R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s

Transkript

1 SITLine-ETH_bro_de_ _v1100.indd 1 Produktbroschüre You act. We protect. Rohde & Schwarz SIT: Verschlüsselung und IT-Sicherheit. Sichere Kommunikation R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s :40:55

2 R&S SITLine ETH Ethernet- Verschlüsseler Auf einen Blick R&S SITLine ETH schützt U nternehmen und Organisationen vor Spionage und M anipulation der Daten, die über Festnetz, Funk oder S atellit per Ethernet übertragen werden. Die Geräte der Produkt familie sind BSI-zugelassen und k önnen flexibel bei vielen stationären und mobilen Anwendungen eingesetzt werden. R&S SITLine ETH verschlüsselt auf Ethernet-Basis im OSI-Modell der Data Link Layer 2 und ist somit ideal für den Schutz von durchsatz- und zeitkritischen Anwendungen. Geschützt werden Kommunikationsverbindungen über öffentliche und private Netze. Mit R&S SITLine ETH können die vorhandenen Sicherheitsanforderungen unabhängig von der existierenden beziehungsweise geplanten Netzstruktur abgebildet werden. Aufgrund der hohen Kostenersparnis hat sich Carrier- Ethernet in den letzten Jahren als echte Alternative zu Managed-IP-Anschlüssen bei der Standortvernetzung etabliert. R&S SITLine ETH bedient diese Technologie mit verschiedenen Bauformen und unterschiedlichen Leistungs klassen. Die Gerätefamilie R&S SITLine ETH kann flexibel für wechselnde Anforderungen eingesetzt werden und bietet hohe Investitionssicherheit. Hauptmerkmale Ethernet-Verschlüsseler für die Bandbreiten von 25 Mbit/s bis 40 Gbit/s Modernste kryptografische Methoden und Standards (Elliptische Kurven, AES, X.509) Flexibler Einsatz in modernen Übertragungsnetzen Verschlüsselung basierend auf Port-, VLAN- oder Gruppen-Zuordnung (Multipunkt) Maximale Bandbreiteneffizienz, Vermeidung von Overhead Komfortables Online-Management zur Gerätekonfiguration und für Sicherheits- und Netzwerkeinstellungen Sehr kompakte Bauweise (eine Höheneinheit für alle Geräte), sehr geringer Energieverbrauch, niedrige Systemkosten pro GByte (Total Cost of Ownership) BSI-zugelassen bis VS-NfD und NATO-Restricted R&S SITLine ETH ist in verschiedenen Leistungsklassen und Formfaktoren erhältlich. 2 SITLine-ETH_bro_de_ _v1100.indd :40:58

3 R&S SITLine ETH Ethernet- Verschlüsseler Wesentliche Merkmale und Vorteile Professionelle, zertifizierte Sicherheit Sicherung von Ethernet-Standleitungen und Ethernet-VLANs Innovative Gruppen-Verschlüsselung für Multicast Topologien (ELAN) Sichere Authentisierung Automatisierter Betrieb gesicherter Verbindungen Flexible Verschlüsselungshardware Manipulationsresistente Geräte Seite 4 Reduzierte Systemkosten Minimaler Aufwand für Installation und Konfiguration Geringe Raum- und Energiekosten Geringere Übertragungskosten als Managed IP Geringer Wartungs- und Pflegeaufwand Bandbreiteneffizienz durch Gruppen-Verschlüsselung (Multipunkt) Keine Zusatzkosten für zentrale oder interne Schlüsselserver Höhere Übertragungsleistung als IPsec Hochverfügbarkeit serienmäßig Seite 6 Zentrales Sicherheits management Online, effizient und sicher Virtualisierbar und hochverfügbar Klar definierte Rollen Zentrale Stelle für Log-Dateien und Audits Seite 8 Netzwerkmanagement mittels SNMP Unterstützt SNMP v1, v2c und v3 Umfangreiche Monitoring- und Diagnose-Möglichkeiten Netzwerkmanagement durch Dienstleister Sofort starten mit R&S SITLine-Admin Seite 10 SITLine-ETH_bro_de_ _v1100.indd 3 Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüssel :40:59

4 P rofessionelle, zertifizierte Sicherheit Ethernet ist ein etablierter, universeller Standard in der Datenübertragung, beinhaltet j edoch keinen Schutz der Vertraulichkeit oder der Integrität der übertragenen Daten. R &S SITLine ETH liefert diesen Schutz deutlich effektiver und effizienter als andere Lösungen und wurde vom BSI für die Verarbeitung von Verschlusssachen bis VS NfD zugelassen. Sicherung von Ethernet-Standleitungen und Ethernet-VLANs R&S SITLine ETH wurde gemäß Metro-Ethernet-Standard entwickelt und kann Ethernet-Standleitungen, sogenannte Ethernet Private Lines (EPL) verschlüsseln. Hierbei kommunizieren zwei Verschlüsselungsgeräte direkt miteinander, entweder im Transport- oder im Tunnel-Modus. Der Transport-Modus verschlüsselt nur die Nutzdaten (z.b. das IP-Paket) und lässt die Ethernet-Adressinformationen unverändert. Im Tunnel-Modus wird der gesamte Verkehr inklusive Adressen verschlüsselt und als Nutzdaten in neu erstellten Ethernet-Paketen versendet. In Szenarien, in denen zwei Geräte direkt und ohne Switch miteinander verbunden sind, können R&S SITLine ETH4G-, R&S SITLine ETH10G- und R&S SITLine ETH40G- Geräte alternativ im Bulk-Modus betrieben werden. Der BulkModus verschlüsselt die gesamten Ethernet- Pakete (inkl. Adress informationen), ohne einen zusätz lichen Overhead hinzuzufügen, und bietet so noch höhere Vertraulichkeit bei größtmöglichem Datendurchsatz. Soll ein zentraler Standort sicher mit mehreren entfernten Standorten in einer Sterntopologie vernetzt werden, kann R&S SITLine ETH den Ethernet-Verkehr anhand des verwendeten VLAN einem korrespondierenden R&S SITLine ETH zuordnen. Das erfordert vom Netzwerkanbieter mehrere Ethernet Virtual Private Lines (EVPL), die VLAN-spezifisch mit R&S SITLine ETH verschlüsselt werden. Innovative Gruppen-Verschlüsselung für Multicast Topologien (ELAN) In voll vermaschten Ethernet Local Area Networks (ELANs) verhindert traditionelle Verschlüsselung die Multicast- Fähigkeit des Carrier-Netzes, indem dedizierte Wege zwischen den Verschlüsselungsgeräten aufgebaut werden. Videos und andere Livestreams, die für mehrere Empfänger gedacht sind und per Multicast versendet werden, müssen somit vor dem Versand dupliziert und für jeden Empfänger einzeln verschlüsselt werden. Gerade in solchen Umgebungen kann R&S SITLine ETH zur Gruppen-Verschlüsselung des Netzwerkverkehrs eingesetzt werden ohne die Multicast-Fähigkeit zu beeinflussen. Das Sicherheitsniveau ist identisch zur traditionellen Verschlüsselung mit dedizierten Wegen, denn trotz Gruppierung verwendet jedes R&S SITLine ETH-Gerät weiterhin seinen eigenen Sitzungsschlüssel für den abgehenden Netzwerkverkehr. Zusätzlich berücksichtigt die Gruppen-Verschlüsselung eventuell vorhandene MPLS-Netzwerke. Die für das Routing erforderlichen MPLS-Markierungen (normaler weise Bestandteil der zu verschlüsselnden Nutzdaten) werden erkannt und unverschlüsselt übertragen. Sichere Authentisierung &S SITLine ETH nutzt zur sicheren Authentisierung R folgende Technologien und Standards: Asymmetrische Kryptografie mittels elliptischer Kurven mit 257-bit-Schlüssel (entspricht ca bit RSA) X.509 v3-zertifikate für Personen und Geräte Gesicherte Ablage und Transport vertraulicher Parameter durch Smartcard-Technologie In nur einer Höheneinheit kann R&S SITLine ETH40G bis zu vier 10-Gigabit-Ethernet-Anschlüsse latenz-optimiert verschlüsseln. 4 SITLine-ETH_bro_de_ _v1100.indd :41:00

5 Jedem Verbindungsaufbau geht eine sichere Authentisierung der Teilnehmer voraus. Dazu werden individuelle Gerätezertifikate genutzt. Für jede Managementverbindung und jede zu sichernde Datenverbindung wird ein eigenständiges Schlüsselset generiert. Die Schlüsselvereinbarung erfolgt nach dem Diffie-Hellman-Verfahren. R&S SITLine ETH nutzt zur Schlüsselerzeugung einen Hardware-basierten Zufallszahlengenerator, der Common Criteria EAL4+ zertifiziert ist. Automatisierter Betrieb gesicherter Verbindungen Die Gerätezertifikate bestimmen, welche Partner zur Verbindungsaufnahme berechtigt sind. Mit jedem berechtigten Kommunikationspartner werden sichere Verbindungen etabliert und von Ende zu Ende auf fehlerfreie Funktion überwacht. Abgelaufene Gerätezertifikate und Sitzungsschlüssel werden vollautomatisch erneuert. Gesicherte Verbindungen entstehen bei Änderungen der Netzwerkkonfiguration automatisch. Eine unwissentliche oder unbemerkte Kommunikation über ungesicherte Verbindungen ist ausgeschlossen. Flexible Verschlüsselungshardware Es werden symmetrische Algorithmen (AES 256) verwendet, die in eine leistungsfähige Hardware integriert sind. Kundenwünsche bezüglich kryptografischer Verfahren können auf Anfrage berücksichtigt werden. Manipulationsresistente Geräte &S SITLine ETH verfügt neben den kryptografischen R Kernfunktionen über ein abgestimmtes System mechanischer und elektromechanischer Schutzfunktionen. Dazu gehören gestaffelte Sicherheitszonen, ein geschützter Speicher, Schutzmechanismen gegen mechanische Manipulation und weitere Sicherungsfunktionen gegen Versuche, die geschützten Geheimnisse zu entwenden oder zu manipulieren. Automatischer Aufbau und Betrieb gesicherter Verbindungen Satellit oder Richtfunk Standort mit Backup-Rechenzentrum 2 10 Gbit/s Standleitung SITLine ETH40G Außenstandort 1 10 Mbit/s Satellit SITLine ETH50 Zentrale mit Rechenzentrum, Carrier, Satellit und Standleitung SITLine ETH40G Standort mit Forschung und Entwicklung 1 1 Gbit/s Carrier SITLine ETH1G Produktion 1 1 Gbit/s Carrier SITLine ETH1G Vermascht und Latenz-optimiert R&S SITLine ETH wird vorkonfiguriert zum Einsatzsort geschickt und etabliert bei Inbetriebnahme automatisch sichere L2-Verbindungen über Fast Ethernet, 1-Gbit-Ethernet und 10-Gbit-Ethernet. Gleiches gilt für Backup-Geräte. SITLine-ETH_bro_de_ _v1100.indd 5 Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüssel :41:00

6 Reduzierte Systemkosten Minimaler Aufwand für Installation und Konfiguration &S SITLine ETH-gesicherte Netzwerke R ermöglichen im Vergleich zu bisherigen Verschlüsselungslösungen deutliche Einsparungen in den Betriebskosten bei gleichzeitig hoher Sicherheit. Die Integration von R&S SITLine ETH in ein Netzwerk findet vollkommen transparent statt. Außer den Sicherheitsparametern sind keine weiteren netzwerk spezifischen Konfigurationen erforderlich. Ethernet ist eine Plug & Play-Technologie und damit nahezu ohne Konfigurationsaufwand einsatzbereit. Dies spart Installationszeit und -kosten. Geringe Raum- und Energiekosten Die kompakte Bauweise, geringe Bauhöhe und verschiedene Geräteklassen ermöglichen einen sparsamen Umgang mit Installationsplatz und Energie. Das MultiportGerät übernimmt die Funktion von bis zu vier Geräten, benötigt aber nur den Platz und die Energie eines einzelnen Gerätes. Die Option, mit einem Gerät bis zu vier physikalische Leitungen zu sichern, ist weltweit einmalig. Geringere Übertragungskosten als Managed IP Der deutlich geringere Protokoll-Überhang ( Overhead ) für Ethernet-Verschlüsselung führt zu einem besseren Netto/Brutto-Transport-Verhältnis. Je nach Verkehrs profil und gewählten Sicherheitsfunktionen ist bei einer Ethernet-Verschlüsselung mit einer Reduktion der Nutzdatenrate von lediglich 0 % bis 13 % zu rechnen. Zum Vergleich: Ein IPsec-gesichertes VPN reduziert die Nutzdatenrate um bis zu 60 %. Geringer Wartungs- und Pflegeaufwand Ethernet ist unabhängig von logischen IP-Netzstrukturen. Somit entfallen Anpassungen bei der Integration neuer Anwendungen, beim Anbieterwechsel oder bei Wechsel von höheren Netzwerk protokollen (z.b. IPv4 zu IPv6). Die Erfahrung zeigt, dass der Pflegeaufwand von Layer-2- Systemen aufgrund langer Update- und UpgradeZyklen deutlich niedriger ist als bei anderen Lösungen. Nutzdatenrate (Kapazitätsauslastung) 100 % IP über Ethernet L2-Verschlüsselung ohne Integritätschutz L2-Verschlüsselung mit Integritätschutz IPsec-Verschlüsselung Nutzlastanteil an der Übertragung 90 % 80 % 70 % 60 % 50 % 40 % 30 % Größe der Pakete/Übertragungseinheiten 1500 Bei einer mittleren Paketgröße von 250 Byte weist R&S SITLine ETH eine deutlich höhere Nutzdatenrate auf als die IPsec-Verschlüsselung: R&S SITLine ETH: > 90 % (L2-Verschlüsselung) IPsec-Verschlüsselung: 75 % 6 SITLine-ETH_bro_de_ _v1100.indd :41:01

7 Bandbreiteneffizienz durch GruppenVerschlüsselung (Multipunkt) Höhere Übertragungsleistung als IPsec Der reduzierte Overhead bei R&S SITLine ETH wirkt sich positiv auf die Übertragungsleistung aus. Besonders bei Diensten mit kleinen Paketgrößen, wie Voice over IP, wird dies deutlich. Kürzere Antwortzeiten und geringere Latenzen verbessern spürbar die Dienstqualität gegenüber IPsec-gesicherten Verbindungen. Eine höhere Anzahl an VoIP-Verbindungen ist ebenfalls möglich. Traditionelle Verschlüsselungssysteme (wie IPsec) bauen mehrere dedizierte Verbindungen zwischen den Verschlüsselungsgeräten auf, die jeweils mit einem separaten Schlüssel gesichert werden. Daten, die für mehr als nur einen Standort bestimmt sind, wie bei einer Videokonferenz, müssen vervielfältigt und über die einzelnen Verbindungen an die verschiedenen Standorte versendet werden. Hochverfügbarkeit serienmäßig R&S SITLine ETH wurde für solche Einsatzfälle mit einer innovativen Gruppen-Verschlüsselung ausgestattet. Diese nutzt die Multicast-Fähigkeit geswitchter Netzwerke, ohne Abstriche am Sicherheitsniveau der übertragenen Daten zu machen. Die Daten werden unabhängig von der Empfängeranzahl nur einmal verschlüsselt und gesendet die Verteilung übernimmt das Netz, beziehungsweise der Carrier. Die R&S SITLine ETH-Geräte sind für einen reibungslosen und ausfallsicheren Betrieb optimiert; selbst Wartungsarbeiten beeinflussen den Betrieb nicht. Jedes Modell ist mit einer redundanten Stromversorgung ausgestattet. R&S SITLine ETH4G, R&S SITLine ETH10G und R&S SITLine ETH40G bieten darüber hinaus austauschbare Lüfter und parallele Verschlüsselungsleitungen (beim Multiport-Gerät). Netzteile, Lüfter und Batterien können während des Betriebs gewechselt werden. Keine Zusatzkosten für zentrale oder interne Schlüsselserver Die für den Betrieb erforderlichen Sitzungsschlüssel werden von den R&S SITLine ETH-Geräten vollständig autark untereinander ausgehandelt und sicher an die berechtigten Kommunikationspartner verteilt. Dedizierte Schlüsselserver sind nicht erforderlich. Der Ausfall eines Gerätes hat keinen Einfluss auf den Betrieb des verbleibenden Netzwerks, da sich Partnergeräte automatisch finden und sichere Verbindungen regelmäßig neu etablieren. R&S SITScope, das zentrale Sicherheitsmanagementsystem für R&S SITLine ETH (siehe Seite 8), wird hauptsächlich für Installation und Überwachung benötigt. Während der Laufzeit organisieren die R&S SITLine ETHGeräte die Verschlüsselung selbstständig und ohne Zusatzkomponenten. Übertragungsleistung: Ethernet- und IPsec-Verschlüsselung SITLine ETH Übertragungsleistung in (PDU/t) VoIP, Daten Video 1518 IPsec 500 (Abnehmende) Paketgröße (PDU) in Byte 64 Übertragungsleistung der Ethernet-Verschlüsselung (Layer 2) im Vergleich zur IPsec-Verschlüsselung (Layer 3): Gerade bei Applikationen mit kleinen Paketgrößen bietet die Absicherung mit R&S SITLine ETH deutliche Vorteile. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 7 SITLine-ETH_bro_de_ _v1100.indd :41:01

8 Zentrales Sicherheits management R&S SITScope ist das Sicherheits management system für die R&S SITLine ETH EthernetVerschlüsseler. R&S SITScope basiert auf einer Client-Server-Architektur und ist als vorinstallierte Appliance oder als separate Software für Windows und Linux erhältlich. Für den sicheren Umgang mit Benutzer- und Gerätezertifikaten werden Token auf Smartcard-Basis genutzt. Online, effizient und sicher Der Server von R&S SITScope fungiert wie die Certificate Authority (CA) einer PKI und wird in einer sicheren Umgebung (Rechenzentrum mit Zutrittskontrolle) betrieben. Der Client läuft auf den Arbeitsplatzrechnern der Administratoren. Die Kommunikation zwischen Server und Client sowie zwischen Server und Verschlüsselungsgerät findet über TLS-gesicherte Verbindungen statt. R&S SITScope kommuniziert über das zu verschlüsselnde Netzwerk (Inband) oder über ein dediziertes Managementnetzwerk (Outband) mit R&S SITLine ETH. Zur Konfiguration der R&S SITLine ETH-Verschlüsselungsgeräte wird in R&S SITScope zentral ein Netzplan angelegt. Der Netzplan enthält Geräteparameter (z.b. IP Adressen für das Gerätemanagement), die Betriebsarten der Geräte (z.b. Bulk, VLAN) und ihre Kommunikations beziehungen zueinander (verschlüsselt/unverschlüsselt). Basierend auf dem Netzplan werden die Gerätezertifikate und deren p rivate Schlüssel erstellt und auf R&S SITLine ETH-Geräte verteilt. Nachdem R&S SITLine ETH einmalig mittels Geräte -Token initialisiert wurde, ist es für alle Management aufgaben online verfügbar. Egal ob Re- Konfiguration, Zertifikatswechsel oder Firmware-Update mit R&S SITScope erledigen die Administratoren die Management aufgaben bequem von ihrem Arbeitsplatz aus. Eventuell entwendete oder gar kompromittierte R&S SITLine ETH-Geräte werden mittels R&S SITScope in Zertifikatssperrlisten (CRL) erfasst, die online im Netzwerk publiziert werden. R&S SITScope ist ausschließlich für das i nitiale Management der Geräte erforderlich im Betrieb bestimmt R&S SITLine ETH die Sitzungsschlüssel unabhängig von einem vorhandenen R&S SITScope. Für sicherheitsrelevante Einstellungen von R&S SITLine ETH steht den Administratoren das R&S SITScope Sicherheitsmanagementsystem zur Verfügung. 8 SITLine-ETH_bro_de_ _v1100.indd :41:02

9 Virtualisierbar und hochverfügbar Klar definierte Rollen Wird R&S SITScope als Software bezogen, kann der Server auch in virtuellen Umgebungen (Virtual Box, VM Ware) betrieben werden. Als Hardware-Sicherheitsanker nutzt R&S SITScope Root-Token auf Smartcard- Basis. Der Root-Token wird für die sichere Erstellung und Anwendung des Ursprungsgeheimnisses genutzt und muss während des Betriebes am Server permanent verfügbar sein. R&S SITScope bietet die Möglichkeit, über sogenannte Rollen klar differenzierte Rechte an Administratoren zu vergeben, zu verwalten und lückenlos zu protokollieren. Rollen sind an die entsprechenden Benutzer-Token und das zugehörige Zertifikat gebunden ein Missbrauch oder die Manipulation von Rechten sind nicht möglich. Es stehen die Rollen Supervisor, Manager und Monitor zur Verfügung. Der Betrieb von R&S SITScope kann durch redundante Instanzen auch hochverfügbar gestaltet werden. Netzplan und Geräteparameter werden zwischen den Instanzen synchronisiert. Ein Supervisor darf grundlegende Einstellungen und Funktionen des Sicherheitsmanagements vornehmen und Benutzer verwalten. Er verwaltet keine Geräte. Manager sind für die Konfiguration und Überwachung der R&S SITLine ETH-Geräte verantwortlich. Ein Manager kann keine Benutzer verwalten. Ein Monitor kann ausschließlich Betriebszustände überwachen, aber keine Änderungen vornehmen. Jedes R&S SITLine ETH-Gerät sucht nach seiner Aktivierung selbstständig einen Weg zum R&S SITScope-Server. Dafür werden IP-Protokolle (Layer 3) auf allen verfügbaren Netzwerkverbindungen genutzt und Partnergeräte per Ethernet (Layer 2) nach möglichen R&S SITScope-Instanzen abgefragt. Fällt während des Betriebs eine Managementverbindung aus, sucht R&S SITLine ETH eigenständig und automatisch nach alternativen Verbindungen ( Selbstheilung ). Unautorisierte Eingriffe in das eigenständige und geschlossene Sicherheitsmanagement sind nicht möglich. Zentrale Stelle für Log-Dateien und Audits R&S SITScope sammelt die dezentral an jedem R&S SITLine ETH-Gerät anfallenden Log-Informationen und speichert diese, bis sie durch einen Administrator bestätigt wurden. R&S SITScope bietet professionelle Audit- Möglichkeiten, um Vorgänge verschiedener R&S SITLine ETH-Geräte zusammenzufassen und zu analysieren. Zusätzlich können Log-Informationen von R&S SITScope an Syslog-Server im Netzwerk weitergeleitet werden. Sicherheitsmanagement TLS SITScope Sicherheitsmanagement Supervisor TLS TLS LAN Manager Carrier LAN TLS Monitor Die Administratoren können die Sicherheitsparameter aller Geräte bequem vom Arbeitsplatz über das Netzwerk einstellen. Dazu authentisieren sie sich lediglich mit ihrem Benutzer-Token gegenüber R&S SITScope. R&S SITLine ETH4G, R&S SITLine ETH10G und R&S SITLine ETH40G verfügen auch über Anschlüsse für ein separates Managementnetzwerk (Outband). Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 9 SITLine-ETH_bro_de_ _v1100.indd :41:02

10 Netzwerkmanagement mittels SNMP Mittels Simple Network Management Protocol (SNMP) können Netzwerkeinstellungen an R&S SITLine ETH-Geräten vorgenommen werden. Zusätzlich bieten die Geräte detaillierte Daten zur Überwachung und umfangreiche Diagnosemöglichkeiten per SNMP an. Dazu werden das mitgelieferte Programm R&S SITLine-Admin oder beliebige SNMP-Browser verwendet. Unterstützt SNMP v1, v2c und v3 Über das Netzwerkmanagement werden netzwerk- relevante Einstellungen an den R&S SITLine ETH- Verschlüsselungsgeräten vorgenommen. Hierzu zählen Basiskonfigurationen, wie Geschwindigkeit und DuplexVerhalten der Ethernet-Anschlüsse. Erweiterte Konfigurationen sind ebenfalls möglich, wie Ethernet Operation and Maintenance (OAM) oder fest eingestellte VLANs für die Netzwerksuche. Die dafür erforderliche Benutzeridentifizierung findet mit SNMP v1/2c durch die Community Strings statt. Mit SNMP v3 werden Anmeldeinformationen (Benutzer/Passwort) eingestellt und sicher verifiziert. Umfangreiche Monitoring- und Diagnose-Möglichkeiten Jedes R&S SITLine ETH-Gerät bietet umfangreiche Statistiken, die per SNMP abgerufen werden können, wie die Anzahl der verschlüsselt/unverschlüsselt über tragenen Ethernet-Rahmen. Wurden Ethernet-Rahmen geblockt, weil sie redundant waren (Replay Attacks), wird das ebenfalls erfasst. R&S SITLine ETH informiert aktiv das SNMPNetzwerkmanagement mittels Traps (SNMP v1) oder Notifications (SNMP v2c/3) über Netzwerkereignisse. Zur Fehlersuche können für jeden Port Loop-Back- Diagnosen durchgeführt werden (die kurze Payload- Diagnose oder die lange Inward-Diagnose). Netzwerkmanagement durch Dienstleister Für das Sicherheitsmanagement mittels R&S SITScope und das Netzwerkmanagement mittels SNMP können jedem Verschlüsselungsgerät separate IP-Adressen zugeteilt werden. Das Netzwerkmanagement kann außerdem aus dem Carrier-Netzwerk heraus erfolgen. Das ermöglicht Outsourcing- Modelle, in denen R&S SITLine ETH für das Netzwerk management per SNMP für einen Dienst leister erreichbar ist, die Sicherheit jedoch vollständig beim Auftraggeber verbleibt. Sofort starten mit R&S SITLine-Admin R&S SITLine-Admin ist ein anwenderfreundliches Netzwerkmanagement-Tool für R&S SITLine ETH-Geräte. Eine Anpassung vorhandender SNMP-Browser entfällt. R&S SITLine-Admin ist speziell auf R&S SITLine ETH abgestimmt. Die korrespondierende Frontblende wird beispielsweise mit aktuellen LED-Anzeigen grafisch dargestellt. Einstellungen, Statistiken und Diagnosen sind schnell und einfach möglich. Netzwerkmanagement mittels SNMP Netzbetreiber SNMP SNMP LAN Carrier LAN Auftraggeber Um Netzwerkeinstellungen vorzunehmen und Statusinformationen abzufragen wird SNMP entweder innerhalb des lokalen Netzwerks (blaue Pfeile) oder aus dem Carrier-Netzwerk (schwarze Pfeile) genutzt. Administrator und Dienstleister authentisieren sich mit SNMP Community Strings beziehungsweise SNMP Credentials gegenüber R&S SITLine ETH. Sicherheits einstellungen bleiben unberührt. 10 SITLine-ETH_bro_de_ _v1100.indd :41:03

11 Technische Kurzdaten R&S SITLine ETH50 R&S SITLine ETH4G R&S SITLine ETH10G R&S SITLine ETH40G Leistung Durchsatz pro Gerät 100 Mbit/s, Voll-Duplex 4 Gbit/s, Voll-Duplex 10 Gbit/s, Voll-Duplex 40 Gbit/s, Voll-Duplex Latenz 18 µs 5 µs 3 µs 3 µs Verschlüsselungslinien Anzahl Megabit Ethernet 4 1 Gigabit Ethernet 1 10 Gigabit Ethernet 4 10 Gigabit Ethernet Medium elektrisch optisch, elektrisch, cross media optisch, elektrisch, cross media optisch, elektrisch Kryptografie und Sicherheit Asymmetrisch 257-bit-ECC-Schlüssel (entspricht ungefähr 3200 bit RSA-Schlüssel) Symmetrisch AES mit 256-bit-Schlüssel, CFB ( Zero-Overhead ), GCM, Punkt-Punkt- und Gruppenverschlüsselung Management Online via R&S SITScope Sicherheitsmanagementsystem und Token BSI-Zulassung In Arbeit Common Criteria Zertifizierung nach EAL4+ erwartet für Q4/2015 Rack (19", 1 HE) Betriebstemperatur Kompakt (7,5", 1 HE, Hutschiene) 20 C bis +70 C (gehärtet) Spannungsversorgung 24 V bis 60 V DC, redundant wahlweise 40 V bis 72 V DC oder 110 V bis 240 V AC (50 Hz/60 Hz), redundant, Hot-Swap Umweltbedingungen Bauweise +5 C bis +50 C (industriell) Verfügbare Produktunterlagen Bestellnummer R&S SITLine ETH40G: Leitungs- und Netzwerk- Verschlüsselung mit 40 Gbit/s Broschüre PD R&S SITLine ETH: Starke Ende-zu-Ende-Verschlüsselung für Ethernet-Standleitungen Application Card PD R&S SITLine ETH: Hochsichere Rechenzentrumsanbindung für File- und Content-Anwendungen Application Card PD R&S SITLine ETH: Manipulationsschutz für Überwachungsnetze von Banken Application Card PD R&S SITLine ETH: Absicherung der Steuernetze der Bahn Applikationsbroschüre PD R&S SITLine ETH: Verschlüsselung für Satellitennetzwerke mit Romantis UHP Applikationsbroschüre PD R&S SITLine ETH50 Ethernet Encryptor Specifications 1) PD R&S SITLine ETH100, R&S SITLine ETH1G Ethernet Encryptor Specifications 1) PD R&S SITLine ETH4G, R&S SITLine ETH10G, R&S SITLine ETH40G Ethernet Encryptor Specifications 1) PD Nur auf Englisch erhältlich. 1) R&S SITLine ETH4G, R&S SITLine ETH10G und R&S SITLine ETH40G sind mit redundanten Netzteilen ausgestattet. Netzteile, Lüfter kassetten und Batterien können im laufenden Betrieb gewechselt werden (Hot-Swap). SITLine-ETH_bro_de_ _v1100.indd 11 Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüssel :41:06

12 Service mit Mehrwert Weltweit Lokal und persönlich Flexibel und maßgeschneidert Kompromisslose Qualität Langfristige Sicherheit Rohde & Schwarz Der Elektronikkonzern Rohde & Schwarz ist ein führender Lösungsanbieter in den Arbeitsgebieten Messtechnik, Rundfunk- und Medientechnik, sichere Kommunikation, Cyber-Sicherheit und Funküberwachungs- und -ortungstechnik. Vor mehr als 80 Jahren gegründet, ist das selbst ständige Unternehmen mit seinen Dienstleistungen und einem engmaschigen Servicenetz in über 70 Ländern der Welt präsent. Der Firmensitz ist in Deutschland ( München). Nachhaltige Produktgestaltung Umweltverträglichkeit und ökologischer Fußabdruck Energie-Effizienz und geringe Emissionen Langlebigkeit und optimierte Gesamtbetriebskosten Certified Quality Management ISO 9001 Certified Environmental Management ISO Rohde & Schwarz SIT GmbH Am Studio Berlin Fax info.sit@rohde-schwarz.com Rohde & Schwarz GmbH & Co. KG R&S ist eingetragenes Warenzeichen der Rohde & Schwarz GmbH & Co. KG Eigennamen sind Warenzeichen der jeweiligen Eigentümer PD Version März 2015 (ch) R&S SITLine ETH Ethernet-Verschlüssel Daten ohne Genauigkeitsangabe sind unverbindlich Änderungen vorbehalten Rohde & Schwarz GmbH & Co. KG München PDP 1 de Kontakt Europa, Afrika, Mittlerer Osten customersupport@rohde-schwarz.com Nordamerika TEST RSA ( ) customer.support@rsa.rohde-schwarz.com Lateinamerika customersupport.la@rohde-schwarz.com Asien-Pazifik customersupport.asia@rohde-schwarz.com China customersupport.china@rohde-schwarz.com SITLine-ETH_bro_de_ _v1100.indd :41:06