Giritech GmbH		 Presse  |  Newsletter  |  Forum  |  Partnerportal  |  Twitter  |  Facebook  |  YouTube  |  RSS


Home / Sicherheit / Key facts

Sicherheit

G/On Layered Security

Starker 360° Schutz

 
  

G/On Sicherheit
im Überblick

Das mehrstufige G/On-Sicherheitsmodell beseitigt die Komplexität klassischer Remote Access Systeme und sorgt durch Vereinfachung für einen optimalen Schutz auf Enterprise-Niveau und deutlich Kosteneinsparungen.

Alleine in Deutschland geben derzeit über die Hälfte der Anwender an, dass sie firmeninterne Policies umgehen, falls dies zur Erledigung der Tätigkeiten erforderlich sei sollte (Quellen: Information Week, Cisco Studie). Eine solche Situation birgt nicht nur ein hohes Gefahrenpotenzial, sie zeigt auch deutlich, dass immer kompliziertere Sicherheitssysteme von den Nutzern auf Dauer nicht akzeptiert werden. Gleichzeitig verlieren Administratoren schneller den Überblick. Sie laufen Gefahr, dass sich bei der Konfiguration vieler beteiligter Instanzen unbemerkt Fehler einschleichen.

Mit G/On vereinfachen Sie Ihre IT-Infrastruktur spürbar und stellen eine Zugriffstechnologie bereit, die ausgesprochen einfach zu bedienen und zu administrieren ist.
 

Layered Security - mehrstufige Sicherheit

 
  • G/On arbeitet Policy-basiert, implementiert ein abgestuftes Sicherheitsmodell und verwendet ”allow rules” (Erlaubnisregeln), um Applikationsverbindungen aufzubauen. White-Listing schützt vor Datenlecks, z. B. durch "Access Creep".
  • G/On bündelt voneinander unabhängige Security-Methoden und -Ebenen in einem Produkt (und einer Oberfläche), wie z. B. Tokenserver, Zertifikatserver Firewall, Proxy usw. Dadurch entfallen diverse Management-Instanzen, Inkompatiblitäten und komplexe Administrationen.
  • Verwendet patentiertes EMCADS® Protocol auf einer TCP oder HTTP 1.1 Ebene zwischen Client und G/On Server.
  • Der Verschlüsselungsstandard ist AES 256-bit.
  • Die integrierte Prozesskontrolle (lock to process) verhindert Zugriff unerwünschter oder unbekannter Software, sowie Malware bereits auf der Client-Seite, noch bevor Daten in die DMZ des Unternehmens gelangen. Dies schützt die Verbindung ins Firmennetzwerk und vermeidet die Übertragung hoher Datenmengen über die Leitung (Performance-Optimierung).
  • G/On bietet die Sicherheitsebenen und -funktionen einer Firewall mit präzisen Port-, sowie Endpunktregeln und erweitert diese um:
    + Application Policies: Welche Anwendung darf verwendet werden?
    + 2-Factor Authentifizierung: Token plus Benutzername und Passwort
    + Echtzeit-Verifizierung (online) gegenüber einem Verzeichnisservice
    + Connection Authorisation: Wer darf was tun?
    + Proxy-Funktionalität: eingehende EMCADS-Verbindung endet am G/On Server.
      Der Server etabliert eine neue, ausgehende TCP-Verbindung auf den
      Applikationsserver
    + Policies basierend auf dem Betriebssystem
  • G/On schützt beide Seiten der Verbindung für das Unternehmen (Festlegung ”wer darf was tun”) und für den User (stellt sicher, dass er mit dem richtigen Endpunkt verbunden ist)
  • G/On kann nach einem offenen TCP Port im Internet suchen
  • G/On unterstützt Internet-Proxies auf der Clientseite – Tunneling von EMCADS® durch eine HTTP 1.1 Verbindung.
  • G/On verwendet niemals "Tricks" oder "Hacks", um die Sicherheitsrichtlinien des Unternehmens zu umgehen. G/On sucht und verwenden ausschliesslich vorhandene Verbindungen.
  • Es gibt keine öffentlichen Server oder Verbindungsserver im Internet.
  • G/On ist nicht von Dritt-Services abhängig, es muss lediglich eine Internetverbindung vorhanden sein.
  • Automatische Verbindungstrennung nach definierbarer Inaktivität.
  • Schliessen der Verbindung und Anwendungen, nachdem der USB-Token entfernt worden ist.
  • Automatisches Schliessen von nicht mehr benötigten Verbindungen, sobald der Nutzer eine Anwendung beendet.


Vollständige Kontrolle des Startvorgangs

 
  • Beim Starten von G/On können folgende Parameter überprüft werden:
    - Zeitbereich
    - Betriebssystem
    - Antivirus und Firewall bei Windows-Betriebssystemen
    - Quell-IP (i.d.R. Public IP des Routers, z. B. zur Identifikation von Niederlassungen)
    - Ziel-IP im Netzwerk
    - Token
    - Token Groups
    - User
    - User Groups
    - Authentication Status
  • Da G/On Whitelist-basiert arbeitet gibt es Kriterien, anhand derer die Connectivity sofort beendet wird (z. B. Token oder Anwender nicht zugelassen).
  • Abhängig vom Ergebnis der Authentifizierung und Autorisierung werden die für den Anwender zugelassenen Menüauswahlen durch den G/On Server innerhalb des G/On-Clients angezeigt.
  • Zonen sorgen dafür, dass Menu Actions nicht ausführbar sind, sondern eine Markierung erhalten. Klickt der Anwender auf nicht ausführbare Menüs, wird er entsprechend informiert.

Komplexität ist der schlimmste Feind
der Sicherheit.

Bruce Schneier - Sicherheitsexperte

Weitere Fragen & Antworten


Was Sie über G/On wissen sollten

Welche Probleme löst G/On?
Unsere Lösung reduziert Kosten und Komplexität bei der Absicherung eines Remote Zugriffs auf Netzwerkressourcen - besonders von PCs aus, die nicht durch die IT-Abteilung kontrolliert werden.

Wie unterscheidet sich G/On von einem VPN?
Im Gegensatz zu einem IPSec VPN verbindet G/On den Remote-PC nicht mit dem Firmennetzwerk. G/On etabliert eine virtuelle Verbindung, die dem Anwender das Gefühl vermittelt, er habe eine direkten Zugriff auf seine Anwendungen, den Büro-PC oder virtuelle Desktops. G/On ist einfacher in der Nutzung, weil keine Installation oder Konfiguration des Client-PCs notwendig ist. Im Gegensatz zu den meisten SSL VPNs verlässt sich G/On nicht auf (unsichere) Webbrowser, um Anwendungen bereitzustellen. Eine SSL VPN erfordert die Integration von Authentifizierungstools, Zertifikaten und mehr, abhängig von den jeweiligen Unternehmenspolicies.

Was ist so "besonders" an der virtuellen G/On-Verbindung?
Zum Vergleich: IPSec VPNs verbinden über das Betriebssystem des Computers in das Netzwerk. Dadurch wird der Rechner zu einem Knoten im Netzwerk, was die Verbindung verletzbar macht. Beispielsweise können Hacker die VPN-Sitzung stören, die Credentials stehlen und diese möglicherweise nutzen, um aus der Ferne über einen VPN-Client oder einen Browser in das Netzwerk einzudringen. G/On hingegen erstellt virtuelle Verbindungen auf Applikationen, die unabhängig vom verwendeten PC und dessen Betriebssystem sind. Die einige Möglichkeit, diese Verbindungen zu öffnen ist, wenn man physisch vor dem PC sitzt.

Bedeutet dies, dass Endpunkt-Sicherheit vernachlässigbar ist?
Antispware- und Antivirus-Software bleibt für jeden verantwortungsbewussten IT-Anwender und Administrator unverzichtbar. Aber durch den Einsatz von G/On beeinträchtigen unbekannte Viren, Spyware etc. in der Regel nur die Produktivität auf der Clientseite, anstatt die gesamte unternehmensseitige Netzwerkstruktur zu kompromittieren. Der über G/On angebundene Computer wird niemals zu einem Knoten im Netzwerk und unsere einzigartige Lock-to-Process Funktionalität hindert unbekannte Anwendungen daran, sich in eine existierende G/On-Verbindung einzuklinken. Viren, Trojaner oder Malware werden daran gehindert, sich die Verbindung zunutze zu machen und in das Netzwerk einzudringen.

Wie unterscheidet sich G/On von Secure Token?
Secure Token authentifizieren Anwender. Und das ist alles. Sie verbinden User nicht mit ihren Applikationen, sie verschlüsseln keine Daten und sie geben der IT-Abteilung nicht die notwendigen Werkzeuge, die dort benötigt werden, um jeden Aspekt einer Remote-Connectivity zu verwalten. G/On erledigt alle diese Dinge.

Ist ein Einmal-Passwort nicht sicherer?
Nein. Ein Secure Token muss physisch nicht präsent sein, damit sich ein Anwender anmelden kann. Man kann das gültige Einmalpasswort auslesen und beispielsweise über das Telefon weitergeben, damit sich jemand anonym einloggen kann. Ausserdem haben weder OTP noch SMS Token eine phyische Verbindung zum Kontrollsystem, was bedeutet, dass die Werte über ein Verfahren errechenbar sein müssen, sonst konnte die Gegenstelle sie nicht als echt akzeptieren. Bei G/On kann der Anwender nur dann verbinden, wenn er phyisch den korrekten Token verwendet (der live gegenüber dem G/On Server im Unternehmen verifiziert wird) und ausserdem die Login-Credentials kennt (Benutzername/Passwort).

Kann G/On trotzdem Einmalpassworte unterstützen?
Ja. Technisch kann G/On so erweitert werden, dass Einmalpassworte einsetzbar sind (Secure Token oder SMS Passworte). Jedoch betrachten wir dies in den meisten Fällen als nicht notwendig.

Was, wenn ich bereits ein VPN, Secure Token und andere Verfahren einsetze?
G/On ist eine kostensparende Lösung, die als Ergänzung oder Ersatz für alte Sicherheitsverfahren zum Einsatz kommt. Es ist nicht notwendig, die IT-Umgebung für den Einsatz von G/On zu verändern oder alles umzustellen. G/On kann parallel verwendet werden, um sehr einfach und effizient weiteren Personen einen hochsicheren Zugriff auf Ressourcen einzurichten. Auch ist G/On die optimale Wahl, wenn andernfalls eine kostenintensive Erweiterung bestehender Techniken erforderlich wäre.

Was hindert andere daran, eine G/On-ähnliche Lösung zu entwickeln?
Die Einfachheit von G/On täuscht darüber hinweg, dass Giritech viele Jahre in die Entwicklung einer schnellen, einfachen und extrem flexiblen Lösung investiert hat. Viele G/On Clones, die heute mit ähnlichen Attributen angepriesen werden, basieren auf VPN-Technologien und ein direkter Vergleich wird die gravierenden Unterschiede schnell offenlegen. Ausserdem sind unsere Technologie und das Deployment der Clients durch Patente geschützt. Doch das Wichtigste ist: Giritech möchte das Vertrauen der Kunden auf die altmodische Weise gewinnen – indem wir beweisen, dass der Kunde den besten Gegenwert für sein Geld erhält, sowohl technologisch, als auch im Hinblick auf Service und Support!


Änderungen und Aktualisierungen vorbehalten. Stand: Dezember 2011



 

Sicherheit vergleichen

Unser Security-Dokument erklärt die Vorteile von G/On gegenüber SSL und IPSec VPNs.


G/On Produktvideos

Videoclip anschauen
G/On Videoclip


Wir sind für Sie da

+49 (0) 75 41
97 10 99-0
+49 (0) 75 41
97 10 99-99
info@giritech.de
sales@giritech.de
Kontaktformular
   
Facebook
Twitter
Giritech GmbH