R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s

Transkript

1 SITLine-ETH_bro_de_ _v1000.indd 1 Produktbroschüre You act. We protect. Rohde & Schwarz SIT: Verschlüsselung und IT-Sicherheit. Sichere Kommunikation R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s :14:02

2 R&S SITLine ETH Ethernet- Verschlüsseler Auf einen Blick R&S SITLine ETH schützt U nternehmen und Organisationen vor Spionage und M anipulation der Daten, die über Festnetz, Funk oder S atellit per Ethernet übertragen werden. Die Geräte der Produkt familie sind BSI-zugelassen und k önnen flexibel bei vielen stationären und mobilen Anwendungen eingesetzt werden. R&S SITLine ETH verschlüsselt auf Ethernet-Basis im OSI-Modell der Data Link Layer 2 und ist somit ideal für den Schutz von durchsatz- und zeitkritischen Anwendungen. Geschützt werden Kommunikationsverbindungen über öffentliche und private Netze. Mit R&S SITLine ETH können die vorhandenen Sicherheitsanforderungen unabhängig von der existierenden beziehungsweise geplanten Netzstruktur abgebildet werden. Aufgrund der hohen Kostenersparnis hat sich Carrier- Ethernet in den letzten Jahren als echte Alternative zu Managed-IP-Anschlüssen bei der Standortvernetzung etabliert. R&S SITLine ETH bedient diese Technologie mit verschiedenen Bauformen und unterschiedlichen Leistungs klassen. Die Gerätefamilie R&S SITLine ETH kann flexibel für wechselnde Anforderungen eingesetzt werden und bietet hohe Investitionssicherheit. Hauptmerkmale Ethernet-Verschlüsseler für die Bandbreiten von 25 Mbit/s bis 40 Gbit/s Modernste kryptografische Methoden und Standards (Elliptische Kurven, AES, X.509) Flexibler Einsatz in modernen Übertragungsnetzen Verschlüsselung basierend auf Port-, VLAN- oder Gruppen-Zuordnung (Multipunkt) Maximale Bandbreiteneffizienz, Vermeidung von Overhead Komfortables Online-Management zur Gerätekonfiguration und für Sicherheits- und Netzwerkeinstellungen Sehr kompakte Bauweise (eine Höheneinheit für alle Geräte), sehr geringer Energieverbrauch, niedrige Systemkosten pro GByte (Total Cost of Ownership) BSI-zugelassen bis VS-NfD und NATO-Restricted R&S SITLine ETH ist in verschiedenen Leistungsklassen und Formfaktoren erhältlich. 2 SITLine-ETH_bro_de_ _v1000.indd :14:05

3 R&S SITLine ETH Ethernet- Verschlüsseler Wesentliche Merkmale und Vorteile Professionelle, zertifizierte Sicherheit Sicherung von Ethernet-Standleitungen und Ethernet-VLANs Innovative Gruppen-Verschlüsselung für Multicast Topologien (ELAN) Sichere Authentisierung Automatisierter Betrieb gesicherter Verbindungen Flexible Verschlüsselungshardware Manipulationsresistente Geräte Seite 4 Reduzierte Systemkosten Minimaler Aufwand für Installation und Konfiguration Geringe Raum- und Energiekosten Geringere Übertragungskosten als Managed IP Geringer Wartungs- und Pflegeaufwand Bandbreiteneffizienz durch Gruppen-Verschlüsselung (Multipunkt) Keine Zusatzkosten für zentrale oder interne Schlüsselserver Höhere Übertragungsleistung als IPsec Hochverfügbarkeit serienmäßig Seite 6 Zentrales Sicherheits management Online, effizient und sicher Virtualisierbar und hochverfügbar Klar definierte Rollen Zentrale Stelle für Log-Dateien und Audits Seite 8 Netzwerkmanagement mittels SNMP Unterstützt SNMP v1, v2c und v3 Umfangreiche Monitoring- und Diagnose-Möglichkeiten Netzwerkmanagement durch Dienstleister Sofort starten mit R&S SITLine-Admin Seite 10 Datenblatt zu R&S SITLine ETH100 und R&S SITLine ETH1G, siehe PD Datenblatt zu R&S SITLine ETH50, siehe PD Datenblatt zu R&S SITLine ETH40, siehe PD SITLine-ETH_bro_de_ _v1000.indd 3 Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüssel :14:05

4 P rofessionelle, zertifizierte Sicherheit Ethernet ist ein etablierter, universeller Standard in der Datenübertragung per Kabel und Luft, beinhaltet jedoch keinen Schutz der Vertraulichkeit oder der Integrität der übertragenen Daten. R &S SITLine ETH liefert diesen Schutz deutlich effektiver und effizienter als andere Lösungen und wurde vom BSI für die Verarbeitung von Verschlusssachen bis VS NfD zugelassen. Sicherung von Ethernet-Standleitungen und Ethernet-VLANs R&S SITLine ETH wurde gemäß Metro-Ethernet-Standard entwickelt und kann Ethernet-Standleitungen, sogenannte Ethernet Private Lines (EPL) verschlüsseln. Hierbei kommunizieren zwei Verschlüsselungsgeräte direkt miteinander, entweder im Transport- oder im Tunnel-Modus. Der Transport-Modus verschlüsselt nur die Nutzdaten (z.b. das IP-Paket) und lässt die Ethernet-Adressinformationen unverändert. Im Tunnel-Modus wird der gesamte Verkehr inklusive Adressen verschlüsselt und als Nutzdaten in neu erstellten Ethernet-Paketen versendet. In Szenarien, in denen zwei Geräte direkt und ohne Switch miteinander verbunden sind, können R&S SITLine ETH100- Geräte und R&S SITLine ETH1G- Geräte alternativ im Bulk-Modus betrieben werden. Der Bulk-Modus verschlüsselt die gesamten Ethernet- Pakete (inkl. Adressinformationen) ohne einen zusätz lichen O verhead hinzuzufügen und bietet so noch höhere Vertraulichkeit bei größtmöglichem Datendurchsatz. Soll ein zentraler Standort sicher mit mehreren entfernten Standorten in einer Sterntopologie vernetzt werden, kann R&S SITLine ETH den Ethernet-Verkehr anhand des verwendeten VLAN einem korrespondierenden R&S SITLine ETH zuordnen. Das erfordert vom Netzwerkanbieter mehrere Ethernet Virtual Private Lines (EVPL), die VLAN-spezifisch mit R&S SITLine ETH verschlüsselt werden. Innovative Gruppen-Verschlüsselung für Multicast Topologien (ELAN) In voll vermaschten Ethernet Local Area Networks (ELANs) verhindert traditionelle Verschlüsselung die Multicast- Fähigkeit des Carrier-Netzes, indem dedizierte Wege zwischen den Verschlüsselungsgeräten aufgebaut werden. Videos und andere Livestreams, die für mehrere Empfänger gedacht sind und per Multicast versendet werden, müssen somit vor dem Versand dupliziert und für jeden Empfänger einzeln verschlüsselt werden. Gerade in solchen Umgebungen kann R&S SITLine ETH zur Gruppen-Verschlüsselung des Netzwerkverkehrs eingesetzt werden ohne die Multicast-Fähigkeit zu beeinflussen. Das Sicherheitsniveau ist identisch zur traditionellen Verschlüsselung mit dedizierten Wegen, denn trotz Gruppierung verwendet jedes R&S SITLine ETH-Gerät weiterhin seinen eigenen Sitzungsschlüssel für den abgehenden Netzwerkverkehr. Zusätzlich berücksichtigt die Gruppen-Verschlüsselung eventuell vorhandene MPLS-Netzwerke. Die für das Routing erforderlichen MPLS-Markierungen (normaler weise Bestandteil der zu verschlüsselnden Nutzdaten) werden erkannt und unverschlüsselt übertragen. In nur einer Höheneinheit kann R&S SITLine ETH40G bis zu vier 10-Gigabit-Ethernet-Anschlüsse latenz-optimiert verschlüsseln. 4 SITLine-ETH_bro_de_ _v1000.indd :14:07

5 Sichere Authentisierung &S SITLine ETH nutzt zur sicheren Authentisierung R folgende Technologien und Standards: Asymmetrische Kryptografie mittels elliptischer Kurven mit 257-bit-Schlüssel (entspricht ca bit RSA) X.509 v3-zertifikate für Personen und Geräte Gesicherte Ablage und Transport vertraulicher Parameter durch Smartcard-Technologie etabliert und von Ende zu Ende auf fehlerfreie Funktion überwacht. Abgelaufene Gerätezertifikate und Sitzungsschlüssel werden vollautomatisch erneuert. Gesicherte Verbindungen entstehen bei Änderungen der Netzwerkkonfiguration automatisch. Eine unwissentliche oder unbemerkte Kommunikation über ungesicherte Verbindungen ist ausgeschlossen. Flexible Verschlüsselungshardware Jedem Verbindungsaufbau geht eine sichere Authentisierung der Teilnehmer voraus. Dazu werden individuelle Gerätezertifikate genutzt. Für jede Managementverbindung und jede zu sichernde Datenverbindung wird ein eigenständiges Schlüsselset generiert. Die Schlüsselvereinbarung erfolgt nach dem Diffie-Hellman-Verfahren. R&S SITLine ETH nutzt zur Schlüsselerzeugung einen Hardware-basierten Zufallszahlengenerator, der Common Criteria EAL4+ zertifiziert ist. Automatisierter Betrieb gesicherter Verbindungen Die Gerätezertifikate bestimmen, welche Partner zur Verbindungsaufnahme berechtigt sind. Mit jedem berechtigten Kommunikationspartner werden sichere Verbindungen Es werden symmetrische Algorithmen (AES 256) verwendet, die in eine leistungsfähige Hardware integriert sind. Kundenwünsche bezüglich kryptografischer Verfahren können auf Anfrage berücksichtigt werden. Manipulationsresistente Geräte &S SITLine ETH verfügt neben den kryptografischen R Kernfunktionen über ein abgestimmtes System mechanischer und elektromechanischer Schutzfunktionen. Dazu gehören gestaffelte Sicherheitszonen, ein geschützter Speicher, Schutzmechanismen gegen mechanische Manipulation und weitere Sicherungsfunktionen gegen Versuche, die geschützten Geheimnisse zu entwenden oder zu manipulieren. Automatischer Aufbau und Betrieb gesicherter Verbindungen Satellit oder Richtfunk Standort mit Backup-Rechenzentrum 2 10 Gbit/s Standleitung SITLine ETH40G Außenstandort 1 10 Mbit/s Satellit SITLine ETH50 Zentrale mit Rechenzentrum, Carrier, Satellit und Standleitung SITLine ETH40G Standort mit Forschung und Entwicklung 1 1 Gbit/s Carrier SITLine ETH1G Produktion 1 1 Gbit/s Carrier SITLine ETH1G Vermascht und Latenz-optimiert R&S SITLine ETH wird vorkonfiguriert zum Einsatzsort geschickt und etabliert bei Inbetriebnahme automatisch sichere L2-Verbindungen über Fast Ethernet, 1-Gbit-Ethernet und 10-Gbit-Ethernet. Gleiches gilt für Backup-Geräte. SITLine-ETH_bro_de_ _v1000.indd 5 Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüssel :14:07

6 Reduzierte Systemkosten Minimaler Aufwand für Installation und Konfiguration &S SITLine ETH-gesicherte Netzwerke R ermöglichen im Vergleich zu bisherigen Verschlüsselungslösungen deutliche Einsparungen in den Betriebskosten bei gleichzeitig hoher Sicherheit. Die Integration von R&S SITLine ETH in ein Netzwerk findet vollkommen transparent statt. Außer den Sicherheitsparametern sind keine weiteren netzwerk spezifischen Konfigurationen erforderlich. Ethernet ist eine Plug & Play-Technologie und damit nahezu ohne Konfigurationsaufwand einsatzbereit. Dies spart Installationszeit und -kosten. Geringe Raum- und Energiekosten Die kompakte Bauweise, geringe Bauhöhe und verschiedene Geräteklassen ermöglichen einen sparsamen Umgang mit Installationsplatz und Energie. Das MultiportGerät übernimmt die Funktion von bis zu vier Geräten, benötigt aber nur den Platz und die Energie eines einzelnen Gerätes. Die Option, mit einem Gerät bis zu vier physikalische Leitungen zu sichern, ist weltweit einmalig. Geringere Übertragungskosten als Managed IP Der deutlich geringere Protokoll-Überhang ( Overhead ) für Ethernet-Verschlüsselung führt zu einem besseren Netto/Brutto-Transport-Verhältnis. Je nach Verkehrs profil und gewählten Sicherheitsfunktionen ist bei einer Ethernet-Verschlüsselung mit einer Reduktion der Nutzdatenrate von lediglich 0 % bis 13 % zu rechnen. Zum Vergleich: Ein IPsec-gesichertes VPN reduziert die Nutzdatenrate um bis zu 60 %. Geringer Wartungs- und Pflegeaufwand Ethernet ist unabhängig von logischen IP-Netzstrukturen. Somit entfallen Anpassungen bei der Integration neuer Anwendungen, beim Anbieterwechsel oder bei Wechsel von höheren Netzwerk protokollen (z.b. IPv4 zu IPv6). Die Erfahrung zeigt, dass der Pflegeaufwand von Layer-2- Systemen aufgrund langer Update- und UpgradeZyklen deutlich niedriger ist als bei anderen Lösungen. Nutzdatenrate (Kapazitätsauslastung) 100 % IP über Ethernet L2-Verschlüsselung ohne Integritätschutz L2-Verschlüsselung mit Integritätschutz IPsec-Verschlüsselung Nutzlastanteil an der Übertragung 90 % 80 % 70 % 60 % 50 % 40 % 30 % Größe der Pakete/Übertragungseinheiten 1500 Bei einer mittleren Paketgröße von 250 Byte weist R&S SITLine ETH eine deutlich höhere Nutzdatenrate auf als die IPsec-Verschlüsselung: R&S SITLine ETH: > 90 % (L2-Verschlüsselung) IPsec-Verschlüsselung: 75 % 6 SITLine-ETH_bro_de_ _v1000.indd :14:07

7 Bandbreiteneffizienz durch GruppenVerschlüsselung (Multipunkt) Höhere Übertragungsleistung als IPsec Der reduzierte Overhead bei R&S SITLine ETH wirkt sich positiv auf die Übertragungsleistung aus. Besonders bei Diensten mit kleinen Paketgrößen, wie Voice over IP, wird dies deutlich. Kürzere Antwortzeiten und geringere Latenzen verbessern spürbar die Dienstqualität gegenüber IPsec-gesicherten Verbindungen. Eine höhere Anzahl an VoIP-Verbindungen ist ebenfalls möglich. Traditionelle Verschlüsselungssysteme (wie IPsec) bauen mehrere dedizierte Verbindungen zwischen den Verschlüsselungsgeräten auf, die jeweils mit einem separaten Schlüssel gesichert werden. Daten, die für mehr als nur einen Standort bestimmt sind, wie bei einer Videokonferenz, müssen vervielfältigt und über die einzelnen Verbindungen an die verschiedenen Standorte versendet werden. Hochverfügbarkeit serienmäßig R&S SITLine ETH wurde für solche Einsatzfälle mit einer innovativen Gruppen-Verschlüsselung ausgestattet. Diese nutzt die Multicast-Fähigkeit geswitchter Netzwerke, ohne Abstriche am Sicherheitsniveau der übertragenen Daten zu machen. Die Daten werden unabhängig von der Empfängeranzahl nur einmal verschlüsselt und gesendet die Verteilung übernimmt das Netz, beziehungsweise der Carrier. Die R&S SITLine ETH-Geräte sind für einen reibungslosen und ausfallsicheren Betrieb optimiert; selbst Wartungsarbeiten beeinflussen den Betrieb nicht. Jedes Modell ist mit einer redundanten Stromversorgung ausgestattet. R&S SITLine ETH10G/R&S SITLine ETH40G bietet darüber hinaus austauschbare Lüfter und parallele Verschlüsselungsleitungen (beim Multiport-Gerät). Netzteile, Lüfter und Batterien können während des Betriebs gewechselt werden. Keine Zusatzkosten für zentrale oder interne Schlüsselserver Die für den Betrieb erforderlichen Sitzungsschlüssel werden von den R&S SITLine ETH-Geräten vollständig autark untereinander ausgehandelt und sicher an die berechtigten Kommunikationspartner verteilt. Dedizierte Schlüsselserver sind nicht erforderlich. Der Ausfall eines Gerätes hat keinen Einfluss auf den Betrieb des verbleibenden Netzwerks, da sich Partnergeräte automatisch finden und sichere Verbindungen regelmäßig neu etablieren. R&S SITScope, das zentrale Sicherheitsmanagementsystem für R&S SITLine ETH (siehe Seite 8), wird hauptsächlich für Installation und Überwachung benötigt. Während der Laufzeit organisieren die R&S SITLine ETHGeräte die Verschlüsselung selbstständig und ohne Zusatzkomponenten. Übertragungsleistung: Ethernet- und IPsec-Verschlüsselung SITLine ETH Übertragungsleistung in (PDU/t) VoIP, Daten Video 1518 IPsec 500 (Abnehmende) Paketgröße (PDU) in Byte 64 Übertragungsleistung der Ethernet-Verschlüsselung (Layer 2) im Vergleich zur IPsec-Verschlüsselung (Layer 3): Gerade bei Applikationen mit kleinen Paketgrößen bietet die Absicherung mit R&S SITLine ETH deutliche Vorteile. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 7 SITLine-ETH_bro_de_ _v1000.indd :14:07

8 Zentrales Sicherheits management R&S SITScope ist das Sicherheits management system für die R&S SITLine ETH EthernetVerschlüsseler. R&S SITScope basiert auf einer Client-Server-Architektur und ist als vorinstallierte Appliance oder als separate Software für Windows erhältlich. Für den sicheren Umgang mit Benutzerund Gerätezertifikaten werden Token auf SmartcardBasis genutzt. Online, effizient und sicher Der Server von R&S SITScope fungiert wie die Certificate Authority (CA) einer PKI und wird in einer sicheren Umgebung (Rechenzentrum mit Zutrittskontrolle) betrieben. Der Client läuft auf den Arbeitsplatzrechnern der Administratoren. Die Kommunikation zwischen Server und Client sowie zwischen Server und Verschlüsselungsgerät findet über TLS/SSL-gesicherte Verbindungen statt. R&S SITScope kommuniziert über das zu verschlüsselnde Netzwerk (Inband) oder über ein dediziertes Managementnetzwerk (Outband) mit R&S SITLine ETH. Zur Konfiguration der R&S SITLine ETH-Verschlüsselungsgeräte wird in R&S SITScope zentral ein Netzplan angelegt. Der Netzplan enthält Geräteparameter (z.b. IP- Adressen für das Gerätemanagement), die Betriebsarten der Geräte (z.b. Bulk, VLAN) und ihre Kommunikations beziehungen zueinander (verschlüsselt/unverschlüsselt). Basierend auf dem Netzplan werden die Gerätezertifikate und deren p rivate Schlüssel erstellt und auf R&S SITLine ETH-Geräte verteilt. Nachdem R&S SITLine ETH einmalig mittels Geräte -Token initialisiert wurde, ist es für alle Management aufgaben online verfügbar. Egal ob Re- Konfiguration, Zertifikatswechsel oder Firmware-Update mit R&S SITScope erledigen die Administratoren die Management aufgaben bequem von ihrem Arbeitsplatz aus. Eventuell entwendete oder gar kompromittierte R&S SITLine ETH-Geräte werden mittels R&S SITScope in Zertifikatssperrlisten (CRL) erfasst, die online im Netzwerk publiziert werden. R&S SITScope ist ausschließlich für das i nitiale Management der Geräte erforderlich im Betrieb bestimmt R&S SITLine ETH die Sitzungsschlüssel unabhängig von einem vorhandenen R&S SITScope. Für sicherheitsrelevante Einstellungen von R&S SITLine ETH steht den Administratoren das R&S SITScope Sicherheitsmanagementsystem zur Verfügung. 8 SITLine-ETH_bro_de_ _v1000.indd :14:08

9 Virtualisierbar und hochverfügbar Klar definierte Rollen Wird R&S SITScope als Software bezogen, kann der Server auch in virtuellen Umgebungen (Virtual Box, VM Ware) betrieben werden. Als Hardware-Sicherheitsanker nutzt R&S SITScope Root-Token auf Smartcard- Basis. Der Root-Token wird für die sichere Erstellung und Anwendung des Ursprungsgeheimnisses genutzt und muss während des Betriebes am Server permanent verfügbar sein. R&S SITScope bietet die Möglichkeit, über sogenannte Rollen klar differenzierte Rechte an Administratoren zu vergeben, zu verwalten und lückenlos zu protokollieren. Rollen sind an die entsprechenden Benutzer-Token und das zugehörige Zertifikat gebunden ein Missbrauch oder die Manipulation von Rechten sind nicht möglich. Es stehen die Rollen Supervisor, Manager und Monitor zur Verfügung. Der Betrieb von R&S SITScope kann durch redundante Instanzen auch hochverfügbar gestaltet werden. Netzplan und Geräteparameter werden zwischen den Instanzen synchronisiert. Ein Supervisor darf grundlegende Einstellungen und Funktionen des Sicherheitsmanagements vornehmen und Benutzer verwalten. Er verwaltet keine Geräte. Manager sind für die Konfiguration und Überwachung der R&S SITLine ETH-Geräte verantwortlich. Ein Manager kann keine Benutzer verwalten. Ein Monitor kann ausschließlich Betriebszustände überwachen, aber keine Änderungen vornehmen. Jedes R&S SITLine ETH-Gerät sucht nach seiner Aktivierung selbstständig einen Weg zum R&S SITScope-Server. Dafür werden IP-Protokolle (Layer 3) auf allen verfügbaren Netzwerkverbindungen genutzt und Partnergeräte per Ethernet (Layer 2) nach möglichen R&S SITScope-Instanzen abgefragt. Fällt während des Betriebs eine Managementverbindung aus, sucht R&S SITLine ETH eigenständig und automatisch nach alternativen Verbindungen ( Selbstheilung ). Unautorisierte Eingriffe in das eigenständige und geschlossene Sicherheitsmanagement sind nicht möglich. Zentrale Stelle für Log-Dateien und Audits R&S SITScope sammelt die dezentral an jedem R&S SITLine ETH-Gerät anfallenden Log-Informationen und speichert diese, bis sie durch einen Administrator bestätigt wurden. R&S SITScope bietet professionelle Audit- Möglichkeiten, um Vorgänge verschiedener R&S SITLine ETH-Geräte zusammenzufassen und zu analysieren. Zusätzlich können Log-Informationen von R&S SITScope an Syslog-Server im Netzwerk weitergeleitet werden. Sicherheitsmanagement TLS SITScope Sicherheitsmanagement Supervisor TLS TLS LAN Manager Carrier LAN TLS Monitor Die Administratoren können die Sicherheitsparameter aller Geräte bequem vom Arbeitsplatz über das Netzwerk einstellen. Dazu authentisieren sie sich lediglich mit ihrem Benutzer-Token gegenüber R&S SITScope. R&S SITLine ETH100/R&S SITLine ETH1G verfügt ebenfalls über Anschlüsse für ein separates Managementnetzwerk (Outband). Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 9 SITLine-ETH_bro_de_ _v1000.indd :14:08

10 Netzwerkmanagement mittels SNMP Unterstützt SNMP v1, v2c und v3 Über das Netzwerkmanagement werden netzwerk- relevante Einstellungen an den R&S SITLine ETH- Verschlüsselungsgeräten vorgenommen. Hierzu zählen Basiskonfigurationen, wie Geschwindigkeit und DuplexVerhalten der Ethernet-Anschlüsse. Erweiterte Konfigurationen sind ebenfalls möglich, wie Ethernet Operation and Maintenance (OAM) oder fest eingestellte VLANs für die Netzwerksuche. Die dafür erforderliche Benutzeridentifizierung findet mit SNMP v1/2c durch die Community Strings statt. Mit SNMP v3 werden Anmeldeinformationen (Benutzer/Passwort) eingestellt und sicher verifiziert. Mittels Simple Network Management Protocol (SNMP) können Netzwerkeinstellungen an R&S SITLine ETH-Geräten vorgenommen werden. Zusätzlich bieten die Geräte detaillierte Daten zur Überwachung und umfangreiche Diagnosemöglichkeiten per SNMP an. Dazu werden das mitgelieferte Programm R&S SITLine-Admin oder beliebige SNMP-Browser verwendet. Umfangreiche Monitoring- und Diagnose-Möglichkeiten Jedes R&S SITLine ETH-Gerät bietet umfangreiche Statistiken, die per SNMP abgerufen werden können, wie die Anzahl der verschlüsselt/unverschlüsselt über tragenen Ethernet-Rahmen. Wurden Ethernet-Rahmen geblockt, weil sie redundant waren (Replay Attacks), wird das ebenfalls erfasst. R&S SITLine ETH informiert aktiv das SNMPNetzwerkmanagement mittels Traps (SNMP v1) oder Notifications (SNMP v2c/3) über Netzwerkereignisse. Zur Fehlersuche können für jeden Port Loop-Back- Diagnosen durchgeführt werden (die kurze Payload- Diagnose oder die lange Inward-Diagnose). Netzwerkmanagement mittels SNMP Netzbetreiber SNMP SNMP LAN Carrier LAN Auftraggeber Um Netzwerkeinstellungen vorzunehmen und Statusinformationen abzufragen wird SNMP entweder innerhalb des lokalen Netzwerks (blaue Pfeile) oder aus dem Carrier-Netzwerk (schwarze Pfeile) genutzt. Administrator und Dienstleister authentisieren sich mit SNMP Community Strings beziehungsweise SNMP Credentials gegenüber R&S SITLine ETH. Sicherheits einstellungen bleiben unberührt. 10 SITLine-ETH_bro_de_ _v1000.indd :14:09

11 Netzwerkmanagement durch Dienstleister Für das Sicherheitsmanagement mittels R&S SITScope und das Netzwerkmanagement mittels SNMP können jedem Verschlüsselungsgerät separate IP-Adressen zugeteilt werden. Das Netzwerkmanagement kann außerdem aus dem Carrier-Netzwerk heraus erfolgen. Das ermöglicht Outsourcing- Modelle, in denen R&S SITLine ETH für das Netzwerk management per SNMP für einen Dienst leister erreichbar ist, die Sicherheit jedoch vollständig beim Auftraggeber verbleibt. Sofort starten mit R&S SITLine-Admin R&S SITLine-Admin ist ein anwenderfreundliches Netzwerkmanagement-Tool für R&S SITLine ETH-Geräte. Eine Anpassung vorhandender SNMP-Browser entfällt. R&S SITLine-Admin ist speziell auf R&S SITLine ETH abgestimmt. Die korrespondierende Frontblende wird beispielsweise mit aktuellen LED Anzeigen grafisch dargestellt. Einstellungen, Statistiken und Diagnosen sind schnell und einfach möglich. Für das Netzwerkmanagement wird das mitgelieferte Programm R&S SITLine Admin genutzt. Andere SNMP-Browser wie HP OpenView können ebenfalls verwendet werden. SITLine-ETH_bro_de_ _v1000.indd 11 Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüssel :14:09

12 Service mit Mehrwert Weltweit Lokal und persönlich Flexibel und maßgeschneidert Kompromisslose Qualität Langfristige Sicherheit Rohde & Schwarz Der Elektronikkonzern Rohde & Schwarz ist ein führender Lösungsanbieter in den Arbeitsgebieten Messtechnik, Rundfunk, Funküberwachung und -ortung sowie sichere Kommunikation. Vor mehr als 80 Jahren gegründet, ist das selbst ständige Unternehmen mit seinen Dienstleistungen und einem engmaschigen Servicenetz in über 70 Ländern der Welt präsent. Der Firmensitz ist in Deutschland ( München). Nachhaltige Produktgestaltung Umweltverträglichkeit und ökologischer Fußabdruck Energie-Effizienz und geringe Emissionen Langlebigkeit und optimierte Gesamtbetriebskosten Certified Quality Management ISO 9001 Certified Environmental Management ISO Rohde & Schwarz SIT GmbH Am Studio Berlin Fax info.sit@rohde-schwarz.com Rohde & Schwarz GmbH & Co. KG R&S ist eingetragenes Warenzeichen der Rohde & Schwarz GmbH & Co. KG Eigennamen sind Warenzeichen der jeweiligen Eigentümer PD Version November 2014 (ch) R&S SITLine ETH Ethernet-Verschlüssel Daten ohne Genauigkeitsangabe sind unverbindlich Änderungen vorbehalten Rohde & Schwarz GmbH & Co. KG München PDP 1 de Kontakt Europa, Afrika, Mittlerer Osten customersupport@rohde-schwarz.com Nordamerika TEST RSA ( ) customer.support@rsa.rohde-schwarz.com Lateinamerika customersupport.la@rohde-schwarz.com Asien-Pazifik customersupport.asia@rohde-schwarz.com China customersupport.china@rohde-schwarz.com SITLine-ETH_bro_de_ _v1000.indd :14:10

13 R&S SITLine ETH100 R&S SITLine ETH1G Ethernet Encryptor Specifications Line interfaces, management interfaces and device protection Each R&S SITLine ETH is equipped with two identical interface modules (private/a and public/x). The device operates quasitransparently; each port on the private interface module is internally fixed/aligned to the port on the public interface module to create a protected line. Each R&S SITLine ETH requires optical and/or electrical transceivers, which are part of the standard delivery. Line interfaces R&S SITLine ETH Mbit/s electrical line R&S SITLine ETH1G 1 1 Gbit/s optical, electrical or optical/electrical line (cross media connect) ports A1 to A4/X1 to X4 electrical SFP transceiver for 10/100/1000BaseT, hot swappable connector type RJ-45 (patch cable not included) cable type STP Cat 5 distance up to 100 m ports A1/X1 optical or electrical SFP transceiver, hot swappable Supported SFP transceiver (optional) 10/100/1000BaseT up to 100 m e.g. Finisar FCLF BaseSX, multimode, 850 nm short range, approx. 550 m e.g. JDSU JSH-21S3AB3 1000BaseLX, single-mode, 1310 nm long range, approx. 3 km e.g. FTLF1319P1BTL Management interfaces SMS, NMS for security and network management built-in RJ-45 (patch cable not included) communications Local for initialization, local configuration and firmware update USB smartcard: device token or update token (optional) LC display black/white background lighting line 1 product type line 2 device name line 3 configuration of interface ports line 4 time, error codes, temperatures Device protection Security zones interface module removed detection also in power off status; front panel removed configurable response (information only or erasure) device opening recognition detection also in power off status; immediately erases security parameter incl. device certificate; requires reinitialization You act. We protect. Encryption and IT security by Rohde & Schwarz SIT. Secure Communications Data Sheet 08.01

14 Version 08.01, January 2015 Security functions und cryptographic parameters Authentication and key agreement Device certificates X.509 created and signed by R&S SITScope security management Authentication algorithm elliptic curves (ANSI X9.62) with a key length of 257 bit (comparable to RSA with approx bit), SHA-256 Certificate placement generated offline by R&S SITScope smart card technology (device token); device certificate is renewed online by the security management system Key agreement for symmetrical encryption Diffie-Hellman for elliptic curves (ECKAS-DH) with a key length of 257 bit Data encryption and integrity protection Algorithm and key length standard AES with 256 bit customized other standard or customer-specific symmetrical algorithms possible Keys Master key life time configurable, min. 6 h, max. 7 days, rekey without affecting existing communications Session key life time includes derivate keys for data encryption and integrity min. 1 minute, max. 7 days, rekey without affecting existing communications Encryption mode CFB (zero overhead; for Ethernet line operating modes EPL and EVPL) Transport, tunnel, bulk CFB-interleaved (cipher feedback): frames are cryptographically concatenated identical frames are encrypted with different results Integrity protection algorithm GMAC (Galois MAC) using AES integrity check length selectable from 4 byte to 16 byte to optimize overhead security ratio integrity area payload mandatory, optionally selectable VLAN tag and MAC address field Encryption mode GCM (for Ethernet LAN operating modes EP-LAN and EVP-LAN) Multipoint GCM (Galois/counter mode): frames are cryptographically independent identical frames are encrypted with different results includes countermeasures against replay attacks Integrity protection algorithm included with GCM integrity check length selectable from 8 byte to 16 byte to optimize overhead security ratio integrity area payload mandatory, optionally selectable VLAN tag and MAC address field Network operating modes Ethernet line (E-Line) Ethernet private line (EPL) EPL assignment by port one secure connection per R&S SITLine ETH port VLAN transparent operation Ethernet virtual private line (EVPL) EVPL assignment by VLAN ID up to 4000 secure VLAN connections per R&S SITLine ETH Ethernet LAN (E-LAN), Ethernet private LAN (EP-LAN) E-LAN assignment by port Ethernet Tree (E-Tree) one secure E-LAN with up to 4000 partner devices VLAN transparent operation Ethernet virtual private LAN (EVP-LAN) E-LAN assignment by VLAN ID up to 4000 secure VLAN networks with up to 4000 partner devices 2 Rohde & Schwarz R&S SITLine ETH100/R&S SITLine ETH1G Ethernet Encryptor

15 Version 08.01, January 2015 General data Performance and reliability Throughput CFB, full duplex, transport 100 % of line rate for all frames GCM, full duplex 88 % of line rate for 64 byte frames 99 % of line rate for 1518 byte frames Latency 64 byte frames, 1 Gigabit Ethernet, 6 μs store-and-forward Mean time between failure (MTBF) in line with SN , fixed installation, +55 C ambient temperature; h to h, depending on number of Ethernet ports permanent operation Installation Rack format 19", 1 HU Dimensions W H D 438 mm 44 mm 596 mm (17.2 in 1.7 in 23.5 in) Rackmounting default mounting bracket (19", 1 HU) use mounting material (brackets, rails) for your specific rack model Required cable bending space for front (from front edge) 65 mm (2.6 in) rackmounting back (from back edge) 45 mm (1.8 in) Weight of device device only max. 7.6 kg (16.8 lb) Shipping Shipping weight incl. packing, accessories, manuals max kg (40.0 lb) Package dimensions W H D 705 mm 295 mm 625 mm (27.8 in 11.6 in 24.6 in) Power supply and ventilation AC/DC supply 110 V to 240 V AC (50 Hz/60 Hz), redundant, hot swappable Fuse in line with IEC 127-T2.0H 250 V Current consumption (at 230 V) maximum 0.29 A average 0.25 A Electric power average 55 W Heat loss calculated 188 BTU/h Battery V lithium button cell Air flow seen from front of device left to right and back Fans air exhaust to back panel 1 main fan (ball bearing) air intake from left side 5 fans (ball bearing) air exhaust to right side 3 fans (ball bearing) Climatic conditions and mechanical resistance Temperature operating temperature range +5 C to +50 C permissible temperature range 0 C to +55 C storage temperature range 20 C to +70 C Humidity up to 90 % rel. humidity, noncondensing Air pressure transport 566 hpa (equivalent to 4500 m) operation 795 hpa (equivalent to 2000 m) Vibration sinusoidal 5 Hz to 150 Hz R&S SITLine ETH1G (top) with transceiver for two optical 1 Gigabit Ethernet interfaces. R&S SITLine ETH100 (bottom) with transceiver for eight electrical Fast Ethernet interfaces. Rohde & Schwarz R&S SITLine ETH100/R&S SITLine ETH1G Ethernet Encryptor 3

16 Ordering information The R&S SITLine ETH is a flexible and modular device. The following information refers to configuration examples. Please contact your local sales partner or system integrator for help and details. Designation Type Order No. R&S SITLine ETH100 for 1, 2 or 4 Fast Ethernet, rack format (19"), 1 HU, incl. 1 device token, incl. transceivers Ethernet Encryptor, 1 line, 100 Mbit/s R&S SITLine ETH K11 Ethernet Encryptor, 2 lines, 100 Mbit/s R&S SITLine ETH K12 Ethernet Encryptor, 4 lines, 100 Mbit/s R&S SITLine ETH K13 R&S SITLine ETH1G for 1 1 Gigabit Ethernet (optical and electrical), rack format (19"), 1 HU, incl. 1 device token, incl. transceivers Ethernet Encryptor, 1 line, 1 Gbit/s R&S SITLine ETH1G K11 Accessories of R&S SITLine ETH100/R&S SITLine ETH1G Electrical SFP transceiver (10/100/1000BaseT) for R&S SITLine ETH100 and R&S SITLine ETH1G Optical SFP transceiver (1000BaseSX) for R&S SITLine ETH1G Optical SFP transceiver (1000BaseLX) for R&S SITLine ETH1G Device token, USB/smart card R&S SITScope security management system Set, consisting of software and tools on CD (server and client R&S SITScope-Set software, R&S SITLine Admin), 3 root tokens, 4 user tokens, 1 USB smart card reader, 1 dongle smart card reader, 1 USB cable (type A to B) R&S SITScope-Set preinstalled on server hardware, R&S SITScope-Appliance license for up to 8 R&S SITLine ETH devices (small) R&S SITScope-Set preinstalled on server hardware R&S SITScope-Appliance Accessories of R&S SITScope Root token, ID1 smart card with break-out SIM User token, ID1 smart card Omnikey CardMan 3121 USB smart card reader Omnikey CardMan 6121 dongle smart card reader Service and support options Service options 8x5 Hotline Service incl. firmware/software maintenance R&S SIT H08 Please contact your local 24x5 Hotline Service incl. firmware/software maintenance R&S SIT H24 Rohde & Schwarz sales office. Extended Warranty, one year R&S SIT WE1 Extended Warranty, two years R&S SIT WE2 Hotline support including firmware/software maintenance (R&S SIT H08, R&S SIT H24) The hotline service is provided at standard fixed network call charge rates (no special rate call or premium rate number). Except on regional and statutory holidays, the telephone support is available at the following times: R&S SIT H08: during working hours, Monday to Friday between 9 a.m. and 5 p.m. (CET) R&S SIT H24: 24 hours from Monday to Friday (CET) Firmware/software maintenance for the R&S SITLine ETH and the R&S SITScope includes bug fixing and updates. Extended warranty for one or two years (R&S SIT WE1, R&S SIT WE2) Repairs carried out during the contract term are free of charge (excluding defects caused by incorrect operation or handling and force majeure). Wear-and-tear parts such as tokens are not included. Rohde & Schwarz SIT GmbH Am Studio Berlin, Germany Phone: Fax: info.sit@rohde-schwarz.com R&S is a registered trademark of Rohde & Schwarz GmbH & Co. KG Trade names are trademarks of the owners Subject to change PD Version January 2015 (ch) R&S SITLine ETH100/R&S SITLine ETH1G Ethernet Encryptor 2015 Rohde & Schwarz GmbH & Co. KG Munich, Germany