Vad är Giritech G/ON? Giritech vill gärna inte likna sig med en ssl-vpn lösning, men det är genom att utgå från en sådan som man enklast kan beskriva produkten. En ssl-vpn-lösning består av en gatewayserver som publicerar ip-adresser eller applikationer för den användare som upprättat en ssl-koppling mot gatewayservern och autentiserat sig.

Ett ssl-vpn kan också kräva klientautentiserad ssl-koppling, stark autentisering med hjälp av tredjepartsprodukter samt att olika säkerhetskontroller görs av klienten. Säkerhetskontroller av klienten kan bland annat innebära att rätt virusskydd och uppdateringsnivå kontrolleras på klienten.

Att få upp en ssl-vpn lösning är ganska enkel, men att lägga till de ytterligare funktionerna kan ta lång tid, och i vissa fall mycket lång tid. Giritechs lösning innehåller stark autentisering och säker krypterad förbindelse redan i sin grundkonfiguration och det tog bara en timma att installera produkten och komma igång med testerna.


Giritech-G/ON-Administrativt-gränssnitt

Det administrativa gränssnittet för att hantera användare är enkelt och intuitivt. Däremot saknas gränssnitt för vissa andra operationer, till exempel för att förbereda skapandet av soft tokens.


På klienten eller uppkopplad
Giritech G/On bygger på att användarna förses med en token. Giritech har två olika varianter; soft tokens och G/On-tokens (usb-minne med smart kort). Man kan välja att endast köra klientprogramvaran eller boota på usb-stickan och koppla upp sig via ett eget operativsystem baserat på Fedora.

Vi testade normaluppsättningen av en G/On-produkt med G/Ons standardtoken. På denna token finns Giritechs vpn-programvara och de klientprogramvaror användaren behöver för att koppla upp sig mot den interna miljön. Den har även en skyddad yta där kryptonycklar är sparade.

Klienterna som till exempel Firefox eller olika typer av terminalklienter är förpaketerade på vald token och installeras i samband med personaliseringen. Uppkoppling kan ske från alla möjliga klienter, till exempel Windows, Linux och Mac OS. All kod som exekveras i samband med uppkopplingen ligger på Giritechs token.

Produktens styrkor är enkelhet och portabilitet. Den administrativa bördan kan betraktas som låg jämfört med vad som krävs för liknande produkter. Har man däremot behov av att lägga till egna klienter till en token, krävs en hel del egen redigering av xml-filer. Även generingen av ”soft” tokens kräver att man skapar kataloger manuellt.


paket

Registrering (enrollment) av en token kan innebära att
ett stort antal klientpaket installeras. Programpaketen kan uppgå till flera hundra megabyte och finns för de vanligaste plattformarna.


Editering-av-exekverbara-filer

Klientkontroll saknas och en angripare kan lätt byta ut eller modifiera programvara på usb-stickan. Man kan köpa annan hårdvara som förhindrar det här, men det riskerar enligt företrädare för Giritech försvåra för vissa klienter som behöver skriva på stickan.




”Giritech G/On är en värdig spelare på marknaden.”



Paketeringen inget skydd
Vad gäller säkerhet så fick vi intrycket att paketeringen av klienterna skulle innebära någon form av skydd. De körbara filerna på en token kunde modifieras utan att G/On upptäcker det. Dessutom tillåts klienterna som exekveras på vald token att kommunicera mot både internet och vpn-tunneln samtidigt (split tunneling) – G/Ons grundkonstruktion förutsätter att uppkoppling görs från arbetsstationer man ”litar på”.

Giritech använder en crypto++-baserad kryptolösning. Eftersom crypto++ är FIPS 140-2 nivå 1-certifierad har Giritech certifierat sin kryptomodul, som bygger på crypto++, enligt FIPS 140-2. Det proprietära kryptoprotokollet mellan klient och server är ett problem för oss som testar produkten, eftersom det är svårt att rekonstruera handskakningsförloppet och på det sättet få en uppfattning om säkerhetsnivån. Enligt Giritechs representant kommer produkten i framtiden använda sig av standardprotokoll.


inloggningsruta-G/ON

G/Ons autentisering är en tvåfaktorslösning där usb-stickan med sitt microsmart-kort utgör en faktor och namn och lösenord mot servern utgör den andra faktorn.


TechWorlds slutsats
Giritech G/On är en värdig spelare på marknaden. Den är portabel och kräver så gott som ingen klientadministration. Validering av klientsäkerheten saknades i den version som testades, men det lär enligt leverantören finnas med i version 5.5.

Användningen av proprietärt kryptoprotokoll drar också ner säkerhetsbetyget eftersom det delvis är baserat på ”security by obscurity”. Trots det betraktar vi G/On som likvärdig andra liknande produkter på marknaden, och den är bättre än konkurrenterna när det gäller att få en hög säkerhetsnivå snabbt.