Giritech GmbH
Presse  |  Newsletter  |  Forum  |  Partnerportal  |  Twitter  |  Facebook  |  YouTube  |  RSS



 
 

G/On Server - die
virtuelle Appliance

Der G/On Server stellt in Form einer virtuellen Appliance alle Kernfunktionen zur Verfügung und sorgt für die physische Trennung der Clients vom Servernetzwerk.

Ein G/On Server besteht aus einem oder mehreren G/On Gateway Servern und dem G/On Management Server. Er implementiert alle Funktionen, die für den sicheren Zugriff der Nutzer auf ihre Anwendungen erforderlich sind, ohne dass dafür die Komplexität von VPN-basierten Infrastrukturen notwendig ist. Dadurch ergeben sich vielfältige Möglichkeiten zur Vereinfachung der IT-Strukturen und für deutliche Kosteneinsparungen.
 

 

G/On Server Setup-Wizard G/On Server Konfigurationsstatus G/On Management Server Konfiguration

G/On Produktbroschüre (PDF)

Technisch ist der G/On Server ein Port-Weiterleitungs-Proxy mit einer integrierten, auf applikationsebene arbeitenden Firewall, die ein Protokoll auf Applikationsebene für die Kommunikation mit den G/On Clients unterstützt. Der G/On Server implementiert folgende Funktionen:

 

Whitelist-Firewall auf Applikationsebene

Der G/On Gateway Server und der G/On Client inspizieren den gesamten Datenverkehr und entscheiden, was erlaubt ist und was abgelehnt wird. G/On ist nicht nur eine alleinstehende Firewall, sondern kontrolliert die gesamte End-to-End Kommunikation und erlaubt nur den Datenverkehr von authentifizierten Nutzern auf autorisierte Anwendungen. Dadurch unterscheidet sich die Lösung deutlich von herkömmlichen, applikationsbasierten Firewalls.

G/On kennt den User, den Applikationsclient und die Applikationsserver für jedes einzelne Datenpaket, das transportiert wird. Diese Informationen werden ausgewertet, um zu entscheiden, was weiterzuleiten und was abzulehnen ist. Da die Firewall whitelist-basiert arbeitet, ist grundsätzlich nichts erlaubt, was der G/On Server nicht zuvor autorisiert hat. Ein Whiteliste-Verfahren lässt sich nicht durch das Vergessen einer Regel oder eine fehlerhafte Regel aushebeln (Beispiel: Vergessene „Deny-All“ Regel).

 

Proxy-Funktionalität

Der G/On Gateway Server implementiert die G/On Proxy Funktionaliät, um externe Verbindungen der Applikationsclients von den internen Verbindungen auf das Servernetzwerk zu trennen (virtuelle End-to-End Connectivity). Technisch endet die TCP-Verbindung der jeweiligen Anwendung am lokalen Loopback des entfernten Client-Computers. Hier initialisiert G/On einen Listener, der via Prozesskontrolle die Datenherkunft prüft und ausschliesslich Daten von zugelassenen Applikationen übermittelt (lock to process). Während ein Tunnel immer alle Informationen bis zur Appliance überträgt, verlassen unerwünschte Daten bei G/On gar nicht erst den Client-PC. Somit steht die verfügbare Bandbreite in vollem Umfang für die Übertragung von Nutzdaten zur Verfügung und wird nicht durch unnötigen Ballast reduziert.

Die Transportengine verpackt Protokolle wie TCP, SSL oder HTTPS noch vor dem Versand auf dem Client in das EMCADS®-Protokoll, übermittelt die Informationen verschlüsselt und entpackt sie im Unternehmen am G/On-Server wieder in das ursprüngliche Format. Genau dort endet auch physisch die Verbindung von außen. Der G/On-Server baut eine neue TCP-Verbindung zum jeweiligen Anwendungsserver auf. Es besteht also nie eine direkte Verbindung von aussen ins Firmennetzwerk.

 

Netzwerk- und Applikationszugriffskontrolle

Im Gegensatz zu einem Standard Network Admission Control (NAC), stellt G/On keinen Zugriff auf das Netzwerk zur Verfügung. Die G/On Architektur ist vielmehr so aufgebaut, dass detaillierte Informationen über Endusergeräte gesammelt und als Teil einer vollständigen Autorisierungsentscheidung verwendet werden (Device Authentication).

Nur Verbindungen von authentifizierten Nutzern und authentifizierten Anwendergeräten können für den Zugriff auf spezifische Anwendungen über spezifische Applikationsclients autorisiert werden. Wo also klassische NAC Systeme entscheiden, welche Geräte auf das gesamte Netzwerk zugreifen dürfen (und in welchem Zustand diese Maschinen sein müssen), richtet G/On den Fokus auf den Nutzer und die Applikation - und genau diese Information entscheidet, ob das Gerät, das der Anwender gerade benutzt, am G/On Server bekannt ist oder nicht. Dies ist eine weitaus einfachere Autorisierungsentscheidung, da sie darauf basiert, welche Aktion der Nutzer auszuführen versucht - anstatt nur das Gerät zu untersuchen und außer Acht zu lassen, was der Anwender tut, nachdem er einen Zugriff erhalten hat.

 

User-Authentifizierung

Sinnvolle Sicherheitsrichtlinien erfordern die Identitätsprüfung eines Remoteanwenders durch verschiedene Multi-Faktor-Authentifizierungslösungen. Solche Verfahren werden jedoch komplex, sobald das Unternehmen verschiedene Technologien und Richtlinien für eine starke Authentifizierung kombiniert. G/On ermöglicht die Konsollidierung verschiedener Authentifizierungstechnologien und Richtlinien in einer einzelnen, einfach zu verwaltenden Plattform.

Bei G/On kommt eine 2-Faktor Authentifizierung mit Hardware-Token („etwas, das man haben muss“) plus Benutzername/Passwort („etwas, das man wissen muss“) zum Einsatz. Die Authentifizierung erfolgt online mit Random-Faktoren. Diese sind servergeneriert und weder berechenbar noch abfangbar oder ausspähbar (im Gegensatz zu einer PIN oder einem OTP).

 

Implementieren und Durchsetzen von Policies

Der G/On Management Server bietet dem IT-Administrator eine zentrale Administrationoberfläche (Single Point of Administration) und genau einen „Single-Point of Failure“ im Hinblick auf Implementierung, Dokumentierung und Durchsetzung von Zugriffssicherheitsrichtlinien. Im Fehlerfall („Zugriff nicht möglich“) muss lediglich eine Komponente (der G/On Server) untersucht werden. Hierfür liefert das Reporting die notwendigen Informationen.

XML-formatierte Protokolle des Datenverkehrs ermöglichen ereignisbasierte Alarmmeldungen sowie zentrale Auswertungs- und Reportingoptionen für interne, sowie externe Audits (Compliance, Ausführungsbestimmungen usw.). G/On bietet für die Revision ein Reporting der möglichen Verbindungen eines Benutzers. Dadurch ist für jeden Benutzer klar prüfbar, ob die definierten Policies korrekt umgesetzt werden (prüfbar durch die Revision, prüfbar durch den Administrator).
 

Mit Giritech G/On setzen wir auf eine wegweisende
Access-Lösung.

Markus Moog - Leiter Informatik Gemeinde Ittigen

Lieferumfang der virtuellen Appliances

Der G/On Server ist in den folgenden 3 Varianten verfügbar:


Small Business Server G/On 5 Server - Virtual Appliance

Der "Small Business Server" ist als Einstiegslösung für bis zu 5 User ausgelegt.

Beinhaltete Server-Features:

- Menu Items 10 includedAnzahl der Menü-Definitionen.
- HTTP EncapsulationDiese Option bietet die Möglichkeit, eine HTTP-Einkapselung zu konfigurieren, wenn der G/On-Client versucht, eine Verbindung zum Gateway-Server über HTTP Proxies aufzubauen.
- Multiple Client Connect IP PortsDieses Modul erlaubt die Konfiguration mehrerer IP-Ports, die der G/On-Client nutzen kann, wenn er versucht, eine Verbindung zum G/On Gateway-Server aufzubauen.
- MS Active Directory User DirectoryDiese Option ermöglicht die Authentifizierung von Anwendern gegenüber dem Microsoft Active Directory.


Der Small Business Server unterstützt kein serverseitiges Single Sign-On. Für die Anbindung von mobilen Devices (wie iPad und iPhone) mit serverseitigem Single Sign-On ist deshalb ein Business Server erforderlich.

 
Änderungen und Aktualisierungen vorbehalten. Stand: Juli 2011

Business Server G/On 5 Server - Virtual Appliance

beinhaltete Server-Features:

- Menu Items 20 includedAnzahl der Menü-Definitionen.
- HTTP EncapsulationDiese Option bietet die Möglichkeit, eine HTTP-Einkapselung zu konfigurieren, wenn der G/On-Client versucht, eine Verbindung zum Gateway-Server über HTTP Proxies aufzubauen.
- Multiple Client Connect IP PortsDieses Modul erlaubt die Konfiguration mehrerer IP-Ports, die der G/On-Client nutzen kann, wenn er versucht, eine Verbindung zum G/On Gateway-Server aufzubauen.
- Multiple Client Connect IP AddressesStandardmässig verbinden sich Clients auf den G/On-Server über eine IP-Adresse. Dieses Feature sorgt für Ausfallsicherheit und Lastverteilung, indem mehrere IP-Adresse definiert werden können, über die der G/On-Client auf optionale, alternative G/On Gateway-Server innerhalb eines Gateway-Server-Clusters zugreifen kann.
- RDP ConnectorErmöglicht die Konfiguration von TCP port-weitergeleiteten RDP-Verbindungen (Remote Desktop Protokoll) mit serverseitigem Single Sign-On. Redirection Messages sind unterstützt von: RDP Connection Broker (Terminal Services Session Broker), TS Remote Apps, TS Web Access und TS Gateway.
- Citrix ConnectorErlaubt die Einrichtung von port-weitergeleiteten Citrix-Verbindung mit serverseitigem Single Sign-on. Citrix-Anwendungen, die über den Citrix XLM Service veröffentlich werden, erscheinen sofort als Menüeintrag im G/On Menü, ohne jede Installation auf der Client-Seite. Enthält Unterstützung für Citrix Web Access. Verfügbar für Windows, Linux und Mac OS X.
- Proxy Connector for HTTP & SOCKSErmöglicht die Einrichtung von port-weitergeleiteten, transparenten http, http proxy und socks proxy Verbindungen mit serverseitigem Single Sign-On für einfache http Authentifizierung. Beinhaltet White-List Funktionalität zur Limitierung der Connectivity.
- MS Active Directory User DirectoryDiese Option ermöglicht die Authentifizierung von Anwendern gegenüber dem Microsoft Active Directory.

 
Änderungen und Aktualisierungen vorbehalten. Stand: Juli 2011

Enterprise Server G/On 5 Server - Virtual Appliance

beinhaltete Server-Features:

- Menu Items 100 includedAnzahl der Menü-Definitionen.
- HTTP EncapsulationDiese Option bietet die Möglichkeit, eine HTTP-Einkapselung zu konfigurieren, wenn der G/On-Client versucht, eine Verbindung zum Gateway-Server über HTTP Proxies aufzubauen.
- Multiple Client Connect IP PortsDieses Modul erlaubt die Konfiguration mehrerer IP-Ports, die der G/On-Client nutzen kann, wenn er versucht, eine Verbindung zum G/On Gateway-Server aufzubauen.
- Multiple Client Connect IP AddressesStandardmässig verbinden sich Clients auf den G/On-Server über eine IP-Adresse. Dieses Feature sorgt für Ausfallsicherheit und Lastverteilung, indem mehrere IP-Adresse definiert werden können, über die der G/On-Client auf optionale, alternative G/On Gateway-Server innerhalb eines Gateway-Server-Clusters zugreifen kann.
- RDP ConnectorErmöglicht die Konfiguration von TCP port-weitergeleiteten RDP-Verbindungen (Remote Desktop Protokoll) mit serverseitigem Single Sign-On. Redirection Messages sind unterstützt von: RDP Connection Broker (Terminal Services Session Broker), TS Remote Apps, TS Web Access und TS Gateway.
- Citrix ConnectorErlaubt die Einrichtung von port-weitergeleiteten Citrix-Verbindung mit serverseitigem Single Sign-on. Citrix-Anwendungen, die über den Citrix XLM Service veröffentlich werden, erscheinen sofort als Menüeintrag im G/On Menü, ohne jede Installation auf der Client-Seite. Enthält Unterstützung für Citrix Web Access. Verfügbar für Windows, Linux und Mac OS X.
- Proxy Connector for HTTP & SOCKSErmöglicht die Einrichtung von port-weitergeleiteten, transparenten http, http proxy und socks proxy Verbindungen mit serverseitigem Single Sign-On für einfache http Authentifizierung. Beinhaltet White-List Funktionalität zur Limitierung der Connectivity.
- Additional 1 Gateway ServerZusätzlicher G/On Gateway-Server für Redundanz
- MS SQL Server DatabaseStandardmässig verwendet G/On eine interne sqlite-basierte Datenbank, um die G/On Managementinformationen zu speichern. Diese Option erlaubt zusätzlich die Nutzung eines MS SQL Servers. Sie ist ausserdem erforderlich, wenn mehrere Gateway Server eingesetzt werden.
- LDAP User DirectoryDiese Option ermöglicht die Authentifizierung von Anwendern gegenüber LDAP konformen Verzeichnisdiensten.
- MS Active Directory User DirectoryDiese Option ermöglicht die Authentifizierung von Anwendern gegenüber dem Microsoft Active Directory.

 
Änderungen und Aktualisierungen vorbehalten. Stand: Juli 2011


 

G/On live testen

Laden Sie jetzt den G/On Test-Client und verbinden Sie sich mit unserem Demoserver.
G/On jetzt testen


Videoclips

Besuchen Sie die G/On Video-Übersicht oder unseren YouTube-Kanal.
G/On Videoclip


Erfolgsgeschichten

Lesen Sie die Success-Stories unserer Kunden
G/On Success Stories


Wir sind für Sie da

+49 (0) 75 41
97 10 99-0
+49 (0) 75 41
97 10 99-99
info@giritech.de
sales@giritech.de
Kontaktformular
   
Facebook
Twitter
Giritech GmbH