Im Test: Bomgar Remote Support 14.3.2 – Sicherer Support über eine zentrale Appliance
Autor: Dr. Götz Güttich
Mit Bomgar Remote Support 14.3.2 steht eine Fernwartungslösung auf Appliance-Basis zur Verfügung, die sämtliche Sitzungsdaten verschlüsselt, zentral routet und auf Wunsch protokolliert. Damit erhalten Unternehmen die Option, sensible Daten gesichert hinter ihrer Firewall zu speichern und die Zugriffe auf ihre Netzwerke zentral zu verwalten. Wir haben uns im Testlabor angesehen, wie die Administration der Lösung abläuft und wie Remote-Zugriffe mit Bomgar Remote Support funktionieren.
Im laufenden Betrieb wird die Bomgar Remote Support-Appliance im Netz des jeweiligen Unternehmens – üblicherweise in der DMZ – in Betrieb genommen. Dort verwaltet sie dann die Zugriffe auf die fernzuwartenden Systeme. Der Remote Access funktioniert auch dann, wenn sich diese Systeme hinter Firewalls befinden, über die die IT-Abteilung des Unternehmens keine Kontrolle hat. An Betriebssystemen unterstützt die Bomgar-Lösung neben Windows auch MacOS und Linux, das Produkt eignet sich also für den Einsatz in heterogenen Umgebungen. Darüber hinaus stellt Bomgar auch diverse Remote-Support-Tools für mobile Plattformen bereit. Dazu gehören Android, Blackberry, iOS und Windows Mobile. Mobile User sind also integriert und können ihre Geräte über Bomgar Remote Support fernwarten lassen. Die Lösung wurde vor allem für den Einsatz in Helpdesk- und Support-Umgebungen entwickelt, eignet sich aber ebenfalls zur Serverwartung und zum Zugriff auf entfernte Netzwerke. Es ist damit alternativ auch möglich, den eigenen Bildschirm vor einer Vielzahl von Mitarbeitern freizugeben und so über das Netz Präsentationen abzuhalten.
Die unterstützten Betriebssysteme lassen sich übrigens mit Bomgar Remote Support nicht nur Fernwarten, sondern es besteht auch die Option, sie als die Plattformen einzusetzen, von denen aus der Remote Support geleistet wird. Die Support Mitarbeiter sind also dazu in der Lage, sowohl mit Windows-, MacOS- und Linux-Rechnern Hilfe zu leisten, als auch mit mobilen Geräten unter Android und iOS. Damit haben nicht nur mobile Support-Techniker die Option, jederzeit in bestehende Sitzungen einzusteigen, sondern Linux-Spezialisten können auch ihre Support-Arbeit auf Linux-Workstations durchführen, während MacOS-Techniker auf Apple-Systemen arbeiten.
Abgesehen davon lässt sich die Bomgar-Lösung auch in bestehende Systemmanagement-, Servicedesk- und CRM-Systeme integrieren. Dazu gehören unter anderem Autotask, BMC-Software, Cherwell-Software, Dell-KACE, Hornbill Supportworks, HP Service Manager, Salesforce.com und ServiceNow. Darüber hinaus steht noch ein API für individuelle Integrationen zur Verfügung.
Alle Sitzungsdaten sind stets durch eine SSL-Verschlüsselung geschützt und Bomgar Remote Support protokolliert auf Wunsch jede Sitzung und zeichnet sie auf, was umfassende Auditing-Maßnahmen ermöglicht und die Einhaltung von Compliance-Anforderungen vereinfacht. Das Zertifikat, das auf den Appliances zum Einsatz kommt, ist fest in die Remote Support-Lösung integriert, es erhält also jede Bomgar Installation eine eigene, maßgeschneiderte Software.
Die so genannten “Embassies” stellen eine weitere wichtige Funktion bereit: In vielen Fällen ist es erforderlich, dass externe Dienstleister remote auf Rechner in einem Unternehmensnetz zugreifen können. Um solche Zugriffe richtlinienkonform und sicher zu gestalten, verfügt Bomgar Remote Support über dieses Feature. Damit lassen sich für jeden einzelnen Dienstleister oder Anbieter “Embassies” einrichten, über die dann festgelegt wird, auf welche Systeme der Zugriff möglich sein soll und welche Rechte dabei gelten. Bomgar Remote Support steht sowohl als virtuelle, als auch als Hardware-Appliance in verschiedenen Versionen für verschiedene Leistungsanforderungen bereit. Für anspruchsvolle und global agierende Unternehmen lassen sich mit Bomgar auch hochverfügbare Failover- uns geographisch verteilte Konfigurationen bereitstellen.
Der Test
Im Test installierten wir eine Bomgar Hardware Appliance vom Typ B200 in unserem Netzwerk und machten uns mit ihrem Leistungsumfang, der Administration und der Rechteverwaltung bekannt. Darüber hinaus verwendeten wir die Appliance, um von Windows, MacOS und Linux aus Windows-, MacOS- und Linux-Systeme fernzusteuern. Zum Schluss warfen wir auch noch einen Blick auf die mobilen Bomgar-Tools für Android und iOS.
Die ersten Schritte
Nachdem wir die Appliance in unser Netz integriert hatten, konnten wir uns über die URL HTTPS://{DNS-Eintrag der Appliance}/login mit dem Web-Interface des Bomgar Produkts verbinden. Loggt sich der Administrator mit den Default-Zugangsdaten bei der Appliance ein, muss er zunächst das Administrationspasswort ändern, erst danach erhält er Zugriff auf das Konfigurationswerkzeug. Das ist sehr sinnvoll, da es verhindert, dass irgendwelche Appliances mit dem Standardpasswort in den Produktivbetrieb gehen.
Da wir nicht alle Tätigkeiten während des Tests über den Admin-Account durchführen wollten, legten wir zu diesem Zeitpunkt zunächst einmal weitere Benutzerkonten an. Nachdem das erledigt war, loggten wir uns aus dem Admin-Konto aus und meldeten uns als einer der neuen User wieder an. Als Client verwendeten wir zu diesem Zeitpunkt eine Windows-Workstation unter Windows 8.1. Unter “Eigenes Konto” konnten wir dann die Support-Techniker-Konsole von Bomgar auf unser Client-System herunterladen und dort installieren. Diese Software kommt zum Verwalten der Support-Sessions zum Einsatz und steht als Windows-Installationsdatei, als MSI-File und als MacOS- beziehungsweise Linux-Setuppaket zur Verfügung. Nachdem wir die Konsole auf unserem Windows 8.1-Rechner eingespielt hatten, waren wir dazu in der Lage, uns damit bei der Appliance anzumelden und die Remote-Control-Features zu nutzen. Im späteren Verlauf des Tests installierten wir die Konsole auch noch auf einem Windows 7-, einem MacOS X- und einem Fedora 21 Linux-System. Der Funktionsumfang ist bei allen Varianten gleich.
Die verschiedenen Typen der Remote Sessions
Bevor wir uns im Detail mit der Funktionsweise der Bomgar-Lösung auseinandersetzen, ergibt es Sinn, zunächst einmal darauf einzugehen, welche Sessions sich über die Bomgar Remote Control-Software überhaupt realisieren lassen. In diesem Zusammenhang spielen die Sitzungen, die durch die Benutzer auf den zu unterstützenden Systemen initiiert werden, eine zentrale Rolle. Hat ein Anwender ein Problem, so kann er sich über die URL HTTPS://{DNS-Name der Appliance} mit der Bomgar Remote Support-Appliance verbinden. Daraufhin präsentiert ihm das Produkt eine Liste der verfügbaren Support-Techniker und die Anwender sind dazu in der Lage, auf einen Eintrag zu klicken und die Bomgar-Fernzugriffssoftware auf ihren Rechner herunterzuladen. Starten sie diese nach dem Download, so verbindet sie die Appliance automatisch mit der Konsole des betroffenen Technikers.
Oft ergibt es keinen Sinn, den Anwendern die Wahl zu lassen, mit welchem Techniker sie kommunizieren wollen. Gerade in größeren Helpdesk-Umgebungen ist es besser, die User anhand ihres Problems in Warteschlangen einzuordnen, die dann den Technikern zugewiesen werden, die sich mit dem jeweiligen Problem am besten auskennen und die gerade am meisten Ressourcen freihaben. Zu diesem Zweck bietet das Support-Portal auch die Möglichkeit, ein “Problem einzureichen”. Dazu müssen die Benutzer die Art des Problems (zum Beispiel Schwierigkeiten mit dem Browser, der E-Mail, dem VPN oder auch “anderes Problem”, die Einträge hier sind frei definierbar) auswählen, ihren Namen und ihr Unternehmen angeben und das Problem kurz schildern. Daraufhin landet die Support-Anfrage – je nach Konfiguration des Systems – in der Warteschlange eines geeigneten Technikers.
Die dritte Möglichkeit, eine Session ins Leben zu rufen, läuft über so genannte Sitzungsschlüssel ab. Führen beispielsweise ein Support-Techniker und ein Anwender ein Telefongespräch und stellt sich heraus, dass ein Zugriff des Technikers auf den Desktop des Anwenders sinnvoll wäre, so kann der Support-Mitarbeiter über seine Konsole einen Sitzungsschlüssel erzeugen. Das ist eine siebenstellige Zahl. Gibt der Benutzer diese Zahl über das Support-Portal ein, so stellt die Appliance eine Verbindung zwischen seinem Desktop und dem Techniker her, der den Sitzungsschlüssel generiert hat. Die Schlüssel lassen sich übrigens in ihrer Gültigkeitsdauer einschränken und per E-Mail verschicken. Alle drei hier aufgeführten Optionen stellen einmalige Supportverbindungen her, für die nichts vorinstalliert sein muss und die nach dem Ende der Sitzung auch keinerlei Software auf den Client-Computern hinterlassen.
Dies ist nicht in allen Umgebungen sinnvoll. Deswegen stellen die so genannten Bomgar Buttons eine Möglichkeit dar, zu verwaltende Systeme fest in die Remote Control-Umgebung zu integrieren. Sie hinterlegen auf dem Desktop der Endanwender ein Icon, das es den Benutzern ermöglicht, automatisch und mit nur einem Klick eine Support-Sitzung zu eröffnen. In diesem Fall verbleiben die Bomgar Client-Tools auf dem zu verwaltenden Rechner und müssen nicht jedes Mal neu heruntergeladen werden.
Alle bisher beschriebenen Sitzungstypen setzen voraus, dass sich an den zu verwaltenden Computern ein eingeloggter User befindet. Oftmals ist es aber auch sinnvoll, auf entfernte Systeme zuzugreifen, an denen gerade niemand arbeitet, etwa auf Server oder auf Clients, auf denen Software installiert oder Patches eingespielt werden müssen. Zu diesem Zweck bietet Bomgar den “Jump Client” an. Dieser läuft als Dienst auf dem Zielsystem und ermöglicht es den Technikern, sich während der Sitzung auszuloggen oder auch den Client neu zu starten und danach wieder darauf zuzugreifen. Sowohl die Bomgar Buttons als auch die Jump Clients lassen sich bei Bedarf auch über Systemmanagementwerkzeuge im Netz verteilen.
Abgesehen davon stellt Bomgar auch noch die “Jumpoint”-Technologie zur Verfügung. Damit haben die zuständigen Mitarbeiter die Möglichkeit, auf alle Computer eines entfernten Netzwerks zuzugreifen. Sie müssen dazu lediglich einen Jumpoint-Agenten in diesem Netz installieren und können dann von diesem aus das Netzwerk durchsuchen und Verbindungen zu den vorhandenen Systemen aufbauen. Das funktioniert sowohl mit als auch ohne aktive User auf den Client-Computern.