Sicherheit & Technik

Das mehrstufige G/On-Sicherheitsmodell beseitigt die Komplexität klassischer Access-Systeme (VPN) und sorgt durch Vereinfachung der IT für einen höchsten Schutz und spürbare Kosteneinsparungen.


Die beste Sicherheit ist unkompliziert und einfach anwendbar

 

G/On implementiert ein abgestuftes Sicherheitsmodell, das unabhängig von der Endpunktsicherheit einen applikationsbasierten Zugriff auf zentral freigegebene Anwendungen ermöglicht.

Vorteile gegenüber VPN

Technisch unterscheidet sich G/On von typischen VPNs dadurch, dass keine IP-Verbindung in das Netzwerk eingerichtet wird. Authentifizierte User sind nur mit dem G/On Server verbunden, der wiederum eine separate, getrennte Verbindung zu den spezifische Applikationsservern im Unternehmensnetz aufbaut. Der Anwender hat zwar das Gefühl, direkt im Netzwerk mit seinen Programmen und Ressourcen zu arbeiten, in Wirklichkeit ist die Verbindung aber nur virtuell und endet physisch am G/On Server. Außerdem besitzt G/On keine Broadcast-Adresse: Der Server ist nur "Zuhörer" und verarbeitet ausschliesslich autorisierte Datenströme.

Auf dem lokalen Client-Computer werden keine Informationen gespeichert, gecached oder hinterlassen, die ein möglicher Angreifer ausnutzen könnte. Ohne G/On-Token ist nicht einmal eine Adresse bekannt, über die ein potenzieller Hacker den Server finden und versuchen könnte, die Verbindung erneut aufzubauen. Und selbst wenn der Angreifer die Adresse wüsste, müsste er die Zugangsdaten, das Protokoll, die Applikationsverbindung und mehr fälschen können, nur um überhaupt am G/On Server anzukommen - und dann wäre er noch immer nicht im Unternehmensnetzwerk.

Layered Security - mehrstufige Sicherheit

  • G/On arbeitet Policy-basiert, implementiert ein abgestuftes Sicherheitsmodell und verwendet Erlaubnisregeln, um Applikationsverbindungen aufzubauen. White-Listing schützt vor Datenlecks, z. B. durch "Access Creep".
  • G/On bündelt voneinander unabhängige Security-Methoden und -Ebenen in einem Produkt (und einer Oberfläche), wie z. B. Tokenserver, Zertifikatserver Firewall, Proxy usw. Dadurch entfallen diverse Management-Instanzen, Inkompatiblitäten und komplexe Administrationen.
  • Verwendet patentiertes EMCADS® Protocol auf einer TCP oder HTTP 1.1 Ebene zwischen Client und G/On Server.
  • Der Verschlüsselungsstandard ist AES 256-bit.
  • Die integrierte Prozesskontrolle (lock to process) verhindert Zugriff unerwünschter oder unbekannter Software, sowie Malware bereits auf der Client-Seite, noch bevor Daten in die DMZ des Unternehmens gelangen. Dies schützt die Verbindung ins Firmennetzwerk und vermeidet die Übertragung hoher Datenmengen über die Leitung (Performance-Optimierung).
  • G/On bietet die Sicherheitsebenen und -funktionen einer Firewall mit präzisen Port-, sowie Endpunktregeln und erweitert diese um:
    + Application Policies: Welche Anwendung darf verwendet werden
    + 2-Factor Authentifizierung: Token plus Benutzername und Passwort
    + Echtzeit-Verifizierung (online) gegenüber einem Verzeichnisservice
    + Connection Authorisation: Wer darf was tun
    + Proxy-Funktionalität: eingehende EMCADS-Verbindung endet am G/On Server. Der Server etabliert eine neue, ausgehende TCP-Verbindung auf den Applikationsserver
    + Policies basierend auf dem Betriebssystem
  • G/On schützt beide Seiten der Verbindung für das Unternehmen (Festlegung ”wer darf was tun”) und für den User (stellt sicher, dass er mit dem richtigen Endpunkt verbunden ist)
  • G/On kann nach einem offenen TCP Port im Internet suchen
  • G/On unterstützt Internet-Proxies auf der Clientseite – Tunneling von EMCADS® durch eine HTTP 1.1 Verbindung.
  • G/On verwendet niemals "Tricks" oder "Hacks", um die Sicherheitsrichtlinien des Unternehmens zu umgehen. G/On sucht und verwenden ausschliesslich vorhandene Verbindungen.
  • Es gibt keine öffentlichen Server oder Verbindungsserver im Internet.
  • G/On ist nicht von Dritt-Services abhängig, es muss lediglich eine Internetverbindung vorhanden sein.
  • Automatische Verbindungstrennung nach definierbarer Inaktivität.
  • Schliessen der Verbindung und Anwendungen, nachdem der USB-Token entfernt worden ist.
  • Automatisches Schliessen von nicht mehr benötigten Verbindungen, sobald der Nutzer eine Anwendung beendet.

Vollständige Kontrolle des Startvorgangs

  • Beim Starten von G/On können folgende Parameter überprüft werden:
    - Zeitbereich
    - Betriebssystem
    - Antivirus und Firewall bei Windows-Betriebssystemen
    - Quell-IP (i.d.R. Public IP des Routers, z. B. zur Identifikation von Niederlassungen)
    - Ziel-IP im Netzwerk
    - Token
    - Token Groups
    - User
    - User Groups
    - Authentication Status
  • Da G/On Whitelist-basiert arbeitet gibt es Kriterien, anhand derer die Connectivity sofort beendet wird (z. B. Token oder Anwender nicht zugelassen).
  • Abhängig vom Ergebnis der Authentifizierung und Autorisierung werden die für den Anwender zugelassenen Menüauswahlen durch den G/On Server innerhalb des G/On-Clients angezeigt.
  • Zonen sorgen dafür, dass Menu Actions nicht ausführbar sind, sondern eine Markierung erhalten. Klickt der Anwender auf nicht ausführbare Menüs, wird er entsprechend informiert.

Nodeless Clients für höchste Sicherheit

 

G/On ist im bisher von IPSec- und SSL-VPN dominierten Connectivity-Markt die richtige Technolgie, um einen sicheren Zugang ohne direkte Netzwerkverbindung anzubieten.

Im klassischen Sinne bedeutet Remote Access über LAN, Wi-Fi, WAN und VPN, dass die Endgeräte direkt mit dem Unternehmensnwetzwerk verbunden werden. Die Integration solcher oft unbekannten Systeme und Netzwerke führt in der Praxis zu einer Vielzahl von Sicherheitsproblemen, die durch zusätzliche Hard- und Software adressiert werden müssen.

Aus diesem Grund verhindert G/On eine direkte Verbindung zwischen Endgerät und Servernetzwerk. Stattdessen wird eine virtuelle Verbindung zwischen der User-Session und den Applikationsservern und -diensten aufgebaut. Kernsysteme und Dienste des Unternehmens müssen nicht mehr gegenüber dem Internet offengelegt und sind so vor Angriffen von innen und aussen geschützt.

Vermeiden Sie "Network to Network" Connectivity

Für IT-Abteilungen ist es heute reine Routine, zwei Netzwerkwerke mit identischer Technologie und den selben Sicherheitsrichtlinien innerhalb des Unternehmens zu verbinden. Diese "Netzwerk-zu-Netzwerk" Konnektivität ist ein üblicher Weg, um Niederlassungen mit Anwendungen und Daten der Hauptstelle zu versorgen.

Die Herausforderungen beginnen dann, wenn ein unabhängiges Netz - z. B. eines Partners, Zulieferers oder Kunden - an die eigene Infrastruktur angebunden werden muss. Oftmals unterscheiden sich nicht nur Security-Policies und Ausstattung voneinander, sondern auch die Art und Weise, wie die IT generell gehandhabt wird. Im Ergebnis sind solche Prozesse mühselig und führen nicht selten zu einer reduzierten Funktionalität im Hinblick auf die eigentlich angestrebte Nutzung.

Die Lösung heisst "Application Connectivity"

Anwendungskonnektivität ist der richtige Weg, um Mitarbeiter, Partner, Kunde, Berater und jede andere Instanz miteinander zu verbinden. Die Notwendigkeit einer Netzwerk-zu-Netzwerk Verbindung entfällt, da der Client-Computer ausschliesslich mit einer virtuellen Appliance - dem sogenannten G/On Server - kommuniziert. Die Serversoftware stellt erst in einem zweiten, völlig getrennten Prozess die Konnektivität zu den Applikationssystemen bereitstellt. Der G/On Server verhält sich dabei wie ein Proxy mit Whitelist-Firewall sowie integrierter Netzwerk-/Applikationszugriffskontrolle.

Dank Application Connectivity spielt auch die Absicherung der Endgeräte nur noch eine untergeordnete Rolle. Da technisch unmöglich sichergestellt werden kann, dass jeder PC, jedes Smartphone und Tablet zu 100% abgesichert sind, umgeht G/On dieses Problem einfach, indem das Device nicht mit dem Unternehmensnetzwerk verbunden wird. Diese Entkopplung ermöglicht nicht nur den sicheren Einsatz der Remoteverbindung auf unkannten Computern, sondern erlaubt auch die schnelle, kostengünstige Umsetzung von "Bring Your Own Device" Angeboten, ohne dass die Devices zwangsverwaltet oder zentral gesteuert werden müssen.

Vorteile der Netzwerktrennung

  • Keine Angriffsfläche für Viren, Man-in-the-Middle Attacken, Hacking, Hijacking usw.
  • Keine Offenlegung der Applikationsserver gegenüber dem Internet notwendig.
  • Reduzierung der Anzahl offener Ports auf standardmässig 1 Port.
  • Reduzierung des Datenverkehrs im Netzwerk.
  • Security Policies zwischen unterschiedlichen Netzen müssen nicht vereinbart werden (die firmeneigenen Richtlinien werden immer durchgesetzt).
  • Inkompatibilitäten zwischen Geräten und Strukturen werden eliminiert.
  • Die Implementierungskosten sind vergleichsweise gering.
  • Das Unternehmen wird zum Service Provider - der externe Partner / Mitarbeiter / Kunde wird zum Nutzer dieser Dienstleistung.

End-to-end Connectivity mit beidseitiger Authentifizierung

 

G/On integriert eine starke 2-Faktor Authentifizierung zwischen Endgerät und G/On Server. Als Hardware-Token wird entweder ein eindeutiges, USB-basiertes Authentifizierungs- und Verbindungsgerät verwendet, oder der Computer selbst wird als Hardware-Token aktiviert. Alternativ können softwarebasierte Token verwendet werden.

Authentifizierungsschritte

  • "Etwas, das Sie besitzen" - Hardware-/Geräte-Authentifizierung, um die Verbindung zu validieren und zu bestätigen. In diesen Schritt eingebunden ist eine korrespondierende Validierung der Server-Seite, der sowohl Hardware-Clients, als auch Server-Devices gegenseitig in Echtzeit authentifiziert.
  • Nach der erfolgreichen Authentifizierung der Hardware, vervollständigt G/On den sicheren Schlüsselaustausch und schaltet auf eine FIPS 140-2 konforme, 256-bit AES Verschlüsselung um und fordert die User-Credentials an.
  • "Etwas, das Sie wissen müssen" - Die Authentifizierung der User basiert auf einer Benutzer-ID und einem Passwort, die in Kombination live gegenüber einem Verzeichnisdienst validiert wird.
  • Die Hardware- und Benutzer-Authentifizierung zusammen bilden die finale 2-Faktor-Authentifizierung.
  • Ist die 2-Faktor Authentifizierung erfolgreich ausgeführt, dann wird dem Anwender ein Menü autorisierter Anwendungen angezeigt.
  • Nun verfügt der Nutzer über eine verschlüsselte, virtuelle und individuell autorisierte Verbindung für jede einzelne Applikation, in dem er sie im G/On Menü auswählt.
  • Die Hardware-Authentifizierung basiert auf einem Challenge/Response Protokoll, das eine Public/Private Key Kryptografie (RSA Schlüssel) verwendet. Durch einen Enrollment-Vorgang, der für jeden Token ein einzigartiges Set aus privaten- und öffentlichen Schlüsselpaarengeneriert, sind die Authentifizierungstoken dem G/On Server bekannt. Diese Schlüsselpaare sind alle Bestandteil der firmeneigenen G/On Installation und der Authentifizierungsprozess erfolgt immer online (live) zwischen dem G/On Client und dem G/On Server des Unternehmens. In Folge dessen wird keine PKI Instrastruktur (Public Key Infrastructure) verwendet und ist auch nicht notwendig.

Unterstützte Authentifizierungstoken

  • Hardwaretoken mit Smartcard
    Der private Schlüssel wird innerhalb der Smartcard-Hardware generiert, gespeichert und abgesichert.
    Die Challenge/Response Berechnungen erfolgen innerhalb der Smardcard durch den Prozessor der Smartcard.
    G/On Smartcard-Token benötigen keine speziellen Treiber und auch keine Treiberinstallation.
  • Hardwaretoken ohne Smartcard
    Der private Schlüssel wird durch den PC generiert und auf einen PC oder ein USB-Gerät anhand spezifischer Hardwaremerkmale gebunden.
    Die Software auf dem PC implementiert das Challenge/Response Protokoll.
  • Softwaretoken
    Der private Schlüssel wird vom PC generiert und auf dem PC oder einem Datenspeicher abgelegt.
    Die Software auf dem PC implementiert das Challenge/Response Protokoll.

Zentrale Administration und Anwendungsautorisierung

 

Mit der G/On Management Konsole verwalten IT-Administratoren zentral die Authentifizierungspolicies und -autorisierungspolicies.

Die Authorisierungspolicies definieren, auf welche Anwendungen die Nutzer Zugriff erhalten, wenn sie authentifiziert sind. Typischerweise wird G/On an ein vorhandenes Benutzerverzeichnis, wie Microsoft Active Directory oder LDAP angebunden und verwendet die Gruppendefinitionen, die dort bereits existieren.

G/On ist nicht nur eine sichere Access-Lösung, sondern eine integrierte Architektur für das Management und die Implementierung von Zugriffspolicies und Compliance. G/On lässt sich so konfigurieren, dass Anwendern oder einer Benutzergruppe eine Auswahl von Applikationen zur Verfügung gestellt wird, auf die sie zum Beispiel von firmeneigenen PCs zugreifen können. Genauso kann parallel ein weiterer Satz von Anwendungen bereit gestellt werden, auf den sie vom privaten Heimarbeitsplatz oder mobilen Endgeräten aus verbinden können.

Anwendungszugriff situationsabhängig steuern

Beispielsweise kann G/On erlauben, dass die lokale Outlook-Installation über die gesicherte Verbindung mit den Firmendaten synchronisiert wird, sofern dafür ein firmeneigenes Notebook verwendet wird. Versucht der User dies auf einem unbekannten PC, wird er mit einer Terminal Server Session verbunden, so dass er die Mail-, Kontakt- und Termindaten zwar online einsehen, aber nicht auf das lokale Gerät synchronisieren oder herunterkopieren darf. Dieses "Switching" ist eine elementares Feature, wenn es um höchste Sicherheit geht, denn nur so lässt sich zuverlässig verhindern, dass sensible Unternehmensinformationen auf ungemanagte Computer, Smartphones oder Tablets übertragen werden.

Single Point of Administration

G/On vereinfacht komplexe Administrationsprozesse und zentralisiert die Verwaltung an einer Stelle im Unternehmen. Der Aufwand wird dadurch ebenso reduziert, wie mögliche Fehlbedienungen oder Inkompatibilitäten.

"Single Point of Administration" (SPOA) bedeutet, dass alle administrativen Aufgaben in einem Interface zusammengefasst sind, über das der IT-Admin die G/On-Zugänge sicher und einfach verwalten kann.

Das G/On Management Tool steuert zentral die Aktivierung und Prüfung der Token und verwaltet sämtliche User inklusive aller Zugriffsberechtigungen. Die Anbindung an einen Verzeichnisdienst (wie Active Directory oder LDAP) sorgt dafür, alle Benutzer und Gruppen sofort im Zugriff sind und beispielsweise Passwortänderungen oder die Anlage neuer User nicht mehrfach erfolgen müssen.

Vorteile des zentralen G/On Managements

  • Die IT (Netzwerk, Sicherheit, Administratoren) müssen nur noch mit einer Lösung arbeiten, um abgesicherte Zugriffe auf Citrix-Umgebungen, Terminal Services, Portale, E-Mail-Systeme, Büro-PCs, Client-Server-Anwendungen uvm. zu verwalten.
  • Nur eine einzige Lösung ist erforderlich, um den mobilen und firmeninternen Zugriff auf Anwendungen für alle Mitarbeiter/innen im Unternehmen abzusichern.
  • Die selbe zentral gemanagte G/On Lösung kommt bei der Remote-Anbindung externer Vertragspartner, Berater, Kunden usw. zum Einsatz.
  • Reduzierung des Aufwands und der damit verbundenen (internen) Kosten.
  • Verringerung potenzieller Fehlerquellen durch Inkompatibilitäten und parallele Verwaltung unterschiedlicher Systeme verschiedener Hersteller.
  • Integrierte Funktionalität:
    - Authentication Policies (Token, User, Regeln)
    - Authorization Policies (User-Gruppen, Applikationen, Regeln, Token-Gruppen)
    - IP-Zones (Regeln)
    - Application Provisioning (G/On Menü-Management)
    - Reporting (Nutzung, Aktivität)

Einfach arbeiten, ohne Vorkenntnisse

 

Für Sicherheitsexperte Bruce Schneier steht fest: Je komplexer ein System, desto anfälliger ist es. Komplizierte Bedienung steht in klarem Gegensatz zur Sicherheit. Genau deshalb haben wir G/On so einfach bedienbar gemacht.

G/On-Anwender sind innerhalb weniger Minuten mit der Lösung vertraut und müssen weder über technische Vorkenntnisse verfügen, noch ihren Computer konfigurieren oder umständliche Sicherheitsprozeduren durchlaufen. Nach dem Start des Clients meldet sich der Nutzer bequem mit seiner gewohnten Kombination aus Benutzer und Passwort an und kann danach im G/On-Menü einfach die Anwendungen auswählen, die er remote nutzen möchte.

Volle Nutzungsqualität ohne Beschränkungen

Ein wesentliches Merkmal von G/On ist die Möglichkeit, den Computer auch während einer aktiven G/On-Sitzung wie gewohnt verwenden zu können. Es gibt keine "künstlichen" Beschränkungen, egal ob parallel im Internet gesurft oder Skype verwendet wird, die Verbindung zum G/On-Server bleibt immer vollständig abgesichert.

Unsere Technologie sorgt für eine bessere Akzeptanz beim Anwender, erhöht die Produktivität, da er in dem, was er tut nicht eingeschränkt wird, und macht ausserdem die Anwendung auf unbekannten PCs möglich, ohne dass dafür ein Haftungsrisik eingegangen werden muss.

Schutz vor Fehlbedienungen

Selbst die restriktivste Verwaltung mobiler Geräte und Zugänge ins Netzwerk schützt nicht vor unbeabsichtigten Fehlbedienungen. Bereits ein versehentlich falsch konfiguriertes VPN oder eine übersehen Freigabe (Stichwort "Access Creep") kann verhängnisvolle Auswirkungen haben, die in aller Regel viel zu spät bemerkt werden.

Mit G/On lassen sich unabsichtliche Fehlbedienungen sowohl auf der Anwender-, als auch IT-Seite vermeiden. Beispielsweise beinhaltet der G/On Client weder Menüauswahlen, noch sonstige Nutzungsinformationen. Statt dessen pusht der G/On Server nach der Authentifizierung und Autorisierung eine benutzerbezogene Applikationsauswahl auf das Mobilgerät. Dieses Menü ist zentral am Management definiert, enthält alle Anwendungsaufrufe und wird unabhängig von Betriebssystem und Sprache immer identisch angezeigt.

Abhängig vom Kontext des Anwenders, also beispielsweise dem verwendeten Token-Device, dem Ort, der Gruppenzugehörigkeit, den Policies und mehr, werde die Auswahlen bereit gestellt.

Das Whitelist-Prinzip stellt darüberhinaus sicher, dass für den mobilen Mitarbeiter keine anderen Zugriffsmöglichkeiten oder „Umleitungen auf Netzwerkebene“, da ohne explizite Freigabe generell alles verboten ist. Der mobile Nutzer kann also ausschliesslich die Applikationsverbindungen nutzen, die der IT-Administrator für ihn freigegeben hat.