In deze gouden tijden van virtualisatie verdwijnen steeds meer servers en zelfs heel wat werkstations in de virtuele omgeving. Iets via usb aansluiten is er dan echter niet meer bij. Hoe kunt u dan nog een product gebruiken dat beveiligd is via een usb-dongle? Met een netwerkserver voor usb-dongles!
Een van de problemen die u kunt tegenkomen bij een virtuele omgeving is, dat er geen usb ter beschikking staat. Sommige virtuele omgevingen bieden ‘usb passthru’ op de host, maar dat is vaak niet bruikbaar. Bijvoorbeeld omdat de host in een datacenter staat of omdat er verschillende hosts gebruikt worden in een ‘live migratie’-scenario dat lastenverdelend werkt, zodat u geen idee heeft op welke host de virtuele machine of VM draait die de usb-aansluiting nodig heeft. De hardwarefabrikant SEH heeft een oplossing. Zij maken usb-servers en dongle-servers voor het netwerk. Een usb-server is de meest eenvoudige vorm. Het is een kast met usb-aansluitingen en een netwerkaansluiting. U sluit zo’n usb-server op het netwerk aan en met behulp van software kan die dan ‘zichtbaar’ worden op de door u gewenste virtuele servers of werkstations. Daardoor kan zo’n server of werkstation dan de usb-randapparaten zien die u insteekt op zo’n usb-server.
Dongles
Een dongle-server is een uitbreiding op het idee van de usb-server. Een dongle is immers een usb-staaf met geïntegreerde veiligheidssleutel die gebruikt kan worden voor identificatie- en authenticatiedoeleinden. Dure softwareproducten zijn soms beveiligd met zo’n dongle. Zo’n product werkt dan alleen maar als de dongle ingeplugd is op de machine die de software moet draaien. SEH heeft meerdere modellen dongle servers volgens het aantal benodigde dongle-usb-poorten. De myUTN-80 die we hier bespreken kan tot acht dongles aansluiten. Via de in Windows geïnstalleerde sturing ziet uw met een dongle beschermde software de usb-dongle over het netwerk heen en kan die ook probleemloos gebruiken. Het verschilt dus in niets van een dongle die rechtstreeks in de usb-poort van een fysieke pc gestoken werd. Ideaal voor omgevingen zonder locale usb-ondersteuning zoals VMWare, Citrix Xen of Microsoft Hyper-V.
UTN-server
De basis van alles is de UTN-server. Dat is een kleine kast ter grootte van een SOHO-netwerkswitch met een netwerkaansluiting en – in het geval van het model MyUTN80 – acht usb-poorten. Die acht usb-poorten zijn voldoende uit elkaar geplaatst om zelfs dikkere dongles te kunnen plaatsen, maar in geval van nood kunt u zo’n dongle ook via een usb-kabel van minder dan 3 m lengte aansluiten. De ruimte waarin de usb-poorten zich bevinden kan afgesloten worden met behulp van een blauwe kap en een sleutel. Als u echter een usb-kabel zou gebruiken, kan de kap niet meer voor afsluiting zorgen. De afsluiting is voornamelijk interessant om te voorkomen dat usb-dongles gestolen worden. Maar echt inbraakveilig is het slot niet bepaald. Er is overigens een module beschikbaar om de UTN-server in een 19-inch rek te monteren.
Qua hardware-installatie is er niet meer aan dan op de UTN-server een netwerkkabel aan te sluiten en de stroomkabel, plus de gewenste usb-dongles. Daarna gebeurt alles verder via software.
UTN-manager
Helaas bestaat de UTN-manager software alleen voor Windows XP of hoger, niet voor Mac of Linux. De software blijkt verder eentalig Duits te zijn. Auteur dezes spreekt die taal, maar we kunnen ons voorstellen dat dit een onoverkomelijke hinderpaal is voor hen die het Duits niet machtig zijn. Voor software die internationaal verkocht wordt, vinden we dit in elk geval een bijzonder storende beperking. We hebben de software vanaf de meegeleverde cd geïnstalleerd en hij komt ons melden dat er een update beschikbaar is. Op de vraag of we die willen downloaden en installeren, antwoorden we ja. De software downloadt vervolgens de nieuwe versie en vraagt dan of hij zichzelf mag afsluiten en de nieuwe versie installeren. We antwoorden weer ja. De software sluit af en… dat was het dan. De installatie van de nieuwe versie start niet. We moesten die zelf opsporen in een van de vele tijdelijke directory’s van Windows en manueel starten. En helaas spreekt ook deze nieuwe versie alleen Duits. Nadat de installatie afgerond is en we het programma starten en bekijken, treffen we in een menuonderdeel ‘Opties’ een instelling aan om de taal te veranderen. Hierbij kunnen heel wat talen gekozen worden waaronder Engels en Frans, maar geen Nederlands. We kiezen dan maar voor Engels. Niettemin blijft onze kritiek, dat iemand die geen Duits spreekt dit niet zo makkelijk zal vinden.
Gebruik
Met behulp van de UTN Manager kunt u alle UTN-servers in uw netwerk zien en alle op die servers aangesloten usb-dongles in een boomstructuur. U kunt beslissen welke UTN-servers u wil gaan beheren op deze machine en alleen die toevoegen. U kunt ook ten allen tijde een overzicht opvragen van alle beschikbare servers versus de door u gekozen en dan andere toevoegen of reeds gekozen servers weer weghalen. Om een zichtbare usb-dongle in uw systeem te krijgen, klikt u ze aan en kiest ‘Activeren’. Om ze weer te verwijderen ‘Deactiveren’. Zodra u ze activeert, ziet Windows de dongle en installeert het er automatisch een driver voor. Via een UTN service kan alles voor meerdere gebruikers dienen. Zonder die service kan het alleen maar voor deze gebruiker op de machine waarop de UTN Manager nu draait. Overigens blijft een geactiveerde dongle slechts 10 minuten actief, daarna deactiveert het systeem hem automatisch. Daardoor kan zo’n dongle door meerdere pc’s gebruikt worden zonder dat hij fysiek verstoken moet worden. En via de UTN service kan dat dus ook door meerdere pc’s tegelijkertijd voorzover de licentie dat natuurlijk toelaat. U kunt de ingestelde 10 minuten time-out natuurlijk veranderen.
Centraal beheer
Met UTN Manager beheert u de usb-dongles voor de pc, laptop of VM waarop die op dat moment geïnstalleerd is. Een echt centraal beheer is dat niet. Dat kan echter wel met een webinterface: myUTN Control Center. Dat is een webinterface op iedere UTN-server. Met behulp van die webinterface kunt u instellen wie toegang heeft tot het webbeheer, tot de tcp-poorten van het usb-netwerkverkeer, en tot individuele usb-poorten. U kunt daarnaast certificaten instellen en authenticatie via verschillende protocols (met name MD5, TLS, TTLS, PEAP en FAST), plus de te gebruiken encryptie voor het usb-netwerkverkeer. Dat laatste staat standaard ingesteld op RC4, maar de alternatieve keuze van AES-256 is natuurlijk veel veiliger. U kunt de encryptie in- of uitschakelen per usb-poort. Standaard staat geen enkele poort aangevinkt.
Beveiliging
Het beveiligingssysteem via certificaten en authenticatie zorgt ervoor dat alleen de door u geautoriseerde gebruikers toegang kunnen krijgen tot bepaalde usb-dongels op bepaalde UTN-servers. Daarnaast kunt u de toegang ook nog beperken tot ip-adressen of MAC-adressen. Er is geen voorziening om te werken met Windows gebruikers en gebruikersgroepen via Active Directory en dat is toch wel jammer vermits de UTN Manager alleen voor Windows beschikbaar is. Via zowel de UTN Manager als het myUTN Control Center kunt u meteen zien welke usb-dongles door wie in gebruik zijn en dus ook of een bepaalde dongle vrij is zodat u die zelf kunt gebruiken.
Praktijk
Wij besloten het systeem eens uit te proberen met een stuk software dat een dongle vereist ter beveiliging. We kozen voor ColorGATE v6.20 Production Server van de gelijknamige Duitse firma. Dat is een verzameling software voor het verwerken van digitale grootformaatafdrukken, zoals grote spandoeken (banners), megaposters, textieldruk, soft signage, facade- en verkeersmiddelreclame, interieurontwerp, display- en meetsystemen, digitalproofs, zeefdrukfilmen, foto’s en kunstafdrukken. We probeerden eerst de PhotoGate6 software te installeren waarvoor onze dongle niet geldig was. En inderdaad: PhotoGate6 vertelde ons dat we de verkeerde dongle in gebruik hadden, namelijk die voor Production Server 6. Bij het installeren van de juiste software werd de ColorGATE dongle dan ook netjes aanvaard en de Production Server 6 software werkte feilloos.
CONCLUSIE
De myUTN Dongle Server werkt zoals geadverteerd. De dongle die wij uitprobeerden, werd keurig herkend door de beveiligde software en werkte feilloos. Het hele systeem is goed beveiligd, al hadden we wel graag nog een integratie met Active Directory gezien om het nog beter geschikt te maken voor bedrijven.
Johan Zwiekhorst
Een dongle-server is een uitbreiding op het idee van de usb-server.
Fout opgemerkt of meer nieuws? Meld het hier