AnyDesk Enterprise

Hilfe ganz nah

Ohne Fernwartungssoftware ist inzwischen kein sinnvoller IT-Support mehr möglich. Zum Einsatz kommen meist Screensharing-Programme wie TeamViewer, AnyDesk oder Ammyy Admin. Befinden sich Hilfesuchender und IT-Support nicht im selben Netzwerk, läuft die Connection über einen Verbindungsserver im Internet, der vom Anbieter der Fernwartungssoftware bereitgestellt wird. Mit AnyDesk Enterprise können Unternehmen diesen Verbindungsserver selbst betreiben und erhalten so die Kontrolle über den Datenverkehr zwischen Support-Team und Anwender.
Das Rechenzentrum und die IT-Infrastruktur im Unternehmen bilden die Grundlage für einen erfolgreichen IT-Betrieb. In der Dezember-Ausgabe beleuchtet ... (mehr)

AnyDesk wird häufig als beste Alternative zu TeamViewer genannt. Das ist nicht verwunderlich, wurde das Unternehmen im Jahr 2014 doch von drei ehemaligen TeamViewer-Mitarbeitern gegründet. Mit dem eigens für AnyDesk entwickelten Video-Codec "DeskRT" ermöglicht AnyDesk nach eigenen Angaben bereits flüssiges Arbeiten ab einer Bandbreite von rund 100 KBit/s und verfügt damit über ein Alleinstellungsmerkmal. AnyDesk bietet den Client für verschiedene Betriebssysteme und Plattformen an, darunter auch Exoten wie FreeBSD, RaspberryPI und ChromeOS. Für die private Nutzung ist der Einsatz kostenfrei.

Kommerzielle Lizenzen sind in den Versionen "Lite", "Professional" und "Power" verfügbar. Diese werden im Abo-Modell auf monatlicher Basis jährlich im Voraus abgerechnet und erlauben je nach Lizenzstufe, ein oder mehrere Geräte für die Fernwartung einzusetzen, sowie eine unterschiedliche Anzahl gleichzeitiger Sitzungen. In den Lizenzstufen "Power", "Professional" und "Enterprise" besteht die Möglichkeit, den Client individuell anzupassen. Die Lizenzstufen "Power" und "Professional" beziehen sich auf die Cloudversion von AnyDesk, bei der der Verbindungsserver von AnyDesk zentral bereitgestellt wird.

In diesem Test beschäftigen wir uns mit der Enterprise-Variante von AnyDesk. Nur mit dieser On-Premises-Version können Unternehmen den Verbindungsserver in Eigenregie betreiben. AnyDesk Enterprise wird nicht öffentlich zum Download angeboten, die erforderlichen Installationspakete erhalten Kunden erst nach dem Kauf über das AnyDesk Service- und Support-Portal.

Unabhängig vom Internet

AnyDesk Enterprise steht als virtuelle Netzwerk-Appliance zur Verfügung und lässt sich im unternehmenseigenen Netzwerk vollkommen in eigener Verantwortung betreiben. Typischerweise wird der Server in einer demilitarisierten Zone (DMZ) der Firewall installiert, die speziell angepassten Clients verbinden sich dann mit diesem Server in der DMZ. Sämtliche Sitzungen zwischen Fernwarter und Hilfesuchendem finden ausschließlich über dieses System statt. Damit eignet sich AnyDesk Enterprise vor allem für Organisationen, die die vollständige Kontrolle über den Datenverkehr von Fernwartungsverbindungen behalten möchten.

Schutz vor Social Engineering

Kaum ein Unternehmen kommt heute mehr ohne Fernwartungssoftware aus – das wissen natürlich auch Kriminelle. So kommt es immer wieder vor, dass sich Angreifer mithilfe von Social Engineering über Fernwartungssoftware Zugang zu Unternehmensrechnern verschaffen. Über diesen Weg richten sie dann unbemerkt vom Anwender eine dauerhafte Hintertür ein, etwa indem sie eine Reverse-Shell über die PowerShell starten oder die eingesetzte Fernwartungssoftware für den "unbeaufsichtigten Zugriff" konfigurieren. AnyDesk Enterprise bietet einen hervorragenden Schutz vor dieser "Technical Support Scam" genannten Angriffsmethode, weil sich die Fernwartungs-clients der Anwender dann ausschließlich mit dem unternehmenseigenen AnyDesk-Enterprise-Server verbinden.

Bild 1: Fernwartung von Windows nach Linux, Android oder macOS oder auch umgekehrt: AnyDesk unterstützt alle Richtungen. Eine Ausnahme bildet iOS, das nur zur Fernsteuerung genutzt, aber nicht selbst ferngesteuert werden kann.

Alternativ lässt sich AnyDesk Enterprise aber auch als rein internes Fernwartungssystem nutzen, da eine Verbindung ins Internet nicht zwingend erforderlich ist. Das ist vor allem für Organisationen interessant, die hochsensible Daten verarbeiten und ihre Rechner deshalb vollständig vom Internet abschotten müssen. In diesem Fall läuft die AnyDesk Enterprise Appliance einfach im internen Netzwerk und ist mithilfe einer Firewall vom Internet getrennt.

Network Address Translation und dynamisches DNS kein Problem

Unternehmen, die einen eigenen AnyDesk-Server betreiben, möchten ihre Fernwartungsverbindungen keinem Clouddienst und damit einem Dritten anvertrauen. Entsprechend muss der in Eigenregie betriebene AnyDesk Server zuverlässig vor Angriffen und nicht autorisierten Zugriffen geschützt werden. Der Server läuft deshalb typischerweise in einer eigenen DMZ. AnyDesk Enterprise nutzt für die Kommunikation die folgenden Standard Ports:

- Relay: TCP/443, TCP/80, TCP/6568, TCP/447

- REST API: TCP/8081

- Web Interface: TCP/8100

- Control: TCP/444, TCP/446

Für die Verbindungen von den Clients zum AnyDesk-Server kommen lediglich die Ports 80, 443 und 6568 zum Einsatz. Zugriffe auf das Webinterface und die REST-API (8081 und 8100) werden nur vom Administrator genutzt und sollten deshalb auch nur vom internen Netzwerk aus erreichbar sein. Die Control Ports 444 und 446 verwendet AnyDesk Enterprise programmintern, daher können diese Verbindungen auf "localhost only" beschränkt werden. Da AnyDesk Enterprise sehr gut mit Network Address Translation (NAT) und dynamischem DNS klarkommt, ist der Betrieb des Servers auch mit privaten IP-Adressen in der DMZ und an einem Internetanschluss mit dynamischer IP-Adresse problemlos möglich. Aus Sicherheitsgründen ist eine Internetanbindung mit fester IP-Adresse aber immer empfehlenswert.

AnyDesk Enterprise

 

Fernwartungssoftware mit lokalem, Linux-basiertem Verbindungsserver.

 

AnyDesk Software GmbH

http://anydesk.com/

 

Die Lizenzierung von AnyDesk Enterprise im lokalen Netzwerk erfolgt nach Anzahl der benötigten Fernwartungsplätze. Es benötigen also nur jene Geräte eine Lizenz, die für die Fernwartung eingesetzt werden. Auf Anfrage hat uns AnyDesk die folgenden Preisbeispiele zur Verfügung gestellt:

- 5 x 1:n-Sitzungen: Fünf Administratoren können gleichzeitig arbeiten und unendlich viele Verbindungen öffnen: 7500 Euro einmalig, Servicevertrag ab dem zweiten Jahr 1500 Euro pro Jahr (entspricht 20 Prozent vom Listenpreis).

- 50 x 1:n-Sitzungen: 50 Administratoren können gleichzeitig arbeiten und unendlich viele Verbindungen öffnen: 16.500 Euro einmalig, Servicevertrag ab dem zweiten Jahr 3300 Euro jährlich (20 Prozent vom Listenpreis).

- 100 x 1:n-Sitzungen: 100 Administratoren können gleichzeitig arbeiten und unendlich viele Verbindungen öffnen: 26.500 Euro einmalig, Servicevertrag ab dem zweiten Jahr 5300 Euro jährlich (20 Prozent vom Listenpreis).

 

Debian 9 oder 10, Ubuntu 16.04 oder 18.04 oder RedHat Enterprise Linux und CentOS in den Versionen 6 oder 7, jeweils 64 Bit. Für die Hardware des (virtuellen) Servers empfiehlt AnyDesk die folgende Systemausstattung: Vier Kerne, 4 GByte RAM, 20 GByte Festplattenplatz. Mit einer aktuellen CPU kann ein solcher Server laut Hersteller bis zu 10.000 gleichzeitige Verbindungen verarbeiten.

 

http://www.it-administrator.de/downloads/datenblaetter/

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019