Switch KVM ServSwitch Secure VGA+USB EAL4+/TEMPEST

Le commutateur KVM ServSwitch™ Secure VGA+USB avec EAL4+/TEMPEST surpasse les caractéristiques de sécurité de la majorité des autres switchs KVM. Outre ses fonctionnalités supérieures d’isolation des données uniquement par le matériel, le commutateur a été certifié comme répondant aux critères communs d’évaluation jusqu’au niveau 4+ (EAL4+), en plus de ALC_FLR.2 et de ATE_DPT.2.
      Les critères communs constituent le procédé normalisé au niveau international d’évaluation, de validation et de certification dans le domaine de la sécurité informatique. Aux États-Unis, le programme des Critères communs est sous l’égide de Agence nationale pour la sécurité (NSA) à travers le Programme national pour la sécurité de l’information (NIAP). EAL4+ définit lui-même un jeu commun de tests pour évaluer la sécurité d’un produit informatique compte tenu de sa chaîne d’approvisionnement, depuis sa conception jusqu’à sa fabrication et sa distribution.
      Le commutateur KVM ServSwitch Secure VGA+USB offre le contrôle et la séparation de deux ou quatre UC de PC/serveurs reliés à des réseaux sécurisés et non sécurisés, depuis un seul poste clavier, écran et souris. Les utilisateurs peuvent commuter en toute sécurité entre les ordinateurs raccordés qui fonctionnent à différents niveaux de confidentialité.
      Qui plus est, il est qualifié TEMPEST USA NSTISSAM niveau I et OTAN SDIP-27 Niveau A. Cela signifie que le faible niveau de rayonnement émis par le switch répond aux exigences sur les émissions électromagnétiques par rayonnement ou conduction.
      La certification TEMPEST est souvent exigée par les organismes militaires. Cette norme de sécurité fait partie des contremesures technique, normes et instrumentation de sécurité qui empêchent ou réduisent l’exploitation des équipements de transmission de données vulnérables par des procédés de surveillance technique ou d’écoute.
      Les SW2009A-USB-EAL et SW4008A-USB-EAL disposent d’une interface pour lecteur de carte CAC (Common Access Card) qui peut vous apporter encore plus de sécurité sans faille.

Scénarios menaces/solutions
1. Empêcher la fuite de données entre les ports et le monde extérieur.

Menace 1.1 : le dysfonctionnement du microprocesseur ou du logiciel provoquent un flux de données entre les ports.
Solution : la transmission unidirectionnelle des signaux de l’ensemble clavier/souris est assurée par des "diodes de données" de sorte que la séparation de données ne dépend pas de l’intégrité des logiciels. Ainsi, il est impossible pour l’ordinateur de transmettre des données via le canal des signaux clavier et souris. Cette conception innovante garantie la séparation des données par les appareils et évite que les interfaces clavier/souris ne deviennent des canaux secrets de transmission entre les ordinateurs en cas de failles ou d’autre bugs imprévus du logiciel.
      De plus, les dispositifs clavier et souris peuvent uniquement être énumérés sur les ports clavier et souris. Tous les autres périphériques USB tels que les clés de mémoire seront empêchées de fonctionner, ce qui évitera tout téléchargement de données dans un sens ou dans l’autre.

Menace 1.2 : la proximité physique entre les ports permet la fuite de données.
Solution : on améliore l’isolation en plaçant les ports rouge et noir aux extrémités opposées du commutateur.

Menace 1.3 : commutation accidentelle.
Solution : le mode verrouillé désactive toutes les fonctions de commutation par raccourcis clavier et souris à la fois par logiciel et par matériel de telle sorte qu’une corruption des données ne puisse pas provoquer un changement de canal imprévu. Le seul moyen de changer de canal est d’utiliser les boutons en face avant. Il n’existe qu’un bouton par canal, ce qui évite toute ambiguïté. Un témoin visuel coloré confirme la sélection du canal.

Menace 1.4 : transmission de signaux en court-circuitant ou en chargeant l’alimentation.
Solution : chaque port UC est alimenté indépendamment par son port USB. Court-circuiter l’alimentation d’un port ne privera pas de coupure d’alimentation sur les autres ports . Les circuits clavier, souris et écran partagés sont alimentés par l’alimentation secteur. L’absence d’alimentation commune minimise les émissions électroniques.

Menace 1.5 : détection des signaux d’un ordinateur par recherche des signaux reçus par diaphonie (fuite) sur un autre ordinateur.
Solution : écart diaphonique minimal de 80 dB entre les signaux d’un ordinateur et les signaux d’entrée ou d’E/S d’un autre ordinateur. Il n’existe pas de connexion vers les entrées analogiques sensibles, tels que les ports pour microphone. En effet, les circuits électroniques pour microphone permettent d’enregistrer de faibles signaux analogiques. Même un très faible niveau de diaphonie pourrait être enregistré et servir de moyen pour qu’un ordinateur non sélectionné puisse lire des données destinées à un autre ordinateur.

Menace 1.6 : Les attaques par chrono-analyse (observation de l’activité sur un port pour déterminer les séquences de données sur un autre).
Solution : Un seul ordinateur à la fois est connecté sur un circuit partagé. Les liens sont unidirectionnels, empêchant ainsi la chrono-analyse.

Menace 1.7 : Émissions électromagnétiques.
Solution : Employer des câbles à faible émissivité afin de minimiser le rayonnement de signaux électromagnétiques. Le filtrage des connexions d’alimentation minimise les émissions sur le réseau électrique.

2. Éviter le stockage de données dans l’appareil lui-même.

Menace 2.1 : Transfert de données par stockage commun ou RAM commune.
Solution : à chaque changement de canal, l’alimentation des circuits partagés, du clavier et de la souris est coupée afin de supprimer de la mémoire volatile toute trace de la connexion précédente. Ceci efface toute la RAM, empêchant de transférer la moindre donnée résiduelle du canal vers un autre ordinateur. De plus, le contrôleur hôte USB et les périphériques USB partagés voient leur alimentation coupée, puis ils sont réinitialisés et énumérés de nouveau. Cela assure l’absence de données résiduelles récupérables.

3. Empêcher l’espionnage électronique.

Menace 3.1 : espionnage subversif par détection des rayonnements électromagnétiques émis par les équipements.
Solution : le boîtier métallique possède un double blindage aux endroits critiques et offre une faible émissivité pour contrer le risque d’écoute.

Menace 3.2 : forçage du commutateur.
Solution : le commutateur possède des scellés anti-intrusion à placer sur les vis à tête fraisée.

Conforme à l’ANT — OUI