Kurztest: VPN-Alternative Giritech – G/On

Simpler in der Einrichtung für den Administrator und einfacher in der Bedienung für den Anwender: Das sind die Vorteile, die von der Software G/On im Vergleich zur traditionellen IPSec-VPN-Technologie versprochen werden. Unser Kurztest stellt diese Client-Server-Architektur für den gesicherten Zugriff auf Applikationen, Server oder Terminal Services vor.

Der Aufbau einer modernen und gesicherten VPN-Umgebung mit Firewall, Certificate Server, IPSec-VPN Terminator, SSL VPN Application, DMZ, einem IDS (Intrusion Detection System) und Authentication Server verlangt sehr viel Spezialwissen von den Administratoren. Nicht selten greifen Systembetreuer auf externe Dienstleister zurück, da das Zusammenspiel der vielen Komponenten für sie zu komplex und unübersichtlich wird.

Zudem verlangt auch die Installation der IPSec-VPN-Software auf den Client-Maschinen einen Aufwand, der wiederum von der IT-Abteilung zu erbringen ist. Zwar kann durch den Einsatz von SSL für Web-Browser eine manuelle Client-Installation eingespart werden, doch ist der Einsatz eines VPN-Plugins nicht in allen System-Umgebungen ausreichend.

Das in Dänemark beheimatete Unternehmen Giritech bietet seit einigen Jahren das auf der EMCADS-Technologie (Encrypted Multipurpose Content and Application Deployment System) aufsetzende Produkt G/On an. Dabei handelt es sich um eine Software, die auf Servern installiert wird und dann die Anfragen von Client-Computern über eine gesicherte Verbindung auf einem einzigen, freigeschalteten Port annimmt. Die Daten werden dann genau wie bei einem Proxy-Server gezielt in das Netzwerk weiterreicht. Der Hersteller positioniert G/On deshalb auch als eine Alternative für VPN-Umgebungen.

Der G/On Gateway Server wird im Netzwerk so positioniert, dass ein Zugriff auf alle benötigten Services möglich ist: Typischerweise wird es sich dabei um die DMZ (Demilitarized Zone) mit definierten Routen auf ausgewählte Server handeln. Um ein hohes Maß an Sicherheit zu erzielen, sollten die Systemverwalter nach dem Grundsatz „dem richtigen Personenkreis die passenden Zugriffe zur passenden Situation“ handeln.

Das Produkt bietet eine „Zwei Faktor Authentifizierung“ durch ein Passwort und einem USB-Token, auf dem die eigentliche Zugriffssoftware residiert. Auf welche Services und Server der Benutzer zugreifen darf, kann der Administrator über umfangreiche Regelwerke steuern.

Jeder Client wird auf dem Server vor der erstmaligen Nutzung freigeschaltet. Sofern ein USB-Token zum Einsatz kommt, wird dieses für den Betrieb aktiviert. Dabei dienen sowohl unveränderliche Merkmale der Client-Software selbst als auch die eindeutige Seriennummer des USB-Sticks als sicheres Erkennungsmerkmal. Zusätzlich muss sich der Benutzer bei jeder Anmeldung noch mit dem eigenen Passwort und einem Benutzernamen identifizieren.

Die Client-Software auf dem USB-Stick liegt im Bereich der üblicherweise unsichtbaren „Read Only“-Partition, wodurch Veränderungen an der Software beinahe ausgeschlossen sind. Zusätzlich würden Manipulationsversuche jedoch auch noch über veränderte Hash-Werte entdeckt.

Der Anbieter hat die Client-Software im so genannten monolithischen Programmverfahren entwickelt. Damit soll gewährleistet werden, dass keine externen Informationen wie DLL-Dateien, Registry-Werte oder andere Dateien für den Betrieb genutzt werden. Dies soll die Sicherheit von G/On zusätzlich gegenüber Malware sichern, die gezielt Exploits ausnutzt. Die Entwickler haben jede Version der Client-Software komprimiert und verschlüsselt, um so ein Reverse-Engineering zu erschweren.

Die Art der eigentlichen Verbindung stellt eine weitere Besonderheit dieser Lösung dar: Genau wie bei SSL-Verbindungen ist der Administrator in der Lage, die zulässigen Applikations- und Server-Verbindungen exakt zu bestimmen. Dies steht ganz im Gegensatz zur klassischen TCP-VPN-Verbindung mit IPSEC, bei der ein Client zum festen Bestandteil des Netzwerks wird. Zusätzlich zur besonders sicheren USB-Token-Variante bietet der Hersteller auch reine Softwarelösungen für Standard-PCs und mobile Endgeräten wie beispielsweise dem Apple iPhone oder Apple iPad an.

Thomas Bär/ fms

Kontakt:
Giritech GmbH
Mariabrunnstr. 123
88097 Eriskirch
www.giritech.de

Preis:
Gestaffelt je nach Anzahl benötigter Clients. Beginnend bei rund 600,-Euro.