SEH dongleserver Pro und ProMAX
Gut aufgehoben
Veröffentlicht in Ausgabe 03/2021 - TESTS
Der Einsatz von Dongles erfolgt häufig bei hochpreisiger Software, etwa für Konstruktionsbetriebe, im Finanzwesen oder dem Unternehmensmanagement. Ein Dongle ist eine kleine Hardware für den USB-Port und dient als Kopierschutzvorrichtung gegen eine unerlaubte Verwendung. Wenn der Dongle für die Software nicht erreichbar ist, verweigert sie ihren Dienst. Aus diesem Grund ist ein Dongle doppelt wertvoll für das Unternehmen: Zum einen als Nachweis für die rechtmäßige Nutzung von Programmen, aber auch als Investition, die es zu schützen gilt. Daher möchten Unternehmer das Einstecken des kleinen Kopierschutzes in den USB-Port des lokalen Rechners vermeiden. Denn dort ist er ungeschützt und lässt sich jederzeit entwenden oder ungewollt beschädigen.
Anbindung über das Netzwerk
Die Lösung für dieses Problem ist ein sogenannter Dongle-Server. Hierbei handelt es sich um eine Hardwarebox, die verschließbar ist und mehreren Dongles Platz bietet. Vom deutschen Hersteller SEH gibt es dazu zwei Modelle. Der dongleserver Pro ist als Desktop-Gerät konzipiert und hat insgesamt vier USB-3.0-SuperSpeed-Ports und vier USB-2.0-Hi-Speed-Ports. Er erlaubt also den zeitgleichen Zugriff auf acht verschiedene Dongles. Der dongleserver ProMAX stellt bis zu 20 Software-Lizenz-Dongles bereit. Davon sind fünf USB-3.0-SuperSpeed-Ports und die restlichen 15 stehen als USB -2.0-Hi-Speed-Ports zur Verfügung. Gegenüber dem kleineren Modell passt der ProMAX aufgrund seiner Bauform in ein 19-Zoll-Rack. Aber auch für den dongleserver Pro ist im Zubehör das notwendige Montagematerial für das 19-Zoll-Rack erhältlich.
Gemeinsam haben beide, dass sie über eine auf dem Client installierte Software den Zugriff auf den Dongle über das Netzwerk ermöglichen. Damit kann der Administrator das Gerät an einem gesicherten Platz deponieren und durch ein handelsübliches Netzwerkkabel an das lokale Netzwerk anschließen. Damit die Daten auch zügig zum Client kommen, hat der Hersteller im Pro-Modell eine 10BaseT/100BaseTX/1000BaseT-(IEEE 802.3)-Schnittstelle verbaut, während die ProMAX-Version mit diesem Anschluss doppelt bestückt ist.
Der Einsatz von Dongles erfolgt häufig bei hochpreisiger Software, etwa für Konstruktionsbetriebe, im Finanzwesen oder dem Unternehmensmanagement. Ein Dongle ist eine kleine Hardware für den USB-Port und dient als Kopierschutzvorrichtung gegen eine unerlaubte Verwendung. Wenn der Dongle für die Software nicht erreichbar ist, verweigert sie ihren Dienst. Aus diesem Grund ist ein Dongle doppelt wertvoll für das Unternehmen: Zum einen als Nachweis für die rechtmäßige Nutzung von Programmen, aber auch als Investition, die es zu schützen gilt. Daher möchten Unternehmer das Einstecken des kleinen Kopierschutzes in den USB-Port des lokalen Rechners vermeiden. Denn dort ist er ungeschützt und lässt sich jederzeit entwenden oder ungewollt beschädigen.
Anbindung über das Netzwerk
Die Lösung für dieses Problem ist ein sogenannter Dongle-Server. Hierbei handelt es sich um eine Hardwarebox, die verschließbar ist und mehreren Dongles Platz bietet. Vom deutschen Hersteller SEH gibt es dazu zwei Modelle. Der dongleserver Pro ist als Desktop-Gerät konzipiert und hat insgesamt vier USB-3.0-SuperSpeed-Ports und vier USB-2.0-Hi-Speed-Ports. Er erlaubt also den zeitgleichen Zugriff auf acht verschiedene Dongles. Der dongleserver ProMAX stellt bis zu 20 Software-Lizenz-Dongles bereit. Davon sind fünf USB-3.0-SuperSpeed-Ports und die restlichen 15 stehen als USB -2.0-Hi-Speed-Ports zur Verfügung. Gegenüber dem kleineren Modell passt der ProMAX aufgrund seiner Bauform in ein 19-Zoll-Rack. Aber auch für den dongleserver Pro ist im Zubehör das notwendige Montagematerial für das 19-Zoll-Rack erhältlich.
Gemeinsam haben beide, dass sie über eine auf dem Client installierte Software den Zugriff auf den Dongle über das Netzwerk ermöglichen. Damit kann der Administrator das Gerät an einem gesicherten Platz deponieren und durch ein handelsübliches Netzwerkkabel an das lokale Netzwerk anschließen. Damit die Daten auch zügig zum Client kommen, hat der Hersteller im Pro-Modell eine 10BaseT/100BaseTX/1000BaseT-(IEEE 802.3)-Schnittstelle verbaut, während die ProMAX-Version mit diesem Anschluss doppelt bestückt ist.
Um herauszufinden, wie sich der Dongle-Server in der Praxis bewährt und vor allem wie der Zugriff auf die verschiedenen Dongles funktioniert, haben wir den dongleserver Pro über einen Switch mit unserem Netzwerk verbunden. Ebenso benötigt die Box einen Stromanschluss über das mitgelieferte Netzteil. Der UTN-Server startete und war anschließend betriebsbereit. Danach luden wir uns den "SEH UTN Manager" von der Webseite des Herstellers herunter. Angeboten wurde uns sowohl eine Windows- als auch macOS-X-Version sowie Installationspakete für Debian-basierte Derivate sowie RPM für CentOS, RHEL, Suse und Fedora.
Ungewöhnliches Installationsverzeichnis
Wir installierten das Programm auf unserem Windows-10-System. Es ist aber auch für Windows Server ab 2012 R2 geeignet und HLK-signiert (Hardware Lab Kit) für Windows Server 2016 sowie 2019. Während der Installation bot uns die Routine die Auswahl an, die Software vollständig, mit grafischer Oberfläche oder minimal für die Kommandozeile einzurichten. Letzteres ist sinnvoll, wenn der eigentliche Anwender keinen Zugriff auf die Konfiguration haben soll und der Administrator diese gegebenenfalls über ein Skript durchführt. Für unseren Test haben wir jedoch nur eine EXE-Datei und kein MSI-Paket erhalten, sodass sich die Verteilung aufwendiger gestaltete. Andererseits greifen im Regelfall nur wenige Rechner im Unternehmen auf die Dongles zu, sodass eine einmalige manuelle Installation und Konfiguration keinen bedeutenden Mehraufwand für den Administrator bedeutet.
Wir entschieden uns für die Setup-Variante mit grafischer Oberfläche. Dabei ist uns aufgefallen, dass sich die Software untypischerweise im lokalen AppData-Verzeichnis "%localappdata%" anstatt im Programmverzeichnis "%Program-Files%" installieren wollte. Wir haben diesen Eintrag manuell geändert und den Prozess abgeschlossen.
Nach dem Programmstart forderte uns ein Dialog auf, den UTN-Server auszuwählen, über den wir letztendlich den Dongle verbinden wollten. Aufgelistet bekamen wir die im Netzwerk erkannten Server, in unserem Fall war das ein dongleserver Pro, sowie die dort verbundenen Dongles. Dabei geht der Manager davon aus, dass der Server im selben Subnetz erreichbar ist wie der Client. Für eine individuellere Konfiguration konnten wir für die manuelle Suche auch einen oder mehrere Netzwerkbereiche definieren und die Netzwerkbereichsuche dorthin ausweiten. Die Eingabe beschränkte sich dafür auf die IP-Adressen für den Anfang und das Ende. Angaben wie die Subnet-Maske oder ein Gateway suchten wir an der Stelle vergeblich.
Automatisierung mit UTN-Aktionen
Für den Test nutzten wir zwei CodeMeter-Sticks der Firma Wibu Systems AG. Diese zeigte uns der UTN-Manager in den Ports eins und drei auch an. Beim Klick auf den jeweiligen Port sahen wir rechts die detaillierten Eigenschaften des Dongles. Um diesen zu verwenden, wählten wir den entsprechenden Eintrag an und klickten auf "Port aktivieren". Der gleichlautende Status zeigte uns an, dass der Dongle nun erreichbar ist.
Natürlich ist es unpraktikabel und auch gar nicht gewollt, dass der Endanwender, bevor er die Software startet, den UTN-Manager aufruft und den Port manuell aktiviert. Bei acht Dongles kann das schon verwirrend und vor allem auch, durch eine falsche Auswahl, fehleranfällig sein. Um dies zu automatisieren, gibt es die sogenannten UTN-Aktionen.
Hierbei handelt es sich um kleine Dateien. Wir riefen im UTN-Manager den Assistenten zur Erstellung der Aktion auf. Zur Auswahl stand uns eine Aktion zum automatischen Aktivieren und Deaktivieren des Gerätes. Ebenso konnten wir eine Aktion zum Starten einer Applikation und Aktivieren des Dongle-Servers erstellen oder eine UTN-Aktion von Grund auf selber schreiben.
Wir wählten aus, eine Aktion zum Aktivieren des Dongles zu erstellen, und klickten auf "Weiter". Der zweite Dialog fragte nach einem aussagekräftigen Namen für das Aktivieren und Deaktivieren des Ports. Nach dem Speichern erstellt der Assistent zwei entsprechende Verknüpfungen auf dem Desktop, die die Datei "utnm.exe" mit den notwendigen Parametern aufrufen – einmal zum Aktivieren des Ports und einmal zum Deaktivieren. Beim Doppelklick auf die eine oder andere Verknüpfung führte das Programm die jeweilige Aktion aus.
Wir starteten anschließend eine Testsoftware, um den Zugriff auf den Dongle zu überprüfen. Damit dieser über einen virtuellen USB-Port erreichbar ist, installiert der UTN-Manager einen UTN-Host-Controller und einen UTN-Root-Hub. Beide sind unter der Kategorie "USB-Controller" im Gerätemanager aufgelistet.
| Produkt |
Dongle-Server zur zentralen Bereitstellung von Dongles im Netzwerk.
|
|---|---|
| Hersteller |
SEH Computertechnik GmbH
|
| Preis |
Der dongleserver Pro kostet etwa 800 Euro, der dongleserver ProMAX ist für rund 1800 Euro zu haben.
|
| Systemvoraussetzungen |
Der Client benötigt Windows 7 oder neuer. Die Installation ist ausschließlich durch Benutzer mit administrativen Rechten möglich.
|
| Technische Daten |
Dongles über Netzwerke hinweg nutzen
Nachdem wir die eigentliche Funktion erfolgreich konfiguriert und getestet hatten, interessierten wir uns noch für die generellen Optionen zur Integration in ein bestehendes Netzwerk im Detail. Dazu riefen wir über einen Browser die Konfigurationsseite des Dongle-Servers auf, die wir über die IP-Adresse direkt erreichten.
Das Dashboard der modernen Oberfläche zeigte uns den aktuellen IPv4-Status an. Auf derselben Seite konnten wir einstellen, ob die über DHCP bezogenen IP-Adresse weiter gültig ist oder wir eine feste IP-Adresse zuweisen wollten. Hier konnten wir auch die Netzwerkmaske, das Gateway und gegebenenfalls auch einen anderen DNS-Server einrichten. Diese Einstellungen sollten natürlich erfolgen, bevor der Administrator die lokalen Clients einrichtet, da die Automation mit der IP-Adresse des Geräts arbeitet. Auch aus diesem Grund ist es ratsam, hier eine feste IP-Adresse zu hinterlegen oder diese auf dem DHCP-Server fest zu verteilen, um sicherzustellen, dass sich die Adresse nicht im Nachhinein ändert.
Für Netzwerke, in denen ein Virtual Local Area Network (VLAN) konfiguriert ist, gibt es im Control Center die passenden Einstellungen. Im IPv4-VLAN-Management konnten wir die entsprechende Konfiguration für bis zu acht verschiedene VLANs vornehmen. Im Untermenü "IPv6" konnten wir derweil die IPv6-Konfiguration von automatisch auf manuell umstellen und die entsprechenden Werte eintragen.
Rein technisch ist auch möglich, den Dongle so über ein VPN anzusprechen. Damit besteht beispielsweise aus einer entfernten Filiale oder dem Home Office Zugriff auf den Lizenzstick, ohne dass das Unternehmen diesen aus dem Haus geben muss. Weitere Einstellungen ließen sich noch für Bonjour sowie die WebDAV- und Syslog-Server vornehmen.
Praktische Administration per E-Mail
Ein unüblicher, aber sehr effizienter Weg ist die Administration des dongleserver Pro und ProMAX per E-Mail. Damit ist es möglich, den UTN-Server von jedem internetfähigen Gerät aus der Ferne zu administrieren. So lassen sich der UTN-Server-Status abfragen, Parameter definieren und Updates durchführen. Dazu genügt es, in die Betreffzeile einer E-Mail entsprechende Anweisungen einzutragen und die nötigen Zusatzangaben im Textkörper anzugeben.
Damit der Server diese auch erhält, haben wir im Menüpunkt "E-Mail" den Zugang zu einem POP3-Konto eingerichtet. Neben den Servereinstellungen, die natürlich auch SSL/TLS unterstützen, gaben wir an, in welchem Intervall das System die E-Mails abrufen sollte. Eine Art Spam-Schutz erhielten wir, indem wir für "E-Mails ignorieren mit mehr als" einen recht niedrigen Wert eintrugen. Er soll gerade so groß sein, wie eine Nachricht mit fast leerem Body und einer längeren Betreffzeile groß ist. Unklar für uns ist, warum SEH an dieser Stelle nicht auch IMAP unterstützt. Damit der UTN-Server uns auch antworten konnte, haben wir ebenso einen SMTP-Zugang eingerichtet.
Über das Kommando "get status" in der Betreffzeile erhielten wir nach wenigen Minuten, was vom Intervall zum Abrufen der neuen Nachrichten abhängt, die Statusseite des UTN-Servers per E-Mail zugestellt. Mit der Betreffzeile "get parameters" sandte uns der Server die Parameterliste. Das ist sehr hilfreich, da so auch Administratoren, die nicht regelmäßig mit den Parametern arbeiteten, schnell einen Überblick über die richtigen Kommandos erhalten. So korrigierten wir zum Beispiel testweise per E-Mail die IP-Adresse und nahmen Änderungen in der Zeiteinstellung vor. Interessanter wurde es dann bei der Konfiguration der USB-Anschlüsse als auch der USB-Geräte-Zugriffskontrolle.
Damit sich nicht aus Versehen Parameter per E-Mail ändern lassen, ist bei Updates oder Parameteränderungen zudem eine TAN erforderlich. Diese erhielten wir über die zuvor angeforderte und per E-Mail empfangene Statusseite. Die so erhaltene TAN gaben wir in die erste Zeile des Nachrichten-Bodys ein.
Die gerade beschriebenen SMTP-Einstellung für den Versand von E-Mails dienen auch der weiteren Benachrichtigung durch den dongleserver Pro/ProMAX. Unter dem Menüpunkt "Benachrichtigung" konnten wir bis zu zwei E-Mail-Adressen eintragen und festlegen, welche oder ob beide Systeminformationen und USB-Port- und USB-Geräte-Informationen erhalten sollten. Ebenso konfigurierten wir, welche Empfänger in einem festgelegten Intervall eine Status-E-Mail bekamen. Für umfangreichere Logs gab es an dieser Stelle auch die Konfiguration für bis zu zwei SNMP-Traps.
Fazit
Für meist hochpreisige Software sind Dongles ein üblicher Schutz vor der Verwendung unerlaubter Kopien. Ein Hardware-Dongle lässt sich zudem nicht ohne viel Aufwand duplizieren. Da ohne diesen USB-Stick wichtige Software im Unternehmen nicht funktioniert, ist es sehr wichtig, die unscheinbare Hardware zu schützen. Das Einstecken an einem Arbeitsplatzrechner ist schon aus Sicherheitsgründen keine Option. Damit der Administrator diese vor einem Verlust schützen kann, ist eine zentrale Aufbewahrung angesagt. Bei dem dongleserver Pro handelt es sich um eine abschließbare Metallbox, die wir über ein Netzwerkkabel an unser LAN anschlossen. Bis zu acht USB-Dongles konnten wir dediziert für einzelne Arbeitsplätze freigeben. Der dongleserver ProMAX stellt 20 USB-Dongles bereit und kommt im 19-Zoll-Gehäuse daher.
Die auf dem Client benötigte Software ließ sich mit einem grafischen Userinterface und auch als Kommandozeilen-Version installieren. Der Anwender muss bei beiden Varianten nur per Doppelklick auf ein Desktop-Icon seinen Rechner mit dem expliziten Dongle verbinden und benutzt ihn dann so, als ob dieser an einem lokalen USB-Port eingesteckt wäre. Umfangreiche Konfigurationen über das webbasierte Control Center machen den dongleserver Pro flexibel einsetzbar. Sogar der Zugriff über VPN als auch die Konfiguration per E-Mail sind möglich.
(dr)
| Bewertung |
Die Details unserer Testmethodik finden Sie unter www.it-administrator.de/testmethodik
|
||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
| Dieses Produkt eignet sich |
optimal für die Bereitstellung mehrerer Dongles über das Netzwerk inklusive VLAN und VPN.
bedingt in Einssatzszenarien mit hohen Anforderungen an den Diebstahlschutz. Hier müssen die Verantwortlichen den Dongle-Server in einem separaten, gesicherten Raum unterbringen.
nicht als USB-Server für die Bereitstellung von herkömmlichen USB-Sticks mit Datenzugriff.
|