computer, auf dem die Software genutzt werden soll, greift ganz einfach IP-basiert über das Netzwerk auf den Dongle zu, so als wäre er direkt über einen USB-Port an den jeweiligen, gerade verwendeten PC angeschlossen. Der Dongle muss nicht mehr ab- und angesteckt werden, was die Nutzung vereinfacht und vor Dongle-Verlust schützt. Allerdings verzichtet Hersteller DIGI auf ein abschließbares Gehäuse.

In der Ausprägung AnywhereUSB/5 Multi mit fünf USB-Ports über IP, Multi-Host-Verbindungen und der Unterstützung für VMware kostet das System beim Distributor Bressner Technology rund 1000 Euro. Die 14er-Variante liegt bei 1440 Euro.