Thiết bị mã hoá luồng Ethernet - R&S®SITLine ETH
Metro Ethernet là gì?
Metro Ethernet hay Carrier Ethernet được sử dụng để cung cấp đường truyền kết nối theo dung lượng được yêu cầu từ phía khách hàng dựa trên hợp đồng thoả thuận. Toàn bộ tính năng này tập trung tại lớp 2 của mô hình mạng ISO OSI. Kết quả là tất cả các giao thức, ứng dụng và dịch vụ có thể truyền qua cáp Ethernet sẽ được truyền đi dễ dàng qua mạng WAN.
R&S®SITLine ETH cung cấp giải pháp bảo mật mạnh mẽ với việc thiết lập cài đặt, dịch vụ và chi phí vận hành tối thiểu. Chức năng mật mã cao cấp được sử dụng để xác thực và mã hoá. Quá trình mã hoá được thực hiện trên Datalink (lớp 2 mô hình ISO OSI). Điều này giảm thiểu sự tác động và ảnh hưởng tới các giao thức truyền tin lớp cao hơn cũng như chất lượng và dung lượng của đường kết nối bảo mật.
Các ích lợi khi sử dụng R&S®SITLine ETH
Thiết bị R&S®SITLine ETH bổ sung thêm vào danh sách các ưu điểm của Carrier Ethernet bằng việc bảo vệ dữ liệu được truyền đi chống lại việc bị thay đổi nội dung và truy cập trái phép. R&S®SITLine ETH cung cấp khả năng bảo mật dữ liệu một cách chuyên nghiệp với chi phí tối thiểu việc tối ưu hoá cơ sở hạng tầng mạng IT sẵn có.
R&S®SITLine ETH không đòi hỏi băng thông bổ sung nào cho việc mã hoá đường kết nối Ethernet. Băng thông đường truyền sẵn có sẽ được tận dụng tối đa mà không làm suy giảm tốc độ truyền. Đối với các giải pháp khác, tuỳ thuộc vào công nghệ, sẽ đòi hỏi băng thông bổ sung để mã hoá đường truyền. Băng thông này sẽ chiếm dụng một phần đáng kể dung lượng đường truyền. R&S®SITLine ETH mã hoá “online” mà không gây trễ đáng kể nào (với đơn vị tính vài micrô giây).
Bảo vệ tất cả các dịch vụ liên lạc
Thiết bị R&S®SITLine ETH bảo mật dữ liệu trên lớp Ethernet. Bất kỳ dịch vụ cơ bản nào của viễn thông (thoại, dữ liệu, video) đều có thể được bảo mật trên đường truyền khi thông tin được truyền qua Ethernet sử dụng giao thức IP hoặc các công nghệ khác như cáp quang, IPX hoặc SNA. R&S®SITLine ETH không làm thay đổi chất lượng và dung lượng đường truyền.
R&S®SITLine ETH cung cấp khả năng linh hoạt và tính tương thích cao vì thiết bị hoàn toàn phù hợp với chuẩn Carrier Ethernet hoặc Metro Ethernet. Bằng việc mã hoá tại lớp Ethernet, đường kết nối bảo mật giữa các trung tâm và văn phòng có thể được thiết lập tại giao diện Ethernet mà không cần quan tâm đến công nghệ và phương thức truyền của mạng WAN. Đường truyền có thể được thiết lập qua nhiều công nghệ khác nhau, như WDM và DWDM, SDH và SONET, RPR, T-MPLS, PBB-TE, hoặc bằng IP/MPLS như dịch vụ Metro Ethernet EPL.
Dễ dàng tích hợp với cơ sở hạ tầng IT sẵn có hoặc trong tương lại
R&S®SITLine Ethernet có thể được thiết lập với gần như hầu hết các môi trường Carrier Ethernet. Thiết bị có những đặc điểm tích hợp cơ học sau: kích thước nhỏ gọn - định dạng 19 inh; khả năng mở rộng với việc nâng cấp từ một lên hai hoặc bốn cổng kết nối; dễ dàng thích nghi với các cơ sở hạ tầng vật lý thông qua bộ chuyển đổi SFP tuỳ theo các tốc độ 10/100Mbps hoặc 1Gbps và các cổng kết nối được thiết kế ở mặt trước.
Tích hợp thành phần quản lý mạng
Quản lý mạng và quản lý bảo mật hoạt động hoàn toàn độc lập
R&S®SITLine ETH nằm giữa giao diện mạng riêng và mạng công cộng. Người quản trị mạng có thẩm quyền truy cập vào thiết bị để quản lý các chức năng mạng. Tuy nhiên quyền truy cập vào các chức năng bảo mật sẽ bị kiểm soát bởi người quản trị bảo mật của mạng riêng (LAN). Thiết bị R&S®SITLine ETH cung cấp giải pháp hoàn hảo để đáp ứng yêu cầu này. Mỗi thiết bị có hai cổng truy cập hoàn toàn riêng rẽ: một cho quản lý mạng và một cho quản lý bảo mật. Những cổng này không chỉ riêng biệt bởi quyền truy cập tài khoản và password, mà còn tách biệt về mặt vật lý và giao thức truy cập (hình 1).
Hình 1: Mô hình Quản lý mạng và bảo mật riêng rẽ
Bảo mật chuyên nghiệp nhiều lớp
Hệ thống bảo mật chuyên nghiệp Rohde & Schwarz SIT kết hợp chặt chẽ phương thức mã hoá và quản lý bảo mật.
R&S®SITLine ETH hỗ trợ chuẩn mã hoá tiên tiến (AES) trong chế độ CFB và khoá 256 bit, đồng thời cung cấp các tuỳ chọn để thực hiện các thuật toán mã hóa khác cũng như thuật toán riêng của khách hàng.
Khoá phiên được sử dụng cho mỗi đường kết nối và cho mỗi hướng truyền. Khoá phiên được tạo bởi bộ tạo số ngẫu nhiên trên cơ sở phần cứng đáp ứng Tiêu chuẩn đánh giá chung (Common Criteria) EAL5+. Phương thức trao đổi khoá Diffie-Hellman sử dụng đường cong ellip với khóa có độ dài 257 bit, có độ mật tương đương với độ dài khoá 3200 bit của phương thức RSA được sử dụng rộng rãi.
Đối với dữ liệu truyền đi qua gói Ethernet trên lớp vận chuyển, có thể được mã hoá theo hai cách. Dữ liệu có thể được mã hoá khi sử dụng chế độ vận chuyển (transport) hoặc chế độ đường hầm (tunnel). Chế độ vận chuyển chỉ mã hoá nội dung của khung Ethernet nhưng vẫn giữ nguyên địa chỉ MAC. Chế độ đường hầm bổ sung thêm chức năng che giấu địa chỉ MAC gốc và thay bằng địa chỉ MAC do R&S®SITLine ETH tạo ra.
Xác thực giữa các điểm kết nối được thực hiện trước khi trao đổi khoá. Chứng chỉ theo chuẩn X.509 được sử dụng cho việc xác thực và đảm bảo tính bí mật. SHA-256 được sử dụng tạo chữ ký. Việc tạo, quản trị và từ chối những chứng chỉ này được thực hiện bởi R&S®SITScope.
Các thông số bảo mật được tải vào thiết bị một cách an toàn và độc lập bằng việc sử dụng thẻ token USB có gắn chip (thẻ token thiết bị). Thẻ token thiết bị này còn có thể được sử dụng để nạp tái khởi tạo cho thiết bị trong trường hợp cần thay thế hoặc nâng cấp.
Bổ sung phương thức bảo mật cơ học
Hình 2: Bảo mật chuyên nghiệp nhiều lớp
Bên cạnh các chức năng bảo mật cơ bản, R&S®SITLine ETH có một số đặc tính bảo mật cơ học và cơ điện tử để nhận dạng và bảo vệ chống lại sự tác động vào thiết bị. Phần hút khí và thoát khí được thiết kế một cách không thẳng hàng làm cho việc can thiệp từ bên ngoài vào thiết bị không thể thực hiện được. Ngay cả khi tắt nguồn, thiết bị vẫn nhận biết được các dấu hiệu khi bị tháo rời tấm bảng phía trước, các mođun giao tiếp hoặc vỏ máy. Khi đó thiết bị sẽ ngay lập tức tự động xoá các thông số bí mật của nó và “reset” lại các thông số của nhà máy. Một đặc tính bảo mật cơ học nữa là việc thiết kế riêng rẽ khu vực cốt lõi với các thành phần môđun giao tiếp của thiết bị. Ngay cả khi các giao diện môđun này được thay thế, cũng không thể truy cập vào khu vực lõi được.
Chi phí sở hữu tối thiểu
Các chức năng bảo mật của R&S®SITLine ETH có thể dễ dàng cấu hình, quản lý và vận hành. Theo thống kế của diễn đàn Metro Ethernet, chi phí sở hữu của dịch vụ Ethernet thấp hơn 25% đến 40% so với dịch vụ mạng khác và trong một số trường hợp có thể lên đến 90%. R&S®SITLine ETH được thiết kế dạng môđun. Điều này giảm thiểu chi phí đầu tư khi chỉ cần nâng cấp thiết bị. Tuỳ chọn cài đặt cục bộ phần mềm mới thông qua thẻ token USB đơn giản hoá khâu dịch vụ bảo trì cho thiết bị mà không làm ảnh hưởng đến các yếu tố bảo mật.
Ứng dụng tiêu biểu
Phiên bản đầu tiên của R&S®SITLine ETH được thiết kế bảo mật đường kết nối Carrier Ethernet từ đó thiết lập đường kết nối riêng Ethernet (EPL).
Hình 3: R&S®SITLine ETH trong đa môi trường mạng
Dịch vụ EPL có chức năng như đường thuê riêng Ethernet; đường kết nối bảo mật được thiết lập cho từng cổng của R&S®SITLine ETH. Tất cả dữ liệu truyền qua cổng được mã hoá cho từng hướng truyền với cùng khoá phiên. R&S®SITLine ETH có thể cùng một lúc mã hoá lên đến bốn đường kết nối EPL qua cơ sở hạ tầng 100BaseT
