Sicherheitsbetrachungen - Remote Access mit G/On

Fortschrittliche, integrierte Sicherheitsmechanismen qualifizieren G/On für den täglichen Einsatz als strategische Access Lösung in (hoch)sensiblen Unternehmensumgebungen.

Bisher setzen Firmen für den Transport sensibler Daten über das Internet oder öffentliche Netze auf VPN-Technologien, die sie entweder selbst aufbauen oder von externen Dienstleistern anmieten. Solche Umgebungen sind jedoch keineswegs „plug & play” einsetzbar sondern erfordern eine umfassende Planung unter Berücksichtigung aller Kommunikations- und Sicherheitsanforderungen.

Verschiedene Produkte unterschiedlicher Anbieter müssen kombiniert werden, um jeweils verschiedene Teilbereiche des Verbindungsproblems zu lösen. Neben den reinen Client- und Rolloutkosten fallen schnell weitere Investitionen für Token-Server, Zertifikatserver, DMZ, Intrusion Detection- und Identity Management Systeme usw. an. Dies wirkt sich nicht nur nachteilig auf die TCO aus, sondern führt aufgrund der komplexen Topologie zu einem erhöhten Administrationsaufwand.

Mit G/On können Unternehmen solche aufwändigen Access-Anbindungen zurückfahren oder sogar vollständig ablösen. Die Kombination aus Hard- und Software unterscheidet sich von klassischen VPNs technisch dadurch, dass G/On keine IP-Verbindung in das Netzwerk etabliert, sondern nur authentifizierte User auf spezifische Applikationsserver verbindet. Außerdem besitzt G/On keine Broadcast-Adresse: Der Server ist nur „Zuhörer“ und antwortet ausschließlich auf autorisierte Datenströme. Da G/On-Systeme niemals Bestandteil eines Netzwerks werden, gibt es keine verwertbaren Endpoint-Informationen. Im Gegensatz zu SSL VPNs werden keine Daten lokal zurückgelassen oder gecached, die ein möglicher Angreifer ausnutzen könnte. Ohne USB Access Key ist nicht einmal eine Adresse bekannt, über die ein potenzieller Hacker den Server finden und versuchen könnte, die Verbindung erneut aufzubauen.

Auch bei der Administration gibt es wichtige Unterschiede: G/On wird vollständig vom Backend aus über ein integriertes, userorientiertes Managementsystem verwaltet. Der IT-Admin kontrolliert, definiert und wartet den Zugriff auf Businessanwendungen und kann alle Updates zentral über den G/OnTM Server bereitstellen und zum Endgerät verteilen.


Featurevergleich VPN versus G/On

 

 

 IPSec VPN

 SSL VPN

 G/On

 Erforderliche User-Rechte

zur Installation

Admin

User + Rechte für Plugins

Gast

zur Ausführung

User

User

Gast

 Authentifizierung

Hardware Authentifizierung

Drittanbieter

Drittanbieter

integriert

Benutzer Authentifizierung

Ja

Ja

ja

"Trusted" PC erforderlich

Ja

Nein, aber empfehlenswert

Nein

Schutz vor Phising

Ja, (pre-shared secrect)

Ja, über Zertifikate

Ja, echte gegenseitige
C/S Authenti-
fizierung

 Zugriffssicherheit

Autorisierung

Drittanbieter

Drittanbieter

integriert

Sicherheitszonen

Nein

Nein

Ja

Active Directory Anbindung

hersteller-
spezifisch

hersteller-
spezifisch

integriert
optional

Lokales User-Management

hersteller-
spezifisch

hersteller-
spezifisch

integriert
optional

verwertbare Endpunkt-Daten (z.B. Passworte im Cache)

Ja

Ja

Nein

Daten-Verschlüsselung

max. 256 bit AES mit statischen Keys

SSL (typisch 128- max. 256-bit AES mit statischen Keys)

256 bit AES mit wechselnden Keys während der Session, 163 bit ECC während
Aufbau

Schutz gegen "man-in-the-middle" Angriffe

Ja wenn das "pre-shared secret" gut geschützt ist

Ja, wenn Zertifikat gut geschützt ist

Ja
Prüfsummen und angehängte Zeitstempel für jedes Paket

verwendete Tunneling-Protokolle

L2TP, P2PP und andere je nach Hersteller

L2TP, P2PP und andere je nach Hersteller

keines

 Absicherung der Endpunkte

Antivirus

erforderlich

erforderlich

empfohlen

Firewall

erforderlich

erforderlich

empfohlen

Client-Filterung

MAC/IP-Adresse

MAC/IP-Adresse

Hardware EDC Nummer und mehr

unerwünschte Prozesse, Malware-Prozesskontrolle

Drittanbieter

Drittanbieter

integriert
lock to process

Verteidigung gegen Angriffe

DMZ oder Applikationsserver

DMZ oder Applikationsserver

direkt auf der Client-Seite ausserhalb des Unternehmens

 Access Layer

Art des Zugriffs

Netzwerkebene

Netzwerkebene

Applikations-
ebene

Mitglied im Netzwerk

Ja

abhängig vom Produkt und Setup

Nodeless-Client, keine IP-Verbindung ins Netzwerk

Offene Ports

mehrere

mehrere

einer

 Sonstiges

Administration und Verwaltung

dezentrale Verwaltung über Tools und Browser, sowie Programme von Drittanbietern

dezentrale Verwaltung über Tools und Browser, sowie Programme von Drittanbietern

zentrale Verwaltung nur  über den G/On Server

Infrastruktur

typischerweise 2 bis 4 Hersteller

typischerweise 2 bis 4 Hersteller

1 Produkt (all-in-one)


Diese Tabelle zeigt die wesentlichen Unterschiede zwischen G/On und den beiden bekanntesten VPN-Arten auf. Bitte beachten Sie, dass der Vergleich eines spezifischen Produkts mit zwei Technologien keine speziellen Features bestimmter VPNs berücksichtigen kann. Weitere Informationen über die einzigartige G/On Architektur finden Sie im Bereich EMCADS Protokoll.