R&S SITLine ETH Ethernet Verschlüsseler Sichere Datenüber tragung über Festnetz, Richtfunk und Satellit

Transkript

1 SITLine-ETH_bro_de_ _v0600.indd 1 Produktbroschüre Sichere Kommunikation R&S SITLine ETH Ethernet Verschlüsseler Sichere Datenüber tragung über Festnetz, Richtfunk und Satellit :58:09

2 R&S SITLine ETH Ethernet Verschlüsseler Auf einen Blick R&S SITLine ETH ist eine Gerätefamilie für Ethernet Verschlüsselung und die Schaffung sicherer Layer 2 Virtual Private Networks (L2 VPN). R&S SITLine ETH schützt Unternehmen und Organisationen vor Spionage und Manipulation der Daten, die über Festnetz, Funk oder Satellit per Ethernet übertragen werden. Die Geräte der Produkt familie sind BSI zugelassen und können flexibel bei vielen stationären und mobilen Anwendungen eingesetzt werden. R&S SITLine ETH verschlüsselt auf Ethernet-Basis im ISO-OSI-Modell der Data Link Layer 2 und ist somit ideal für den Schutz von durchsatz- und zeitkritischen Anwendungen. Geschützt werden Kommunikationsverbindungen über öffentliche und private Netze. Mit R&S SITLine ETH können die vorhandenen Sicherheitsanforderungen unabhängig von der existierenden beziehungsweise geplanten Netzstruktur abgebildet werden. Aufgrund der hohen Kostenersparnis haben sich Ethernet-VPNs in den letzten Jahren als echte Alternative zu Managed-IP-Anschlüssen (IP-VPNs) bei der Standortvernetzung etabliert. R&S SITLine ETH bedient diese Technologie mit verschiedenen Bauformen und unterschiedlichen Leistungsklassen. Die Gerätefamilie R&S SITLine ETH kann flexibel für wechselnde Anforderungen eingesetzt werden und bietet hohe Investitionssicherheit. Hauptmerkmale Ethernet-Verschlüsseler in den Leistungsklassen von 25 Mbit/s bis 1 Gbit/s Modernste kryptografische Methoden und Standards (Elliptische Kurven, AES, X.509) Flexibler Einsatz in modernen Übertragungsnetzen Verschlüsselung basierend auf Port-, VLAN- oder Gruppen-Zuordnung (Multipunkt) Maximale Bandbreiteneffizienz, Vermeidung von Overhead Komfortables Online-Management zur Gerätekonfiguration und für Sicherheits- und Netzwerkeinstellungen Sehr kompakte Bauweise (1 HE für Ein- und Mehrport- Geräte), sehr geringer Energieverbrauch, niedrige System kosten (TCO) BSI-zugelassen bis VS-NfD und NATO-Restricted R&S SITLine ETH100. R&S SITLine ETH50. 2

3 R&S SITLine ETH Ethernet Verschlüsseler Wesentliche Merkmale und Vorteile Sichert zivile, behördliche und militärische Kommunikation Vertrauliche Kommunikation zwischen Standorten und innerhalb eines Standortes (L2-VPN) Absicherung von Richtfunk- und Satellitenverbindungen (SatCom) Sicherung der Steuer- und Überwachungsnetze der Bahn Rechenzentren-Kopplung (Data Center, SAN) Seite 4 Reduzierte Systemkosten Minimaler Aufwand für Installation und Konfiguration Geringe Raum- und Energiekosten Geringere Übertragungskosten als Managed IP Geringer Wartungs- und Pflegeaufwand Bandbreiteneffizienz durch Gruppen-Verschlüsselung (Multipunkt) Keine Zusatzkosten für zentrale oder interne Schlüsselserver Höhere Übertragungsleistung als IPsec Seite 6 Professionelle, zertifizierte Sicherheit Sicherung von Ethernet-Standleitungen und Ethernet-VLANs Innovative Gruppen-Verschlüsselung für Multicast-Topologien (ELAN) Sichere Authentisierung Automatisierter Betrieb gesicherter Verbindungen Flexible Verschlüsselungshardware Manipulationsresistente Geräte Seite 8 Zentrales Sicherheits management über das Netz Online, bequem und sicher Virtualisierbar und hochverfügbar Klar definierte Rollen Zentrale Stelle für Log-Dateien und Audits Seite 10 Netzwerkmanagement mittels SNMP Unterstützt SNMP v1, v2c und v3 Umfangreiche Monitoring- und Diagnose-Möglichkeiten Netzwerkmanagement durch Dienstleister Seite 12 R&S SITLine ETH1G. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 3

4 Sichert zivile, behördliche und militärische Kommunikation Ursprünglich nur in lokalen Netzwerken (LAN) eingesetzt, ist Ethernet heute eine beständige und universelle Übertragungstechnik für Weitverkehrsnetze. Die Standortkopplung über globale Netze wird damit so einfach wie die Verkabelung im Haus. Dies gilt aller dings auch für die Angreif barkeit aus dem öffent lichen Netz: Abhören, Manipulieren und Stören sind so einfach wie in jedem Computernetzwerk. R&S SITLine ETH sichert die Kommunikation durch konsequente Verschlüsselung des Ethernets zugelassen durch das BSI. Vertrauliche Kommunikation zwischen Standorten und innerhalb eines Standortes (L2-VPN) Videokonferenzen, VoIP-Anrufe, Datenbankabfragen um Spionage und Datenmanipulation entgegenzuwirken, muss die Vertraulichkeit von Kommunikationsverbindungen innerhalb einer Organisation sichergestellt werden. Dies ist insbesondere dann wichtig, wenn Teile der Kommunikationsverbindungen über lange Strecken etabliert werden, wie bei weiträumig verteilten Standorten oder bei der Vernetzung innerhalb eines größeren Campus. Hier kommt die Flexibilität und Variabilität von R&S SITLine ETH voll zum Tragen, da alle Geräte interoperabel sind. In Abhängigkeit vom einzubeziehenden Standort kann die optimale Wahl des passenden Gerätes nach Kriterien wie erforderliche Übertragungs kapazität, Anzahl der erforderlichen Verbindungen und Umgebungsbedingungen erfolgen. Von der Verschlüsselung einzelner Leitungen beziehungsweise Anwendungen bis hin zur Sicherung komplexer Strukturen durch die Interoperabilität kann die Sicherheitslösung mit dem Netz wachsen. Dies bedeutet für die Anwender einen sicheren Investitionsschutz. R&S SITLine ETH sichert private und öffentliche Verbindungen über Festnetz, Richtfunk und Satellit. 4

5 Absicherung von Richtfunk- und Satellitenverbindungen (SatCom) Zur zielgerichteten Steuerung von Einsatzkräften sind präzise und zeitnahe Informationen erforderlich. Lagemeldungen mit Bild- und Videomaterial müssen teilweise über große Distanzen übertragen werden. Dafür werden Richtfunk- und SatCom-Verbindungen eingesetzt, die die Einheiten vor Ort mit der Zentrale (z.b. Leitstelle, Hauptquartier) verbinden oft sogar über Kontinente hinweg. Um die Informationsüberlegenheit sicher zustellen, dürfen die Daten weder manipuliert werden, noch sollten sie Dritten in die Hände fallen Grund genug für den Einsatz einer starken Verschlüsselung. Diese darf jedoch die ohnehin sehr knapp bemessene Bandbreite einer Richtfunkbeziehungsweise SatCom-Verbindung nicht zusätzlich belasten. Gerade in Szenarien mit geringen Bandbreiten werden die konzeptionsbedingten Vorteile von R&S SITLine ETH deutlich: Im Vergleich zu klassischer IP-Verschlüsselung benötigt R&S SITLine ETH deutlich weniger Protokollinformationen (sogenannter Overhead) für die verschlüsselte Übertragung. Die Informationen sind während der gesamten Richtfunkübertragung beziehungsweise den Satelliten-Hops trotz begrenztem Durchsatz gegen Abhören und Manipulieren gesichert. Weitere Informationen zur Absicherung von Satellitennetzwerken siehe Applikationsbroschüre PD und Sicherung der Steuer- und Überwachungsnetze der Bahn Die Steuerung des öffentlichen Transportwesens obliegt zentralen Leitstellen, die von teilweise unbemannten Verkehrsknotenpunkten (z.b. Bahnhöfe, Stellwerke) mit Informationen versorgt werden. Die Automatisierung ermöglicht eine höhere Zugfolge und Pünktlichkeit. Unbemannte Verkehrsknoten müssen jedoch stärker gegen Manipulation abgesichert werden, insbesondere wenn die Anbindung an die Leitstelle über öffentliche Netzwerke erfolgt. Hier wird die Integrität der übertragenen Daten durch kryptografische Funktionen sichergestellt. R&S SITLine ETH verfügt über spezielle Varianten zum Einsatz in härteren Umgebungsbedingungen (z.b. erweiterter Temperaturbereich, Montage mit Hutschiene/DIN Rail, externes Notlöschen). Weitere Informationen zur Absicherung der Steuernetze der Bahn siehe Applikationsbroschüre PD und Rechenzentren-Kopplung (Data Center, SAN) Zentrale Datenzentren eines Unternehmens werden oft redundant aufgebaut. Diese Zentren müssen über leistungsfähige Leitungen sicher miteinander verbunden werden. Die moderne Übertragungstechnik hierfür sind Ethernet-Dienste mit einer Übertragungsleistung von mindestens 100 Mbit/s, in der Regel von mehreren Gbit/s. R&S SITLine ETH wird skalierbar für Anschlüsse im Megabit- und Gigabit-Bereich eingesetzt. Die Multiport- Variante von R&S SITLine ETH kann zusätzlich genutzt werden, um parallel geschaltete Ethernet-Standleitungen effizient zu sichern. R&S SITLine ETH schützt die Steuer- und Überwachungsnetze der Bahn. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsselel 5

6 Reduzierte Systemkosten R&S SITLine ETH-gesicherte Carrier-Ethernet Dienste ermöglichen im Vergleich zu bisherigen Verschlüsselungslösungen deutliche Einsparungen in den Betriebskosten bei gleichzeitig hoher Sicherheit. Minimaler Aufwand für Installation und Konfiguration Die Integration von R&S SITLine ETH in ein Netzwerk findet vollkommen transparent statt. Außer den Sicherheitsparametern sind keine weiteren netzwerkspezifischen Konfigurationen erforderlich. Ethernet ist eine Plug & Play-Technologie und damit nahezu ohne Konfigurationsaufwand einsatzbereit. Installationszeit und -kosten werden so eingespart. Geringe Raum- und Energiekosten Die kompakte Bauweise, geringe Bauhöhe und verschiedene Geräteklassen ermöglichen einen sparsamen Umgang mit Installationsplatz und Energie. Das Multiport- Gerät übernimmt die Funktion von bis zu vier Geräten, benötigt aber nur den Platz und die Energie eines einzelnen Gerätes. Die Option, mit einem Gerät bis zu vier physikalische Leitungen zu sichern, ist weltweit einmalig. Geringere Übertragungskosten als Managed IP Der deutlich geringere Protokoll-Überhang ( Overhead ) für Ethernet-Verschlüsselung führt zu einem besseren Netto/Brutto-Transport-Verhältnis. Je nach Verkehrsprofil und gewählten Sicherheitsfunktionen ist bei einer Ethernet-Verschlüsselung mit einer Reduktion der Nutzdatenrate von lediglich 0 % bis 13 % zu rechnen. Zum Vergleich: Ein IPsec-gesichertes L3-VPN reduziert die Nutzdatenrate um bis zu 60 %. Nutzdatenrate (Kapazitätsauslastung) Nutzlastanteil an der Übertragung 100 % 90 % 80 % 70 % 60 % 50 % 40 % IP über Ethernet L2-Verschlüsselung ohne Integritätschutz L2-Verschlüsselung mit Integritätschutz IPsec-Verschlüsselung 30 % Größe der Pakete/Übertragungseinheiten Bei einer mittleren Paketgröße von 250 Byte weist R&S SITLine ETH eine deutlich höhere Nutzdatenrate auf als die IPsec-Verschlüsselung: R&S SITLine ETH: > 90 % (L2-Verschlüsselung) IPsec-Verschlüsselung: 75 % 6

7 Geringer Wartungs- und Pflegeaufwand Ethernet ist unabhängig von logischen IP-Netzstrukturen. Somit entfallen Anpassungen bei der Integration neuer Anwendungen, beim Anbieterwechsel oder bei Wechsel von höheren Netzwerk protokollen (z.b. IPv4 zu IPv6). Die Erfahrung zeigt, dass der Pflegeaufwand von Layer-2- Systemen aufgrund langer Update- und Upgrade- Zyklen deutlich niedriger ist als bei anderen Lösungen. Bandbreiteneffizienz durch Gruppen- Verschlüsselung (Multipunkt) Traditionelle Verschlüsselungssysteme (wie IPsec) bauen mehrere dedizierte Verbindungen zwischen den Verschlüsselungsgeräten auf, die jeweils mit einem separaten Schlüssel gesichert werden. Daten, die für mehr als nur einen Standort bestimmt sind, wie bei einer Videokonferenz, müssen vervielfältigt und über die einzelnen Verbindungen an die verschiedenen Standorte versendet werden. R&S SITLine ETH wurde für solche Einsatzfälle mit einer innovativen Gruppen-Verschlüsselung ausgestattet. Diese nutzt die Multicast-Fähigkeit moderner Carrier-Netzwerke, ohne Abstriche am Sicherheitsniveau der übertragenen Daten zu machen. Die Daten werden unabhängig von der Empfängeranzahl nur einmal verschlüsselt und gesendet die Verteilung übernimmt das Netz, beziehungsweise der Carrier. Keine Zusatzkosten für zentrale oder interne Schlüsselserver Die für den Betrieb erforderlichen Sitzungsschlüssel werden von den R&S SITLine ETH-Geräten vollständig autark untereinander ausgehandelt und sicher an die berechtigten Kommunikationspartner verteilt. Dedizierte Schlüsselserver sind nicht erforderlich. Der Ausfall eines Gerätes hat keinen Einfluss auf den Betrieb des verbleibenden Netzwerks, da sich Partnergeräte automatisch finden und sichere Verbindungen regelmäßig neu etablieren. R&S SITScope, das zentrale Sicherheitsmanagementsystem für R&S SITLine ETH (siehe Seite 10), wird hauptsächlich für Installation und Überwachung benötigt. Während der Laufzeit organisieren die R&S SITLine ETH- Geräte die Verschlüsselung selbstständig und ohne Zusatzkomponenten. Höhere Übertragungsleistung als IPsec Der reduzierte Overhead bei R&S SITLine ETH wirkt sich positiv auf die Übertragungsleistung aus. Besonders bei Diensten mit kleinen Paketgrößen, wie Voice over IP, wird dies deutlich. Kürzere Antwortzeiten und geringere Latenzen verbessern spürbar die Dienstqualität gegenüber IPsec-gesicherten Verbindungen. Eine höhere Anzahl an VoIP-Verbindungen ist ebenfalls möglich. Übertragungsleistung: Ethernet- und IPsec-Verschlüsselung VoIP SITLine Übertragungsleistung in (PDU/t) (Abnehmende) Paketgröße (PDU) in byte IPsec Übertragungsleistung der Ethernet Verschlüsselung (Layer 2) im Vergleich zur IPsec Verschlüsselung (Layer 3): Gerade bei Applikationen mit kleinen Paketgrößen bietet die Absicherung mit R&S SITLine ETH deutliche Vorteile. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 7

8 Professionelle, zertifizierte Sicherheit Ethernet ist ein etablierter, universeller Standard in der Datenübertragung per Kabel und Luft, beinhaltet jedoch keinen Schutz der Vertraulichkeit oder der Integrität der übertragenen Daten. R&S SITLine ETH liefert diesen Schutz deutlich effektiver und effizienter als andere Lösungen und wurde vom BSI für die Verarbeitung von Verschlusssachen bis VS NfD zugelassen. Sicherung von Ethernet-Standleitungen und Ethernet-VLANs R&S SITLine ETH wurde gemäß Metro-Ethernet-Standard entwickelt und kann Ethernet-Standleitungen, sogenannte Ethernet Private Lines (EPL) verschlüsseln. Hierbei kommunizieren zwei Verschlüsselungsgeräte direkt miteinander, entweder im Transport- oder im Tunnel-Modus. Der Transport-Modus verschlüsselt nur die Nutzdaten (z.b. das IP-Paket) und lässt die Ethernet-Adressinformationen unverändert. Im Tunnel-Modus wird der gesamte Verkehr inklusive Adressen verschlüsselt und als Nutzdaten in neu erstellten Ethernet-Paketen versendet. In Szenarien, in denen zwei Geräte direkt und ohne Switch miteinander verbunden sind, können R&S SITLine ETH100- Geräte und R&S SITLine ETH1G- Geräte alternativ im Bulk-Modus betrieben werden. Der Bulk-Modus verschlüsselt die gesamten Ethernet- Pakete (inkl. Adressinformationen) ohne einen zusätzlichen Overhead hinzuzufügen und bietet so noch höhere Vertraulichkeit bei größtmöglichem Datendurchsatz. Soll ein zentraler Standort sicher mit mehreren entfernten Standorten in einer Sterntopologie vernetzt werden, kann R&S SITLine ETH den Ethernet-Verkehr anhand des verwendeten VLAN einem korrespondierenden R&S SITLine ETH zuordnen. Das erfordert vom Netzwerkanbieter mehrere Ethernet Virtual Private Lines (EVPL), die VLAN-spezifisch mit R&S SITLine ETH verschlüsselt werden. Innovative Gruppen-Verschlüsselung für Multicast Topologien (ELAN) In vollvermaschten Ethernet Local Area Networks (ELANs) verhindert traditionelle Verschlüsselung die Multicast- Fähigkeit des Carrier-Netzes, indem dedizierte Wege zwischen den Verschlüsselungsgeräten aufgebaut werden. Videos und andere Livestreams, die für mehrere Empfänger gedacht sind und per Multicast versendet werden, müssen somit vor dem Versand dupliziert und für jeden Empfänger einzeln verschlüsselt werden. R&S SITLine ETH50. 8

9 Gerade in solchen Umgebungen kann R&S SITLine ETH zur Gruppen-Verschlüsselung des Netzwerkverkehrs eingesetzt werden ohne die Multicast-Fähigkeit zu beeinflussen. Das Sicherheitsniveau ist identisch zur traditionellen Verschlüsselung mit dedizierten Wegen, denn trotz Gruppierung verwendet jedes R&S SITLine ETH-Gerät weiterhin seinen eigenen Sitzungsschlüssel für den abgehenden Netzwerkverkehr. Zusätzlich berücksichtigt die Gruppen-Verschlüsselung eventuell vorhandene MPLS-Netzwerke. Die für das Routing erforderlichen MPLS-Markierungen (normalerweise Bestandteil der zu verschlüsselnden Nutzdaten) werden erkannt und können unverschlüsselt übertragen werden. Sichere Authentisierung R&S SITLine ETH nutzt zur sicheren Authentisierung folgende Technologien und Standards: Asymmetrische Kryptografie mittels elliptischer Kurven mit 257-bit-Schlüssel (entspricht ca bit RSA) X.509 v3-zertifikate für Personen und Geräte Gesicherte Ablage und Transport vertraulicher Parameter durch Smartcard-Technologie Automatischer Aufbau und Betrieb gesicherter Verbindungen Jedem Verbindungsaufbau geht eine sichere Authentisierung der Teilnehmer voraus. Dazu werden individuelle Gerätezertifikate genutzt. Für jede Managementverbindung und jede zu sichernde Datenverbindungen wird ein eigenständiges Schlüssel-Set generiert. Die Schlüsselvereinbarung erfolgt nach dem Diffie-Hellman-Verfahren. R&S SITLine ETH nutzt zur Schlüsselerzeugung einen Hardware-basierten Zufallszahlengenerator, der Common Criteria EAL4+ zertifiziert ist. Automatisierter Betrieb gesicherter Verbindungen Die Gerätezertifikate bestimmen, welche Partner zur Verbindungsaufnahme berechtigt sind. Mit jedem berechtigten Kommunikationspartner werden sichere Verbindungen etabliert und von Ende zu Ende auf fehlerfreie Funktion überwacht. Abgelaufene Gerätezertifikate und Sitzungsschlüssel werden vollautomatisch erneuert. Gesicherte Verbindungen entstehen bei Änderungen der Netzwerkkonfiguration automatisch. Eine unwissentliche oder unbemerkte Kommunikation über ungesicherte Verbindungen ist ausgeschlossen. Flexible Verschlüsselungshardware Es werden symmetrische Algorithmen (AES 256) verwendet, die in in eine leistungsfähige Hardware integriert sind. Kundenwünsche bezüglich kryptografischer Verfahren können auf Anfrage berücksichtigt werden. Manipulationsresistente Geräte R&S SITLine ETH verfügt neben den kryptografischen Kernfunktionen über ein abgestimmtes System mechanischer und elektromechanischer Schutzfunktionen. Dazu gehören gestaffelte Sicherheitszonen, ein geschützter Speicher, Schutzmechanismen gegen mechanische Manipulation und weitere Sicherungsfunktionen gegen Versuche, die geschützten Geheimnisse zu entwenden oder zu manipulieren. R&S SITLine ETH50 R&S SITLine ETH50 R&S SITLine ETH wird vorkonfiguriert zum Einsatzsort geschickt und etabliert bei Inbetriebnahme automatisch sichere L2 Verbindungen. Gleiches gilt für Backup Geräte. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 9

10 Zentrales Sicherheits management über das Netz R&S SITScope ist das Sicherheits management system für die R&S SITLine ETH EthernetVerschlüsseler. R&S SITScope basiert auf einer Client-Server-Architektur und ist als vorinstallierte Appliance oder als separate Software für Windows erhältlich. Für den sicheren Umgang mit Benutzerund Gerätezertifikaten werden in USB-Token integrierte Smartcards genutzt. Online, bequem und sicher Der Server von R&S SITScope fungiert wie die Certificate Authority (CA) einer PKI und wird in einer s icheren Umgebung (Rechenzentrum mit Zutrittskontrolle) betrieben. Der Client läuft auf den Arbeitsplatzrechnern der Administratoren. Die Kommunikation zwischen Server und Client sowie zwischen Server und Verschlüsselungsgerät findet über TLS/SSL-gesicherte Verbindungen statt. R&S SITScope kommuniziert über das zu verschlüsselnde Netzwerk (Inband) oder über ein dediziertes Management-Netzwerk (Outband) mit R&S SITLine ETH. Zur Konfiguration der R&S SITLine ETH-Verschlüsselungsgeräte wird in R&S SITScope zentral ein Netzplan angelegt. Der Netzplan enthält Geräteparameter (z.b. IP- Adressen für das Gerätemanagement), die Betriebsarten der Geräte (z.b. Bulk, VLAN) und ihre Kommunikations beziehungen zueinander (verschlüsselt/unverschlüsselt). Basierend auf dem Netzplan werden die Gerätezertifikate und deren private Schlüssel erstellt und auf R&S SITLine ETH-Geräte verteilt. Nachdem R&S SITLine ETH einmalig mittels USB-Geräte token initialisiert wurde, ist es für alle Management aufgaben online verfügbar. Egal ob Re- Konfiguration, Zertifikatswechsel oder Firmware-Update mit R&S SITScope erledigen die Administratoren die Management aufgaben bequem von ihrem Arbeitsplatz aus. Eventuell entwendete oder gar kompromittierte R&S SITLine ETH-Geräte werden mittels R&S SITScope in Zertifikatssperrlisten (CRL) erfasst, die online im Netzwerk publiziert werden. R &S SITScope ist ausschließlich für das Management der einzelnen Geräte erforderlich im Betrieb bestimmt R&S SITLine ETH die Sitzungsschlüssel unabhängig von einem vorhandenen R&S SITScope. Für sicherheitsrelevante Einstellungen von R&S SITLine ETH steht den Administratoren das R&S SITScope Sicherheitsmanagementsystem zur Verfügung. 10 SITLine-ETH_bro_de_ _v0600.indd :58:16

11 Virtualisierbar und hochverfügbar Wird R&S SITScope als Software bezogen, kann der Server auch in virtuellen Umgebungen (Virtual Box, VM Ware) betrieben werden. Als Hardware-Sicherheitsanker nutzt R&S SITScope eine in einen USB-Stick integrierte Smartcard. Dieser sogenannte Root-Token wird für die sichere Erstellung und Anwendung des Ursprungsgeheimnisses genutzt und muss während des Betriebes am Server permanent verfügbar sein. Der Betrieb von R&S SITScope kann durch redundante Instanzen auch hochverfügbar gestaltet werden. Netzplan und Geräteparameter werden zwischen den Instanzen synchronisiert. Jedes R&S SITLine ETH-Gerät sucht nach seiner Aktivierung selbstständig einen Weg zum R&S SITScope-Server. Dafür werden IP-Protokolle (Layer 3) auf allen verfügbaren Netzwerkverbindungen genutzt und Partnergeräte per Ethernet (Layer 2) nach möglichen R&S SITScope-Instanzen abgefragt. Fällt während des Betriebs eine Managementverbindung aus, sucht R&S SITLine ETH eigenständig und automatisch nach alternativen Verbindungen ( Selbstheilung ). Klar definierte Rollen R&S SITScope bietet die Möglichkeit, über sogenannte Rollen klar differenzierte Rechte an Administratoren zu vergeben, zu verwalten und lückenlos zu protokollieren. Rollen sind an die entsprechenden USB-Benutzer-Token und das zugehörige Zertifikat gebunden ein Missbrauch oder die Manipulation von Rechten sind nicht möglich. Es stehen die Rollen Supervisor, Manager und Monitor zur Verfügung. Ein Supervisor darf grundlegende Einstellungen und Funktionen des Sicherheitsmanagements vornehmen und Benutzer verwalten. Er verwaltet keine Geräte. Manager sind für die Konfiguration und Überwachung der R&S SIT- Line ETH-Geräte verantwortlich. Ein Manager kann keine Benutzer verwalten. Ein Monitor kann ausschließlich Betriebszustände überwachen, aber keine Änderungen vornehmen. Unauthorisierte Eingriffe in das eigenständige und geschlossene Sicherheitsmanagement sind nicht möglich. Zentrale Stelle für Log-Dateien und Audits R&S SITScope sammelt die dezentral an jedem R&S SITLine ETH-Gerät anfallenden Log-Informationen und speichert diese, bis sie durch einen Administrator bestätigt wurden. R&S SITScope bietet professionelle Audit- Möglichkeiten, um Vorgänge verschiedener R&S SITLine ETH-Geräte zusammenzufassen und zu analysieren. Zusätzlich können Log-Informationen von R&S SITScope an Syslog-Server im Netzwerk weitergeleitet werden. Sicherheitsmanagement TLS SITScope Sicherheitsmanagement Supervisor TLS TLS Manager LAN Carrier LAN TLS Monitor Die Administratoren können die Sicherheitsparameter aller Geräte bequem vom Arbeitsplatz über das Netzwerk einstellen. Dazu authentisieren sie sich lediglich mit ihrem USB Benutzer Token gegenüber R&S SITScope. R&S SITLine ETH100/R&S SITLine ETH1G verfügt ebenfalls über Anschlüsse für ein separates Management Netzwerk (Outband). Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 11

12 Netzwerkmanagement mittels SNMP Mittels Simple Network Management Protocol (SNMP) können Netzwerkeinstellungen an R&S SITLine ETH Geräten vorgenommen werden. Zusätzlich bieten die Geräte detaillierte Daten zur Überwachung und umfangreiche Diagnosemöglichkeiten per SNMP an. Dazu werden das mitgelieferte Programm R&S SITLine Admin oder beliebige SNMP Browser verwendet. Unterstützt SNMP v1, v2c und v3 Über das Netzwerkmanagement werden netzwerkrelevante Einstellungen an den R&S SITLine ETH- Verschlüsselungsgeräten vorgenommen. Hierzu zählen Basis-Konfigurationen, wie Geschwindigkeit und Duplex- Verhalten der Ethernet-Anschlüsse. Erweiterte Konfigurationen sind ebenfalls möglich, wie Ethernet Operation and Maintenance (OAM) oder fest eingestellte VLANs für die Netzwerksuche. Die dafür erforderliche Benutzeridentifizierung findet mit SNMP v1/2c durch die Community Strings statt. Mit SNMP v3 werden Anmeldeinformationen (Benutzer/Passwort) eingestellt und sicher verifiziert. Umfangreiche Monitoring- und Diagnose-Möglichkeiten Jedes R&S SITLine ETH-Gerät bietet umfangreiche Statistiken, die per SNMP abgerufen werden können, wie die Anzahl der verschlüsselt/unverschlüsselt über tragenen Ethernet-Rahmen. Wurden Ethernet-Rahmen geblockt, weil sie redundant waren (Replay Attacks), wird das ebenfalls erfasst. R&S SITLine ETH informiert aktiv das SNMP- Netzwerkmanagement mittels Traps (SNMP v1) oder Notifications (SNMP v2c/3) über Netzwerk-Ereignisse. Zur Fehlersuche können für jeden Port Loop-Back- Diagnosen durchgeführt werden (die kurze Payload- Diagnose oder die lange Inward-Diagnose). Netzwerkmanagement durch Dienstleister Für das Sicherheitsmanagement mittels R&S SITScope und das Netzwerkmanagement mittels SNMP können jedem Verschlüsselungsgerät separate IP-Adressen zugeteilt werden. Das Netzwerkmanagement kann außerdem aus dem Carrier-Netzwerk heraus erfolgen. Das ermöglicht Outsourcing- Modelle, in denen R&S SITLine ETH für das Netzwerk management per SNMP für einen Dienst leister erreichbar ist, die Sicherheit jedoch vollständig beim Auftraggeber verbleibt. Netzwerkmanagement mittels SNMP Netzbetreiber SNMP SNMP Auftraggeber LAN Carrier LAN LAN2 Um Netzwerkeinstellungen vorzunehmen und Statusinformationen abzufragen wird SNMP entweder innerhalb des lokalen Netzwerks (blaue Pfeile) oder aus dem Carrier Netzwerk (schwarze Pfeile) genutzt. Administrator und Dienstleister authentisieren sich mit SNMP Community Strings beziehungsweise SNMP Credentials gegenüber R&S SITLine ETH. Sicherheits einstellungen bleiben unberührt. 12

13 Technische Kurzdaten R&S SITScope Minimale Systemanforderungen für die R&S SITScope-Serversoftware Betriebssystem Windows XP SP2, Windows Server 2003, Windows Server 2008 (32/64 bit) Festplatte min. 160 Gbyte freier Speicherplatz Arbeitsspeicher min. 2 Gbyte Netzwerk (NIC) min. 1 Fast-Ethernet-Port USB-Schnittstellen min. 4 freie USB-Ports Minimale Systemanforderungen für die R&S SITScope-Clientsoftware Betriebssystem Windows XP SP2, Windows Server 2003, Windows Server 2008 (32/64 bit), Windows 7 Festplatte min. 5 Gbyte freier Speicherplatz Arbeitsspeicher min. 2 Gbyte Netzwerk (NIC) min. 1 Ethernet-Port (empfohlen 100 Mbit/s) USB-Schnittstellen min. 2 freie USB-Ports Vorinstallierte R&S SITScope-Appliance Formfaktor Rackformat (19", 1 HE) mit redundantem Netzteil Betriebssystem Windows Server 2008 Festplatte gespiegelt, RAID1 Peripherie Tastatur, Maus, Vier-Port-USB-Hub Für das Netzwerkmanagement wird das mitgelieferte Programm R&S SITLineAdmin genutzt. Andere SNMP-Browser wie HP OpenView können ebenfalls verwendet werden. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsselel 13

14 Technische Kurzdaten R&S SITLine ETH R&S SITLine ETH1G R&S SITLine ETH100 R&S SITLine ETH50 Ethernet, Anschlüsse Anzahl Leitungen pro Gerät 1 1, 2 oder 4 1 Stecker/Transceiver optisch, elektrisch, elektrisch, wechselbar (SFP) elektrisch, fest eingebaut wechselbar (SFP) Leistung/Durchsatz pro Leitung 1 Gbit/s 100 Mbit/s 25 Mbit/s, 50 Mbit/s, 100 Mbit/s Anzahl Verbindungen Unterstützte Ethernet-Dienste E-Line (EPL, EVPL/VLAN) E-LAN (EPLAN, EVPLAN/VLAN) Kryptografie und Sicherheit Transport-/Tunnel-Modus Bulk-Modus ( Back-to-Back ) Gruppen-Verschlüsselung (Multipunkt) (MPLS-transparent) (MPLS-transparent) (MPLS-transparent) Asymmetrisch 257-bit-ECC-Schlüssel (entspricht ungefähr 3200 bit RSA-Schlüssel) Schlüsselvereinbarung nach Diffie-Hellmann (DH-ECKAS) Digitale Signatur ECDSA Authentisierung X.509 v3-zertifikate Symmetrisch AES mit 256-bit-Schlüssel, CFB Interleaved Mode, GCM, andere Standardalgorithmen oder kundenspezifische Algorithmen auf Anfrage Externes Notlöschen Notlöschen nach Trennen der Stromversorgung Managementsysteme nach 2 Tagen nach 2 Tagen nach 1 bis 7 Tagen (konfigurierbar, deaktivierbar) Sicherheits- und Konfigurationsmanagement mit R&S SITScope online über das Netzwerk Sicherheitsmanagement-Ports Inband, Outband Inband, Outband Inband Netzwerkmanagement mit SNMP v1, v2c, v3 unabhängig vom Sicherheitsmanagement mit R&S SITLine Admin Netzwerkmanagement-Ports Inband, Outband Inband, Outband Inband Zulassungen/Zertifizierungen BSI VS-NfD VS-NfD VS-NfD NATO-Restricted NATO-Restricted NATO-Restricted EANTC Interoperability Test Interoperability Test Interoperability Test Schlüsselgenerierung (TRNG) Common Criteria EAL 4+ Common Criteria EAL 4+ Common Criteria EAL 4+ CE Approval Allgemeine Daten Betriebstemperatur +5 C bis +50 C 20 C bis +70 C Lagertemperatur (nicht initialisiert) 20 C bis +70 C 40 C bis +70 C MTBF (Verfügbarkeit) h (99,9830 %) h (99,9826 %) h (99,9977%) Spannungsversorgung 110 V oder 240 V/50 Hz oder 110 V oder 240 V/50 Hz oder 24 V bis 60 V DC, redundant 60 Hz, redundant, Hot-Swap 60 Hz, redundant, Hot-Swap Maße und Gewicht Formfaktor Rackformat (19")/1 HE halbes Rackformat (7,5")/1 HE, Hutschiene (DIN-Rail) Abmessungen (B H T) 438 mm 44 mm 596 mm 190 mm 36 mm 190 mm Gewicht max. 7,6 kg (inkl. Einbauvorrichtungen) max. 1,5 kg Versandgewicht max. 18,5 kg max. 3 kg 14

15 Bestellangaben Bezeichnung Typ Bestellnummer R&S SITLine ETH50, halbes Rackformat (7,5"), 1 HE Ethernet-Verschlüsseler, 1 Line, 25 Mbit/s R&S SITLine ETH K02 Ethernet-Verschlüsseler, 1 Line, 50 Mbit/s R&S SITLine ETH K02 Ethernet-Verschlüsseler, 1 Line, 100 Mbit/s R&S SITLine ETH K02 R&S SITLine ETH100, Rackformat (19"), 1 HE Ethernet-Verschlüsseler, 1 Line, 100 Mbit/s R&S SITLine ETH K11 Ethernet-Verschlüsseler, 2 Lines, 100 Mbit/s R&S SITLine ETH K12 Ethernet-Verschlüsseler, 4 Lines, 100 Mbit/s R&S SITLine ETH K13 R&S SITLine ETH1G, Rackformat (19"), 1 HE Ethernet-Verschlüsseler, 1 Line, 1 Gbit/s R&S SITLine ETH1G K11 R&S SITLine Geräte-Token (ein Token pro Gerät erforderlich) Geräte-Token, USB/Smartcard R&S SITScope, Sicherheitsmanagement Set bestehend aus Software und Tools auf CD (Server- und Clientsoftware, R&S SITLine-Admin, R&S SITLine-Terminal), USB-Token (3 Root, 2 Supervisor, 2 Manager), USB-Kabel Typ A zu B R&S SITScope-Set K53 R&S SITScope-Set vorinstalliert auf Serverhardware R&S SITScope-Appliance K13 Zubehör zu R&S SITLine ETH50 USB-Kabel Typ A zu B, für lokale Initialisierung Externe Stromversorgung für R&S SITLine ETH50, 110 V bis 240 V, 50/60 Hz Zubehör zu R&S SITLine ETH100/R&S SITLine ETH1G Elektrischer SFP-Transceiver (10/100/1000BaseT) für R&S SITLine ETH100 und R&S SITLine ETH1G Optischer SFP-Transceiver (1000BaseSX) für R&S SITLine ETH1G Optischer SFP-Transceiver (1000BaseLX) für R&S SITLine ETH1G Zubehör zu R&S SITScope Manager-Token, USB/Smartcard Root-Token, USB/Smartcard Supervisor-Token, USB/Smartcard Handbücher Benutzerhandbuch R&S SITLine ETH100/R&S SITLine ETH1G, Deutsch Benutzerhandbuch R&S SITLine ETH50, Deutsch User manual R&S SITLine ETH100/R&S SITLine ETH1G, English User manual R&S SITLine ETH50, English Benutzerhandbuch R&S SITScope, Deutsch User manual R&S SITScope, English Datenblatt zu R&S SITLine ETH100/1G, siehe PD , Datenblatt zu R&S SITLine ETH50, siehe PD , und Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsselel 15

16 Service Ihres Vertrauens Weltweit Lokal und persönlich Flexibel und maßgeschneidert Kompromisslose Qualität Langfristige Sicherheit Rohde & Schwarz Der Elektronikkonzern Rohde & Schwarz ist ein führender Lösungsanbieter in den Arbeitsgebieten Messtechnik, Rundfunk, Funküberwachung und -ortung sowie sichere Kommunikation. Vor mehr als 75 Jahren gegründet, ist das selbst ständige Unternehmen mit seinen Dienstleistungen und einem engmaschigen Servicenetz in über 70 Ländern der Welt präsent. Der Firmensitz ist in Deutschland (München). Der Umwelt verpflichtet Energie-effiziente Produkte Kontinuierliche Weiterentwicklung nachhaltiger Umweltkonzepte Certified Quality System ISO 9001 Rohde & Schwarz SIT GmbH Am Studio 3 D Berlin Fax info.sit@rohde-schwarz.com Rohde & Schwarz GmbH & Co. KG Kontakt Europa, Afrika, Mittlerer Osten customersupport@rohde-schwarz.com Nordamerika TEST RSA ( ) customer.support@rsa.rohde-schwarz.com Lateinamerika customersupport.la@rohde-schwarz.com Asien/Pazifik customersupport.asia@rohde-schwarz.com China / customersupport.china@rohde-schwarz.com R&S ist eingetragenes Warenzeichen der Rohde & Schwarz GmbH & Co. KG Eigennamen sind Warenzeichen der jeweiligen Eigentümer Printed in Germany (ch) PD Version Mai 2013 R&S SITLine ETH Daten ohne Genauigkeitsangabe sind unverbindlich Änderungen vorbehalten Rohde & Schwarz GmbH & Co. KG München, Germany