VPN-Risiken vermeiden

Keine Endgeräte im LAN

Mehrstufige Sicherheit

2-Faktor-Authentifizierung mit Hard- und Softwaretoken

Secure by Design

Keine Offenlegung von Servern und Diensten im Internet

Policies zentral steuern

Clients folgen den am Server definierten Regeln automatisch


G/On macht VPNs überflüssig

G/On basiert auf einer virtuellen Software-Appliance, die dem Nutzer auf Grundlage von zentral verwalteten Richtlinien die Verbindung auf die benötigte IT-Infrastruktur gewährt.

Ein "Distributed Port-Forwarding Proxy"-Verfahren virtualisiert die Verbindungen zwischen den Endgeräten und den Applikationsservern bzw. -diensten. Für die Unternehmens-IT entfallen aufwändige Devicefreigaben und die Notwendigkeit verschiedener Lösungen für unterschiedliche Endgeräte. Das mehrstufige G/On-Sicherheitsmodell beseitigt die Komplexität klassischer Access-Systeme (VPN) und sorgt durch Vereinfachung der IT für einen höchsten Schutz und spürbare Kosteneinsparungen.

G/On ist Bestandteil der DME Produktfamilie, die Lizenzierung erfolgt auf Basis einer DME User Lizenz mit entsprechendem Funktionsumfang.



Sicher, einfach, performant - die Highlights

Online-Access auf zentrale Applikationen, virtuelle Desktops (z.B. Citrix, VMWare, Terminal Server) oder physische Arbeitsplatz-PCs inkl. Wake-on-LAN für Windows und macOS.

Installationsfreier Client

Der G/On Client wird auf einer MicroSmart SD Karte mit optionalem USB-Reader bereitgestellt und startet direkt von dort.

UEFI Secure Boot Option

Für höchste Sicherheitsanforderungen ist mit G/On OS ein gehärtetes, bootfähiges Linux-System verfügbar.

2-Faktor Authentifizierung

Die G/On MicroSmart SD Card ist nach CC EAL 5.1 zertifiziert. Client und Server authentifizieren sich gegenseitig, erst danach gegen AD oder LDAP.

Hoher Anwendungskomfort

Der Nutzer startet den Client, meldet sich an und erhält vom G/On Server die für ihn freigegebenen Apps und/oder Desktops.

G/On Features

G/On SmartCard im Mini-USB-Reader

Nodeless Connection

Der G/On Client hat keine IP im Zielnetzwerk und kommuniziert über das verschlüsselte, patentierte EMCADS-Protokoll auf dem Loopback.

Mehrstufige Sicherheit

G/On kommuniziert über den Loopback-Adapter durch ein patentiertes Protokoll. Der Server steuert Prozesskontrolle, Protokollwechsel und Whitelisting.

Minimaler Aufwand

Das G/On Gateway stellt die Verbindung zu Prozessen im Intranet via TCP her und ordnet sie den berechtigten Benutzern zu. Definierte Pakete lassen sich per pull vom Server beziehen.

Skalierbarkeit

Ob 5 oder 5.000 User, G/On liefert Enterprise Class Security und ist bei immer gleicher Architektur beliebig skalierbar.



Produktbeschreibung

  • Umfassender Schutz Ihrer IT-Umgebung

    Als Infrastrukturprodukt ist G/On die Grundlage für eine gesicherte Umsetzung aktueller und zukünftiger Anwendungsumgebungen bzw. Strukturmassnahmen.

    Die G/On Client-Server Technologie basiert auf einer virtuellen Software-Appliance, die dem Nutzer auf Grundlage von zentral verwalteten Richtlinien die Verbindung auf die benötigte IT-Infrastruktur gewährt. G/On verwendet hierfür ein "distributed port forwarding proxy" Verfahren, das die Verbindungen zwischen den Nutzer-Endgeräten und den Applikationsservern und -diensten virtualisiert. Im Gegensatz zu VPN-Verbindungen wird ein Device niemals Mitglied des Netzwerks.

    Die virtuelle Access-Technologie unterstützt unter anderem Netzwerk-Access, Zugriff auf Services, Cloud-Access (auf Public oder Private Clouds), Terminal-Server-Farmen, virtualisierte Desktops, sowie alle Applikationen, die per TCP kommunzieren. Optional kann für Trusted Devices oder vertrauenswürdige Gruppen eine voll transparente Netzwerkverbindung aufgebaut werden.

    Giritech Übersicht
         
  • Besserer Schutz durch reduzierte Komplexität

    G/On implementiert ein abgestuftes Sicherheitsmodell, welches unabhängig von der Endpunktsicherheit einen applikationsbasierten Zugriff auf zentral freigegebene Anwendungen ermöglicht.

    Technisch unterscheidet sich G/On von typischen VPNs dadurch, dass keine IP-Verbindung in das Netzwerk eingerichtet wird. Authentifizierte User sind nur mit dem G/On Server verbunden, der wiederum eine separate, getrennte Verbindung zu den spezifische Applikationsservern im Unternehmensnetz aufbaut. Der Anwender hat zwar das Gefühl, direkt im Netzwerk mit seinen Programmen und Ressourcen zu arbeiten, in Wirklichkeit ist die Verbindung aber nur virtuell und endet physisch am G/On Server. Außerdem besitzt G/On keine Broadcast-Adresse: Der Server ist nur "Zuhörer" und verarbeitet ausschliesslich autorisierte Datenströme.

    Auf dem lokalen Client-Computer werden keine Informationen gespeichert, gecached oder hinterlassen, die ein möglicher Angreifer ausnutzen könnte. Ohne G/On-Token ist nicht einmal eine Adresse bekannt, über die ein potenzieller Hacker den Server finden und versuchen könnte, die Verbindung erneut aufzubauen. Und selbst wenn der Angreifer die Adresse wüsste, müsste er die Zugangsdaten, das Protokoll, die Applikationsverbindung und mehr fälschen können, nur um überhaupt am G/On Server anzukommen - und dann wäre er noch immer nicht im Unternehmensnetzwerk.

    • Nodeless Connection (IP-lose Verbindung zwischen Client und G/On-Server)
    • 2-seitige Identifizierung (bekannter Client – korrekter Endpunkt)
    • 2-Faktor Authentifizierung (Besitz / Wissen)
    • Challenge-Response System (Tokenprüfung mit Random-Faktoren, RSA 2048 Signing Keys)
    • Prozesskontrolle (auf der Client-Seite - nicht in der DMZ)
    • Packet-Inspection
    • Whitelist-Firewall (Policies basierend auf Port, IP, Applications, User- und Token-Groups)
    • Proxy (mit 2 Protokollwechseln – Verbindungsterminierung)
    • FIPS 140-2 validiert, 256 Bit AES asymetrische Verschlüsselung
    • vertifizierte Token bis Common Criteria EAL 5+
    • keine öffentlichen Server oder Verbindungsserver im Internet
    • keine Offenlegung der internen IT gegenüber dem Internet

     
  • Sichere und einfache Handhabung ohne Vorkenntnisse

    G/On-Anwender sind innerhalb weniger Minuten mit der Lösung vertraut und müssen weder über technische Vorkenntnisse verfügen, noch ihren Computer konfigurieren oder umständliche Sicherheitsprozeduren durchlaufen. Nach dem Start des Clients meldet sich der Nutzer bequem mit seiner gewohnten Kombination aus Benutzer und Passwort an und kann danach im G/On-Menü einfach die Anwendungen auswählen, die er remote nutzen möchte.

    Ein wesentliches Merkmal von G/On ist die Möglichkeit, den Computer auch während einer aktiven G/On-Sitzung wie gewohnt verwenden zu können. Es gibt keine "künstlichen" Beschränkungen, egal ob parallel im Internet gesurft oder Skype verwendet wird, die Verbindung zum G/On-Server bleibt immer vollständig abgesichert.

    Mit G/On lassen sich unabsichtliche Fehlbedienungen sowohl auf der Anwender-, als auch IT-Seite vermeiden. Beispielsweise beinhaltet der G/On Client weder Menüauswahlen, noch sonstige Nutzungsinformationen. Statt dessen pusht der G/On Server nach der Authentifizierung und Autorisierung eine benutzerbezogene Applikationsauswahl auf das Mobilgerät. Dieses Menü ist zentral am Management definiert, enthält alle Anwendungsaufrufe und wird unabhängig von Betriebssystem und Sprache immer identisch angezeigt. Abhängig vom Kontext des Anwenders, also beispielsweise dem verwendeten Token-Device, dem Ort, der Gruppenzugehörigkeit, den Policies und mehr, werde die Auswahlen bereit gestellt.

    Das Whitelist-Prinzip stellt darüberhinaus sicher, dass für den mobilen Mitarbeiter keine anderen Zugriffsmöglichkeiten oder "Umleitungen auf Netzwerkebene", da ohne explizite Freigabe generell alles verboten ist. Der mobile Nutzer kann also ausschliesslich die Applikationsverbindungen nutzen, die der IT-Administrator für ihn freigegeben hat.


    Herstellen einer Verbindung

    1. Client baut über TCP Verbindung zum G/On Server auf.
      Client und Server initialisieren patentiertes EMCADS Protokoll, AES 256 verschlüsselt, FIPS 140.2 zertifiziert.
    2. Mutual Authentification (Faktor 1). Server und Client authentifizieren sich über ein Challenge-Response Verfahren gegenseitig.
    3. 2-Faktor Authentifizierung (Besitz / Wissen)
    4. Benutzer Authentifizierung gegen AD(s), LDAP und/oder local Database.
    5. G/On Server pusht Menüauswahlen (in Abhängigkeit Policies / Zones) oder initiiert "Default Connection" (z. B. auf virtual Desktop)
    6. Benutzer wählt aus Menü Access auf Applikationen und/oder Desktop Client kommuniziert ausschliesslich über Loopback Adapter. Listener überträgt nur prozessrelevante Daten von G/On Client an G/On Server Auf dem Client / Device werden keine Unternehmensdaten gespeichert
  • Hard- und softwarebasierte Authentifizierungstoken

    G/On MicroSmart Token (MicroSD Smartcard mit Kryptographie)

    • für Windows, macOS und Linux (G/On OS)
    • ideal für Computer mit SD-Kartenslot oder USB-Port
    • keine Treiberinstallation notwendig
    • Zero-Footprint

    G/On Computer-User-Token

    • für Windows
    • der Computer-User Token speichert seinen privaten Schöüssel in der Registrierungsdatenbank des spezifischen Benutzerkontos
    • unter Verwendung der MAC-Adressen aller Netzwerkkarten wird der private Schlüssel an den Computer gebunden
    • ideal für Nutzer, die ausschliesslich mit dem eigenen, abgesicherten PC arbeiten
    • Zero-Footprint

    G/On Soft-Token

    • für Windows und macOS
    • Vorbereitung des Token erfolgt unter Windows
    • maximale Mobilität und Sicherheit ohne dedizierte Token-Hardware
    • ideal für Nutzer, die ausschliesslich mit abgesicherten, vertrauenswürdigen Geräten zugreifen möchten
    • verwendet Public Key Kryptographie, ohne dass eine X.509 basierte Public Key Infrastruktur (PKI) erforderlich ist
    • Zero-Footprint

       

PRODUKTE
Mobile Lösungen
Access Lösungen
Sicherheitslösungen
Bildung
ÜBERSICHT
Distribution
Kundenreferenzen
Downloads
Support

+49 (0) 7541 97 10 99-0
+49 (0) 7541 97 10 99-90
info@giritech.de