Komunikacja poprzez Internet ma swoje zasadnicze wady:

Otwarta komunikacja ze standaryzowanymi protokołami wprowadza ryzyko utraty bezpieczeństwa przesyłania danych. Każdy użytkownik posiadający adres IP innego użytkownika może być potencjalnym intruzem.
Bezpieczeństwo w tak wielkich środowiskach sieciowych jest ważnym czynnikiem mającym ogromne znaczenie. Z pomocą HC-7800 Szyfrowanego Systemu VPN , Crypto AG gwarantuje bezpieczeństwo w sieciach IP (INTRANET, INTERNET, VPN).
System zawiera: (a) HC-7820 – jednostka szyfrująca dla połączeń sieci WAN-WAN lub LAN-LAN i ich kombinacji (b) HC-6378 (PCMCIA Card) do szyfrowania danych w wydzielonych PC lub połączonych z siecią za pomocą np. Dial-up oraz (c) centrum zarządzania SNMC-7000.



Strategia : Virtual Private Network (VPN)

Virtual Private Networks (VPN) jest strategią Crypto AG gwarantującą wysokie bezpieczeństwo w rozbudowanych środowiskach sieciowych IP.
Zalety sieci Krypto VPN
•    sieć prywatna może być łączona poprzez publiczne sieci komunikacyjne np. Internet.
•    sieć prywatna posiada nieznaną dla sieci publicznej topologię.
•    brak wymiany informacji pomiędzy sieciami publiczną i prywatną.
•    sieć prywatna może używać otwartej sieci jako medium transmisyjnego.
•    dostęp do sieci i aplikacji jest możliwy tylko i wyłącznie poprzez szyfrowane tunele pomiędzy urządzeniami z odpowiednio ustawionymi parametrami komunikacyjnymi.

Szyfrowane tunele IP

Szyfratory HC połączone są poprzez Internet bezpiecznym tunelem komunikacyjnym, każdy z nich jest szyfrowany oddzielnym kluczem komunikacyjnym.
Ruch w tunelu (IP datagrams) jest szyfrowany poprzez sprzętowy szyfrator zgodny z ESP (IP Encapsulating Security Payload) i nagłówkiem (RFC 1827). Poniżej – na czerwono – zaznaczone połączenia szyfrowane w typowej sieci:


Zastosowanie

System VPN HC-7820 może być używany w różnych sieciach IP i sytuacjach, typową aplikacją jest połączenie LAN-LAN poprzez sieć publiczną. W tym przypadku system gwarantuje bezpieczeństwo danych i zabezpiecza przed dostępem nieautoryzowanych użytkowników do sieci LAN.
Jeśli tylko pewna część sieci LAN powinna być chroniona można ją podzielić na segmenty przy użyciu np. HC-7820 VPN Encryption.

Karty HC-6378 (PCMCIA Card) szyfrują również wszystkie dane znajdujące się na dysku lokalnym komputera. Wszystkie dane wychodzące i przychodzące do komputera wyposażonego w HC-6378 są szyfrowane. Możliwa jest komunikacja za pomocą dowolnego medium – również sieci GSM/GPRS.


Bezpieczeństwo
HC-7820 bazuje na szyfrowaniu IP payload w trybie Cipher Block Chaining Mode (CBC) co gwarantuje autentyczność nagłówka IP .
•    Algorytmy HCA-480-C i HCC-480 zaimplementowane sprzętowo spełniają najsurowsze wymagania bezpieczeństwa.
•    Architektura sieci nie może być manipulowana.
•    Architektura bezpieczeństwa IP bazuje na RFC-1825, RFC-1826 i RFC-1827 odniesionych do IPsec
•    Indywidualny klucz komunikacyjny (CK) jest obliczany i używany dla każdego wirtualnego tunelu.
•    Zarządzanie bezpieczeństwem danych systemu za pomocą SNMP i przy pomocy dodatkowego algorytmu (HCA-480-M)

Szyfrowanie zawartości pakietu IP
Szyfrowanie zawartości pakietu IP przeprowadzane jest przy użyciu sprzętowej technologii szyfrującej algorytmem HCA-480-C zawartym w procesorze szyfrującym HCC-480.
Szyfrowanie jest niezależne od mediów transmisyjnych i w pełni kompatybilne z IP Routing (RFC1812). Jeśli pakiet jest wysyłany z strony zaufanej (Home Interface), HC-7820 sprawdza adres docelowy IP i tworzy prywatną tabelę routingu, aby wybrać właściwy klucz komunikacyjny (CK) do zaszyfrowania danych.
W szyfratorze HC cały pakiet IP jest szyfrowany i nadawany jest nowy nagłówek IP.

Szyfrowanie tunelu IP
Tryb szyfrowania tunelu pozwala na ukrycie routera , topologii sieci adresów hosta i adresów sieci zaufanej (strona home) ze strony publicznej (world). Własna struktura sieci jest nieznana dla nie bezpiecznej sieci publicznej (aspekt translacji adresów NAT).

Zarządzanie
System zarządzania SNMP-700 jest oparty na HP Open View i umożliwia wygodne zarządzanie bezpiecznymi sieciami Crypto VPN. Automatyzuje wymianę i kontrolę kluczy, umożliwia sprawne zarządzanie tunelami VPN. Poniżej ilustracja dystrybucji/wymiany kluczy:


SNMC-7000 służy do zarządzania wszystkimi urządzeniami zawartymi w zabezpieczonej sieci VPN. Poniżej rysunek podłączenia SNMC-7000 do sieci:


HP Open View, o który jest oparta część sieciowa SNMC-7000 pozwala zobrazować sieć oraz przekazuje operatorowi informacje o zdarzeniach sieciowych (braku łączności etc.).