GTP 3.0-1 Upd 4 är en uppdatering av GTP 3 med avseende på patchar och COTS säkerhetsuppdateringar. Solaris 9 ersätter Solaris 8 för stöd av ny maskinvara. Uppdateringar från GTP 4 införda. Kryptoverifiering inloggning till Citrix och Windows Terminal Server (funktionen ingår fr.o.m. GTP 3.0-1 Upd 2).
Nedan återfinns en översikt av GTP produkter på övergripande nivå. Endast de produkter (komponenter) som finns tillgängliga för omedelbar leverans samt är granskade och godkända listas. Listan är också översiktilig på så sätt att alla produkter inte är medtagna. För en komplett beskrivning se GTP dokument - Typfallsspecifikation. Med (*) efter produktens namn (ex LogS *) avses att det finns ett antal produkter i denna kategori som för närvarande inte är listade i denna översikt. Om du har behov av komponneter under framtagande för prov och försök utöver supportade produkter så kan dessa erhållas enligt särskild överenskommelse. Notera att endast behöriga autentiserade användare kan ladda ner produkter on-line. För snabbkontroll efter eventuell nedladdning av produkter finns md5 hashsummor. Vid användning verifieras media och dess innehåll skyddas med starkare mekanismer.
Dokumentation GTP 3.0-1 Upd 4 on-line finns här (GTP dokument CD) .
| Produkt |
Benämning |
Beskrivning |
Kommentar |
| Identification and Authentication |
|
|
MUST KSF - Behörighetskontroll - Identifiering och Autentisering, Intrångsskydd |
| SecL |
Secure Login |
SecL består av ett antal produkter (komponenter) för olika behov och systemmiljöer.
Populära marknadsbenämningar på produkterna SecL/SysA är också GTP PKI (Public Key Infrastructure) eller SSO (Single-Sign-On).
Enligt FM MUST TSA terminologi så stöder SecL stark autentisering till systemet med TAK respektive förstärkt inloggning till systemet med TEID.
|
|
| SecL Win SA |
Secure Login for Windows StandAlone (Windows Workgroup) |
SecL är en äkta Windows GINA (dvs ingen osäker sk pass-through som många andra produkter på marknaden) som tillhandahåller funktion att logga in i Windows såväl som i nätet (single-sign-on, SSO). SecL Windows stöder inloggning med olika mekanismer - FM TAK, FM TEID, andra aktiva kort, mjuka certifikat samt lösen. Denna komponent stöder inloggning till Windows datorer som är "stand-alone", dvs inte medlemmar i en Windows domän. |
|
| SecL Win DOM |
Secure Loginfor Windows DOMains (Windows AD) |
SecL är en äkta Windows GINA (dvs ingen osäker sk pass-through som många andra produkter på marknaden) som tillhandahåller funktion att logga in i Windows såväl som i nätet (single-sign-on, SSO). SecL Windows stöder inloggning med olika mekanismer - FM TAK, FM TEID, andra aktiva kort, mjuka certifikat samt lösen. Denna komponent stöder inloggning till Windows datorer som är medlemmar i en Windows domän. |
|
| SecL Win WTS |
Secure Login for Windows Terminal Services |
SecL enligt ovan för säker inloggning till Windows Terminal Services (dvs för fjärrklienter). Stöder olika mekanismer för autentisering - FM TAK, FM TEID, andra aktiva kort, mjuka certifikat samt lösen. Windows klienten kan vara stand-alone eller medlem i domän. Windows servern kan vara stand-alone eller medlem i samma eller annan domän. Stöder single-sign-on (SSO) vilket innebär att användaren endast behöver logga in en gång.
Detta ska inte blandas ihop med att Windows 2008+ server / Vista+ utan SecL kan emulera motsvarande funktion genom att på samma sätt som med lösenord "cacha" PIN-koden. Detta är oftast olämpligt eller omöjligt om en sk pinpad används som kortläsare. SecL upprättar också en säker kanal och session till terminalservern med hjälp av en annan GTP produkt - ComE (se nedan).
En annan viktig skillnad mot liknade produkter är att kommunikationen med kortläsaren för det aktiva kortet sker lokalt och inte över nätet till terminalservern. I det senare fallet är ju oftast COM-porten egentligen en förlängning av COM-porten från servern, och då kan både krtpterad som klartextinformation gå i samma kanal vilket inte är lämpligt. |
|
| SecL Win Citrix |
Secure Login Windows for Citrix. |
SecL enligt ovan för säker inloggning till Windows Terminal Services med Citrix som server (dvs för fjärrklienter) i stället för WTS. Stöder olika mekanismer för autentisering - FM TAK, FM TEID, andra aktiva kort, mjuka certifikat samt lösen. I övrigt som SecL Win WTS enligt ovan. |
|
| SecL UNIX |
Secure Login for UNIX |
SecL UNIX är en UNIX PAM (Pluggable Authentication Module) för säker inloggning till UNIX (lokalt på en nod) och i "nätet" (dvs single-sign-on, SSO). SecL UNIX stöder inloggning med olika mekanismer - FM TAK, FM TEID, andra aktiva kort, mjuka certifikat samt lösen. |
|
| SFA |
Secure File Archive |
Produkten SFA används för att på ett säkert sätt ladda och spara WIndows profiler tex på en säker filserver. Används tillsammans med SecL Windows. |
|
| SecS SCon |
Secure Context Management |
Security Services (SecS) SCon tillhandahåller automatisk funktion för tjänsteorienterade tillämpningar (konsumenter, producenter etc) att autentisera sig ömsesidigt och därmed och samverka i nätet på ett säkert sätt. |
|
| SFS |
Secure File System |
Säkert filsystem för lagring av dokument mm. |
|
| SecMail |
Secure Mail Services |
ComE IMAPD (mailserver) server kapsling. Kör mailserver som impersonfierad användare från inloggningen på klienten (single-sign-on). Detta möjliggör åtkomst till INBOX, foldrar (mappar) i användarens mailkataloger i SFS som är skyddade med åtkomstkontroll. |
|
| SecWeb |
Secure Web Services |
SWeb – Secure Web Server. ComE HTTPD server kapsling av webtjänster. Stöder single-sign-on, delegering, åtkomstkontroll och säker kommunikation. |
|
| Access Control, Authorization |
|
|
MUST KSF - Behörighetskontroll - Åtkomstkontrol |
| SecS * |
Access Control |
Security Services. GTP Policy Engine. SecS - Security Services. Benämningen på ett antal komponenter i GTP som tillsammans tillhandahåller säkerhetsmekanismer i form av stark autenticering, åtkomstkontroll och flerstegsautenticering. SecS nyttjar BRPC tjänster för integritet och ömsesidig enstegsautenticering mellan klient och serverprocesser (konsument-producent, subjekt-object/subjekt-objekt). |
l |
| SecS ACS |
Security Services Access Control Services |
SecS ACS utför åtkomstkontroll , även i flera steg mha CSR. ACS är GTPs referensmonitor eller "policy engine". ACS är också en LCom ACL-manager (dvs hanterar åtkomstregler till resurser/objekt inkl metadata) inklusive en databas (kataloger) med ACL-ar. En ACL-manager är ett tjänsteobjekt som kan instanstieras med olika policies för olika åtkomstobjekt (s.k. objektorienterad säkerhet). |
|
| SecS SecLog |
Security Logging |
SecS SecLog tillhandahåller loggning av säkerhetskritiska händelser (sk "audit") såsom åtkomstbeslut och ändring av behörigheter. |
|
| |
|
|
|
| Session Protection |
Sessionsskydd |
Datautväxling, Konfidentialitet
|
MUST KSF - Skydd mot obehörig avlyssning |
| ComE |
Communications Encapsulation |
ComE kapslar Internet standardprotokoll så trafiken går skyddad. Autenticerar användare, krypterar trafiken och kontrollerar accessrättigheter med en ACL för varje tjänst/server. ComE stödjer WWW, Telnet och Epost i första hand, men är enkelt konfigurerbar för andra tjänster.
Med SecL Windows WTS respektive Citrix medföljer konfiguration för att få säkerhet i dessa protokoll. En del användare har konfigurerat ComE för tex Progress.
ComE exekverar direkt i TCP/IP stacken dvs är in-process eller en slags nätverksdriver. Detta ger en högre säkerhet jämfört med proxy lösningar såsom SSH (putty), stunnel mfl andra lösningar på marknaden. I dessa blir det ett hål i säkerhetskedjan mellan ursprungsanvändaren (konsumenten) och tjänsten (producenten). Med ComE behöver inte heller någon anpassning göras av varken konsument eller producent. Det är bara ComE som konfigureras efter aktuellt protokoll. ComE stöder automatiskt single-sign-on med olika token (se SecL) och olika slags delegering av behörigheter i tjänstekedjor. ComE stödjer även inpersonifiering vid enkla "legacy" client-server tillämpningar såsom telnet, mail etc. |
|
| SRPC |
Secure RPC |
Säker åtkomstreglerad RPC med loggning (seclib). Införs automatiskt av produkten SecP. |
|
| |
|
|
|
| Audit and Traceability |
|
Spårbarhet och loggning |
MUST KSF - Säkerhetsloggning |
| LogS * |
Log Services |
Inom produktområdet Log Servicesfinns ett antal produkter för olika behov och användning. Log Services tillhandahåller tjänster för att samla in system- och tillämpningsloggar till en gemensam integritetsskyddad central logg för samanalys. Dessa loggar kan övervakas och händelser kan selekteras för att ge larm. |
|
| LogS Server |
|
LogS Server. Loggserver tar emot logposter och lagrar dessa centralt integritetsskyddat och åtkomstreglerat. |
|
| LogS Archive |
|
LogS Archive. Arkiverar LogS (server) loggar |
|
| LogS Agent Windows respektive UNIX |
|
LogS Agent. Samlar in OS och systemnära loggar. Skickar till LogS Server. |
|
| LogS Rules |
|
LogS Rules. Bevakar händelser i loggar och utför åtgärder enligt uppställda regler. |
|
| Logs Analysis |
|
LogS Analysis. Analysverktyg för loggar. Överför händelser i loggar till SQL-databas för olika former av analys. (Komponent för teknisk överföring av loggposter till databas heter LogS2DB) |
|
| |
|
|
|
| Management |
|
Administration, Styrning, Övervakning |
|
| SSA |
Security Server Appliance |
En SSA installeras i nätet för att få tillgång till GTP nätverksprodukter. SSA är en säkerhetsserver där säkerhetskritiska tjänster körs med hög assurans (ex SecM, SysA Central, SecM, ACS, CSR mfl). En SSA är en "appliance" som kan fås färdig i en "låda" på motsvarande sätt som en brandvägg, router. Den kan också byggas på egen maskinvara med programvara som finns på GTP media. |
|
| LEA |
Legacy System Encapsulation Appliance |
LEA is a gateway appliance with at least two network interfaces. It is configurable to serve as a proxy (gateway) to the legacy system and hence providing GTP functionalty for accessing the legacy system without any need to modify the installed software on the legacy system itself. The main software running on LEA is the GTP ComE software. |
|
| SecM AKE |
Security Mechanisms
Advanced Kerberos Engine |
Produkten AKE (Advanced Kerberos Engine) tillhandahåller Kerberos V+ autenticering, nyckelserver, auktorisationsserver och användardatabas. Delkomponenter:
SEC - AS (Autenticeringsserver) autenticering,
SEC - TGS (TicketGrantingServer), distribution av sessionsnycklar
SEC - PS (PrivilegeServer) utdelning av kreditiv/certifikat med signerad auktorisationsinformation.
SEC - RS (RegistryServer) databas med användare, grupper/roller, användarattribut, profiler, policys etc.
SEC - ACL (Access Control List Facility).
SEC - Login (Login Facility).
SEC - Audit för loggning.
I alla SecL produkterna ovan ingår stöd för samtidig inloggning till AKE dvs med olika slags token - aktiva kort, lösenord mm. En användare blir alltså inloggade både i olika operativsystem (COTS) och AKE i nätet. AKE kan även användas för inloggning med lösenord.
I andra Kerberos produkter på marknaden (Microsoft AD, MIT Kerberos, Heimal) rekommenderas att lösenord inte används. Dessa använder det gamla tidstämpelprotokollet vilket är lätt att attackera.
|
|
| SysA |
System Administration |
Säker användarhantering för GTP och dess ingående COTS. SysA kan enkelt utökas för nya COTS som har egen användarhantering eller konton med agentteknik för enhetlig administration och single-sign-on. |
|
| SysA Central |
|
SysA Central är en metakatalog (databas) för PKI, användare, konton, datorer mm i nätet. Godtycklig information kan lagras och struktureras enligt verksamhetens behov. Information kan sedan användas för olika ändamål, tex för behörighetskontroll. |
|
| SysA Local Windows |
|
SysA agent som hanterar Windows lokala användare (domän alt workgroup/wks/standalone), Windows grupper etc för enheltlig administration med SysA och single-sign-on med SecL. |
|
| SysA Local UNIX |
|
SysA agent som hanterar UNIX lokala användare, grupper etc för enheltlig administration med SysA och single-sign-on med SecL. |
|
| SysA Audit |
|
SysA Audit samlar in inloggningsinformation (lyckade, misslyckade, tidpunkt etc) från auditloggar och uppdaterar SysA Central databas med den information. Senaste lyckade respektive misslyckade inloggning presenteras av SecL vid inloggning hos användaren respektive för administratören. |
|
| SysA AKE |
|
Hanterar SyS LCom SecM AKE (GTP Adanced Kerberos Engine) med nätverksanvändare, grupper, organisationer, olika slags policys etc. |
|
| SecAdm |
Security Administration |
SecS SecAdm - Security Administration. Administrerar objekt och deras åtkomstregler. Grafiskt verktyg (GUI). Administrerar objekt i olika ACL-managers (jmf ovan), inkl ACS, SFS, SecM, LDS |
|
| RTCS * |
RunTime Configuration Services |
Med RTCS kan systemadministratör skapa, övervaka och administrera driftkonfigurationer. RTCS ger också möjlighet att konfigurera och initiera uppstart av processer på maskiner inom ett nätverk (cell). En delkomponent för övervakning av ett system finns också i RTCS. Det är RTCS som styr vilka tjänster SUS får starta i viss dator vid ett visst driftläge (jämför SUS nedan). |
|
| |
|
|
|
| Integrity, Availability |
|
Integritet |
MUST KSF - Skydd mot skadlig kod, Intrångsdetektering |
| IntG * |
Integrity Guard |
IntG bevakar att verkliga attribut för objekt i system överensstämmer med förutbestämda attribut. Säkerställer på så sätt integriteten hos bevakade objekt. Attribut som kan kontrolleras är innehåll (med hjälp av kontrollsumma), datum samt åtkomsträttigheter.
Vid integritetsavvikelser aktiveras larm som kan loggas till TeS-komponenterna LogS (Log Service) och CMC (Common Message Console).
|
|
| CMC |
Common Message Console. |
CMC används när användare skall informeras om allvarliga händelser i systemet. |
|
| |
|
|
|
| Integrity, Availability |
|
Integritet/riktighet och tillgänglighet |
|
| CHS |
Conflict Handling Services |
Hanterar konflikter såsom fel, statuskoder och undantag (exceptions) inom och mellan komponenter. Tillhandahåller även trace/debugfunktioner. CHS underlättar felutpekning vid drift, prov och utveckling. |
|
| LNS |
Logical Name Services |
Kapslar och förenklar användning av katalogtjänster i middleware. Sökning av resurs/tjänst sker på logiskt tjänstenamn och eventuellt ytterligare beskrivning. LNS innehåller även stöd för att registrera tjänst i aktuella middleware. Detta innebär att tillämpningar inte behöver ta hänsyn till var nyttjade tjänster finns eller om en tjänst har flyttat på sig. |
|
| SUS |
Start-Up Service |
Möjliggör, tillsammans med RTCS och LNS, konfigurationshantering av olika driftlägen. Om en klient efterfrågar tjänst som ej är startad eller ej är tillgänglig svarar SUS för att starta en pro-cess som tillhandahåller önskad tjänst. |
|
| JLS |
Java Language Support |
Java språkstöd vid utveckling. |
|
| |
|
|
|
| SyS |
System Software |
SyS produkterna innehåller programvara för installation och konfiguration av operativsystem (Base paketen).
Sedan finns paketen Common (för Windows) respektive Additions (för UNIX) som innehåller programvara för installation och konfiguration av COTS på dessa operativsystem.
COTS omfattar tex Office, Antivirus, Windows Terminal Server, Citrix Metaframe Server, Webrowser, Mailklienter, Antivurusprogram etc. Se GTP Dokument Typfallspecifikation för aktuellt innehåll.
|
Integrity, Confidentiality, Availability |
| SyS Windows Base WKS |
|
Paket för installation och konfiguration av Windows klient OS. Paketet innehåller 1-2 CD / 1 DVD media.. |
|
| SyS Windows Base SRV |
|
Paket för installation och konfiguration av Windows Server OS. Paketet innehåller 2 CD/DVD media. |
|
| SyS Windows Common |
|
Paket för installtion av COTS för Windows. Paketet innehåller 5 CD / 1-2 DVD media. |
|
| SyS UNIX Base Solaris |
|
Paket för installation och konfiguration av Sun Solaris för Sparc. Paketet innehåller 5 CD / 1 DVD media. |
|
| SyS UNIX Solaris Additions |
|
Paket för installation av COTS för Solaris UNIX. Paketet innehåller 2 CD / 1 DVD media |
|
| |
|
|
|
| C2I |
Command, Control and Information Services |
|
|
| RoleS |
Role Services |
RoleS tillhandahåller funktionalitet för att i tillämpningar kunna styra meddelanden (t ex larm) till olika RoleS-roller/befattningsinnehavare samt administrera, överlämna och överta RoleS-roller. RoleS-roller används ej direkt för åtkomstbeslut. En RoleS-roll är en delmängd av en grupp, där gruppen är den som har åtkomsträttigheter (behörigheter).
Med RoleS medföljer även produkterna:
RoleAdm - Grafiskt gränssnitt för att administrera roller.
RoleLogin -
Grafiskt gränssnitt (GUI) för rollöverlämning mellan olika användare (aktörer)
RoleChat -
Exempelprogram (chat) där det visas hur roller och RoleS kan användas.
|
|
| GTS |
Game Time Services |
Game Time Services tillhandahåller gemensamma spelklockor som kan tillhandahålla annan tid än verklig tid. Används i ledningssystem vid spel och övning. Spelklockor kan gå fortare, långsammare och göra hopp i tiden vilket inte är fallet med systemtid som ska gå kontinuerligt framåt för säkerhet i systemet. |
|
| |
|
|
|
| MiKi |
Migration Kits |
Stöd för att migrera från äldre produkter och lösningar till GTP
|
|
| MiKi SITS |
|
SITS är en produkt som stöder inloggning med aktiva kort (FM TAK) från en fjärrklient till Windows Terminal Server. SITS har även API för exempelvis loggning. GTP har i SecL motsvarande funktioner som SITS för inloggning (plus ytterligare inloggning till Windows, UNIX mm). För att kunna fortsätta anropa SITS funktioner (APIer) från en äldre tillämpning finns ett kompatibilitetsapi MiKi (DLL) som i stället använder GTP produkter. |
|
| MiKi SD |
|
|
|
