pdf

Technisches Datenblatt
L2 Box S
Verschlüsselungsgeräte für
Netzwerkschicht 2
Ihre Vorteile:
»» Integrierbar ohne Änderung der Netzinfrastruktur
»» Nahezu wartungsfreier Betrieb
»» Voll-Duplex-Verschlüsselung
mit Leitungsgeschwindigkeit
»» IPsec äquivalentes
Sicherheitsniveau (mit GCM)
»» Bedarfsgerechte Konfigu ration (SFP-Module)
»» Zulassung für VS-NfD
Die Produktlinie SINA L2 Box S beinhaltet leistungsfähige Verschlüsselungsgeräte für
den sicheren Informationsaustausch in Netzwerken (Layer 2). Dank der flexiblen und
modularen Architektur der SINA L2 Box S werden Applikationen in MAN-, WAN- und
SAN-Bereichen mit Datenraten von bis zu 10 GBit/s unterstützt. Die SINA L2 Box S
schützt sowohl Punkt-zu-Punkt- als auch Multipunkt-Verbindungen.
Gemeinsam mit den IPsec-Gateways der SINA L3 Box S Produktlinie
ermöglicht die SINA L2 Box S eine bedarfsgerechte Absicherung der
Kommunikation auf den OSI-Netzwerkschichten 2 und 3. Aufgrund der
geringen Latenz ist die SINA L2 Box S prädestiniert für applikative Einsatzszenarien mit hohen Quality of Service- bzw. Echtzeitanforderungen.
Darüber hinaus beinhaltet die Produktlinie mit der SINA L2 Box S 10G das
derzeit performanteste Verschlüsselungsgerät der SINA Produktfamilie
(für VS-NfD- bzw. RESTRICTED). Die SINA L2 Box S 50M compact ist das
jüngste Gerätemodell der Produktlinie. Das Gerät eignet sich besonders
für mobile Einsatzszenarien.
IT-Sicherheitskonzept
Den Gerätemodellen der SINA L2 Box S Produktlinie liegt ein ganzheitliches IT-Sicherheitskonzept zugrunde. Dieses umfasst insbesondere:
▀▀ eine sichere Systemplattform,
▀▀ Smartcard-Technologie,
▀▀ FPGA-basierte Kryptographie (mit hardwarebasierten Zufallszahlengeneratoren) sowie
▀▀ zulassungskonform dimensionierte und konfigurierte Hardware und
Firmware.
IPsec-äquivalentes Sicherheitsniveau
Der kryptographische Modus GCM (Galois Counter Mode) ermöglicht
auch auf der Netzwerkschicht 2 ein IPsec-vergleichbares Sicherheitsniveau hinsichtlich Integritäts- und Replay-Schutz. Neben der sowohl
vom weiterhin unterstützten CBC (Cipher Block Chaining)-Mode realisierten klassischen Punkt-zu-Punkt-Verschlüsselung unterstützt der
GCM darüber hinaus auch Punkt-zu-Multipunkt- und Multipunkt-zuMultipunkt-Verschlüsselung.
Initialer Systemstart und Betrieb
Die SINA L2 Box S bezieht ihre initiale Konfiguration sowie das für den
Betrieb benötigte Schlüsselmaterial (zur Geräteauthentifizierung) von einer
PIN-geschützten SINA Smartcard. Diese Daten werden von der Smartcard
gelesen und im internen Speicher des manipulationsgeschützten Gerätes
abgelegt. Im weiteren Betrieb wird diese Smartcard nicht mehr benötigt
L2 Box S
und kann als Konfigurations-Backup bspw. für Austauschgeräte Verwendung finden. Nach dem Einlesen der Konfiguration von der SINA Smartcard ist die SINA L2 Box S sofort einsatzbereit. Der weitere Betrieb verläuft
nahezu wartungsfrei. Nach Ablauf der Gültigkeitsdauer der Authentifizierungsschlüssel müssen lediglich neue Schlüssel in das Gerät eingespielt werden.
Die SINA L2 Box S arbeitet vollkommen transparent, d. h. ohne Festlegung
auf ein bestimmtes Protokoll. Optional ist sie auch IP-fähig. Zusätzlich
können VLANs einzeln verschlüsselt werden. Schlüsselwechsel erfolgen
ohne Unterbrechung der gesicherten Verbindungen. Einen erweiterten
Schutz bietet die Verschleierung des verschlüsselten Verkehrsstroms mit
Traffic Flow Security.
Betriebsüberwachung
Die SINA L2 Box S unterstützt sowohl SNMPv2c- als auch SNMPv3-basierte Betriebsüberwachung. Überwachungsrelevante Meldungen werden
per Syslog bspw. an Netzwerkmangementsysteme oder das zugehörige
SINA Management verschickt.
zugehörigen SINA L2 Boxen S erreicht. Dies kann in analoger Weise
auch für Multipunkt-Konfigurationen realisiert werden. Die für MultipunktKonfigurationen benötigten Key Server können redundant in einem Netz
vorhanden sein. Der Vollständigkeit halber sei erwähnt, dass sämtliche
19”-Varianten der SINA L2 Box S über redundante Netzteile verfügen.
Die Netzteile der Modelle 1G und 10G sind im laufenden Betrieb austauschbar (hot swappable).
Management
Die SINA L2 Box S lässt sich einfach über ein SINA Management konfigurieren. Wenn sich in einer Netzumgebung bereits SINA Equipment
befindet, kann das vorhandene zugehörige SINA Management auch die
Verwaltung der SINA L2 Boxen übernehmen.
Zulassungsrelevante Konstruktionsstände
SINA L2 Box S
Hochverfügbarkeit
In Punkt-zu-Punkt-Konfigurationen wird eine Hochverfügbarkeit der
Anbindung durch mehrfache Auslegung der Leitung einschließlich der
Zulassungsgrad
VS-NfD, NATO RESTRICTED; RESTREINT UE*
Firmware
Version 3.3
Manipulationsschutz
Integriert
Konfigurations-Token
SINA Smartcard
Schlüsselmanagement
SINA Management (ab Version 3.11)
Weitere Leistungsmerkmale
Allgemeine technische Daten
Bauform
Abmessungen
Gewicht
Stromversorgung
SINA L2 Box S 50M compact
SINA L2 Box S 100M
SINA L2 Box S 1G
SINA L2 Box S 10G
Tischgerät / VESA 100
210 x 220 x 42 mm
2,5 kg
12 … 30 V DC
inkl. externem Netzteil:100 … 240 V AC
47 … 63 Hz
19” 1HE
430 x 230 x 44 mm
4 kg
2 x 90 … 264 V AC
47 … 63 Hz
19” 1HE
430 x 330 x 44 mm
7 kg
2 x 90 … 264 V AC
47 … 63 Hz
(hot swappable)
19” 2HE
430 x 360 x 88 mm
10 kg
2 x 90 … 264 V AC
47 … 63 Hz
(hot swappable)
6W
20 BTU/h
> 60.000 h
11 W
26 BTU/h
> 50.000 h
90 W
300 BTU/h
> 50.000 h
115 W
400 BTU/h
> 50.000 h
50 MBit/s
100 MBit/s
1 GBit/s
10 GBit/s
bis zu 50 MBit/s
≤ 0,04 ms
bis zu 99 MBit/s**
≤ 0,04 ms
bis zu 995 MBit/s**
≤ 0,008 ms
bis zu 9.955 MBit/s**
≤ 0,004 ms
▀
▀
▀
▀
▀
▀
▀
▀
2 x 10/100Base-T TP RJ45
2 x 10/100Base-T TP RJ45
1000BASE-SX MM 850 nm
(weitere SFPs lieferbar)
10GBASE-LR SM 1310 nm
(weitere XFPs lieferbar)
10/100Base-T TP RJ45
seriell DB9
▀
▀
▀
▀
▀
▀
▀
▀
Betrieb
10% bis 85%,
nicht kondensierend
+1 °C bis +50 °C
+1 °C bis +40 °C
+1 °C bis +40 °C
+1 °C bis +40 °C
▀
▀
▀
▀
-10 °C bis +60 °C
bei max. 90% Luftfeuchte
-10 °C bis +60 °C
bei max. 90% Luftfeuchte
-10 °C bis +60 °C
bei max. 90% Luftfeuchte
-10 °C bis +60 °C
bei max. 90% Luftfeuchte
BxTxH
Stromverbrauch
Wärmeverlustleisung
MTBF
Kryptographie
Durchsatz
P2P: Frame Modus (CBC),
Voll-Duplex
MP: GCM-Modus, Voll-Duplex**
Latenz
pro Gerät
Symmetrische Kryptoverfahren AES (256 Bit-Schlüssel),
CBC oder GCM Modus
Asymmetrische Kryptoverfahren ECC (DH-ECKAS)
LAN-Anschlüsse
Netzwerkschnittstellen
Managementschnittstelle
Umweltbedingungen (Betrieb)
Temperatur
Luftfeuchtigkeit
Lager- und Transporttemperatur
Bezugsquellen
Behördenkunden in Deutschland können die SINA Komponenten aus dem Rahmenvertrag 5070 „Kryptiergeräte der SINA Familie“ des Beschaffungsamtes des Bundesministeriums des Innern beziehen.
Allen anderen nationalen und internationalen Kunden steht secunet gern zur Verfügung.
Weitere Informationen:
www.secunet.com/sina
SINA L2 Box S_D_02/15
* Gilt für den nationalen Gebrauch.
**Angenommen wurde eine maximale Paketgröße von 9.000 Byte.
secunet Security Networks AG
Kronprinzenstraße 30
45128 Essen
Tel.:
+49 - 201- 54 54 - 0
Fax:
+49 - 201- 54 54 -1000
E-Mail:[email protected]
www.secunet.com