Größere Sicherheit durch Thin-Clients:
Warum Terminalserver dem "fettem" PC überlegen sind

von Bernd Reder (bernd.reder@networkcomputing.de), Alexander Vierschrodt

Share
05.08.2008

Ob es um Viren, Würmer, Trojaner oder Spam- und Adware geht – es gibt für jede Bedrohung die passende Abwehrstrategie. Doch es kostet Zeit und Geld, ein Netzwerk mit "fetten" PCs vor solchen Bedrohungen zu schützen. Dabei geht es auch einfacher: Terminalserver und Thin-Clients sind für sicherheitsbewusste Anwender eine brauchbare Alternative. Allerdings hat auch Server-based-Computing seine Tücken.

(Fortsetzung des Artikels von Seite 4)

Administratoren verbringen heute einen Großteil ihrer Arbeitszeit damit, das Firmennetz gegen Angriffe von außen und innen abzusichern und, um unternehmenskritische Daten zu schützen.

Die häufigsten Bedrohungen von außen sind Viren, Würmer und Hacker-Angriffe. Schutz vor diesen Bedrohungen bieten in den meisten Fällen Firewalls und diverse Security-Appliances, die den gesamten Datenverkehr direkt am Netzwerk-Gateway überwachen.

Intelligente Algorithmen entlarven mittlerweile sogar völlig neue, noch unbekannte Bedrohungen. In der Regel funktionieren diese Schutzmechanismen zuverlässig und sogar in Echtzeit, ohne dass die Netzwerk-Performance allzu sehr beeinträchtigt wird.

Mindestens ebenso gefährlich sind Bedrohungen, die innerhalb eines Unternehmensnetzes bestehen, etwa durch eigene Mitarbeiter. Diese Gefahrenquelle wird oft außer Acht gelassen, zum Teil mit fatalen Folgen (siehe dazu beispielsweise unseren Bericht [1] über den Amok laufenden IT-Verwalter der Stadt San Francisco).

Die innere (Un-)Sicherheit

Die meisten EDV-Arbeitsplätze in Unternehmen sind heutzutage »fette«, also vollwertige Windows-Clients. Die Datenhaltung wird zwar größtenteils auf zentralen Servern realisiert. Dennoch sind die Endgeräte, an denen die Mitarbeiter arbeiten, völlig autarke PC-Systeme.

Als solche beherrschen sie alle Funktionen, die der Nutzer auch von seinem privaten Heimrechner kennt. Im Handumdrehen ist ein Widget für den Online-Wetterdienst installiert. Im Hintergrund läuft der Börsenticker und per Instant-Messenger lässt sich bequem Kontakt zu Freunden und Bekannten halten. Man solle sich an seinem Arbeitsplatz ja auch wohl fühlen – das wirke sich sogar positiv auf die Produktivität aus.

Der Administrator hingegen rauft sich bei solchen Dingen die Haare: Nicht nur, dass unerwünschte Programme auf den Unternehmens-PCs installiert werden, die den reibungslosen Betrieb gefährden oder die definierte Systemumgebung nachhaltig verändern. Im schlimmsten Fall finden auf diesem Weg auch Viren und Würmer Zugang zum Netzwerk.

Noch schlimmer: Vertrauliche, kritische oder personenbezogene Daten verlassen auf einem USB-Stick das Unternehmen. Dabei muss demjenigen nicht einmal böse Absicht unterstellt werden.

Zur Absicherung kommt in den meisten Fällen neben den Hardware-Komponenten auch noch eine Antivirus-Software an allen EDV-Arbeitsplätzen zum Einsatz. Diese verursacht nicht nur zusätzliche Kosten. Auch der Administrationsaufwand steigt damit überproportional an.

Viele Fliegen, eine Klappe

Das Sicherheitskonzept für eine komplexe IT-Infrastruktur muss sich auch weiterhin aus einer ganzen Reihe an Komponenten zusammensetzen, die in ihrer Gesamtheit optimalen Schutz für das Unternehmensnetz gewährleisten. Eine Technologie, die jahrelang ein Nischendasein fristete, vereinfacht jedoch die Durchsetzung der Sicherheitsrichtlinien einer Organisation erheblich.

Die Rede ist von der Terminalserver-Technik. Das Prinzip des Server-based-Computing (SBC) war vor 30 Jahren schon einmal gang und gäbe. Im gut isolierten Server-Raum arbeitete ein Großrechner. Die Ergebnisse flimmerten kurze Zeit später grünlich-schwarz auf den Terminals im Büro.

Mit dem Siegeszug des Standard-PCs verschwanden die Terminals, und niemand – außer vielleicht ein paar Administratoren – trauerte ihnen nach.


Dabei kommt das althergebrachte SBC-Konzept vor dem Hintergrund der aktuellen Probleme und Bedrohungen wie gerufen. Denn alle Programme und Daten sind zentral auf dem Terminalserver gebündelt. Dabei kann es sich um ein System handeln, oder gleich eine ganze "Farm" von Server-Systeme besteht.

Egal, ob neue Programme installiert, Patches aufgespielt oder Backups erstellt werden sollen: Alles lässt sich zentral und schnell erledigen. Der Anwender arbeitet dabei auf dem gewohnten Windows-Desktop.

Das Web-Interface von Netman von H+H Software: Der Benutzer hat Zugriff auf dieselben Anwendungen, etwa Word, wie bei einem Standard-PC.

Auch die Zeiten grüner Schrift auf schwarzem Grund gehören längst der Vergangenheit an. Zudem profitiert die Sicherheit des gesamten Unternehmensnetzes vom Einsatz der Terminalserver-Technik.

Einerseits sind alle Programme und Daten zentral gespeichert. Der Zugriff darauf lässt sich bequem und zuverlässig über User- und Gruppenprofile reglementieren – völlig unabhängig davon, an welchem Arbeitsplatz sich ein Mitarbeiter anmeldet.

Andererseits werden an den IT-Arbeitsplätzen keine vollwertigen PCs mehr benötigt. Es kommen idealerweise schlanke Terminals zum Einsatz, die nur noch als Ausgabegerät für die Bildschirminhalte fungieren.

Thin-Clients sind ausfallsicherer als PCs

Diese Thin-Clients (TC) haben gegenüber PCs mehrere Vorteile: Das rudimentäre Betriebssystem und das Fehlen lokal installierter Anwendungen reduzieren den Administrationsaufwand im Prinzip auf Null. Der Verzicht auf bewegliche Komponenten wie Festplatten, Laufwerke oder Lüfter resultiert in einer extrem geringen Anfälligkeit für Hardware-Defekte und führt zu einer signifikanten Erhöhung der Nutzungsdauer.

Bei einem PC liegt die Einsatzzeit typischerweise bei rund drei Jahren. Thin-Clients werden hingegen nach Angaben des IT-Verbandes Bitkom [2]im Schnitt über fünf Jahre genutzt.

So gesehen ist der Einsatz der Terminalserver-Technik auch unter ökologischen Aspekten eine sinnvolle Alternative. Und kommt es doch einmal zu einem Ausfall, lässt sich ein Thin-Client einfach durch einen anderen ersetzen. Der Mitarbeiter kann nahtlos weiterarbeiten – ohne jeden Installationsaufwand. Die Gefahr von Datenverlusten besteht dabei nicht, da alle Daten zentral gespeichert sind.


Thin-Clients eliminieren Gefahrenquellen

Auch für die Mitarbeiter zahlt sich der Einsatz moderner Thin-Clients aus. Neben der geringeren Geräuschemission profitieren die Anwender vor allem von der einfachen Handhabung der schlanken Terminals.

Sie müssen sich weder mit irgendwelchen Einstellungen herumschlagen noch Betriebssystemmeldungen beachten oder Updates einspielen. Dies sind zwar eigentlich alles Aufgaben des Administrators. Gerade in kleinen und mittleren Betrieben werden diese Aufgaben aber häufig vom Anwender übernommen – mit den entsprechenden Risiken.

Da sich auf einem Thin-Client keine Programme lokal installieren lassen, kommen die Anwender gar nicht erst in Versuchung, eigene Anwendungen und Tools zu benutzen. Auf diese Weise lässt sich das Risiko eingeschleppter Viren, Würmer und Trojaner zumindest an den EDV-Arbeitsplätzen ohne jeden Kosten- und Arbeitsaufwand komplett eliminieren.

Auch Software, die Adware oder Spyware enthält, stellt in einem Terminalserver-Netzwerk mit Thin-Clients auf Grund der fehlenden Installationsmöglichkeit keine Bedrohung dar.

Schwachstellen des Terminalserver-Konzepts

Die große Stärke von SBC ist zugleich auch seine größte Schwachstelle: Die Zentralisierung und damit die Abhängigkeit vom Server und vom Netzwerk. Fällt eine dieser Komponenten aus, ob durch einen Angriff, eine Panne oder höhere Gewalt, sinkt die Produktivität der Mitarbeiter mit einem Schlag auf Null. Entsprechend wichtig sind redundante, sichere Lösungen. Die Server-Software spielt hier eine Schlüsselrolle.

Sprechen Administratoren oder Hersteller vom Windows-Terminalserver, meinen sie damit heutzutage den Windows-Server-2003 mit eingeschalteten Terminal-Services.

Dieser leidet am Alleskönner-Syndrom: Richtig ausgefeilt sind seine Terminal-Fähigkeiten nicht, er ist eher schon für bloße Fernwartung geeignet. Wer einige Zeit einen Terminalserver unter Windows-Server-2003 betreibt, vermisst eine einfache Bereitstellung der Anwendungen, Sicherheits-Funktionen, Load-Balancing, eine Lizenzverwaltung und einen gewissen Nutzerkomfort.

Windows-Server-2008: überladen und unsicher

Der neue Windows-Server-2008 verspricht zwar eine Vielzahl von Verbesserungen, in der Praxis erweisen sich die neuen Features aber als unnötig komplex und erfüllen die vom Marketing geschürten Erwartungen nur eingeschränkt.

Auch in puncto Server-Sicherheit haben beide Windows-Server ihre Lücken. Die Härtung des Terminalservers mit Bordmitteln, eine straffe Konfiguration und der Einsatz gängiger Sicherheitsmechanismen zur Viren- und Trojaner-Abwehr verstehen sich von selbst.

Doch reichen diese Maßnahmen nicht aus, um den Terminalserver wirklich effizient gegen unerlaubte Zugriffe abzuschotten. Hier müssen Verfahren eingesetzt werden, die das Ausführen von Programmcode bereits auf Kernel-Ebene steuern und überwachen.

Drittanbieter wie H+H [3] rüsten hier mit Zusatzlösungen Funktionen nach.Bei der H+H-Lösung »NetMan Desktop Manager« (NDM) ist beispielsweise die Gültigkeit der RDP-Datei, die für jeden Anwendungsstart benötigt wird, zeitlich begrenzt. Das verhindert, dass böswillige Anwender die entsprechenden Daten mehrfach verwenden und etwa von einer nicht autorisierten Station eine Anwendung starten.

NDM beschränkt oder sperrt außerdem optional den Zugriff auf Anwendungen, wenn die Clients bestimmte IP-Adressen oder DNS-Namen aufweisen. Auch der Zugriff auf lokale Laufwerke des Clients lässt sich reglementieren – beispielsweise um zu verhindern, dass Daten aus einer Terminalserver-Sitzung heraus auf einen USB-Stick übertragen werden.

Kommunikationssicherheit

Terminalserver stellen für Firmen eine sichere Möglichkeit dar, Mitarbeitern, Kunden und Filialen Anwendungen zur Verfügung zu stellen. Dabei bleiben alle Daten und Programme dank der zentralen Datenhaltung stets innerhalb des Unternehmens.

Über LAN und WAN werden lediglich Bildschirminhalte übermittelt. Trotz dieser Architektur oder gerade deswegen kommt der Kommunikationssicherheit eine immense Bedeutung zu. Dabei spielen zwei Aspekte eine wichtige Rolle: Die Verfügbarkeit der Netzwerkverbindung und die Sicherheit der übertragenen Inhalte.

Das Arbeiten in einem Terminalserver-Netz setzt eine ständige Verbindung zwischen Client und Server voraus. Die Anforderungen an die Bandbreite sind dabei vergleichsweise gering. Der Administrator sollte daher in erster Linie Wert auf bestmögliche Verfügbarkeit legen – etwa über redundante Datenleitungen oder Fallback-Wählverbindungen.

Standardverschlüsslung reicht nicht aus

Der RDP-Datenstrom verfügt zwar über eine Verschlüsselung, jedoch hat sich diese in der Vergangenheit immer wieder als anfällig für Exploits gezeigt. Firmeninterne Daten zirkulieren so im schlimmsten Fall für jeden lesbar und manipulierbar zwischen den Clients und dem Server.

Noch bedenklicher ist es, wenn Funknetze vorhanden sind oder von außerhalb des LANs auf den Server zugegriffen wird, etwa per Standleitung oder DSL. Der Einsatz starker Verschlüsselungs-Verfahren wie IPSec oder SSL/TSL sind daher obligatorisch. H+H löst beispielsweise den Zugriff von außen über ein Webfronted mit integriertem (optionalem) SSL-Gateway.

Oft vernachlässigt: die Authentifizierung

In Unternehmen, in denen Mitarbeiter innerhalb und außerhalb des Firmennetzes auf Terminalserver zugreifen, stellen statische Passwörter ein enormes Risiko dar. Dies ist erst recht der Fall, wenn die Anmeldung am Terminalserver mit den selben Daten wie bei der Netzwerk-Anmeldung erfolgt.

Mehr Sicherheit durch Zwei-Faktor-Authentifizierung: Single-Sign-on-Verfahren bieten oft nicht das nötige Maß an Security.

Das Single-Sign-on-Verfahren ist zwar sehr komfortabel, sollte aber nur in Verbindung mit hochsicheren Authentisierungs-Mechanismen zum Einsatz kommen. Abhilfe kann hier eine Zwei-Faktor-Authentisierung leisten. Diese erhöht die Sicherheit der Umgebung bei Zugriffen von außen erheblich.

Getreu dem Prinzip »Wissen & Besitz« meldet sich der Anwender sowohl mit seinem persönlichen Passwort als auch zusätzlich über ein von einem Token erzeugten Einmalpasswort am Terminalserver an. Dank Radius-Kompatibilität unterstützen solche Lösungen alle gängigen Hersteller von Token-Lösungen wie Aladdin, RSA, Secure Computing oder Vasco.

Fazit

Wie nahezu jede Technologie hat auch die Terminalserver-Technik ihre Schattenseiten. Wenn sich ein Unternehmen allerdings ernsthaft um das Thema Server- und Kommunikationssicherheit kümmert, überwiegen eindeutig die Vorteile des Server-based-Computings. Unternehmen können mit vergleichsweise geringem Kostenaufwand die Sicherheit des Netzwerkes sowie der internen und externen IT-Arbeitsplätze massiv verbessern.

Die Anschaffungskosten der Terminalserver-Technik werden dabei schnell von den geringen Unterhalts- und Wartungskosten kompensiert. Die Möglichkeiten der Server-Virtualisierung wirken sich ebenfalls positiv auf die Kostenbilanz der Terminalserver-Architektur aus.

Alexander Vierschrodt ist Produktmanager bei H+H Software [3].


Weiterführende Informationen zu Server-based-Computing:

• Der Bitkom hat eine kostenlose Broschüre mit einer Einführung in das Thema Server-based-Computing herausgegeben. Sie steht auf dieser Bitkom-Web-Seite [5] zum Herunterladen bereit.

• Hier der Link zur NetMan-Produktseite [6] von H+H Software.

• Studie des Fraunhofer-Instituts für Umwelt-, Sicherheits- und Energietechnik zum Thema Energie sparen durch Thin-Client-Computing. Hier der Link zur Informationsseite [7] des Instituts.

[1] update-kalifornischer-netzwerk-hijacker-plante-daten-gau/
[2] http://www.bitkom.org
[3] http://www.hh-software.com/hh2003/index.cfm
[4] http://www.hh-software.com/hh2003/index.cfm
[5] http://www.bitkom.org/de/publikationen/38337_50909.aspx
[6] http://www.hh-software.com/hh2003/index.cfm/ly/1/0/NetMan/0/415,NetMan-in-Stichworten/0$.cfm
[7] http://www.umsicht.fraunhofer.de/presse/bericht.php?titel=070307_igel

Verwandte Artikel