R&SSITLine ETH Ethernet Verschlüsseler Sichere Datenüber tragung über Festnetz, Richtfunk und Satellit
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
R&S®SITLine ETH
Sichere Kommunikation
Produktbroschüre | 06.00
EthernetVerschlüsseler
Sichere Datenüber
tragung über Festnetz,
Richtfunk und Satellit
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 1 15.05.2013 13:58:09
R&S®SITLine ETH R&S®SITLine ETH verschlüsselt auf Ethernet-Basis – im
ISO-OSI-Modell der Data Link Layer 2 – und ist somit ideal
für den Schutz von durchsatz- und zeitkritischen Anwen-
Ethernet dungen. Geschützt werden Kommunikationsverbindungen
über öffentliche und private Netze. Mit R&S®SITLine ETH
können die vorhandenen Sicherheitsanforderungen unab-
Verschlüsseler hängig von der existierenden beziehungsweise geplanten
Netzstruktur abgebildet werden.
Auf einen Blick Aufgrund der hohen Kostenersparnis haben sich
Ethernet-VPNs in den letzten Jahren als echte Alternative
zu Managed-IP-Anschlüssen (IP-VPNs) bei der Standortver-
netzung etabliert. R&S®SITLine ETH bedient diese Techno-
R&S®SITLine ETH ist eine Gerätefamilie für Ethernet logie mit verschiedenen Bauformen und unterschiedlichen
Verschlüsselung und die Schaffung sicherer Leistungsklassen. Die Gerätefamilie R&S®SITLine ETH
kann flexibel für wechselnde Anforderungen eingesetzt
„Layer 2 Virtual Private Networks“ (L2VPN).
werden und bietet hohe Investitionssicherheit.
R&S®SITLine ETH schützt Unternehmen und
Organisationen vor Spionage und Manipulation Hauptmerkmale
der Daten, die über Festnetz, Funk oder Satellit ❙ Ethernet-Verschlüsseler in den Leistungsklassen von
per Ethernet übertragen werden. Die Geräte der 25 Mbit/s bis 1 Gbit/s
❙ Modernste kryptografische Methoden und Standards
Produktfamilie sind BSIzugelassen und können (Elliptische Kurven, AES, X.509)
flexibel bei vielen stationären und mobilen ❙ Flexibler Einsatz in modernen Übertragungsnetzen
Anwendungen eingesetzt werden. ■ Verschlüsselung basierend auf Port-, VLAN- oder
Gruppen-Zuordnung (Multipunkt)
■ Maximale Bandbreiteneffizienz, Vermeidung von
Overhead
■ Komfortables Online-Management zur
Gerätekonfiguration und für Sicherheits- und
Netzwerkeinstellungen
❙ Sehr kompakte Bauweise (1 HE für Ein- und Mehrport-
Geräte), sehr geringer Energieverbrauch, niedrige
Systemkosten (TCO)
❙ BSI-zugelassen bis VS-NfD und NATO-Restricted
R&S®SITLine ETH100. R&S®SITLine ETH50.
2
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 2 15.05.2013 13:58:11
R&S®SITLine ETH Sichert zivile, behördliche und militärische
Kommunikation
❙ Vertrauliche Kommunikation zwischen Standorten und
Ethernet innerhalb eines Standortes (L2-VPN)
❙ Absicherung von Richtfunk- und Satellitenverbindungen
(SatCom)
Verschlüsseler ❙ Sicherung der Steuer- und Überwachungsnetze der Bahn
❙ Rechenzentren-Kopplung (Data Center, SAN)
▷ Seite 4
Wesentliche Reduzierte Systemkosten
❙ Minimaler Aufwand für Installation und Konfiguration
Merkmale und ❙
❙
❙
Geringe Raum- und Energiekosten
Geringere Übertragungskosten als Managed IP
Geringer Wartungs- und Pflegeaufwand
Vorteile ❙ Bandbreiteneffizienz durch Gruppen-Verschlüsselung
(Multipunkt)
❙ Keine Zusatzkosten für zentrale oder interne
Schlüsselserver
❙ Höhere Übertragungsleistung als IPsec
▷ Seite 6
Professionelle, zertifizierte Sicherheit
❙ Sicherung von Ethernet-Standleitungen und
Ethernet-VLANs
❙ Innovative Gruppen-Verschlüsselung für
Multicast-Topologien (ELAN)
❙ Sichere Authentisierung
❙ Automatisierter Betrieb gesicherter Verbindungen
❙ Flexible Verschlüsselungshardware
❙ Manipulationsresistente Geräte
▷ Seite 8
Zentrales Sicherheitsmanagement über das Netz
❙Online, bequem und sicher
❙Virtualisierbar und hochverfügbar
❙Klar definierte Rollen
❙Zentrale Stelle für Log-Dateien und Audits
▷ Seite 10
Netzwerkmanagement mittels SNMP
❙ Unterstützt SNMP v1, v2c und v3
❙ Umfangreiche Monitoring- und Diagnose-Möglichkeiten
❙ Netzwerkmanagement durch Dienstleister
▷ Seite 12
R&S®SITLine ETH1G.
Rohde & Schwarz R&S®SITLine ETH Ethernet-Verschlüsseler 3
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 3 15.05.2013 13:58:12
Sichert zivile, Vertrauliche Kommunikation zwischen Standorten
und innerhalb eines Standortes (L2-VPN)
Videokonferenzen, VoIP-Anrufe, Datenbankabfragen –
behördliche um Spionage und Datenmanipulation entgegenzuwir-
ken, muss die Vertraulichkeit von Kommunikationsver-
bindungen innerhalb einer Organisation sichergestellt
und militärische werden. Dies ist insbesondere dann wichtig, wenn Teile
der Kommunikationsverbindungen über lange Strecken
etabliert werden, wie bei weiträumig verteilten Stand-
Kommunikation orten oder bei der Vernetzung innerhalb eines größeren
Campus. Hier kommt die Flexibilität und Variabilität von
R&S®SITLine ETH voll zum Tragen, da alle Geräte inter-
operabel sind. In Abhängigkeit vom einzubeziehenden
Ursprünglich nur in lokalen Netzwerken (LAN) Standort kann die optimale Wahl des passenden Gerätes
eingesetzt, ist Ethernet heute eine beständige und nach Kriterien wie erforderliche Übertragungskapazität,
Anzahl der erforderlichen Verbindungen und Umgebungs-
universelle Übertragungstechnik für Weitverkehrs
bedingungen erfolgen. Von der Verschlüsselung einzel-
netze. Die Standortkopplung über globale Netze ner Leitungen beziehungsweise Anwendungen bis hin
wird damit so einfach wie die Verkabelung im Haus. zur Sicherung komplexer Strukturen – durch die Inter-
Dies gilt allerdings auch für die Angreifbarkeit aus operabilität kann die Sicherheitslösung mit dem Netz
dem öffentlichen Netz: Abhören, Manipulieren wachsen. Dies bedeutet für die Anwender einen sicheren
Investitionsschutz.
und S tören sind so einfach wie in jedem
Computernetzwerk. R&S®SITLine ETH sichert die
Kommunikation durch konsequente Verschlüsselung
des Ethernets – zugelassen durch das BSI.
R&S®SITLine ETH sichert private und öffentliche Verbindungen über
Festnetz, Richtfunk und Satellit.
4
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 4 15.05.2013 13:58:13
Absicherung von Richtfunk- und Satelliten Sicherung der Steuer- und Überwachungsnetze
verbindungen (SatCom) der Bahn
Zur zielgerichteten Steuerung von Einsatzkräften sind Die Steuerung des öffentlichen Transportwesens ob-
präzise und zeitnahe Informationen erforderlich. Lage liegt zentralen Leitstellen, die von teilweise unbemann-
meldungen mit Bild- und Videomaterial müssen teilweise ten Verkehrsknotenpunkten (z.B. Bahnhöfe, Stellwerke)
über große Distanzen übertragen werden. Dafür werden mit Informationen versorgt werden. Die Automatisierung
Richtfunk- und SatCom-Verbindungen eingesetzt, die die ermöglicht eine höhere Zugfolge und Pünktlichkeit. Un-
Einheiten vor Ort mit der Zentrale (z.B. Leitstelle, Haupt bemannte Verkehrsknoten müssen jedoch stärker gegen
quartier) verbinden – oft sogar über Kontinente hinweg. Manipulation abgesichert werden, insbesondere wenn
Um die Informationsüberlegenheit sicherzustellen, dür- die Anbindung an die Leitstelle über öffentliche Netz-
fen die Daten weder manipuliert werden, noch sollten sie werke erfolgt. Hier wird die Integrität der übertragenen
Dritten in die Hände fallen – Grund genug für den Einsatz Daten durch kryptografische Funktionen sichergestellt.
einer starken Verschlüsselung. Diese darf jedoch die oh- R&S®SITLine ETH verfügt über spezielle Varianten zum Ein-
nehin sehr knapp bemessene Bandbreite einer Richtfunk- satz in härteren Umgebungsbedingungen (z.B. erweiterter
beziehungsweise SatCom-Verbindung nicht zusätzlich Temperaturbereich, Montage mit Hutschiene/DIN Rail, ex-
belasten. ternes Notlöschen).
Gerade in Szenarien mit geringen Bandbreiten werden Weitere Informationen zur Absicherung der Steuernetze
die konzeptionsbedingten Vorteile von R &S®SITLine ETH der Bahn siehe Applikationsbroschüre PD 3606.6505.91
deutlich: Im Vergleich zu klassischer IP-Verschlüsselung und www.rohde-schwarz.com
benötigt R&S®SITLine ETH deutlich weniger Protokoll
informationen (sogenannter Overhead) für die verschlüs- Rechenzentren-Kopplung (Data Center, SAN)
selte Übertragung. Die Informationen sind während der Zentrale Datenzentren eines Unternehmens werden oft
gesamten Richtfunkübertragung beziehungsweise den redundant aufgebaut. Diese Zentren müssen über leis-
Satelliten-Hops trotz begrenztem Durchsatz gegen Abhö- tungsfähige Leitungen sicher miteinander verbunden
ren und Manipulieren gesichert. werden. Die moderne Übertragungstechnik hierfür sind
Ethernet-Dienste mit einer Übertragungsleistung von min-
Weitere Informationen zur Absicherung von Satelliten destens 100 Mbit/s, in der Regel von mehreren Gbit/s.
netzwerken siehe Applikationsbroschüre PD 3606.8189.91 R&S®SITLine ETH wird skalierbar für Anschlüsse im
und www.rohde-schwarz.com Megabit- und Gigabit-Bereich eingesetzt. Die Multiport-
Variante von R&S®SITLine ETH kann zusätzlich genutzt
werden, um parallel geschaltete Ethernet-Standleitungen
effizient zu sichern.
R&S®SITLine ETH schützt die Steuer- und Überwachungsnetze der Bahn.
Rohde & Schwarz R&S®SITLine ETH Ethernet-Verschlüssel 5
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 5 15.05.2013 13:58:13
Reduzierte Minimaler Aufwand für Installation und
Konfiguration
Die Integration von R&S®SITLine ETH in ein Netz-
Systemkosten werk f indet vollkommen transparent statt. Außer den
Sicherheitsparametern sind keine weiteren netzwerk
spezifischen Konfigurationen erforderlich. Ethernet ist
eine Plug & Play-Technologie und damit nahezu ohne
&S®SITLine ETH-gesicherte Carrier-Ethernet-
R Konfigurationsaufwand einsatzbereit. Installationszeit und
Dienste ermöglichen im Vergleich zu bisherigen -kosten werden so eingespart.
Verschlüsselungslösungen deutliche Einsparungen
Geringe Raum- und Energiekosten
in den Betriebskosten bei gleichzeitig hoher Die kompakte Bauweise, geringe Bauhöhe und verschie-
Sicherheit. dene Geräteklassen ermöglichen einen sparsamen Um-
gang mit Installationsplatz und Energie. Das Multiport-
Gerät übernimmt die Funktion von bis zu vier Geräten,
benötigt aber nur den Platz und die Energie eines einzel-
nen Gerätes. Die Option, mit einem Gerät bis zu vier physi-
kalische Leitungen zu sichern, ist weltweit einmalig.
Geringere Übertragungskosten als Managed IP
Der deutlich geringere Protokoll-Überhang („Overhead“)
für Ethernet-Verschlüsselung führt zu einem besseren
Netto/Brutto-Transport-Verhältnis. Je nach Verkehrs
profil und gewählten Sicherheitsfunktionen ist bei einer
Ethernet-Verschlüsselung mit einer Reduktion der Nutz-
datenrate von lediglich 0 % bis 13 % zu rechnen. Zum Ver-
gleich: Ein IPsec-gesichertes L3-VPN reduziert die Nutz-
datenrate um bis zu 60 %.
Nutzdatenrate (Kapazitätsauslastung)
100 % IP über Ethernet
L2-Verschlüsselung ohne Integritätschutz
90 % L2-Verschlüsselung mit Integritätschutz
Nutzlastanteil an der Übertragung
IPsec-Verschlüsselung
80 %
70 %
60 %
50 %
40 %
Bei einer mittleren Paketgröße von 250 Byte weist R&S®SITLine ETH
30 %
eine deutlich höhere Nutzdatenrate auf als die IPsec-Verschlüsselung:
250 500 750 1000 1250 1500 R&S®SITLine ETH: > 90 % (L2-Verschlüsselung)
Größe der Pakete/Übertragungseinheiten IPsec-Verschlüsselung: 75 %
6
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 6 15.05.2013 13:58:13
Geringer Wartungs- und Pflegeaufwand Keine Zusatzkosten für zentrale oder interne
Ethernet ist unabhängig von logischen IP-Netzstruktu- Schlüsselserver
ren. Somit entfallen Anpassungen bei der Integration Die für den Betrieb erforderlichen Sitzungsschlüssel wer-
neuer Anwendungen, beim Anbieterwechsel oder bei den von den R&S®SITLine ETH-Geräten vollständig autark
Wechsel von höheren Netzwerkprotokollen (z.B. IPv4 zu untereinander ausgehandelt und sicher an die berechtig-
IPv6). Die Erfahrung zeigt, dass der Pflegeaufwand von ten Kommunikationspartner verteilt. Dedizierte Schlüssel-
Layer-2-Systemen aufgrund langer Update- und Upgrade- server sind nicht erforderlich. Der Ausfall eines Gerätes hat
Zyklen deutlich niedriger ist als bei anderen Lösungen. keinen Einfluss auf den Betrieb des verbleibenden Netz-
werks, da sich Partnergeräte automatisch finden und si-
Bandbreiteneffizienz durch Gruppen- chere Verbindungen regelmäßig neu etablieren.
Verschlüsselung (Multipunkt)
Traditionelle Verschlüsselungssysteme (wie IPsec) bauen R&S®SITScope, das zentrale Sicherheitsmanagement-
mehrere dedizierte Verbindungen zwischen den Ver- system für R&S®SITLine ETH (siehe Seite 10), wird haupt-
schlüsselungsgeräten auf, die jeweils mit einem separa- sächlich für Installation und Überwachung benötigt.
ten Schlüssel gesichert werden. Daten, die für mehr als Während der Laufzeit organisieren die R&S®SITLine ETH-
nur einen Standort bestimmt sind, wie bei einer Video- Geräte die Verschlüsselung selbstständig und ohne
konferenz, müssen vervielfältigt und über die einzelnen Zusatzkomponenten.
Verbindungen an die verschiedenen Standorte versendet
werden. Höhere Übertragungsleistung als IPsec
Der reduzierte Overhead bei R&S®SITLine ETH wirkt sich
R&S®SITLine ETH wurde für solche Einsatzfälle mit einer positiv auf die Übertragungsleistung aus. Besonders bei
innovativen Gruppen-Verschlüsselung ausgestattet. Diese Diensten mit kleinen Paketgrößen, wie Voice over IP, wird
nutzt die Multicast-Fähigkeit moderner Carrier-Netzwerke, dies deutlich. Kürzere Antwortzeiten und geringere La-
ohne Abstriche am Sicherheitsniveau der übertragenen tenzen verbessern spürbar die Dienstqualität gegenüber
Daten zu machen. Die Daten werden unabhängig von der IPsec-gesicherten Verbindungen. Eine höhere Anzahl an
Empfängeranzahl nur einmal verschlüsselt und gesendet – VoIP-Verbindungen ist ebenfalls möglich.
die Verteilung übernimmt das Netz, beziehungsweise der
Carrier.
Übertragungsleistung: Ethernet- und IPsec-Verschlüsselung
¸SITLine
VoIP
Übertragungsleistung in (PDU/t)
IPsec
Übertragungsleistung der EthernetVerschlüsselung (Layer 2)
1518 500 64 im Vergleich zur IPsecVerschlüsselung (Layer 3):
Gerade bei Applikationen mit kleinen Paketgrößen bietet die
(Abnehmende) Paketgröße (PDU) in byte Absicherung mit R&S®SITLine ETH deutliche Vorteile.
Rohde & Schwarz R&S®SITLine ETH Ethernet-Verschlüsseler 7
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 7 15.05.2013 13:58:13
P rofessionelle, Sicherung von Ethernet-Standleitungen und
Ethernet-VLANs
R&S®SITLine ETH wurde gemäß Metro-Ethernet-Standard
zertifizierte entwickelt und kann Ethernet-Standleitungen, sogenannte
Ethernet Private Lines (EPL) verschlüsseln. Hierbei kom-
munizieren zwei Verschlüsselungsgeräte direkt miteinan-
Sicherheit der, entweder im Transport- oder im Tunnel-Modus. Der
Transport-Modus verschlüsselt nur die Nutzdaten (z.B. das
IP-Paket) und lässt die Ethernet-Adressinformationen un-
verändert. Im Tunnel-Modus wird der gesamte Verkehr
Ethernet ist ein etablierter, universeller Standard in inklusive Adressen verschlüsselt und als Nutzdaten in neu
der Datenübertragung per Kabel und Luft, beinhaltet erstellten Ethernet-Paketen versendet.
jedoch keinen Schutz der Vertraulichkeit oder der
In Szenarien, in denen zwei Geräte direkt und
Integrität der übertragenen Daten. R&S®SITLine ETH ohne Switch miteinander verbunden sind, können
liefert diesen Schutz deutlich effektiver und R&S®SITLine ETH100-Geräte und R&S®SITLine ETH1G-
effizienter als andere Lösungen und wurde vom Geräte alternativ im Bulk-Modus betrieben werden.
BSI für die Verarbeitung von Verschlusssachen bis Der Bulk-Modus verschlüsselt die gesamten Ethernet-
Pakete (inkl. Adressinformationen) ohne einen zusätz
VS‑NfD zugelassen. lichen Overhead hinzuzufügen und bietet so noch höhere
Vertraulichkeit bei größtmöglichem Datendurchsatz.
Soll ein zentraler Standort sicher mit mehreren entfern-
ten Standorten in einer Sterntopologie vernetzt werden,
kann R&S®SITLine ETH den Ethernet-Verkehr anhand
des verwendeten VLAN einem korrespondierenden
R&S®SITLine ETH zuordnen. Das erfordert vom Netzwerk-
anbieter mehrere Ethernet Virtual Private Lines (EVPL),
die VLAN-spezifisch mit R&S®SITLine ETH verschlüsselt
werden.
Innovative Gruppen-Verschlüsselung für
Multicast‑Topologien (ELAN)
In vollvermaschten Ethernet Local Area Networks (ELANs)
verhindert traditionelle Verschlüsselung die Multicast-
Fähigkeit des Carrier-Netzes, indem dedizierte Wege
zwischen den Verschlüsselungsgeräten aufgebaut werden.
Videos und andere Livestreams, die für mehrere Empfän-
ger gedacht sind und per Multicast versendet werden,
müssen somit vor dem Versand dupliziert und für jeden
Empfänger einzeln verschlüsselt werden.
R&S®SITLine ETH50.
8
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 8 15.05.2013 13:58:15
Gerade in solchen Umgebungen kann R&S®SITLine ETH Jedem Verbindungsaufbau geht eine sichere Authenti-
zur Gruppen-Verschlüsselung des Netzwerkverkehrs einge- sierung der Teilnehmer voraus. Dazu werden individuelle
setzt werden – ohne die Multicast-Fähigkeit zu beeinflus- Gerätezertifikate genutzt. Für jede Managementverbin-
sen. Das Sicherheitsniveau ist identisch zur traditionellen dung und jede zu sichernde Datenverbindungen wird ein
Verschlüsselung mit dedizierten Wegen, denn trotz Grup- eigenständiges Schlüssel-Set generiert. Die Schlüssel-
pierung verwendet jedes R&S®SITLine ETH-Gerät weiter- vereinbarung erfolgt nach dem Diffie-Hellman-Verfahren.
hin seinen eigenen Sitzungsschlüssel für den abgehenden R&S®SITLine ETH nutzt zur Schlüsselerzeugung einen
Netzwerkverkehr. Hardware-basierten Zufallszahlengenerator, der Common
Criteria EAL4+ zertifiziert ist.
Zusätzlich berücksichtigt die Gruppen-Verschlüsselung
eventuell vorhandene MPLS-Netzwerke. Die für das Automatisierter Betrieb gesicherter Verbindungen
Routing erforderlichen MPLS-Markierungen (normaler- Die Gerätezertifikate bestimmen, welche Partner zur Ver-
weise Bestandteil der zu verschlüsselnden Nutzdaten) bindungsaufnahme berechtigt sind. Mit jedem berechtig-
werden erkannt und können unverschlüsselt übertragen ten Kommunikationspartner werden sichere Verbindungen
werden. etabliert und von Ende zu Ende auf fehlerfreie Funktion
überwacht. Abgelaufene Gerätezertifikate und Sitzungs-
Sichere Authentisierung schlüssel werden vollautomatisch erneuert. Gesicherte
R&S®SITLine ETH nutzt zur sicheren Authentisierung Verbindungen entstehen bei Änderungen der Netzwerk-
folgende Technologien und Standards: konfiguration automatisch. Eine unwissentliche oder unbe-
❙ Asymmetrische Kryptografie mittels elliptischer Kurven merkte Kommunikation über ungesicherte Verbindungen
mit 257-bit-Schlüssel (entspricht ca. 3200 bit RSA) ist ausgeschlossen.
❙ X.509 v3-Zertifikate für Personen und Geräte
❙ Gesicherte Ablage und Transport vertraulicher Parameter Flexible Verschlüsselungshardware
durch Smartcard-Technologie Es werden symmetrische Algorithmen (AES 256) verwen-
det, die in in eine leistungsfähige Hardware integriert sind.
Kundenwünsche bezüglich kryptografischer Verfahren
können auf Anfrage berücksichtigt werden.
Automatischer Aufbau und Betrieb gesicherter Manipulationsresistente Geräte
Verbindungen R&S®SITLine ETH verfügt neben den kryptografischen
Kernfunktionen über ein abgestimmtes System mechani-
scher und elektromechanischer Schutzfunktionen. Dazu
gehören gestaffelte Sicherheitszonen, ein geschützter
Speicher, Schutzmechanismen gegen mechanische Mani-
pulation und weitere Sicherungsfunktionen gegen Versu-
che, die geschützten Geheimnisse zu entwenden oder zu
manipulieren.
R&S®SITLine ETH50 R&S®SITLine ETH50
R&S®SITLine ETH wird vorkonfiguriert zum Einsatzsort geschickt und etabliert
bei Inbetriebnahme automatisch sichere L2Verbindungen. Gleiches gilt für
BackupGeräte.
Rohde & Schwarz R&S®SITLine ETH Ethernet-Verschlüsseler 9
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 9 15.05.2013 13:58:15
Zentrales Online, bequem und sicher
Der Server von R&S®SITScope fungiert wie die Certificate
Authority (CA) einer PKI und wird in einer s icheren Umge-
Sicherheits bung (Rechenzentrum mit Zutrittskontrolle) betrieben. Der
Client läuft auf den Arbeitsplatzrechnern der Administrato-
ren. Die Kommunikation zwischen Server und Client sowie
management über zwischen Server und Verschlüsselungsgerät findet über
TLS/SSL-gesicherte Verbindungen statt. R&S®SITScope
kommuniziert über das zu verschlüsselnde Netzwerk (In-
das Netz band) oder über ein dediziertes Management-Netzwerk
(Outband) mit R&S®SITLine ETH.
Zur Konfiguration der R&S®SITLine ETH-Verschlüsse-
R&S®SITScope ist das Sicherheitsmanagement lungsgeräte wird in R&S®SITScope zentral ein Netzplan
system für die R&S®SITLine ETH Ethernet- angelegt. Der Netzplan enthält Geräteparameter (z.B. IP-
Adressen für das Gerätemanagement), die Betriebsarten
Verschlüsseler. R&S®SITScope basiert auf einer
der Geräte (z.B. Bulk, VLAN) und ihre Kommunikations
Client-Server-Architektur und ist als vorinstallierte beziehungen zueinander (verschlüsselt/unverschlüs-
Appliance oder als separate Software für Windows selt). Basierend auf dem Netzplan werden die Geräte-
erhältlich. Für den sicheren Umgang mit Benutzer- zertifikate und deren private Schlüssel erstellt und auf
und Gerätezertifikaten werden in USB-Token R&S®SITLine ETH-Geräte verteilt.
integrierte Smartcards genutzt. Nachdem R&S®SITLine ETH einmalig mittels USB-Geräte
token initialisiert wurde, ist es für alle Management
aufgaben online verfügbar. Egal ob Re-Konfiguration, Zerti-
fikatswechsel oder Firmware-Update – mit R&S®SITScope
erledigen die Administratoren die Managementaufgaben
bequem von ihrem Arbeitsplatz aus.
Eventuell entwendete oder gar kompromittierte
R&S®SITLine ETH-Geräte werden mittels R&S®SITScope in
Zertifikatssperrlisten (CRL) erfasst, die online im Netzwerk
publiziert werden. R &S®SITScope ist ausschließlich für
das Management der einzelnen Geräte erforderlich – im
Betrieb bestimmt R&S®SITLine ETH die Sitzungsschlüssel
unabhängig von einem vorhandenen R&S®SITScope.
Für sicherheitsrelevante Einstellungen von R&S®SITLine ETH steht den
Administratoren das R&S®SITScope Sicherheitsmanagementsystem zur
Verfügung.
10
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 10 15.05.2013 13:58:16Virtualisierbar und hochverfügbar Klar definierte Rollen
Wird R&S®SITScope als Software bezogen, kann der Ser- R&S®SITScope bietet die Möglichkeit, über sogenannte
ver auch in virtuellen Umgebungen (Virtual Box, VM Ware) Rollen klar differenzierte Rechte an Administratoren zu
betrieben werden. Als Hardware-Sicherheitsanker nutzt vergeben, zu verwalten und lückenlos zu protokollieren.
R&S®SITScope eine in einen USB-Stick integrierte Smart- Rollen sind an die entsprechenden USB-Benutzer-Token
card. Dieser sogenannte Root-Token wird für die sichere und das zugehörige Zertifikat gebunden – ein Missbrauch
Erstellung und Anwendung des Ursprungsgeheimnisses oder die Manipulation von Rechten sind nicht möglich. Es
genutzt und muss während des Betriebes am Server per- stehen die Rollen Supervisor, Manager und Monitor zur
manent verfügbar sein. Verfügung.
Der Betrieb von R&S®SITScope kann durch redundante Ein Supervisor darf grundlegende Einstellungen und Funk-
Instanzen auch hochverfügbar gestaltet werden. Netzplan tionen des Sicherheitsmanagements vornehmen und
und Geräteparameter werden zwischen den Instanzen Benutzer verwalten. Er verwaltet keine Geräte. Manager
synchronisiert. sind für die Konfiguration und Überwachung der R&S®SIT-
Line ETH-Geräte verantwortlich. Ein Manager kann kei-
Jedes R&S®SITLine ETH-Gerät sucht nach seiner Aktivie- ne Benutzer verwalten. Ein Monitor kann ausschließlich
rung selbstständig einen Weg zum R&S®SITScope-Server. Betriebszustände überwachen, aber keine Änderungen
Dafür werden IP-Protokolle (Layer 3) auf allen verfüg- vornehmen.
baren Netzwerkverbindungen genutzt und Partner-
geräte per Ethernet (Layer 2) nach möglichen Unauthorisierte Eingriffe in das eigenständige und ge-
R&S®SITScope-Instanzen abgefragt. Fällt während schlossene Sicherheitsmanagement sind nicht möglich.
des Betriebs eine Managementverbindung aus, sucht
R&S®SITLine ETH eigenständig und automatisch nach al- Zentrale Stelle für Log-Dateien und Audits
ternativen Verbindungen („Selbstheilung“). R&S®SITScope sammelt die dezentral an jedem
R&S®SITLine ETH-Gerät anfallenden Log-Informationen
und speichert diese, bis sie durch einen Administrator
bestätigt wurden. R&S®SITScope bietet professionelle
Audit-Möglichkeiten, um Vorgänge verschiedener
R&S®SITLine ETH-Geräte zusammenzufassen und zu
analysieren. Zusätzlich können Log-Informationen von
R&S®SITScope an Syslog-Server im Netzwerk weiter-
geleitet werden.
Sicherheitsmanagement
TLS ¸SITScope
Sicherheits-
management
Supervisor
TLS TLS
Manager LAN Carrier LAN
TLS
Monitor
Die Administratoren können die Sicherheitsparameter aller Geräte bequem vom Arbeitsplatz über das Netzwerk einstellen. Dazu authentisieren sie sich lediglich mit
ihrem USBBenutzerToken gegenüber R&S®SITScope. R&S®SITLine ETH100/R&S®SITLine ETH1G verfügt ebenfalls über Anschlüsse für ein separates Management
Netzwerk (Outband).
Rohde & Schwarz R&S®SITLine ETH Ethernet-Verschlüsseler 11
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 11 15.05.2013 13:58:16Netzwerk Umfangreiche Monitoring- und
Diagnose-Möglichkeiten
Jedes R&S®SITLine ETH-Gerät bietet umfangreiche
management Statistiken, die per SNMP abgerufen werden können, wie
die Anzahl der verschlüsselt/unverschlüsselt übertragenen
Ethernet-Rahmen. Wurden Ethernet-Rahmen geblockt,
mittels SNMP weil sie redundant waren (Replay Attacks), wird das eben-
falls erfasst. R&S®SITLine ETH informiert aktiv das SNMP-
Netzwerkmanagement mittels Traps (SNMP v1) oder
Notifications (SNMP v2c/3) über Netzwerk-Ereignisse. Zur
Mittels Simple Network Management Protocol Fehlersuche können für jeden Port Loop-Back-Diagnosen
(SNMP) können Netzwerkeinstellungen an durchgeführt werden (die „kurze“ Payload-Diagnose oder
die „lange“ Inward-Diagnose).
R&S®SITLine ETHGeräten vorgenommen
werden. Zusätzlich bieten die Geräte detaillierte Netzwerkmanagement durch Dienstleister
Daten zur Überwachung und umfangreiche Für das Sicherheitsmanagement mittels R&S®SITScope
Diagnosemöglichkeiten per SNMP an. Dazu werden und das Netzwerkmanagement mittels SNMP können
das mitgelieferte Programm R&S®SITLine Admin jedem Verschlüsselungsgerät separate IP-Adressen zuge-
teilt werden. Das Netzwerkmanagement kann außerdem
oder beliebige SNMPBrowser verwendet. aus dem Carrier-Netzwerk heraus erfolgen. Das ermöglicht
Outsourcing-Modelle, in denen R&S®SITLine ETH für das
Unterstützt SNMP v1, v2c und v3 Netzwerkmanagement per SNMP für einen Dienstleister
Über das Netzwerkmanagement werden netzwerk- erreichbar ist, die Sicherheit jedoch vollständig beim Auf-
relevante Einstellungen an den R&S®SITLine ETH- traggeber verbleibt.
Verschlüsselungsgeräten vorgenommen. Hierzu zählen
Basis-Konfigurationen, wie Geschwindigkeit und Duplex-
Verhalten der Ethernet-Anschlüsse. Erweiterte Konfigura-
tionen sind ebenfalls möglich, wie Ethernet Operation and
Maintenance (OAM) oder fest eingestellte VLANs für die
Netzwerksuche. Die dafür erforderliche Benutzeridentifizie-
rung findet mit SNMP v1/2c durch die Community Strings
statt. Mit SNMP v3 werden Anmeldeinformationen (Benut-
zer/Passwort) eingestellt und sicher verifiziert.
Netzwerkmanagement mittels SNMP
Netzbetreiber
SNMP
SNMP
Carrier LAN2
Auftraggeber LAN LAN
Um Netzwerkeinstellungen vorzunehmen und Statusinformationen abzufragen wird SNMP entweder innerhalb des lokalen
Netzwerks (blaue Pfeile) oder aus dem CarrierNetzwerk (schwarze Pfeile) genutzt. Administrator und Dienstleister authentisieren
sich mit SNMP Community Strings beziehungsweise SNMP Credentials gegenüber R&S®SITLine ETH. Sicherheitseinstellungen
bleiben unberührt.
12
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 12 15.05.2013 13:58:17Technische Kurzdaten
R&S®SITScope
Minimale Systemanforderungen für die R&S®SITScope-Serversoftware
Betriebssystem Windows XP SP2, Windows Server 2003, Windows Server 2008 (32/64 bit)
Festplatte min. 160 Gbyte freier Speicherplatz
Arbeitsspeicher min. 2 Gbyte
Netzwerk (NIC) min. 1 Fast-Ethernet-Port
USB-Schnittstellen min. 4 freie USB-Ports
Minimale Systemanforderungen für die R&S®SITScope-Clientsoftware
Betriebssystem Windows XP SP2, Windows Server 2003, Windows Server 2008 (32/64 bit), Windows 7
Festplatte min. 5 Gbyte freier Speicherplatz
Arbeitsspeicher min. 2 Gbyte
Netzwerk (NIC) min. 1 Ethernet-Port (empfohlen 100 Mbit/s)
USB-Schnittstellen min. 2 freie USB-Ports
Vorinstallierte R&S®SITScope-Appliance
Formfaktor Rackformat (19", 1 HE) mit redundantem Netzteil
Betriebssystem Windows Server 2008
Festplatte gespiegelt, RAID1
Peripherie Tastatur, Maus, Vier-Port-USB-Hub
Für das Netzwerkmanagement
wird das mitgelieferte Programm
R&S®SITLineAdmin genutzt.
Andere SNMP-Browser wie
HP OpenView können ebenfalls
verwendet werden.
Rohde & Schwarz R&S®SITLine ETH Ethernet-Verschlüssel 13
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 13 15.05.2013 13:58:17Technische Kurzdaten
R&S®SITLine ETH
R&S®SITLine ETH1G R&S®SITLine ETH100 R&S®SITLine ETH50
Ethernet, Anschlüsse
Anzahl Leitungen pro Gerät 1 1, 2 oder 4 1
Stecker/Transceiver optisch, elektrisch, elektrisch, wechselbar (SFP) elektrisch, fest eingebaut
wechselbar (SFP)
Leistung/Durchsatz pro Leitung 1 Gbit/s 100 Mbit/s 25 Mbit/s, 50 Mbit/s, 100 Mbit/s
Anzahl Verbindungen 4000 4000 250
Unterstützte Ethernet-Dienste
E-Line (EPL, EVPL/VLAN) ● ● ●
E-LAN (EPLAN, EVPLAN/VLAN) ● ● ●
Kryptografie und Sicherheit
Transport-/Tunnel-Modus ● ● ●
Bulk-Modus („Back-to-Back“) ● ● –
Gruppen-Verschlüsselung (Multipunkt) ● (MPLS-transparent) ● (MPLS-transparent) ● (MPLS-transparent)
Asymmetrisch 257-bit-ECC-Schlüssel (entspricht ungefähr 3200 bit RSA-Schlüssel)
Schlüsselvereinbarung nach Diffie-Hellmann (DH-ECKAS)
Digitale Signatur ECDSA
Authentisierung X.509 v3-Zertifikate
Symmetrisch AES mit 256-bit-Schlüssel, CFB Interleaved Mode, GCM,
andere Standardalgorithmen oder k undenspezifische A
lgorithmen auf Anfrage
Externes Notlöschen – – ●
Notlöschen nach Trennen der nach 2 Tagen nach 2 Tagen nach 1 bis 7 Tagen
Stromversorgung (konfigurierbar, deaktivierbar)
Managementsysteme
Sicherheits- und Konfigurationsmanagement mit R&S®SITScope online über das Netzwerk
Sicherheitsmanagement-Ports Inband, Outband Inband, Outband Inband
Netzwerkmanagement mit SNMP v1, v2c, v3 unabhängig vom Sicherheitsmanagement
mit R&S®SITLine Admin –
Netzwerkmanagement-Ports Inband, Outband Inband, Outband Inband
Zulassungen/Zertifizierungen
BSI VS-NfD VS-NfD VS-NfD
NATO-Restricted NATO-Restricted NATO-Restricted
EANTC Interoperability Test Interoperability Test Interoperability Test
Schlüsselgenerierung (TRNG) Common Criteria EAL 4+ Common Criteria EAL 4+ Common Criteria EAL 4+
CE Approval ● ● ●
Allgemeine Daten
Betriebstemperatur +5 °C bis +50 °C –20 °C bis +70 °C
Lagertemperatur (nicht initialisiert) –20 °C bis +70 °C –40 °C bis +70 °C
MTBF (Verfügbarkeit) 47 000 h (99,9830 %) 46 000 h (99,9826 %) 350 000 h (99,9977 %)
Spannungsversorgung 110 V oder 240 V/50 Hz oder 110 V oder 240 V/50 Hz oder 24 V bis 60 V DC, redundant
60 Hz, redundant, Hot-Swap 60 Hz, redundant, Hot-Swap
Maße und Gewicht
Formfaktor Rackformat (19")/1 HE halbes Rackformat (7,5")/1 HE,
Hutschiene (DIN-Rail)
Abmessungen (B × H × T) 438 mm × 44 mm × 596 mm 190 mm × 36 mm × 190 mm
Gewicht max. 7,6 kg (inkl. Einbauvorrichtungen) max. 1,5 kg
Versandgewicht max. 18,5 kg max. 3 kg
14
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 14 15.05.2013 13:58:18Bestellangaben
Bezeichnung Typ Bestellnummer
R&S®SITLine ETH50, halbes Rackformat (7,5"), 1 HE
Ethernet-Verschlüsseler, 1 Line, 25 Mbit/s R&S®SITLine ETH50-25 5401.8830K02
Ethernet-Verschlüsseler, 1 Line, 50 Mbit/s R&S®SITLine ETH50-50 5401.8830K02
Ethernet-Verschlüsseler, 1 Line, 100 Mbit/s R&S®SITLine ETH50-100 5401.8830K02
R&S®SITLine ETH100, Rackformat (19"), 1 HE
Ethernet-Verschlüsseler, 1 Line, 100 Mbit/s R&S®SITLine ETH100-110 5401.7004K11
Ethernet-Verschlüsseler, 2 Lines, 100 Mbit/s R&S®SITLine ETH100-210 5401.7004K12
Ethernet-Verschlüsseler, 4 Lines, 100 Mbit/s R&S®SITLine ETH100-410 5401.7004K13
R&S®SITLine ETH1G, Rackformat (19"), 1 HE
Ethernet-Verschlüsseler, 1 Line, 1 Gbit/s R&S®SITLine ETH1G-110 5401.6820K11
R&S®SITLine Geräte-Token (ein Token pro Gerät erforderlich)
Geräte-Token, USB/Smartcard 5410.0650.04
R&S®SITScope, Sicherheitsmanagement
Set bestehend aus Software und Tools auf CD (Server- und Clientsoftware, R&S®SITScope-Set 5410.8400K53
R&S®SITLine-Admin, R&S®SITLine-Terminal), USB-Token (3 Root, 2 Supervisor,
2 Manager), USB-Kabel Typ A zu B
R&S®SITScope-Set vorinstalliert auf Serverhardware R&S®SITScope-Appliance 5410.8400K13
Zubehör zu R&S®SITLine ETH50
USB-Kabel Typ A zu B, für lokale Initialisierung 1502.0567.00
Externe Stromversorgung für R&S®SITLine ETH50, 110 V bis 240 V, 50/60 Hz 5401.8898.00
Zubehör zu R&S®SITLine ETH100/R&S®SITLine ETH1G
Elektrischer SFP-Transceiver (10/100/1000BaseT) für R&S®SITLine ETH100 und 5401.8198.00
R&S®SITLine ETH1G
Optischer SFP-Transceiver (1000BaseSX) für R&S®SITLine ETH1G 4055.6412.00
Optischer SFP-Transceiver (1000BaseLX) für R&S®SITLine ETH1G 5401.8181.00
Zubehör zu R&S®SITScope
Manager-Token, USB/Smartcard 5410.0650.02
Root-Token, USB/Smartcard 5410.0650.03
Supervisor-Token, USB/Smartcard 5410.0650.05
Handbücher
Benutzerhandbuch R&S®SITLine ETH100/R&S®SITLine ETH1G, Deutsch 5401.8900.31
Benutzerhandbuch R&S®SITLine ETH50, Deutsch 5401.8875.31
User manual R&S®SITLine ETH100/R&S®SITLine ETH1G, English 5401.8900.32
User manual R&S®SITLine ETH50, English 5401.8875.32
Benutzerhandbuch R&S®SITScope, Deutsch 5410.8439.31
User manual R&S®SITScope, English 5410.8439.32
Datenblatt zu R&S®SITLine ETH100/1G, siehe PD 5214.0724.22,
Datenblatt zu R&S®SITLine ETH50, siehe PD 5214.4607.22,
und www.sit.rohde-schwarz.com
Rohde & Schwarz R&S®SITLine ETH Ethernet-Verschlüssel 15
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 15 15.05.2013 13:58:18Rohde & Schwarz
Service Ihres Vertrauens Der Elektronikkonzern Rohde & Schwarz ist ein führender
❙ Weltweit Lösungsanbieter in den Arbeitsgebieten Messtechnik,
❙ Lokal und persönlich Rundfunk, Funküberwachung und -ortung sowie sichere
❙ Flexibel und maßgeschneidert
❙ Kompromisslose Qualität Kommunikation. Vor mehr als 75 Jahren gegründet, ist das
❙ Langfristige Sicherheit selbstständige Unternehmen mit seinen Dienstleistungen
und einem engmaschigen Servicenetz in über 70 Ländern
der Welt präsent. Der Firmensitz ist in Deutschland
(München).
Der Umwelt verpflichtet
❙❙ Energie-effiziente Produkte
❙❙ Kontinuierliche Weiterentwicklung nachhaltiger
Umweltkonzepte
Certified Quality System
ISO 9001
Rohde & Schwarz SIT GmbH
Am Studio 3 | D-12489 Berlin
+49 30 65884-223 | Fax +49 30 65884-184
E-mail: info.sit@rohde-schwarz.com
www.sit.rohde-schwarz.com
Rohde & Schwarz GmbH & Co. KG
www.rohde-schwarz.com
Kontakt
❙❙ Europa, Afrika, Mittlerer Osten | +49 89 4129 12345
customersupport@rohde-schwarz.com
❙❙ Nordamerika | 1 888 TEST RSA (1 888 837 87 72)
customer.support@rsa.rohde-schwarz.com
❙❙ Lateinamerika | +1 410 910 79 88
customersupport.la@rohde-schwarz.com
❙❙ Asien/Pazifik | +65 65 13 04 88
customersupport.asia@rohde-schwarz.com
❙❙ China | +86 800 810 8228/+86 400 650 5896
customersupport.china@rohde-schwarz.com
R&S® ist eingetragenes Warenzeichen der Rohde & Schwarz GmbH & Co. KG
Eigennamen sind Warenzeichen der jeweiligen Eigentümer | Printed in Germany (ch)
PD 5214.0724.11 | Version 06.00 | Mai 2013 | R&S®SITLine ETH
Daten ohne Genauigkeitsangabe sind unverbindlich | Ä
nderungen vorbehalten
© 2008 - 2013 Rohde & Schwarz GmbH & Co. KG | 81671 München, Germany
5214072411
SITLine-ETH_bro_de_5214-0724-11_v0600.indd 16 15.05.2013 13:58:18Sie können auch lesen
