Hardwarebasierte Fernwartung

Immer wieder gibt es das Problem, dass man auf seinen Rechner aus der Ferne zugreifen möchte, wenn dieser nicht gebootet ist. Dann gibt es entweder die Möglichkeit über Umwege den Rechner mit einem WOL-Request zu starten oder ihn.. naja.. nicht auszuschalten. Was aber, wenn der Rechner dauerhaft dem physikalischen Zugriff entzogen ist und man das System neu aufsetzen möchte? Ohne entsprechendes Recovery-System oder einen Depp-Vom-Dienst-Der-Knöpfe-Drücken-Darf-Service wird man dann nicht weit kommen. Klar, Fernwartungssoftware gibt es zu genüge und auch bei virtualisierten Systemen ist das alles kein Problem, doch gibt es immer noch genug Systeme, die allein aus Performance-Gründen auf dem Host laufen müssen und bei denen eine Einbuße der Rechenleistung durch Aufnahme und Übertragung des Bildschirminhaltes eher suboptimal wäre.

Warum also keine hardwarebasierte Fernwartung? Intel bietet mittlerweile eine KVM-Remote-Technik an, welche theoretisch genau das macht, was ich mir vorstelle, nur gibt es dort zwei Schwachpunkte:

  1. Es braucht wieder eine Person, die ein Passwort angibt. Eine vorkonfigurierte Fernwartung ist also nicht möglich.*
  2. Die CPU sowie das Mainboard müssen diese Technologie unterstützen. Und damit sind sie raus.
Das Konzept

Ähnlich einem KVM-Switch werden Tastatur, Maus, Netzwerk und Video gesplittet und einmal an einen Minicomputer übertragen, welcher später die Fernwartung übernimmt, sowie an die eigentlichen Geräte weitergeleitet. Der Nutzer kann also problemlos weiter auf seinen Monitor starren, sein Internet benutzen und mit Maus und Tastatur Eingaben tätigen. Der Minicomputer nimmt wenn nötig das Bildschirmsignal auf und leitet es über einen per Internet erreichbaren “Proxy”-Server an den Client weiter, andersrum nimmt dieser Maus- und Tastatur-Eingaben von dem entfernten Rechner entgegen und leitet sie weiter an den Endrechner. Somit ist es einem möglich den Rechner vom BIOS an zu steuern und das ganz ohne, dass das System zusätzliche Rechenaufgaben erledigen muss.

Die theoretische Umsetzung

Voraussetzungen:

  • USB-Switch, der es ermöglicht zwei Peripheriegeräte (Maus und Tastatur) von zwei Hosts an einen weiterzuleiten
  • (Ethernet-Switch, der sowohl dem Host als auch dem Minicomputer einen Netzwerk-Port bereitstellt)
  • HDMI-Splitter, der ein HDMI-Signal auf zwei Ausgänge aufteilt
  • HDMI-Capture-Modul, das das HDMI-Signal interpretieren und als Stream wiedergeben kann
  • Minicomputer, der mit dem Rechner, dem Switch und dem Server kommuniziert
  • Proxy-Server, der von beiden Seiten erreichbar ist (erspart Port forwarding)
  • Client-, Proxy- und Server-Software
Steckt man all das elegant zusammen, so bekommt man ein fertiges Produkt, das man als fertigen Service anbieten kann. Die Switches, der Splitter, das Aufnahmegerät und der Minicomputer sind alle in einem kompakten Gerät enthalten, welches der Anwender letzten Endes nur noch zwischen PC und Ein-/Ausgabegeräte stecken muss. Sobald der Minicomputer eine Netzwerkverbindung bezogen hat, kann er sich anhand seiner Seriennummer beim zentralen Server melden und wird dann einem Useraccount fest zugewiesen, welcher nur noch den Client auf einem entfernten Rechner installieren muss. Damit nicht jeder, der das Passwort hat einfach so auf den Bildschirm gucken kann, gibt es natürlich viele Möglichkeiten. Eine wäre, eine Two-Factor Authentication, bei der der Nutzer die Fernwartung erst per Code bestätigen muss oder eine einfache Leuchtdiode, welche anfängt zu blinken, sobald gestreamt wird.

Die Vorteile, die sich mir bei diesem Konzept erschließen sind denke ich mal klar ersichtlich: Wer diese Hardware hat, kann sie garantiert auch nutzen. Wenn also Omi oder Mutti ständig ein Problem mit dem Rechner hat, kann man ihr schnell eine solche Box dazwischen schalten (welche denke ich für 30-40 Euro bei Massenproduktion verkauft werden kann) und muss sich nie wieder Sorgen um den PC machen. Ebenso kann man seine eigenen Systeme fernwarten, selbst wenn der VPN mal wieder ausfällt, weil die FritzBox vergessen hat dem dynamischen DNS-Server ihre neue IP mitzuteilen.

Nachteil: Kostet.

 

*vielleicht lässt sich das aber konfigurieren, wovon ich jedoch nicht ausgehe, da das eine Sicherheitslücke für Unternehmen darstellen würde.