L3 Box H VPN-Gateway mit höchster nationaler VS

Technisches Datenblatt
L3 Box H
VPN-Gateway mit höchster nationaler
VS-Zulassung
Ihre Vorteile:
» Zugelassen bis
STRENG GEHEIM*
» PEPP-kompatibel
» Hohe Performance
» Hochverfügbar
» Umschaltbare Netzwerkschnittstellen
» SINA Management im
Online-Betrieb
Die SINA L3 Box ist als VPN-Gateway eine zentrale IT-infrastrukturelle Kernkomponente
in Hochsicherheitsnetzwerken. Die zwischen den SINA Komponenten ausgetauschten
Daten werden in verschlüsselten VPN-Tunneln sicher übertragen. Die SINA L3 Boxen
verbinden Behörden- oder Firmennetze über öffentliche Leitungswege, beispielsweise
über das Internet. Darüber hinaus laufen die Zugriffe von SINA Clients auf (Terminal-)
Serverbereiche über vorgeschaltete SINA L3 Boxen als kryptographische Netzzugangspunkte.
Die SINA CORE-basierte SINA L3 Box H und der PEPP-basierte Vorgänger
SINA Box H sind die einzigen IP-basierten Kryptosysteme, die vom BSI
für die Übertragung von Verschlusssachen sowohl für die Einstufungen
GEHEIM und STRENG GEHEIM* zugelassen sind. Analog dem Vorgängermodell ist auch die SINA L3 Box H speziell für nationale und internationale
behördliche Hochsicherheitsnetze entwickelt, insbesondere militärische
Führungsinformationsysteme und Kommunikationssysteme.
Im direkten Vergleich mit der SINA Box H ist die SINA L3 Box H insbesondere SINA CORE-bedingt wesentlich performanter, leichter und robuster.
Das neue Kryptomodul ermöglicht zudem mit 19” 2 Höheneinheiten eine
kompaktere Bauform. Die neue SINA L3 Box H ist in vielerlei Hinsicht
noch flexibler einsetzbar, was sich u.a. in nachladbaren neuen KryptoGeräteklassen, erweiterten Temperaturbereichen, den direkt am Gerät
umkonfigurierbaren Netzwerkschnittstellen sowie einer moderateren
Leistungsaufnahme manifestiert. Darüber hinaus werden Online-Updates
der operativen Parameter (Datencontainer D2) der SINA CORE-Module
unterstützt. Außerdem ist ein Service-freundlicher Austausch von Akkus,
bzw. demnächst von langlebigen Batterien, ohne anschließende Kurzvermessung möglich.
IT-Sicherheitskonzept
Der SINA L3 Box H liegt ein ganzheitliches IT-Sicherheitskonzept zugrunde. Dieses umfasst insbesondere:
▀ eine gehärtete und intensiv evaluierte Linux-Systemplattform
▀ Smartcard-Technologie
▀ IPsec-basierte Kryptographie
▀ das Kryptomodul SINA CORE sowie
▀ zulassungskonform dimensionierte und konfigurierte Hardware,
Firmware und Software.
L3 Box H
Sicherer Systemstart und Betrieb
Unter Berücksichtigung der konkreten Gegebenheiten der IT-Infrastruktur und projektspezifischer kommunikativer Anforderungen sind die
SINA L3 Boxen H mit bis zu mehreren tausend Sicherheitsbeziehungen
einsetzbar. Die SINA L3 Box Software wird Coreboot gesichert vertrauenswürdig beim Systemstart vom Flash-Speicher geladen. Alle initialen Konfigurationsdaten und Sicherheitsbeziehungen der SINA L3 Box
werden in einem geschützten Bereich der SINA Smartcard gespeichert.
Beim Starten einer SINA L3 Box werden die Sicherheitsbeziehungen
zum SINA Management und den kommunikationsrelevanten SINA L3
Boxen als IPsec-VPN-Tunnel aufgebaut. Falls notwendig, werden zusätzliche Sicherheitsbeziehungen oder Konfigurationsdaten vom SINA
Management geladen. Das macht die SINA L3 Box sehr einfach in ihrer
Konfiguration, Installation und beim Austausch von Hardware.
Zulassungsrelevante Konstruktionsstände
Betriebsüberwachung
Im Betrieb protokollieren die SINA L3 Boxen überwachungsrelevante
Daten. Diese können in Netzwerkmanagementsysteme importiert und dort
bedarfsgerecht aufbereitet bzw. visualisiert werden.
Weitere Leistungsmerkmale beider Modellvarianten
SINA L3 Box H 200M Z1
SINA L3 Box H 200M 27A
Zulassungsgrad
GEHEIM
STRENG GEHEIM *
Firmware
Coreboot
Coreboot
Softwareversionen
2.2
2.2
SINA CORE-Geräteklasse
National v1.0 (PEPP-kompatibel)
National v1.0 (PEPP-kompatibel)
Manipulationsschutz
Integriert
Integriert
Abstrahlschutz
Zone 1 (SDIP 27 Level B)
SDIP 27 Level A
Authentifizierungstoken
SINA Smartcard
SINA Smartcard
Allgemeine technische Daten
Bauform
19” 2 HE
Gewicht
12 kg
Hochverfügbarkeit
Die Verfügbarkeit und Ausfallsicherheit von SINA L3 Boxen kann mittels
redundanter Konfigurationen erhöht werden. Dabei wird durch automatisches Umschalten die Funktion der ausgefallenen, bislang aktiven
SINA L3 Box durch eine zweite SINA L3 Box übernommen.
Leistungsaufnahme
80 W
Kryptohardware
Modul
SINA CORE 100
Verschlüsselungsleistung
180 M Bit/s bidirektional
Symmetrische
Kryptoverfahren
Libelle
Satellitenkommunikation
Der Einsatz von SINA L3 Boxen erfordert IP-fähige Transportnetze inklusive Satellitenkommunikationsstrecken. In Verbindung mit Sat-Optimierern
wird die verfügbare Bandbreite der Satellitenstrecken effektiv ausgenutzt.
Asymmetrische
Kryptoverfahren
EC-GDSA, EC-DH
Netzschnittstellen
3 x 100/1000 MBit LWL (umschaltbar)
1 x 100/1000 MBit in SINA CORE (umschaltbar)
Management
Die Konfiguration aller SINA L3 Boxen im Netzwerk erfolgt zentral durch
das SINA Management. Eine integrierte Public-Key-Infrastruktur mit zugehörigem Benutzermanagement unterstützt wesentliche administrative
Prozesse rund um die SINA Smartcards, insbesondere deren Personalisierung, die Generierung bzw. Aktualisierung von Schlüsseln und kryptographischen Parametern sowie die Verwaltung der zugehörigen PINs
und PUKs.
Steckertyp
LC
LAN-Anschlüsse
Sonstiges
Service-Klappe
Für Akku-Austausch, ab Q3 2014 mit Batterie
anschließende Kurzvermessung nicht erforderlich
Temperatur
Betrieb
+15 °C bis +45 °C
Transport
-25 °C bis +60 °C
* Bei Einsatzfällen, in denen Daten der Einstufung STRENG GEHEIM verarbeitet werden, ist das
Einsatzszenario und das IT-Sicherheitskonzept für die SINA L3 Box H gesondert mit dem BSI
abzustimmen.
Bezugsquellen
Behördenkunden in Deutschland können die SINA Komponenten aus dem Rahmenvertrag 5070 „Kryptiergeräte der SINA Familie“ des Beschaffungsamtes des Bundesministeriums des Innern beziehen.
Allen anderen nationalen und internationalen Kunden steht secunet gern zur Verfügung.
Weitere Informationen:
www.secunet.com/sina
secunet Security Networks AG
Kronprinzenstraße 30
45128 Essen
SINA-L3-Box H_D_02/14
Tel.:
+49 - 201- 54 54 - 0
Fax:
+49 - 201- 54 54 -1000
E-Mail: [email protected]
www.secunet.com