R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s



Ähnliche Dokumente
R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s

R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s

Produktbroschüre R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s

R&S EFW Flywheel Manuelle Einstellung von Empfängerparametern

R&S SITLine ETH Ethernet Verschlüsseler Sichere Datenüber tragung über Festnetz, Richtfunk und Satellit

Virtual Private Network. David Greber und Michael Wäger

Multicast Security Group Key Management Architecture (MSEC GKMArch)

Wir bringen Ihre USB Geräte ins Netz Ohne Wenn und Aber!

Rechenzentren abhörsicher anbinden Echtzeit-Verschlüsselung mit 40 Gbit/s. Andreas Beierer Leiter Fachvertrieb

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA. Fixed Line BESCHREIBUNG. carrier ethernet TBFL_PFK_MA_

Rohde & Schwarz Service mit Mehrwert

Mail encryption Gateway

estos UCServer Multiline TAPI Driver

Dynamisches VPN mit FW V3.64

Stefan Dahler. 1. Remote ISDN Einwahl. 1.1 Einleitung

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein: - Ein Bootimage ab Version Optional einen DHCP Server.

HowTo: Einrichtung & Management von APs mittels des DWC-1000

8. Bintec Router Redundancy Protocol (BRRP) 8.1 Einleitung

Cisco Security Monitoring, Analysis & Response System (MARS)

ANYWHERE Zugriff von externen Arbeitsplätzen

:: Anleitung Hosting Server 1cloud.ch ::

VIRTUAL PRIVATE NETWORKS

Dynamisches VPN mit FW V3.64

Standortvernetzung: Erreichen Sie Security Compliance einfach und effizient durch Ethernet- Verschlüsselung

Root-Server für anspruchsvolle Lösungen

Hochgeschwindigkeits-Ethernet-WAN: Bremst Verschlüsselung Ihr Netzwerk aus?

OP-LOG

Lizenzierung von System Center 2012

SolarWinds Engineer s Toolset

Einrichtung von VPN für Mac Clients bei Nortel VPN Router

FTP-Leitfaden RZ. Benutzerleitfaden

miditech 4merge 4-fach MIDI Merger mit :

Einsparpotenzial für Unternehmen: Stromkosten und CO 2 ganz ohne Komfortverlust

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Schnellstart. MX510 ohne mdex Dienstleistung

Switching. Übung 7 Spanning Tree. 7.1 Szenario

Network Encryption Made in Germany Layer-1/2/3-Verschlüssler für Ihr Netzwerk

Grafische Darstellung des Gerätezustandes und detaillierte Statusinformationen auf einem Blick

Collax VPN. Howto. Vorraussetzungen Collax Security Gateway Collax Business Server Collax Platform Server inkl. Collax Modul Gatekeeper

Der einfache Weg zu Sicherheit

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

L2 Box. Layer 2 Netzwerkverschlüsselung Nachweislich sicher, einfach, schnell.

Technical Note ewon über DSL & VPN mit einander verbinden

Paul Petzold Firmengründer, Verwaltungsratspräsident und Delegierter der Mirus Software AG

Anleitung zur Nutzung des SharePort Utility

Virtual Private Network

Welche HP KVM Switche gibt es

Neue Dimensionen der Leitungsverschlüsselung - Datenverluste sicher verhindern -

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

How-to: VPN mit L2TP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

WINDOWS 8 WINDOWS SERVER 2012

R&S ATCMC16 Air Traffic Control Multikoppler Aktive 16-fach-VHF/UHFSignalverteilung

FrogSure Installation und Konfiguration

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Digitale Zertifikate

Avira Server Security Produktupdates. Best Practice

Die Telefonanlage in Der ClouD. gelsen-net 100 % it Vor ort. ip-centrex. IT-Systemhaus. 100% IT vor Ort

Windows Small Business Server (SBS) 2008

Netzwerkeinstellungen unter Mac OS X

How-to: VPN mit PPTP und dem Windows VPN-Client. Securepoint Security System Version 2007nx

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

Authentifizierung. Benutzerverwaltung mit Kerberos. Referent: Jochen Merhof

IT-Sicherheit / Smartcards und Verschlüsselung ZyXEL ZyWALL 100 Firewall mit DMZ

Digitale Identitäten in der Industrieautomation

ISA Server 2004 Erstellen eines neuen Netzwerkes - Von Marc Grote

SQL Server 2008 Standard und Workgroup Edition

Seite Wireless Distribution System (Routing / Bridging) 3.1 Einleitung

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Abgesetzte Nebenstelle TECHNIK-TIPPS VON per VPN

ORGA 6000 in Terminalserver Umgebung

Adressen der BA Leipzig

HowTo: Einrichtung einer IPSec Verbindung mit einem IPSEC VPN Client zum DWC-1000 am Beispiel der Shrewsoft VPN Clientsoftware

Virtual Desktop Infrasstructure - VDI

OmniAccess Wireless. Remote Access Point Lösung

Anleitung Grundsetup C3 Mail & SMS Gateway V

Switch: - nicht konfigurierbare (unmanaged) - konfigurierbare (managed)

4D Server v12 64-bit Version BETA VERSION

16/24 Port Desktop & Rack-mountable Gigabit Ethernet Switch

Kurzanleitung um Transponder mit einem scemtec TT Reader und der Software UniDemo zu lesen

VPN Tracker für Mac OS X

Wo finde ich die Software? - Jedem ProLiant Server liegt eine Management CD bei. - Über die Internetseite

1 Planung Migration UNIMOD collect (=neues Release

Parallels Mac Management 3.5

NetVoip Installationsanleitung für Grandstream GXP2000

DWA-140: Betrieb unter Mac OS X Über dieses Dokument. Vorbereitungen. Laden der Treiber aus dem Internet - 1 -

DynDNS Router Betrieb

Konfigurationsbeispiel USG

GGAweb - WLAN Router Installationsanleitung Zyxel NBG 6616

HANDBUCH LSM GRUNDLAGEN LSM

How to: VPN mit L2TP und dem Windows VPN-Client Version 2007nx Release 3

CISCO SWITCHES DER SERIE 300 Produktbeschreibungen mit 25, 50 und 100 Wörtern

Sicherheit QUALITÄTSSICHERUNG DESIGNER24.CH V 1.2. ADRESSE Designer24.ch Web Print Development Postfach Turbenthal Schweiz

1 Registrieren Sie sich als Benutzer auf dem Televes. 2 Sobald ein Konto erstellt ist, können Sie auf das Portal

Installation und Inbetriebnahme von SolidWorks

Verbindung zu WRDS über SAS auf dem Terminalserver

ISA Server Exchange RPC over HTTPS mit NTLM-Authentifizierung

Transkript:

SITLine-ETH_bro_de_5214-0724-11_v1000.indd 1 Produktbroschüre 10.00 You act. We protect. Rohde & Schwarz SIT: Verschlüsselung und IT-Sicherheit. Sichere Kommunikation R&S SITLine ETH Ethernet-Verschlüsseler Sichere Datenübertragung über Festnetz, Richtfunk und Satellit bis 40 Gbit/s 21.11.2014 11:14:02

R&S SITLine ETH Ethernet- Verschlüsseler Auf einen Blick R&S SITLine ETH schützt U nternehmen und Organisationen vor Spionage und M anipulation der Daten, die über Festnetz, Funk oder S atellit per Ethernet übertragen werden. Die Geräte der Produkt familie sind BSI-zugelassen und k önnen flexibel bei vielen stationären und mobilen Anwendungen eingesetzt werden. R&S SITLine ETH verschlüsselt auf Ethernet-Basis im OSI-Modell der Data Link Layer 2 und ist somit ideal für den Schutz von durchsatz- und zeitkritischen Anwendungen. Geschützt werden Kommunikationsverbindungen über öffentliche und private Netze. Mit R&S SITLine ETH können die vorhandenen Sicherheitsanforderungen unabhängig von der existierenden beziehungsweise geplanten Netzstruktur abgebildet werden. Aufgrund der hohen Kostenersparnis hat sich Carrier- Ethernet in den letzten Jahren als echte Alternative zu Managed-IP-Anschlüssen bei der Standortvernetzung etabliert. R&S SITLine ETH bedient diese Technologie mit verschiedenen Bauformen und unterschiedlichen Leistungs klassen. Die Gerätefamilie R&S SITLine ETH kann flexibel für wechselnde Anforderungen eingesetzt werden und bietet hohe Investitionssicherheit. Hauptmerkmale Ethernet-Verschlüsseler für die Bandbreiten von 25 Mbit/s bis 40 Gbit/s Modernste kryptografische Methoden und Standards (Elliptische Kurven, AES, X.509) Flexibler Einsatz in modernen Übertragungsnetzen Verschlüsselung basierend auf Port-, VLAN- oder Gruppen-Zuordnung (Multipunkt) Maximale Bandbreiteneffizienz, Vermeidung von Overhead Komfortables Online-Management zur Gerätekonfiguration und für Sicherheits- und Netzwerkeinstellungen Sehr kompakte Bauweise (eine Höheneinheit für alle Geräte), sehr geringer Energieverbrauch, niedrige Systemkosten pro GByte (Total Cost of Ownership) BSI-zugelassen bis VS-NfD und NATO-Restricted R&S SITLine ETH ist in verschiedenen Leistungsklassen und Formfaktoren erhältlich. 2 SITLine-ETH_bro_de_5214-0724-11_v1000.indd 2 21.11.2014 11:14:05

R&S SITLine ETH Ethernet- Verschlüsseler Wesentliche Merkmale und Vorteile Professionelle, zertifizierte Sicherheit Sicherung von Ethernet-Standleitungen und Ethernet-VLANs Innovative Gruppen-Verschlüsselung für Multicast Topologien (ELAN) Sichere Authentisierung Automatisierter Betrieb gesicherter Verbindungen Flexible Verschlüsselungshardware Manipulationsresistente Geräte Seite 4 Reduzierte Systemkosten Minimaler Aufwand für Installation und Konfiguration Geringe Raum- und Energiekosten Geringere Übertragungskosten als Managed IP Geringer Wartungs- und Pflegeaufwand Bandbreiteneffizienz durch Gruppen-Verschlüsselung (Multipunkt) Keine Zusatzkosten für zentrale oder interne Schlüsselserver Höhere Übertragungsleistung als IPsec Hochverfügbarkeit serienmäßig Seite 6 Zentrales Sicherheits management Online, effizient und sicher Virtualisierbar und hochverfügbar Klar definierte Rollen Zentrale Stelle für Log-Dateien und Audits Seite 8 Netzwerkmanagement mittels SNMP Unterstützt SNMP v1, v2c und v3 Umfangreiche Monitoring- und Diagnose-Möglichkeiten Netzwerkmanagement durch Dienstleister Sofort starten mit R&S SITLine-Admin Seite 10 Datenblatt zu R&S SITLine ETH100 und R&S SITLine ETH1G, siehe PD 5214.0724.22 Datenblatt zu R&S SITLine ETH50, siehe PD 5214.4607.22 Datenblatt zu R&S SITLine ETH40, siehe PD 3607.0017.22 SITLine-ETH_bro_de_5214-0724-11_v1000.indd 3 Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüssel 3 21.11.2014 11:14:05

P rofessionelle, zertifizierte Sicherheit Ethernet ist ein etablierter, universeller Standard in der Datenübertragung per Kabel und Luft, beinhaltet jedoch keinen Schutz der Vertraulichkeit oder der Integrität der übertragenen Daten. R &S SITLine ETH liefert diesen Schutz deutlich effektiver und effizienter als andere Lösungen und wurde vom BSI für die Verarbeitung von Verschlusssachen bis VS NfD zugelassen. Sicherung von Ethernet-Standleitungen und Ethernet-VLANs R&S SITLine ETH wurde gemäß Metro-Ethernet-Standard entwickelt und kann Ethernet-Standleitungen, sogenannte Ethernet Private Lines (EPL) verschlüsseln. Hierbei kommunizieren zwei Verschlüsselungsgeräte direkt miteinander, entweder im Transport- oder im Tunnel-Modus. Der Transport-Modus verschlüsselt nur die Nutzdaten (z.b. das IP-Paket) und lässt die Ethernet-Adressinformationen unverändert. Im Tunnel-Modus wird der gesamte Verkehr inklusive Adressen verschlüsselt und als Nutzdaten in neu erstellten Ethernet-Paketen versendet. In Szenarien, in denen zwei Geräte direkt und ohne Switch miteinander verbunden sind, können R&S SITLine ETH100- Geräte und R&S SITLine ETH1G- Geräte alternativ im Bulk-Modus betrieben werden. Der Bulk-Modus verschlüsselt die gesamten Ethernet- Pakete (inkl. Adressinformationen) ohne einen zusätz lichen O verhead hinzuzufügen und bietet so noch höhere Vertraulichkeit bei größtmöglichem Datendurchsatz. Soll ein zentraler Standort sicher mit mehreren entfernten Standorten in einer Sterntopologie vernetzt werden, kann R&S SITLine ETH den Ethernet-Verkehr anhand des verwendeten VLAN einem korrespondierenden R&S SITLine ETH zuordnen. Das erfordert vom Netzwerkanbieter mehrere Ethernet Virtual Private Lines (EVPL), die VLAN-spezifisch mit R&S SITLine ETH verschlüsselt werden. Innovative Gruppen-Verschlüsselung für Multicast Topologien (ELAN) In voll vermaschten Ethernet Local Area Networks (ELANs) verhindert traditionelle Verschlüsselung die Multicast- Fähigkeit des Carrier-Netzes, indem dedizierte Wege zwischen den Verschlüsselungsgeräten aufgebaut werden. Videos und andere Livestreams, die für mehrere Empfänger gedacht sind und per Multicast versendet werden, müssen somit vor dem Versand dupliziert und für jeden Empfänger einzeln verschlüsselt werden. Gerade in solchen Umgebungen kann R&S SITLine ETH zur Gruppen-Verschlüsselung des Netzwerkverkehrs eingesetzt werden ohne die Multicast-Fähigkeit zu beeinflussen. Das Sicherheitsniveau ist identisch zur traditionellen Verschlüsselung mit dedizierten Wegen, denn trotz Gruppierung verwendet jedes R&S SITLine ETH-Gerät weiterhin seinen eigenen Sitzungsschlüssel für den abgehenden Netzwerkverkehr. Zusätzlich berücksichtigt die Gruppen-Verschlüsselung eventuell vorhandene MPLS-Netzwerke. Die für das Routing erforderlichen MPLS-Markierungen (normaler weise Bestandteil der zu verschlüsselnden Nutzdaten) werden erkannt und unverschlüsselt übertragen. In nur einer Höheneinheit kann R&S SITLine ETH40G bis zu vier 10-Gigabit-Ethernet-Anschlüsse latenz-optimiert verschlüsseln. 4 SITLine-ETH_bro_de_5214-0724-11_v1000.indd 4 21.11.2014 11:14:07

Sichere Authentisierung &S SITLine ETH nutzt zur sicheren Authentisierung R folgende Technologien und Standards: Asymmetrische Kryptografie mittels elliptischer Kurven mit 257-bit-Schlüssel (entspricht ca. 3200 bit RSA) X.509 v3-zertifikate für Personen und Geräte Gesicherte Ablage und Transport vertraulicher Parameter durch Smartcard-Technologie etabliert und von Ende zu Ende auf fehlerfreie Funktion überwacht. Abgelaufene Gerätezertifikate und Sitzungsschlüssel werden vollautomatisch erneuert. Gesicherte Verbindungen entstehen bei Änderungen der Netzwerkkonfiguration automatisch. Eine unwissentliche oder unbemerkte Kommunikation über ungesicherte Verbindungen ist ausgeschlossen. Flexible Verschlüsselungshardware Jedem Verbindungsaufbau geht eine sichere Authentisierung der Teilnehmer voraus. Dazu werden individuelle Gerätezertifikate genutzt. Für jede Managementverbindung und jede zu sichernde Datenverbindung wird ein eigenständiges Schlüsselset generiert. Die Schlüsselvereinbarung erfolgt nach dem Diffie-Hellman-Verfahren. R&S SITLine ETH nutzt zur Schlüsselerzeugung einen Hardware-basierten Zufallszahlengenerator, der Common Criteria EAL4+ zertifiziert ist. Automatisierter Betrieb gesicherter Verbindungen Die Gerätezertifikate bestimmen, welche Partner zur Verbindungsaufnahme berechtigt sind. Mit jedem berechtigten Kommunikationspartner werden sichere Verbindungen Es werden symmetrische Algorithmen (AES 256) verwendet, die in eine leistungsfähige Hardware integriert sind. Kundenwünsche bezüglich kryptografischer Verfahren können auf Anfrage berücksichtigt werden. Manipulationsresistente Geräte &S SITLine ETH verfügt neben den kryptografischen R Kernfunktionen über ein abgestimmtes System mechanischer und elektromechanischer Schutzfunktionen. Dazu gehören gestaffelte Sicherheitszonen, ein geschützter Speicher, Schutzmechanismen gegen mechanische Manipulation und weitere Sicherungsfunktionen gegen Versuche, die geschützten Geheimnisse zu entwenden oder zu manipulieren. Automatischer Aufbau und Betrieb gesicherter Verbindungen Satellit oder Richtfunk Standort mit Backup-Rechenzentrum 2 10 Gbit/s Standleitung SITLine ETH40G Außenstandort 1 10 Mbit/s Satellit SITLine ETH50 Zentrale mit Rechenzentrum, Carrier, Satellit und Standleitung SITLine ETH40G Standort mit Forschung und Entwicklung 1 1 Gbit/s Carrier SITLine ETH1G Produktion 1 1 Gbit/s Carrier SITLine ETH1G Vermascht und Latenz-optimiert R&S SITLine ETH wird vorkonfiguriert zum Einsatzsort geschickt und etabliert bei Inbetriebnahme automatisch sichere L2-Verbindungen über Fast Ethernet, 1-Gbit-Ethernet und 10-Gbit-Ethernet. Gleiches gilt für Backup-Geräte. SITLine-ETH_bro_de_5214-0724-11_v1000.indd 5 Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüssel 5 21.11.2014 11:14:07

Reduzierte Systemkosten Minimaler Aufwand für Installation und Konfiguration &S SITLine ETH-gesicherte Netzwerke R ermöglichen im Vergleich zu bisherigen Verschlüsselungslösungen deutliche Einsparungen in den Betriebskosten bei gleichzeitig hoher Sicherheit. Die Integration von R&S SITLine ETH in ein Netzwerk findet vollkommen transparent statt. Außer den Sicherheitsparametern sind keine weiteren netzwerk spezifischen Konfigurationen erforderlich. Ethernet ist eine Plug & Play-Technologie und damit nahezu ohne Konfigurationsaufwand einsatzbereit. Dies spart Installationszeit und -kosten. Geringe Raum- und Energiekosten Die kompakte Bauweise, geringe Bauhöhe und verschiedene Geräteklassen ermöglichen einen sparsamen Umgang mit Installationsplatz und Energie. Das MultiportGerät übernimmt die Funktion von bis zu vier Geräten, benötigt aber nur den Platz und die Energie eines einzelnen Gerätes. Die Option, mit einem Gerät bis zu vier physikalische Leitungen zu sichern, ist weltweit einmalig. Geringere Übertragungskosten als Managed IP Der deutlich geringere Protokoll-Überhang ( Overhead ) für Ethernet-Verschlüsselung führt zu einem besseren Netto/Brutto-Transport-Verhältnis. Je nach Verkehrs profil und gewählten Sicherheitsfunktionen ist bei einer Ethernet-Verschlüsselung mit einer Reduktion der Nutzdatenrate von lediglich 0 % bis 13 % zu rechnen. Zum Vergleich: Ein IPsec-gesichertes VPN reduziert die Nutzdatenrate um bis zu 60 %. Geringer Wartungs- und Pflegeaufwand Ethernet ist unabhängig von logischen IP-Netzstrukturen. Somit entfallen Anpassungen bei der Integration neuer Anwendungen, beim Anbieterwechsel oder bei Wechsel von höheren Netzwerk protokollen (z.b. IPv4 zu IPv6). Die Erfahrung zeigt, dass der Pflegeaufwand von Layer-2- Systemen aufgrund langer Update- und UpgradeZyklen deutlich niedriger ist als bei anderen Lösungen. Nutzdatenrate (Kapazitätsauslastung) 100 % IP über Ethernet L2-Verschlüsselung ohne Integritätschutz L2-Verschlüsselung mit Integritätschutz IPsec-Verschlüsselung Nutzlastanteil an der Übertragung 90 % 80 % 70 % 60 % 50 % 40 % 30 % 250 500 750 1000 1250 Größe der Pakete/Übertragungseinheiten 1500 Bei einer mittleren Paketgröße von 250 Byte weist R&S SITLine ETH eine deutlich höhere Nutzdatenrate auf als die IPsec-Verschlüsselung: R&S SITLine ETH: > 90 % (L2-Verschlüsselung) IPsec-Verschlüsselung: 75 % 6 SITLine-ETH_bro_de_5214-0724-11_v1000.indd 6 21.11.2014 11:14:07

Bandbreiteneffizienz durch GruppenVerschlüsselung (Multipunkt) Höhere Übertragungsleistung als IPsec Der reduzierte Overhead bei R&S SITLine ETH wirkt sich positiv auf die Übertragungsleistung aus. Besonders bei Diensten mit kleinen Paketgrößen, wie Voice over IP, wird dies deutlich. Kürzere Antwortzeiten und geringere Latenzen verbessern spürbar die Dienstqualität gegenüber IPsec-gesicherten Verbindungen. Eine höhere Anzahl an VoIP-Verbindungen ist ebenfalls möglich. Traditionelle Verschlüsselungssysteme (wie IPsec) bauen mehrere dedizierte Verbindungen zwischen den Verschlüsselungsgeräten auf, die jeweils mit einem separaten Schlüssel gesichert werden. Daten, die für mehr als nur einen Standort bestimmt sind, wie bei einer Videokonferenz, müssen vervielfältigt und über die einzelnen Verbindungen an die verschiedenen Standorte versendet werden. Hochverfügbarkeit serienmäßig R&S SITLine ETH wurde für solche Einsatzfälle mit einer innovativen Gruppen-Verschlüsselung ausgestattet. Diese nutzt die Multicast-Fähigkeit geswitchter Netzwerke, ohne Abstriche am Sicherheitsniveau der übertragenen Daten zu machen. Die Daten werden unabhängig von der Empfängeranzahl nur einmal verschlüsselt und gesendet die Verteilung übernimmt das Netz, beziehungsweise der Carrier. Die R&S SITLine ETH-Geräte sind für einen reibungslosen und ausfallsicheren Betrieb optimiert; selbst Wartungsarbeiten beeinflussen den Betrieb nicht. Jedes Modell ist mit einer redundanten Stromversorgung ausgestattet. R&S SITLine ETH10G/R&S SITLine ETH40G bietet darüber hinaus austauschbare Lüfter und parallele Verschlüsselungsleitungen (beim Multiport-Gerät). Netzteile, Lüfter und Batterien können während des Betriebs gewechselt werden. Keine Zusatzkosten für zentrale oder interne Schlüsselserver Die für den Betrieb erforderlichen Sitzungsschlüssel werden von den R&S SITLine ETH-Geräten vollständig autark untereinander ausgehandelt und sicher an die berechtigten Kommunikationspartner verteilt. Dedizierte Schlüsselserver sind nicht erforderlich. Der Ausfall eines Gerätes hat keinen Einfluss auf den Betrieb des verbleibenden Netzwerks, da sich Partnergeräte automatisch finden und sichere Verbindungen regelmäßig neu etablieren. R&S SITScope, das zentrale Sicherheitsmanagementsystem für R&S SITLine ETH (siehe Seite 8), wird hauptsächlich für Installation und Überwachung benötigt. Während der Laufzeit organisieren die R&S SITLine ETHGeräte die Verschlüsselung selbstständig und ohne Zusatzkomponenten. Übertragungsleistung: Ethernet- und IPsec-Verschlüsselung SITLine ETH Übertragungsleistung in (PDU/t) VoIP, Daten Video 1518 IPsec 500 (Abnehmende) Paketgröße (PDU) in Byte 64 Übertragungsleistung der Ethernet-Verschlüsselung (Layer 2) im Vergleich zur IPsec-Verschlüsselung (Layer 3): Gerade bei Applikationen mit kleinen Paketgrößen bietet die Absicherung mit R&S SITLine ETH deutliche Vorteile. Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 7 SITLine-ETH_bro_de_5214-0724-11_v1000.indd 7 21.11.2014 11:14:07

Zentrales Sicherheits management R&S SITScope ist das Sicherheits management system für die R&S SITLine ETH EthernetVerschlüsseler. R&S SITScope basiert auf einer Client-Server-Architektur und ist als vorinstallierte Appliance oder als separate Software für Windows erhältlich. Für den sicheren Umgang mit Benutzerund Gerätezertifikaten werden Token auf SmartcardBasis genutzt. Online, effizient und sicher Der Server von R&S SITScope fungiert wie die Certificate Authority (CA) einer PKI und wird in einer sicheren Umgebung (Rechenzentrum mit Zutrittskontrolle) betrieben. Der Client läuft auf den Arbeitsplatzrechnern der Administratoren. Die Kommunikation zwischen Server und Client sowie zwischen Server und Verschlüsselungsgerät findet über TLS/SSL-gesicherte Verbindungen statt. R&S SITScope kommuniziert über das zu verschlüsselnde Netzwerk (Inband) oder über ein dediziertes Managementnetzwerk (Outband) mit R&S SITLine ETH. Zur Konfiguration der R&S SITLine ETH-Verschlüsselungsgeräte wird in R&S SITScope zentral ein Netzplan angelegt. Der Netzplan enthält Geräteparameter (z.b. IP- Adressen für das Gerätemanagement), die Betriebsarten der Geräte (z.b. Bulk, VLAN) und ihre Kommunikations beziehungen zueinander (verschlüsselt/unverschlüsselt). Basierend auf dem Netzplan werden die Gerätezertifikate und deren p rivate Schlüssel erstellt und auf R&S SITLine ETH-Geräte verteilt. Nachdem R&S SITLine ETH einmalig mittels Geräte -Token initialisiert wurde, ist es für alle Management aufgaben online verfügbar. Egal ob Re- Konfiguration, Zertifikatswechsel oder Firmware-Update mit R&S SITScope erledigen die Administratoren die Management aufgaben bequem von ihrem Arbeitsplatz aus. Eventuell entwendete oder gar kompromittierte R&S SITLine ETH-Geräte werden mittels R&S SITScope in Zertifikatssperrlisten (CRL) erfasst, die online im Netzwerk publiziert werden. R&S SITScope ist ausschließlich für das i nitiale Management der Geräte erforderlich im Betrieb bestimmt R&S SITLine ETH die Sitzungsschlüssel unabhängig von einem vorhandenen R&S SITScope. Für sicherheitsrelevante Einstellungen von R&S SITLine ETH steht den Administratoren das R&S SITScope Sicherheitsmanagementsystem zur Verfügung. 8 SITLine-ETH_bro_de_5214-0724-11_v1000.indd 8 21.11.2014 11:14:08

Virtualisierbar und hochverfügbar Klar definierte Rollen Wird R&S SITScope als Software bezogen, kann der Server auch in virtuellen Umgebungen (Virtual Box, VM Ware) betrieben werden. Als Hardware-Sicherheitsanker nutzt R&S SITScope Root-Token auf Smartcard- Basis. Der Root-Token wird für die sichere Erstellung und Anwendung des Ursprungsgeheimnisses genutzt und muss während des Betriebes am Server permanent verfügbar sein. R&S SITScope bietet die Möglichkeit, über sogenannte Rollen klar differenzierte Rechte an Administratoren zu vergeben, zu verwalten und lückenlos zu protokollieren. Rollen sind an die entsprechenden Benutzer-Token und das zugehörige Zertifikat gebunden ein Missbrauch oder die Manipulation von Rechten sind nicht möglich. Es stehen die Rollen Supervisor, Manager und Monitor zur Verfügung. Der Betrieb von R&S SITScope kann durch redundante Instanzen auch hochverfügbar gestaltet werden. Netzplan und Geräteparameter werden zwischen den Instanzen synchronisiert. Ein Supervisor darf grundlegende Einstellungen und Funktionen des Sicherheitsmanagements vornehmen und Benutzer verwalten. Er verwaltet keine Geräte. Manager sind für die Konfiguration und Überwachung der R&S SITLine ETH-Geräte verantwortlich. Ein Manager kann keine Benutzer verwalten. Ein Monitor kann ausschließlich Betriebszustände überwachen, aber keine Änderungen vornehmen. Jedes R&S SITLine ETH-Gerät sucht nach seiner Aktivierung selbstständig einen Weg zum R&S SITScope-Server. Dafür werden IP-Protokolle (Layer 3) auf allen verfügbaren Netzwerkverbindungen genutzt und Partnergeräte per Ethernet (Layer 2) nach möglichen R&S SITScope-Instanzen abgefragt. Fällt während des Betriebs eine Managementverbindung aus, sucht R&S SITLine ETH eigenständig und automatisch nach alternativen Verbindungen ( Selbstheilung ). Unautorisierte Eingriffe in das eigenständige und geschlossene Sicherheitsmanagement sind nicht möglich. Zentrale Stelle für Log-Dateien und Audits R&S SITScope sammelt die dezentral an jedem R&S SITLine ETH-Gerät anfallenden Log-Informationen und speichert diese, bis sie durch einen Administrator bestätigt wurden. R&S SITScope bietet professionelle Audit- Möglichkeiten, um Vorgänge verschiedener R&S SITLine ETH-Geräte zusammenzufassen und zu analysieren. Zusätzlich können Log-Informationen von R&S SITScope an Syslog-Server im Netzwerk weitergeleitet werden. Sicherheitsmanagement TLS SITScope Sicherheitsmanagement Supervisor TLS TLS LAN Manager Carrier LAN TLS Monitor Die Administratoren können die Sicherheitsparameter aller Geräte bequem vom Arbeitsplatz über das Netzwerk einstellen. Dazu authentisieren sie sich lediglich mit ihrem Benutzer-Token gegenüber R&S SITScope. R&S SITLine ETH100/R&S SITLine ETH1G verfügt ebenfalls über Anschlüsse für ein separates Managementnetzwerk (Outband). Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüsseler 9 SITLine-ETH_bro_de_5214-0724-11_v1000.indd 9 21.11.2014 11:14:08

Netzwerkmanagement mittels SNMP Unterstützt SNMP v1, v2c und v3 Über das Netzwerkmanagement werden netzwerk- relevante Einstellungen an den R&S SITLine ETH- Verschlüsselungsgeräten vorgenommen. Hierzu zählen Basiskonfigurationen, wie Geschwindigkeit und DuplexVerhalten der Ethernet-Anschlüsse. Erweiterte Konfigurationen sind ebenfalls möglich, wie Ethernet Operation and Maintenance (OAM) oder fest eingestellte VLANs für die Netzwerksuche. Die dafür erforderliche Benutzeridentifizierung findet mit SNMP v1/2c durch die Community Strings statt. Mit SNMP v3 werden Anmeldeinformationen (Benutzer/Passwort) eingestellt und sicher verifiziert. Mittels Simple Network Management Protocol (SNMP) können Netzwerkeinstellungen an R&S SITLine ETH-Geräten vorgenommen werden. Zusätzlich bieten die Geräte detaillierte Daten zur Überwachung und umfangreiche Diagnosemöglichkeiten per SNMP an. Dazu werden das mitgelieferte Programm R&S SITLine-Admin oder beliebige SNMP-Browser verwendet. Umfangreiche Monitoring- und Diagnose-Möglichkeiten Jedes R&S SITLine ETH-Gerät bietet umfangreiche Statistiken, die per SNMP abgerufen werden können, wie die Anzahl der verschlüsselt/unverschlüsselt über tragenen Ethernet-Rahmen. Wurden Ethernet-Rahmen geblockt, weil sie redundant waren (Replay Attacks), wird das ebenfalls erfasst. R&S SITLine ETH informiert aktiv das SNMPNetzwerkmanagement mittels Traps (SNMP v1) oder Notifications (SNMP v2c/3) über Netzwerkereignisse. Zur Fehlersuche können für jeden Port Loop-Back- Diagnosen durchgeführt werden (die kurze Payload- Diagnose oder die lange Inward-Diagnose). Netzwerkmanagement mittels SNMP Netzbetreiber SNMP SNMP LAN Carrier LAN Auftraggeber Um Netzwerkeinstellungen vorzunehmen und Statusinformationen abzufragen wird SNMP entweder innerhalb des lokalen Netzwerks (blaue Pfeile) oder aus dem Carrier-Netzwerk (schwarze Pfeile) genutzt. Administrator und Dienstleister authentisieren sich mit SNMP Community Strings beziehungsweise SNMP Credentials gegenüber R&S SITLine ETH. Sicherheits einstellungen bleiben unberührt. 10 SITLine-ETH_bro_de_5214-0724-11_v1000.indd 10 21.11.2014 11:14:09

Netzwerkmanagement durch Dienstleister Für das Sicherheitsmanagement mittels R&S SITScope und das Netzwerkmanagement mittels SNMP können jedem Verschlüsselungsgerät separate IP-Adressen zugeteilt werden. Das Netzwerkmanagement kann außerdem aus dem Carrier-Netzwerk heraus erfolgen. Das ermöglicht Outsourcing- Modelle, in denen R&S SITLine ETH für das Netzwerk management per SNMP für einen Dienst leister erreichbar ist, die Sicherheit jedoch vollständig beim Auftraggeber verbleibt. Sofort starten mit R&S SITLine-Admin R&S SITLine-Admin ist ein anwenderfreundliches Netzwerkmanagement-Tool für R&S SITLine ETH-Geräte. Eine Anpassung vorhandender SNMP-Browser entfällt. R&S SITLine-Admin ist speziell auf R&S SITLine ETH abgestimmt. Die korrespondierende Frontblende wird beispielsweise mit aktuellen LED Anzeigen grafisch dargestellt. Einstellungen, Statistiken und Diagnosen sind schnell und einfach möglich. Für das Netzwerkmanagement wird das mitgelieferte Programm R&S SITLine Admin genutzt. Andere SNMP-Browser wie HP OpenView können ebenfalls verwendet werden. SITLine-ETH_bro_de_5214-0724-11_v1000.indd 11 Rohde & Schwarz R&S SITLine ETH Ethernet-Verschlüssel 11 21.11.2014 11:14:09

Service mit Mehrwert Weltweit Lokal und persönlich Flexibel und maßgeschneidert Kompromisslose Qualität Langfristige Sicherheit Rohde & Schwarz Der Elektronikkonzern Rohde & Schwarz ist ein führender Lösungsanbieter in den Arbeitsgebieten Messtechnik, Rundfunk, Funküberwachung und -ortung sowie sichere Kommunikation. Vor mehr als 80 Jahren gegründet, ist das selbst ständige Unternehmen mit seinen Dienstleistungen und einem engmaschigen Servicenetz in über 70 Ländern der Welt präsent. Der Firmensitz ist in Deutschland ( München). Nachhaltige Produktgestaltung Umweltverträglichkeit und ökologischer Fußabdruck Energie-Effizienz und geringe Emissionen Langlebigkeit und optimierte Gesamtbetriebskosten Certified Quality Management ISO 9001 Certified Environmental Management ISO 14001 Rohde & Schwarz SIT GmbH Am Studio 3 12489 Berlin +49 30 65884-223 Fax +49 30 65884-184 info.sit@rohde-schwarz.com www.sit.rohde-schwarz.com Rohde & Schwarz GmbH & Co. KG www.rohde-schwarz.com R&S ist eingetragenes Warenzeichen der Rohde & Schwarz GmbH & Co. KG Eigennamen sind Warenzeichen der jeweiligen Eigentümer PD 5214.0724.11 Version 10.00 November 2014 (ch) R&S SITLine ETH Ethernet-Verschlüssel Daten ohne Genauigkeitsangabe sind unverbindlich Änderungen vorbehalten 2008-2014 Rohde & Schwarz GmbH & Co. KG 81671 München 5214.0724.11 10.00 PDP 1 de Kontakt Europa, Afrika, Mittlerer Osten +49 89 4129 12345 customersupport@rohde-schwarz.com Nordamerika 1 888 TEST RSA (1 888 837 87 72) customer.support@rsa.rohde-schwarz.com Lateinamerika +1 410 910 79 88 customersupport.la@rohde-schwarz.com Asien-Pazifik +65 65 13 04 88 customersupport.asia@rohde-schwarz.com China +86 800 810 82 28 +86 400 650 58 96 customersupport.china@rohde-schwarz.com 5214072411 SITLine-ETH_bro_de_5214-0724-11_v1000.indd 12 21.11.2014 11:14:10

R&S SITLine ETH50 Ethernet Encryptor Specifications Line interfaces and management interfaces Each R&S SITLine ETH is equipped with two interface ports (private/a and public/x). The device operates quasi-transparently; the private port is internally fixed to and aligned with the public port to create a protected line. Line interfaces R&S SITLine ETH50 ports A1/X1, copper built-in RJ-45 (patch cable not included) 1 10/100 Mbit/s electrical line cable type STP Cat5 distance up to 100 m Management interfaces Token for initialization and local firmware update USB 2.0 type A for device token (USB smart card) and for update token (optional) Local for initialization, local firmware update and local configuration USB 2.0 type B (local) for PC connection via USB cable Clear buttons for clearing all security parameters press both buttons simultaneously to trigger an emergency clear Safety and EMC Safety approval 2006/95/EC EN 60950-1 Environmental conditions EN 60068-2-1, EN 60068-2-2, EN 60068-2-6 EMC approval 89/336/EEC EN 55022, EN 55024, EN 61000-3-2, EN 61000-3-3, (EN 61000-4-2, EN 61000-4-3, EN 61000-4-4, EN 61000-4-5, EN 61000-4-6, EN 61000-4-8, EN 61000-4-11), EN 61000-6-2 class A Special standards railway requirements EN 50121-4 You act. We protect. Encryption and IT security by Rohde & Schwarz SIT. Secure Communications Data Sheet 05.00

Version 05.00, November 2014 Security functions und cryptographic parameters Authentication and key agreement Device certificates Authentication algorithm X.509 created and signed by the R&S SITScope security management system elliptic curves (ANSI X9.62) with a key length of 257 bit (comparable to RSA with approx. 3200 bit), SHA-256 Certificate placement generated offline by R&S SITScope smart card technology (device token); device certificate is renewed online by the security management system Key agreement for symmetrical encryption Diffie-Hellman for elliptic curves (ECKAS-DH) with a key length of 257 bit Data encryption and integrity protection Algorithm and key length standard AES with 256 bit customized other standard or customer-specific symmetrical algorithms possible Encryption mode GCM (Galois/counter mode) Multipoint-to-multipoint (every R&S SITLine ETH) cryptographically independent frames identical frames encrypted with different results countermeasures against replay attacks included Integrity protection point-to-point and multipoint included with GCM integrity check length selectable from 8 byte to 16 byte to optimize overhead security ratio integrity area payload mandatory, optionally selectable VLAN tag and MAC address field Encryption mode CFB (cipher feedback, zero overhead) Point-to-point transport, tunnel CFB-interleaved: cryptographically concatenated frames identical frames encrypted with different results Integrity protection algorithm GMAC (Galois MAC) using AES integrity check length selectable from 4 byte to 16 byte to optimize overhead security ratio integrity area payload mandatory, optionally selectable VLAN tag and MAC address field Keys Master key lifetime configurable (min. 6 h, max. 7 days), rekeying without affecting existing communications Session key lifetime includes derivate keys for data encryption and integrity min. 1 minute, max. 7 days, rekeying without affecting existing communications Network operating modes Ethernet line (E-Line) Ethernet private line (EPL) EPL assignment by port one secure connection VLAN transparent operation Ethernet virtual private line (EVPL) EVPL assignment by VLAN ID up to 64 secure VLAN connections per R&S SITLine ETH50 Ethernet LAN (E-LAN), Ethernet tree (E-Tree) Ethernet private LAN (EP-LAN) E-LAN assignment by port one secure E-LAN with up to 250 partner devices VLAN transparent operation Ethernet virtual private LAN (EVP-LAN) E-LAN assignment by VLAN ID up to 250 secure VLAN networks with up to 250 partner devices 2 Rohde & Schwarz R&S SITLine ETH50 Ethernet Encryptor

Version 05.00, November 2014 General data Performance and reliability Throughput GCM, full duplex up to 98 Mbit/s CFB, full duplex up to 99 Mbit/s Latency store and forward 0.018 ms Mean time between failure (MTBF) in line with MIL-HDBK-217 FN2 method I > 350 000 h Case 3, +25 C operating temperature (surrounding air) Installation Form factor half-rack format 7.5", 1 HU Dimensions W H D 190 mm 36 mm 190 mm (7.5 in 1.4 in 7.5 in) Rackmounting top-hat rail (DIN rail) specific mounting material (angles, rails) for each rack model Required cable bending space for front (from front edge) 45 mm (1.8 in) rackmounting back (from back edge) 45 mm (1.8 in) Weight of device device incl. DIN rail clamp and max. 1.5 kg (3.3 lb) one power supply Shipping Shipping weight incl. packing, accessories, manuals max. 3 kg (6.6 lb) Package dimensions W H D 350 mm 160 mm 310 mm (13.8 in 6.3 in 12.2 in) Power supply and ventilation AC/DC supply external power supply 100 V to 240 V (50 Hz to 60 Hz) DC/DC supply dual power supply port 4-wire standard ATX connector 24 V to 60 V, redundant, hot swappable, redundant, hot swappable Current consumption AC 230V 0.05 A DC input 0.2 A Electric power DC input max. 10 W Heat loss calculated 34 BTU/h Battery 2 button cell lithium 3.0 V Air flow passive left to right Fans fanless operation Mounting requirements ambient temperature 20 C to +55 C any orientation ambient temperature +55 C to +70 C vertical orientation for optimal air convection current Climatic conditions and mechanical resistance Temperature operating temperature range 20 C to +70 C permissible temperature range 20 C to +70 C storage temperature range 40 C to +70 C Humidity up to 90 % rel. humidity, noncondensing Air pressure transport 566 hpa (equivalent to 4500 m) operation 795 hpa (equivalent to 2000 m) Vibration sinusoidal 5 Hz to 150 Hz R&S SITLine ETH50 encrypts one electrical Fast Ethernet line. Rohde & Schwarz R&S SITLine ETH50 Ethernet Encryptor 3

Ordering information R&S SITLine ETH models and R&S SITScope security management system Designation Type Order No. R&S SITLine ETH50 for Fast Ethernet, point-to-point option for Ethernet lines with and without VLANs (EPL, EVPL), incl. 1 device token, 1 external AC/DC power supply and 1 USB cable (type A to B) Ethernet Encryptor, 1 line, point-to-point, 25 Mbit/s R&S SITLine ETH50 PP 25 5414.6053.03 Ethernet Encryptor, 1 line, point-to-point, 50 Mbit/s R&S SITLine ETH50 PP 50 5414.6053.04 Ethernet Encryptor, 1 line, point-to-point, 100 Mbit/s R&S SITLine ETH50 PP 100 5414.6053.05 R&S SITLine ETH50 for Fast Ethernet, multipoint option for Ethernet LANs with and without VLANs (EP-LAN, EVP-LAN), group encryption for multiple Ethernet lines with and without VLANs (EPL, EVPL) and Ethernet trees (E-Tree), incl. 1 device token, 1 external AC/DC power supply and 1 USB cable (type A to B) Ethernet Encryptor, 1 line, multipoint, 25 Mbit/s R&S SITLine ETH50 MP 25 5414.6053.13 Ethernet Encryptor, 1 line, multipoint, 50 Mbit/s R&S SITLine ETH50 MP 50 5414.6053.14 Ethernet Encryptor, 1 line, multipoint, 100 Mbit/s R&S SITLine ETH50 MP 100 5414.6053.15 Accessories/spare parts for R&S SITLine ETH50 USB Cable (type A to B), for local initialization 1502.0567.00 External Power Supply, 110 V to 240 V, 50 Hz/60 Hz 5401.8898.00 Device Token, USB dongle with integrated smart card (SIM) 5410.0650.04 Management Transceiver, 1 Gigabit Ethernet, electrical 5401.8198.00 R&S SITScope security management system Set consisting of software and tools on CD (server and client R&S SITScope Set 5410.8400.53 software, R&S SITLine Admin), 3 root tokens, 4 user tokens, 1 USB smart card reader, 1 dongle smart card reader, 1 USB cable (type A to B) R&S SITScope Set, preinstalled on server hardware, R&S SITScope Appliance 5410.8400.12 license for up to 8 R&S SITLine ETH devices (small) R&S SITScope Set, preinstalled on server hardware R&S SITScope Appliance 5410.8400.13 Accessories for R&S SITScope Root Token, ID1 smart card with break-out SIM 5410.0650.06 User Token, ID1 smart card 5410.0650.07 Omnikey CardMan 3121 USB smart card reader 6131.2191.00 Omnikey CardMan 6121 dongle smart card reader 3584.1442.00 Service and support options Service options 8x5 Hotline Service incl. Firmware/Software Maintenance R&S SIT H08 Please contact your local 24x5 Hotline Service incl. Firmware/Software Maintenance R&S SIT H24 Rohde & Schwarz sales office. Extended Warranty, one year R&S SIT WE1 Extended Warranty, two years R&S SIT WE2 Hotline support including firmware/software maintenance (R&S SIT H08, R&S SIT H24) The hotline service is provided at standard fixed network call charge rates (no special rate call or premium rate number). Except on regional and statutory holidays, the telephone support is available at the following times: R&S SIT H08: during working hours, Monday to Friday between 9 a.m. and 5 p.m. (CET), R&S SIT H24: 24 hours from Monday to Friday (CET) Firmware/software maintenance for the R&S SITLine ETH and the R&S SITScope includes bugfixing and updates. Extended warranty with a term of one to four years (R&S SIT WE1, R&S SIT WE2) Repairs carried out during the contract term are free of charge. (Excluding defects caused by incorrect operation or handling and force majeure.) Wear-and-tear parts such as tokens are not included. Rohde & Schwarz SIT GmbH Am Studio 3 12489 Berlin, Germany Phone: +49 30 658 84 223 Fax: +49 30 658 84 183 info.sit@rohde-schwarz.com www.sit.rohde-schwarz.com R&S is a registered trademark of Rohde & Schwarz GmbH & Co. KG Trade names are trademarks of the owners Subject to change PD 5214.4607.22 Version 05.00 November 2014 (ch) R&S SITLine ETH50 Ethernet Encryptor 2014 Rohde & Schwarz GmbH & Co. KG 81671 Munich, Germany

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback