Boitiers de Chiffrement à vitesse évolutive

Datasheet
Boitiers de Chiffrement à vitesse évolutive
Boitiers “Tunnel-less” de 3Mbps à 10Gbps
Généralités
Les boîtiers de Chiffrement (CEP) à vitesse variable (VSE) sont des produits d’encryption multi-niveaux
qui chiffrent toutes vos données sans créer de « tunnel », tant pour l’ Ethernet (niveau2), les paquets
IP (niveau 3), que pour les réseaux IP et MPLS nécessitant la couche transport en clair (niveau 4).
Utilisant l’algorithme AES 256, les CEP VSE chiffrent en full-duplex et leur capacité varie de 3Mbps à
10Gbps (15 choix de débit possibles).
Basés sur un mécanisme de licences logicielles, les CEP VSE permettent aux entreprises de
rationaliser la sécurité de leurs communications tout en chiffrant à des vitesses variées, selon leurs
besoins. Capables d’évoluer en bande passante depuis la même plateforme matérielle, ils assurent
la flexibilité d’intégration et sécurisent l’investissement initial de l’entreprise. Sans compromettre
la performance, les CEP VSE s’intègrent facilement sur tout réseau existant et chiffrent de façon
transparente l’intégralité des échanges d’informations, ou des parties paramétrables.
FAMILLE DE PRODUIT
• Chiffrement de 3Mbps à Evolutivité et Chiffrement de Groupe
10Gbps
Les CEP VSE utilise le chiffrement de groupe évolutif pour fournir une connexion chiffrée any-to• Trame Ethernet niveau 2,
any authentifiée et de faible latence. Les clés de chiffrement sont générées et distribuées aux sites
Paquet IP niveau 3, et distants par la solution de gestion centralisée CipherEngine de Certes Networks. Fonctionnant sans
tunnels, le chiffrement de groupe réduit la complexité du déploiement et génère un chiffrement maillé couche transport niveau 4
très simple à administrer de façon centralisée.
• Authentification par trame ou paquet
Chiffrement de Trames Ethernet (niveau 2)
Les CEP VSEs sont compatibles avec toutes les topologies de niveau 2 unicast, multicast, point à
• Temps de latence en point, et any-to-any. Les CEP VSE authentifient également chaque trame Ethernet individuellement,
microsecondes
empêchant ainsi les attaques de type “man-in-the-middle”. Les politiques de chiffrement peuvent être
basées sur le VLAN ID pour la segmentation cryptographique des données, ou peuvent être mises en • Préservation des tags VLAN et MPLS
place pour chiffrer indifféremment toutes les trames Ethernet.
L’authentification des trames garantit la fiabilité des données reçues depuis un point éloigné de la
connexion d’origine. Alors que le chiffrement protège directement les données, sans authentification
les flux de données resteraient vulnérables à toute modification humaine dans les attaques de “manin-the-middle”. À la différence d’autres solutions de chiffrement, le VSE de Certes Networks permet
l’authentification des trames en continu, afin d’assurer que les flux de communication ne soient pas
compromis lors de leur transit sur les réseaux distants, privés ou publics.
Chiffrement de paquets IP (niveau 3)
La famille des CEP VSEs offre une protection des données complète pour les réseaux IP de niveau 3.
Elle utilise le protocole CipherEngine Payload Security (CE-ESP) afin de chiffrer le paquet IP, tout en
préservant le header IP original.
Cette fonctionnalité unique maintient la transparence du réseau, en fournissant une protection de
données maximale. En préservant le header original et en ne chiffrant que le payload, le CEP VSE
peut protéger des données sur n’importe quelle infrastructure IP (multi-transports, haute disponibilité,
load balancing, etc.)
Chiffrement du payload uniquement
A l’inversedu chiffrement IPsec (qui chiffre la Couche 4), le CEP VSE offre une Couche 4 compatible
à l’option de chiffrement “payload only”. Cette caractéristique unique, dont le brevet est en cours
d’homologation, permet à des services réseaux tels que Netflow/Jflow et le traffic shapping basé sur
le champ Class of Service (CoS), d’être maintenus par le prestataire de service réseau tandis que le
payload lui-même est chiffré.
Gestion centrale des polices de sécurité
Le CEP VSE peut être configuré et géré de manière centralisée au travers des polices de sécurité et
une gestion des clés grâce à l’outil CipherEngine. CipherEngine permet aux administrateurs réseaux
et sécurité de gérer rapidement et facilement la sécurité du réseau depuis une interface centralisée,
par une simple fonction de « drag and drop ». Les polices de chiffrement peuvent être liées aux
adresses sources ou adresses de destination IP, aux ports source ou destination, aux protocoles
IDs, ou aux tags VLAN. Les polices de sécurité peuvent être rapidement et aisément modifiées en
quelques secondes, même sur des réseaux de grande envergure, sans générer de perturbation au
niveau du trafic ou d’interaction sur le personnel travaillant en mode distant. CipherEngine fournit
également des mécanismes d’enregistrement et d’audit afin de répondre aux exigences en terme de
conformité et d’audit, et au-delà.
Fonctionnalités et bénéfices
• Débit de chiffrement variable
• Transparence pour le réseau et les applications
• Souplesse de déploiement
• Neutre pour l’infrastructure
• Installation et management simple
• Création de groupes sécurisés, sans tunnels
PROTECTION DES DONNEES
• Réseau IP site à site
• MPLS maillé
• Metro Ethernet et VPLS
• Voix et Vidéo sur IP
DS-VSE-FR-072611
Datasheet
Variable Speed Encryptors (VSEs)
Boitiers de chiffrement multi-niveaux “Tunnel-less” de 3Mbps à 10Gbps
Débit réseau
CEP10 VSE:
• 3, 6, 10, 25, ou 50Mbps
CEP100 VSE:
• 75, 100, 155, ou 250Mbps
CEP1000 VSE:
• 500Mbps, 650Mbps, ou 1Gbps
CEP10G VSE:
• 2.5, 5, ou 10Gbps
Algorithme de chiffrement
• AES: (256 bit keys) CBC mode
• 3DES (TDEA)
Authentification et Intégrité
• HMAC-SHA-1-96
Protocoles réseau
• Ethernet
• VLAN tag preservation
• MPLS tag preservation
• IPv4
• IPv6 (Layer 2 Ethernet encryption mode)
• NTP
Policy Selector
• Source et destination d’adresse IP
•Port source ou destination
• Protocol ID (L3 and L4 options)
• VLAN ID (L2 option)
• Multicast address
Protocoles de chiffrement
• CipherEngine ESP Tunnel Mode (option de preservation de header )
• CipherEngine ESP Transport Mode (L4 option)
• CipherEngine Ethernet ESP Mode
Device Management
• CipherEngine
• Command Line Interface
• Out-of-band management
• Alarm condition detection and reporting
• Syslog support
• SNMPv2c and SNMPv3 managed object support
• Audit Log
Options de sécurité de communications
• X.509 v3 digital certificates
• TLS ( authentification forte)
• SSH
• IKE/IPsec
Environnement
• Température de travail: 0° to 40° C (32° to 104° F)
• EU WEEE
• EU RoHS-5
Normes
• Sécurité: UL 60950-1
• Emissions pour CEP10, CEP1000, CEP10G VSEs: FCC part 15 subpart B class A
• Emissions pour CEP100 VSE: FCC part 15 subpart B class B
Indicateurs
• Power
• Alarm
• LED Status
• Link Status, Encrypting and 2x8 segment display (CEP10G VSE)
• Encrypting (CEP10G VSE)
Hardware
CEP10 VSE:
• Chassis 1U
• Dimensions: 1.6”H x 8.0”W x 5.8”D
• Rackable dans des racks standards de 19” ou option desktop
• Transformateur externe: 100-240V A/C @ 1.5A, 50/60Hz, output 12V D/C, 5A max (60W max)
• Thermique: In-rush 102 BTU/hr, Steady-state 102 BTU/hr
• Nominal input current: 0.25A
• Weight: 3 lbs as rackmount; 1 lb., 5 oz. as desktop
• MTBF: 388,999 hours
CEP100 VSE:
• 1U tamper evident chassis
• Dimensions: 1.75”H x 17”W x 10”D
• Rackable dans des racks standards de 19”
• Power: 100-240V A/C @ 4A, 50/60Hz, auto-sensing
• Thermal: In-rush 380 BTU/hr, Steady-state 140 BTU/hr
• Nominal input current: 1.0A
• Weight: 6 lbs
• MTBF: 59,794 hours
CEP1000 VSE:
• 1U tamper evident chassis
• Dimensions 1.75”H x 17”W x 10”D
• Rackable dans des racks standards de 19”
• Power: Dual A/C hot swappable [email protected] - [email protected], 47-63Hz, auto-
sensing
• Thermique: In-rush 380 BTU/hr, Steady-state 140 BTU/hr
• Nominal input current: .65A@110V
• Weight: 9 lbs
• MTBF: 158,520 hours
CEP10G VSE:
• 2U tamper resistant chassis
• Dimensions: 3.5”H x 17”W x 15”D
• Rackable dans des racks standards de 19”
• Power: 100-240V A/C @ 4A, 50/60Hz, auto-sensing
• Dual hot-swappable internal power supplies- AC or DC (-48V)
• Customer replaceable fan assemblies
Interfaces
CEP10 VSE:
• Data: Deux ports 10/100/1000 RJ45 Ethernet
• Management: Un port10/100 RJ45 Ethernet et un port RS232 serial
• Aux1 RJ45 port pour utilisation future
CEP100 VSE:
• Data: Deux ports 10/100/1000 Mbps RJ45 Ethernet
• Management: Un port 10/100 RJ45 Ethernet et un port RS232 serial
CEP1000 VSE:
• Data: Deux ports full-duplex Gigabit Ethernet avec interfaces SFP (single mode, multimode ou copper)
• Management: Un port 10/100 RJ45 Ethernet et un port RS232 serial
• Management port SFP et Aux1 SFP port pour une utilisation future
CEP10G VSE:
• Data: Deux ports full-duplex 10 Gigabit Ethernet avec interfaces SFP+ (single mode, multimode or copper)
• Management: Un port 10/100/1000 Ethernet RJ45, Un port Gigabit Ethernet (SFP) et Un port RJ45 serial
• 3 port full-duplex Gigabit Ethernet avec interfaces SFP (single mode, multimode or copper) ou Trois ports full-duplex 10/100/1000 Ethernet avec interfaces RJ45 (réservé pour une utilisation future)
• Deux ports USB (réservés pour une utilisation future)
Global Headquarters
300 Corporate Center Dr., Suite 140
Pittsburgh, PA 15108
Tel: +1 (888) 833-1142
Fax: +1 (412) 262-2574
www.CertesNetworks.com
[email protected]
Asia-Pacific Sales
[email protected]
EMEA Sales
[email protected]
Government Sales
[email protected]
DS-VSE-FR-072611