:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b2/54/b25439ad28e97f7b153fdf10ba7e4170/0111637513.jpeg "Ein Lastenausgleich im Netzwerk lässt sich entweder granular und lastabhängig über Network Load Balancing oder statistisch via DNS-Roundrobin herstellen. Wir zeigen, wie das geht. (Bild: © momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/a1/7da13c070fec8d616ec16b45bd7f5506/0111560991.jpeg "Die NetCrunch-Oberfläche bietet eine übersichtliche Menüstruktur und integrierte sowohl On-Premises- als auch Cloud-Infrastrukturkomponenten. (Bild: AdRem Software - Joos)")
:quality(80)/p7i.vogel.de/wcms/e2/2e/e22ee822cafaa471a4dbee79a58433a5/0111567753.jpeg "Das IP-Adressmanagement ist seit je her wichtig. Besonders wichtig wird die Planung und Verwaltung von IP-Adressen aber dann, wenn lokale Infrastruktur und Cloud-Dienste aufeinander abgestimmt werden müssen. (Bild: © ronstik - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/18/7b180d83dd1052fa83dcc38ca2a83534/0111273841.jpeg "Alles normal – auf den ersten Blick! Doch tatsächlich wurde dieses Auto durch den Verkehr in Düsseldorf von einem Menschen in Hamburg gesteuert. (Bild: Mira)")
:quality(80)/p7i.vogel.de/wcms/2c/3b/2c3beacac6ad84f45bd7f9e6c1b8fc8e/0111162157.jpeg "Im Universitätsklinikum Frankfurt soll künftig in allen Innenräumen 5G zur Verfügung stehen. (Bild: Universitätsklinikum Frankfurt)")
:quality(80)/p7i.vogel.de/wcms/58/d8/58d8a9f842f457385f82c4029c0b8e20/0111023242.jpeg "Campus-Netze der Telekom ermöglichen Geschäftskunden maßgeschneiderte Konnektivität für digitale Anwendungen auf ihrem Betriebsgelände. (Bild: Deutsche Telekom / GettyImages / Traitov)")
:quality(80)/p7i.vogel.de/wcms/d2/e0/d2e0dcd5c927b295845fa8ff3d258b7e/0110997301.jpeg "Ericsson Private 5G eigne sich für die Fertigung und andere industrielle Umgebungen wie Häfen, Bergbau und Energieversorgung. (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/f3/f6/f3f644fdbcec1593397d29a51e46e8bc/0111426198.jpeg "Mit Geodaten verbessert Teamwire die Informationslage für mobile Arbeits- und Einsatzkräfte. (Bild: Teamwire)")
:quality(80)/p7i.vogel.de/wcms/d4/bc/d4bcb762ec60c8938962624c43de3374/0111393071.jpeg "Der Trendnet TI-BG62i wird inklusive einer Halterung für die DIN-Rail-Montage geliefert. (Bild: Trendnet)")
:quality(80)/p7i.vogel.de/wcms/2b/b6/2bb659c16d0d3ae0b1e0024085e71dd8/0111393098.jpeg "An den AP3000 von Extreme Networks können auch externe Antennen angeschlossen werden. (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/3f/d1/3fd1012be9bb09c1c7a2f051631cb6ec/0111442132.jpeg "Mit den richtigen Tipps und Tools können Unternehmen das eigene Netzwerk widerstandsfähiger machen. (Bild: © – greenbutterfly – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/61/d6/61d60750def5b26ade35c04b7bf4655f/0111393622.jpeg "ExtremeCloud Edge ist eine Lösung für Public-, Private- und Edge-Cloud-Implementierungen. (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/9a/12/9a12540d068597e80b0c58a00739e881/0111831135.jpeg ""Übergreifendes Netzwerk-Monitoring für IT und OT", ein Interview von Oliver Schonschek, Insider Research, mit Felix Berndt von der Paessler AG. (Bild: Vogel IT-Medien / Paessler AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/04/31/0431d676156b689354505ddc83d3910a/0111274207.jpeg "Smartphones sind im beruflichen Alltag ein beliebtes Tool, um Arbeitsprozesse zu verbessern. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/d5/68d51e33733190015fe48085d19bf50f/0100318890.jpeg "Gregor Stegen ist Vice President Sales and Business Development EMEA bei Plume und erläutert, welchen Mehrwert KI für das Kundenmanagement bei Service-Providern bereithält. (Bild: foto di matti - Gregor Stegen - Plume)")
:quality(80)/p7i.vogel.de/wcms/f9/1d/f91d30aa4e1cba1da28fdd677c6d3b6f/0111632396.jpeg "Die ZTNA_Architektur spielt Ihre Stärken bisher meist nur bei der Anbindung remoter Mitarbeiter und Geräte aus – doch auch im lokalen Netz ist Zero Trust Network Access mehr als sinnvoll. (Bild: © photoopus - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a9/5b/a95ba2286d25790a5a74d52430e1aa51/0111402128.jpeg "Das MSP-Geschäft ist über die Zeit vielfältiger geworden. (Bild: A Luna Blue - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/91/ae9110ac101250ed8ae2c9217c77eb90/0111583975.jpeg "Extreme unternimmt mit der in Berlin vorgestelltem Data Fabric-Lösung "ExtremeCloud Edge" einen weiteren Anlauf hin zu weniger Komplexität. Dabei handelt es sich um ein Software-Paket bestehend aus Anwendungen wie ExtremeCloud IQ, ExtremeCloud SD-WAN und Extreme Intuitive Insights, mit dem firmeneigene Clouds von jedem beliebigen Standort aus aufgebaut werden können. (Bild: Dietmar Müller)")
:quality(80)/p7i.vogel.de/wcms/d3/1a/d31aa21504bed10399be39e92f72efa7/0110934224.jpeg "Jochen Kunert von Unisys erläutert, wo man in Sachen Homeoffice und Remote Work jetzt angreifen muss, um die während der Pandemie oft hopplahopp eingeführten Konzepte auf sichere Füe zu stellen. (Bild: ARMIN HOEHNER - Unisys)")
:quality(80)/p7i.vogel.de/wcms/5e/90/5e901c67000a6a3b3e5d5c1dc20ded19/0110796663.jpeg "Mit SaaS Remote Access behalten Unternehmen die Kontrolle über den externen Fernzugriff. (Bild: Wallix)")
:quality(80)/p7i.vogel.de/wcms/78/20/7820f031c9f54f82f18b35275f028c71/0110700143.jpeg "Das SoftEther VPN-Projekt ermöglicht die Installation eines VPN-Servers als Alternative zu WireGuard und OpenVPN. (Bild: Joos - SoftEther Project)")
:quality(80)/p7i.vogel.de/wcms/ba/fa/bafaa37c6352f5b0c58a06a2c2881899/0111346909.jpeg "Die Workspaces der Starface App für Windows sollen Anwendern einen besseren Überblick über ihre Kommunikationsumgebung bieten. (Bild: Starface)")
:quality(80)/p7i.vogel.de/wcms/5f/d1/5fd10f0c6f06b5cd02dc7f72d9e2c4d8/0111134557.jpeg "Hybride Zusammenarbeit und dafür in der Cloud gespeicherte Daten benötigen angepasste Schutzmaßnahmen. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/04/1604941dd5a9d03ab6f9af938606e80a/0111400477.jpeg "Vertrauenswürdige Webseiten durch „IP Use After Free“-Attacken sind die perfide Weiterentwicklung der Lookalike Domains. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/e2/ffe242f7ff4ea687d6f181688f02cd0e/0111349539.jpeg "Viele Organisationen tun sich schwer, ihre Infrastrukturen adäquat zu schützen. Finanzielle und personelle Ressourcen sind beschränkt und es fehlt oft auch am Bewusstsein, welchen Stellenwert IT-Security heutzutage einnimmt. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f019c6193d103a1894ce7a933921255/0111362429.jpeg "Für On-Demand-Kunden seien in Sekundenschnelle Bandbreiten von bis zu 10 GBit/s an Tausenden von Standorten im Colt-Netzwerk verfügbar. (Bild: Colt)")
:quality(80)/p7i.vogel.de/wcms/a4/24/a4242fc17c20b0b6c258756fe631f018/0111080608.jpeg "Das Einsteigerpaket „Ortsbeleuchtung“ enthält neben den konfigurierten GreenBoxes mit integrierter Winkelantenne ein LoRaWAN-Outdoor-Gateway und drei Monate Nutzung des Demo-Dashboards. (Bild: Alpha-Omega Technology)")
:quality(80)/p7i.vogel.de/wcms/7c/42/7c426017759c779c90334252640bbed1/0110988923.jpeg "Software-definierte Netztechnologien sind heute ein Muss für agile Unternehmen, sagen Steffen Gienger von Juniper Networks und Sherif Rezkalla von der Deutsche Telekom in ihrem gemeinsamen Beitrag. (Bild: © basiczto - stock.adobe.com)")
RPort – Werkzeug für die zentrale System-Fernwartung Fernwartung und Automatisierung über Tunnel
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/6b/626ba9b8326a0/cradlepoint-ericsson-logo-full-color-horizontal.png "cradlepoint-ericsson-logo-full-color-horizontal (Cradlepoint)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Serverlisten, VPNs, Jumphosts, SSH-Ketten und TeamViewer war gestern. Die neue Software RPort macht zentrale Fernwartung und Automatisierung zum Kinderspiel – hochsicher und kostenlos. So sieht das zumindest ihr Entwickler Thorsten Kramm. Hier stellt er sein Produkt vor.
Auch im Jahr 2021 herrscht bei vielen Systemadministratoren noch Zettelwirtschaft. Die Zettel sind zwar weitgehend digital und nennen sich Wiki oder SharePoint. Doch für welche Systeme ein Administrator verantwortlich ist, wo sich diese befinden und wie man Fernzugriff darauf bekommt, wird an beliebiger Stelle notiert.
Und wer kennt es nicht? Der Kollege ist im Urlaub, man muss dringend einen Serverfehler beheben und das Rätseln beginnt: Wie komme ich auf das System? Hoffentlich war der Kollege diszipliniert und die Serverliste und Dokumentation mit den Fernzugriffswegen sind aktuell.
Dieses Problem haben die Entwickler der Open-Source-Software RPort selbst oft leidvoll erfahren. Deshalb haben sie eine Lösung entwickelt, mit der sich das Inventar eigenständig aktualisiert und den Zugriff auf alle Systeme per SSH oder Remote Desktop integriert.
Neuer Wein in alten Schläuchen
Für Linux-Administratoren ist OpenSSH das Werkzeug schlechthin. Und seitdem OpenSSH – nein, Putty ist nicht gemeint – in Windows 10 integriert wurde, sollten auch Windows-Administratoren einmal nachlesen, welche magischen Kräfte sich hinter den Optionen „ssh -L“ und „ssh -R“ verbergen. Genau diese Technologie der so genannten Tunnel ist der Namensgeber der Software. RPort steht für „Remote Port“. Aber keine Angst, RPort verlangt weder Erfahrung mit SSH noch dessen Installation.
Client und Server werden in Golang entwickelt und stehen als ausführbare Dateien für Windows und Linux zum Download bereit. Die Software umfasst nur eine Datei. Es gibt keine Abhängigkeiten zu anderen Programmen oder Softwarebibliotheken.
Alles im Blick behalten
Die Arbeit mit RPort beginnt mit einer grafischen Benutzeroberfläche, die man im Browser öffnet. Im Inventar erscheinen alle Systeme, auf denen vorher der RPort-Client installiert wurde. Interne und externe IP-Adressen, der Standort und viele andere Details sind zu sehen. Der Client hält diese Informationen stets aktuell. Mit Tags und einem verschlüsselten Key-Value-Store können die Systeminformationen erweitert werden.
Der Client ist mit einem kurzen Pairing-Code schnell installiert. Und da die Einhaltung höchster Sicherheitsstandards für jede neue Software Grundvoraussetzung ist, läuft der Client nicht als Root. Die Anmeldung am Server kann mit einer Zwei-Faktor-Authentifizierung (2FA) abgesichert werden. Über einen digitalen Fingerabdruck muss eine Vertrauensstellung zwischen Client und Server hergestellt werden.
Das Erste von den zwei eingangs geschilderten Problemen – die nicht aktuelle Serverliste – ist damit gelöst. Jeder neue Server bekommt sofort den RPort Client installiert. Für virtuelle Server wird der RPort Client in die cloud init integriert. Fertig ist das stets aktuelle Inventar.
Auf direktem Weg ans Ziel: Tunnel statt VPN
RPort ist der direkte Weg ans Ziel. Und dieses Ziel ist für Systemadministratoren der SSH Port 22 oder der Remote Desktop Port 3389. Meisten steht aber das so genannte Network Adress Translation (NAT) dem direkten Weg zum Ziel im Weg. Mit gutem Grund, denn es ist der Grundschutz eines jeden Routers.
Für RPort stellt NAT kein Problem dar, denn der Client baut die Verbindung von Innen nach Außen auf. Und damit diese Verbindungen in Firewalls nicht extra freigeben werden müssen, nutzt der RPort-Client für den ersten Verbindungsaufbau das HTTP Protokoll und den Port 80. Die Verwendung eines HTTP-Proxy-Servers ist möglich. Sobald die HTTP Verbindung steht, wird eine in HTTP verpackte SSH-Verbindung aufgebaut. SSH-Verbindungen gelten seit Jahren als robust und extrem sicher. Dank der Reverse-Tunnel-Fähigkeiten von SSH kann man so jeden TCP Port auf dem Zielsystem erreichen.
Tunnel werden nur dann aufgebaut, wenn sie gebraucht werden. Ein Klick genügt, und der Tunnel steht. So erreicht man jeden Server hinter NAT Routern ohne VPN oder Port-Forwarding. Tunnel bieten oft eine größere Sicherheit als VPNs. Ein Tunnel gewährt den Zugriff auf nur einen Port eines Systems. VPNs verbinden meist ganze Netze. Sollte der Desktop des Systemadministrators infiziert sein, gibt ein Tunnel einer Schadsoftware keine neuen Angriefsziele – ein VPN unter Umständen schon.
RPort schützt alle Tunnel standardmäßig mit einer Access Control List (ACL). Nur die IP-Adresse des anfordernden Benutzers erhält Zugriff. Die ACLs können aber angepasst und ausgeschaltet werden. So kann man beispielsweise einem Dienstleister temporären Zugriff auf einen Server geben.
RPort ist einfach zu hacken
Wikipedia nennt als Synonym für den Begriff Hacker das Wort Tüftler. Und an diese haben die Entwickler von RPort auch gedacht. Alles, was man über die grafische Oberfläche ausführen kann, lässt sich auch per RESTful API erledigen. Und so ist RPort bereits in den Markt für Homeoffice-Lösungen vorgedrungen. Über ein Self-Service-Portal können Mitarbeiter den Remote-Zugriff auf den Desktop des Büro-PCs vom heimischen PC aus beantragen. Per API-Call wird dann RPort instruiert, den Tunnel für die aktuelle IP-Adresse des Mitarbeiters bereitzustellen.
Aber auch Firmen aus der Industrie-Digitalisierung setzen RPort bereits ein. Denn nicht jedes Projekt startet auf der grünen Wiese, sondern im so genannten Brownfield. Das bedeutet, man muss mit dem arbeiten, was man vorfindet. Und das sind bei den Betriebssystemen oft tot geglaubte Veteranen. Da der RPort Client keine Abhängigkeiten zu externen Programmen oder Bibliotheken hat, läuft er auch auf alten Betriebssystemen. Über die RESTful API schafft er die Möglichkeit, so gut wie jedes System fernzusteuern. Das ist besonders für Microsoft Windows interessant, denn Technologien wie WinRM und PowershellRemote sind kompliziert und nicht in jeder Version verfügbar. RPort schafft hier eine einfache und universelle Schnittstelle zur Fernsteuerung.
Sicherheit im Fokus
Die Entwickler von RPort möchten Firmen und Systemhäuser in die Lage versetzen, schnell und einfach ihre eigene Fernwartungsumgebung zu betreiben. Der Vorteil gegenüber SaaS-Lösungen liegt auf der Hand. Man gibt den zentralen Schlüssel für alle Türen nicht an einen Fremden. Alle Daten bleiben im Hoheitsgebiet des Betreibers. Hinzu kommt, dass der Quellcode von RPort zugänglich ist. Bei SaaS-Lösungen kann man in der Regel den Quellcode nicht auditieren.
Etablierte Lösungen übernehmen oft die volle Kontrolle über das entfernte System. Und das sogar durch die eigene Hintertür. Nicht so bei RPort. Benutzer können das Ausführen von Kommandos abschalten oder auf eine Liste von Kommandos beschränken. Diese Beschränkungen sind fest im Client hinterlegt und können vom Server nicht überschrieben werden. Für einige kommerzielle Anbieter steht der Komfort so sehr im Vordergrund, dass detaillierte Sicherheitseinstellungen für Profis weggelassen werden.
Für die Entwickler war von Anfang an klar, dass sie kein Betriebssystem bevorzugen oder gar ausschließen werden. Dementsprechend kann man Windows und Linux gleichermaßen verwalten. Die großen Player im SaaS-Bereich können dagegen ihr Wurzeln meist nicht leugnen. Sie sind damit groß geworden, indem sie den Windows-Desktop per Videosignal weitergeleitet haben. Die Unterstützung für Linux-Server, die in der Regel keinen grafischen Desktop haben, sucht man hier also meist vergebens.
Ein Nobrainer
RPort wird unter der MIT-Lizenz veröffentlicht und steht auch auf GitHub zum Download bereit. Wer schnell einen ersten Eindruck bekommen möchte, sollte den Cloud-Installer nutzen. Dieser verwandelt jede noch so kleine Cloud-VM vollautomatisch in einen vollwertigen RPort Server. Linux-Kenntnisse sind nicht erforderlich.
Das Beste kommt zum Schluss
RPort ist nicht nur eine komfortable Lösung für den Fernzugriff. Die Software kann auch zur Automatisierung wiederkehrender Aufgaben genutzt werden. Bash- oder PowerShell-Skripte können direkt aus dem Browser oder per API ausgeführt werden – auch auf mehreren Systemen parallel. Skripte werden als Rezepte in einer Bibliothek gespeichert. Für den Herbst haben die Entwickler ein integriertes Patch-Management für Linux und Windows angekündigt.
Über den Autor
Thorsten Kramm gründete 2018 das Potsdamer Start-up CloudRadar. Zuvor war er Systemadministrator, Softwareentwickler und Berater in großen und kleinen Unternehmen tätig. Zusammen mit einem internationalen Team entwickelt er RPort. Das Projekt finanziert sich durch Crowdfunding und eine Beteiligung der Investitionsbank des Landes Brandenburg (ILB).
Artikelfiles und Artikellinks
(ID:47624815)
:quality(80)/images.vogel.de/vogelonline/bdb/1943900/1943983/original.jpg "„Redfish“ hat sich als Standard für ein herstellerunabhängiges System-Management durchgesetzt und IPMI weitgehend abgelöst. (Dell Technologies)")
:quality(80)/images.vogel.de/vogelonline/bdb/1960400/1960479/original.jpg "Thomas Joos zeigt, wie sich das beliebte Netzwerk-Überwachungs-Tool OpenNMS schnell und zielsicher einsetzen lässt. (The OpenNMS Group)")