Российский программно-аппаратный комплекс «Рубикон»
Состав и возможности
ПАК «Рубикон» выполняет функции межсетевого экрана, системы обнаружения вторжений и маршрутизатора. Комплекс сертифицирован ФСТЭК и Минобороны РФ

   Защищает:

  • Передачу данных через VPN-сети поверх незащищенной сети общего пользования.

  • Автоматизированные системы военного назначения, в которых обрабатывается информация, составляющая гостайну.

  • ГИС, ИСПДн и ИС, обрабатывающие информацию, содержащую сведения, составляющие государственную тайну.

  • ГИС и ИС, обрабатывающие конфиденциальную информацию, включая персональные данные.

  • Периметр корпоративной сети.

   Позволяет организовать:

  • Территориально распределенные защищенные сети поверх сети общего пользования.

  • Высокоскоростной и отказоустойчивый канал шифрования (ГОСТ) до 9 Гб/с.

  • Однонаправленную передачу данных в АС между сегментами разного уровня секретности.

  • Горячее резервирование на уровне устройств, портов и каналов связи.

  • Интеграцию с внешними системами анализа и управления событиями ИБ.

Состав ПАК «Рубикон»

Выполнение функций маршрутизации
ФСТЭК НДВ2 (ИТ.МЭ.Б2.ПЗ, ИТ.СОВ.С2.П3)
Сертифицированный межсетевой экран
ФСТЭК МЭ2/МЭ4 (ИТ.МЭ.А2.ПЗ, ИТ.МЭ.А4.ПЗ, ИТ.МЭ.Б4.ПЗ)
Система обнаружения вторжений IDS/IPS
ФСТЭК 2/4 класс (ИТ.СОВ.С2.ПЗ, ИТ.СОВ.С4.ПЗ)
Соответствие требованиям
МИНОБОРОНЫ РОССИИ
по 2 уровню контроля отсутствия недекларированных возможностей
Web-интерфейс управления с ролевой моделью доступа
HTTP-/FTP-PROXY, VPN-туннели
Однонаправленный шлюз
FTP

rubicon

Функции и требования

Программно-аппаратный комплекс «Рубикон» выполняет функции межсетевого экрана, системы обнаружения вторжений (СОВ) и маршрутизатора. Предназначен для организации эффективной защиты периметра сетей предприятий различного масштаба в соответствии с нормативными требованиями регуляторов.

«Рубикон» используется в автоматизированных системах военного назначения, в которых обрабатывается информация, составляющая государственную тайну. Комплекс сертифицирован ФСТЭК России и Министерством обороны РФ.

ПАК «Рубикон» соответствует требованиям ФСТЭК России

  • «Требования к межсетевым экранам» (ФСТЭК России, 2016) — по 4 классу защиты,
  • «Профиль защиты межсетевых экранов типов А четвертого класса защиты. ИТ.МЭ.А4.ПЗ» (ФСТЭК России, 2016),
  • «Требования к системам обнаружения вторжений» (ФСТЭК России, 2011) — по 4 классу защиты,
  • «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса защиты ИТ.СОВ.У4.ПЗ» (ФСТЭК России, 2012).

ПАК «Рубикон» включен в единый реестр российских программ для электронных вычислительных машин и баз данных (реестр российского ПО). Приказ Минкомсвязи России от 18.03.2016.

ПАК «Рубикон» соответствует требованиям Минобороны России

Сертификат Минобороны России № 5287 подтверждает соответствие требованиям Приказа МО РФ, в том числе:

  • по 2 уровню контроля отсутствия недекларированных возможностей согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.);
  • по соответствию реальных и декларируемых в документации функциональных возможностей.

Патент

  • патент на полезную модель RUS 159041 от 18.02.2015. Межсетевой экран с фильтрацией трафика по мандатным меткам.
  • Свидетельство о государственной регистрации

    • свидетельство Роспатента о государственной регистрации программы для ЭВМ №2011619338;
    • сведения об исключительном праве Минкомсвязи России №65286.

    Технические особенности

    Icon-1.png Скорость маршрутизации и производительность межсетевых экранов до 9 Гб/c.   Icon-3.png Поддержка протоколов динамической маршрутизации (RIP, BGP, OSPF), наличие статической маршрутизации.
      Icon-2.png Локальный журнал регистрации событий функционирования и безопасности. Запись всех событий ИБ в сети и оповещение администратора позволяет оперативно реагировать на события в сети.
          Icon-6.png
        Большая возможность использования различных сетевых интерфейсов в различном количестве и комбинаций: 1000 Base-T, 1000 Base-SX/LX, 10GbE Base-SR/LR, G.703 (GbE SFP, 10Ge SFP+) для интеграции в сети с разнообразными физическими каналами связи.
        Icon-5.png Все модели поддерживают отказоустойчивый кластер, что дает возможность организовать непрерывный доступ к корпоративной сети на всех иерархических уровнях.
        • возможность резервирования на уровне устройств (по протоколу CARP);
        • возможность резервирования на уровне портов (bridge, VLAN, bonding);
        • возможность резервирования на уровне каналов связи по средствам динамической маршрутизации с использованием протоколов OSPF, BGP;
          Icon-4.png Возможности трансляции и фильтрации:
          • возможность трансляции сетевых адресов;
          • выполнение фильтрации сетевых пакетов в режиме маршрутизатора (при использовании в режиме L3 коммутатора) по основным заголовкам сетевых пакетов;
          • выполнение фильтрации сетевых пакетов в прозрачном режиме (при использовании в режиме L2 коммутатора) по основным заголовкам сетевых пакетов;
          • возможность фильтрации сетевых пакетов по мандатным меткам отечественных защищенных операционных систем (Astra Linux и МСВС);
        Icon-4.png Возможность построения VPN туннелей с использованием протоколов IPSec, OpenVPN и GRE. Масштабирование сети без покупки дополнительных лицензий.
            Icon-8_.png Интеграция с внешними системами анализа и управления событиями информационной безопасности.
             
            • Наличие системы обнаружения вторжений (СОВ);
            • Наличие системы предотвращения вторжений;
            • Возможность анализировать средствами СОВ зеркалируемый трафик (посредством span-порта);
            • Возможность работы СОВ в прозрачном режиме;
            • Локальное и удаленное обновление базы правил СОВ.
              ico-monit Web-интерфейс управления с ролевой моделью доступа.

            «Рубикон» используется в автоматизированных системах военного назначения, в которых обрабатывается информация, составляющая государственную тайну. Комплекс сертифицирован ФСТЭК России и Министерством обороны РФ.


            Особенности

            Наши РУБИКОНы – доступны!
            • Младшие модели поддерживают весь функционал старших моделей. Модели отличаются только производительностью и количеством сетевых портов, а также количеством модулей расширения. Вам не нужно приобретать более дорогую версию ради дополнительных функций.
            • Изделия Рубикон не требует ежегодного лицензирования. Вы платите только за потребляемую электроэнергию.
            • Реализована возможность локального и удаленного обновления базы правил системы обнаружения вторжений.
            • Подробное техническое руководство на русском языке, организованные курсы и семинары по обучению и техническая поддержка в течение гарантийного периода сокращают затраты на обучение персонала.
            • Постоянное отслеживание изменений нормативных правовых актов, которые используются для внесения изменений в учебно-методические материалы и практическая направленность процесса обучения, а также согласование программ по информационной безопасности со ФСТЭК России в качестве программ повышения квалификации и профессиональной переподготовки руководителей и специалистов по информационной безопасности подтверждают преимущества наших продуктов и применяемых технологий.
            • Большая возможность использования различных сетевых интерфейсов в различном количестве и комбинацией.
            • Возможность применения изделий Рубикон в кузовах на колесных и гусеничных шасси.

            Рубиконы реализуют меры информационной безопасности:

            • Управление информационными потоками.
            • Защита периметра информационной системы.
            • Управление взаимодействием со сторонними ИС.
            • Передача и контроль меток безопасности.
            • Обнаружение вторжений.
            • Обновление базы решающих правил СОВ.
            • Контроль целостности ПО МЭ и СОВ.
            • Возможность восстановления работоспособности МЭ и СОВ.
            • Резервирование канала передачи данных.
            • Разбиение информационной системы на сегменты.
            • Обнаружение, идентификация и регистрация инцидентов.
            • Информирование ответственных лиц об инцидентах.

            Функциональные возможности

            Межсетевой экран

            Межсетевой экран

            Фильтрация пакетов:

            • по IP/MAC-адресам, портам, значениям байтов в теле пакета;
            • фильтрация, учитывающая состояние соединения (Stateful Packet Inspection);
            • фильтрация по расписанию;
            • фильтрация сетевых пакетов в режиме маршрутизатора (при использовании в режиме L3 коммутатора) по основным заголовкам сетевых пакетов;
            • фильтрация сетевых пакетов в прозрачном режиме (при использовании в режиме L2 коммутатора) по основным заголовкам сетевых пакетов;
            • фильтрация по мандатным меткам отечественных защищенных операционных систем (Astra Linux и МСВС);
            • фильтрация пакетов на прикладных уровнях (L7-filter);
            • transparent firewall;
            • защита от вирусов (с использованием дополнительного ПО).

            Трансляция пакетов:

            • NAT/PAT (трансляция входящего (DNAT) и исходящего (SNAT) трафика;
            • трансляция всех адресов в один адрес (masquerade);
            • трансляция сеть-в-сеть (netmap);
            • перенаправление трафика (redirect);
            • IPv6 transition: NAT-PT.

            Правила фильтрации

            Правила фильтрации
            Криптошлюз

            Криптографическая защита информации

            Криптографические туннели для защиты передачи данных

            • статические — с использованием симметричных ключей и на ключевых парах Dikey, c шифрованием и криптозащитой IP-трафика по алгоритму ГОСТ 28147-89;
            • возможность построение VPN туннелей с использованием протоколов IPSec, OpenVPN и GRE.

            Работа через NAT

            • инкапсуляция трафика в протокол UDP;
            • поддержка механизма nat-traversal.
            Обнаружение и предотвращение вторжений

            Система обнаружения и предотвращения вторжений

            • Наличие системы обнаружения вторжений (СОВ).
            • Наличие системы предотвращения вторжений.
            • Возможность анализировать средствами СОВ зеркалируемый трафик (посредством span-порта).
            • Возможность работы СОВ в прозрачном режиме.
            • Локальное и удаленное обновление базы правил СОВ.
            • Рубикон содержит систему обнаружения и предотвращения сетевых атак (IDS/IPS) на базе Snort. Работа системы возможна в режиме только обнаружения атаки или в режиме обнаружения и предотвращения атаки.
            • Анализ можно применять для маршрутизируемого трафика и для трафика, коммутируемого через сетевой мост.
            • Помимо стандартных широких возможностей системы Snort добавлена поддержка создания собственных правил анализа трафика и возможность записи дампов трафика, распознанного как атака. Управление системой и отображение статистики атак реализовано через портал управления безопасностью.

            Единый центр управления

            Единый центр управления

            Функциональные возможности

            Мониторинг (SNMP, Netflow, событий ИБ)
            • Отображение доступности сетевых устройств в реальном времени и статистика за предыдущие периоды.
            • Отображение статуса узлов на топологии сети.
            • Получение и отображение SNMP traps.
            • Отображение загрузки интерфейсов узлов.
            • Отображение загрузки памяти, процессора, дисковой подсистемы узлов и устройства в целом.
            • Отображение статистики по трафику в сети.
            • Отображение атак в виде списка с возможностью фильтрации.
            • Отображение атак в виде графика с возможностью фильтрации.
            • Вывод детальной информации по атаке (атакующий узел, атакуемый узел, CVE, pcap).
            • Формирование уведомление администратора об атаках с заданными критериями.
            • Формирование сводного дашборда мониторинга, его настройка.
            • Возможность построения собственных дашбордов.
            • Формирование оповещений по пороговым значениям на графиках.
            • Формирование оповещений о недоступности узлов.
            • Формирование оповещений о DoS-атаках.
            • Отображение возможных реакций на задание различных реакций на различные типы событий и срабатывание правил корреляции.
            • Отображение и редактирование списка правил корреляции.
            Отчеты
            • Формирование отчета о доступности сетевого устройства за период, график и проценты.
            • Формирование отчета со списком и графиком атак за период.
            • Формирование отчета со статистикой атак за период с различными критериями.
            • Формирование отчета с наиболее популярными категориями угроз.
            • Формирование отчета с типами инцидентов.
            • Формирование отчета с наиболее популярными целями атак.
            • Формирование отчета с наиболее популярными категориями угроз.
            • Поиск событий с помощью фильтров и группировка событий в журнале средства обнаружения вторжений.

            Управление устройствами

            Общие функции
            • Добавление/изменение/удаление узла, настройки доступа и получаемых логов с узла.
            • Отображение списка узлов, группировка узлов.
            • Экспорт/импорт списка узлов
            • Включение и выключение СОВ(IPS/IDS) на Dionis-NX.
            • Загрузка правил СОВ и выгрузка (получение информации о загруженных на узел правилах).
            • Настройка правил СОВ, ввод пользовательских правил СОВ.
            • Настройки приоритетов правил СОВ.
            • Доступ к журналам работы СОВ.
            • Возможность подключиться к любому узлу по SSH.
            • Ролевое управление доступом к функциям системы.
            Управление списками доступа (ACL, NAT)
            • Отображение для каждого узла созданных списков ACL, NAT.
            • Создание и редактирование списков, контроль синтаксиса.
            • Отображение всех интерфейсов узла.
            • Сканирование/проверка открытых адресов/портов.
            • Управление сетевыми объектами и группами сетевых объектов.
            • Управление ACL при помощи политик с использованием сетевых объектов или групп сетевых объектов.
            Туннели
            • Отображение туннеля или туннельных интерфейсов парой (парой узлов) + связанные маршруты.
            • Создание туннелей типа Ditun.
            • Анализ и добавление конфигурации туннелей на основе полученной информации из конфигурации с возможностью редактирования.
            • Отображения счетчика пакетов, объема переданного трафика.
            • Изменение настроек (и ключей) в паре и индивидуально.
            • Включение и выключение туннелей индивидуально.
            • Отображение всех интерфейсов и маршрутов узла.
            • Отображение состояния туннелей (keepalive).
            • Замена номера серии для всех туннелей узлов.
            Менеджер конфигураций
            • Отображение списка конфигураций по списку узлов с группировкой узлов.
            • Отображение последней загруженной конфигурации узла.
            • Хранение конфигураций узлов (истории изменений конфигураций).
            • Редактирование конфигурации узлов.
            • Получение конфигураций по расписанию для каждого узла.
            • Сравнение двух конфигураций в истории одного узла и между двумя узлами.
            • Отображение изменений при сравнении конфигураций узлов.
            • Формирование уведомления о нахождении различий полученной конфигурации с эталонной конфигурацией.
            • Отправка, применение конфигурации startup-config на узле с перезагрузкой.
            • Безопасное применение конфигурации с автоматическим откатом при проблемах.
            Скрипты
            • Отображение и редактирование переменных и шаблонов переменных по списку узлов.
            • Отображение списка скриптов.
            • Выполнение скриптов на устройстве или группе устройств.
            Политики
            • Задание сетевых объектов, группы сетевых объектов, сервисов.
            Управление и мониторинг

            Управление и мониторинг

            Поддерживаются аутентификация и авторизация пользователей через серверы Radius и TACACS+.

            Локальное управление (интерфейс командной строки):

            • локальная консоль (клавиатура и монитор, возможно подключение монитора по DisplayLink);
            • терминал через порт RS-232.

            Удаленное управление:

            • интерфейс командной строки;
            • по протоколам SSH и telnet;
            • WEB-интерфейс управления по протоколу HTTP с ролевой моделью доступа.

            Удобство управления:

            • групповые объекты ACL, NAT, PBR;
            • архиватор.

            Ролевая модель управления:

            • возможность задания множества администраторов с назначаемыми правами управления и мониторинга.

            Развитые механизмы обслуживания:

            • удаленное обновление программного обеспечения;
            • возможность установки нескольких версий на одну аппаратную платформу;
            • привязка слотов данных (настроек) к версиям программного обеспечения;
            • контроль целостности программного обеспечения;
            • резервное архивирование и восстановление, в том числе по сети;
            • назначение умалчиваемой, резервной и экспериментальной версий ПО;
            • автоматический переход на резервную версию ПО при неуспешном запуске.

            Трассировка:

            • отслеживание приема, пути и отправки пакета в маршрутизаторе, его трансформаций, попадания в фильтры.

            Ведение журналов:

            • регистрация в системных журналах различных событий функционирования и безопасности (в том числе протоколирование работы фильтров) и действий администраторов;
            • статистика по IP-адресам.

            Мониторинг:

            • SNMP, NetFlow v1/v5/v9, Syslog;
            • LLDP;
            • отзеркаливание трафика (mirroring);
            • отслеживание сообщений в журналах по заданному шаблону с возможностью отправки на E-mail;
            • текущий мониторинг загрузки системы и интерфейсов на консоли.
            Интерфейсы

            Интерфейсы

            • Ethernet с возможностью задания нескольких IP-адресов на одном интерфейсе;
            • VLAN с поддержкой QinQ;
            • интерфейсы сетевой виртуализации VXLAN;
            • туннельные интерфейсы: GRE/GRETAP с контролем состояния туннеля, L2TP с возможностью упаковки в туннель IPSec, PPTP, PPPoE;
            • агрегированные интерфейсы Bond с различными алгоритмами балансировки: поочередное циклическое использование (balance-rr), резервирование (active-backup), распределение по хеш-функции (balance-xor), одновременная передача (broadcast) по стандарту IEEE 802.3ad, адаптивная балансировка передачи (balance-tlb), адаптивная балансировка на приеме (balance-alb);
            • скоммутированные интерфейсы Bridge с поддержкой протокола STP;
            • интерфейсы беспроводных адаптеров Wi-Fi и модемов 3G/LTE;
            • E1 (HDLC);
            • VPN-интерфейсы OpenVPN (клиент/сервер);
            • туннельные интерфейсы Ditun/Ditap (L3VPN/L2VPN) с поддержкой криптозащиты трафика по алгоритмам ГОСТ и контролем состояния туннеля.
            Сетевые сервисы

            Сетевые сервисы

            Cлужбы:

            • DHCP, DHCP6, DHCP-Relay, DHCP-Relay6;
            • DNS/EDNS (клиент/сервер);
            • NTP (клиент/сервер);
            • HTTP-прокси;
            • FTP-сервер и FTP-прокси;
            • измерительные утилиты NetPerf и IPerf (клиент/сервер);
            • SLAgent: агент измерителя качества каналов.
            • возможность совместного использования HTTP-прокси с внешним антивирусом по протоколу ICAP;
            • возможность использования различных сетевых интерфейсов в различном количестве и комбинаций.
            Оптимизация производительности

            Оптимизация производительности

            • трансляция ARP (proxy-arp);
            • фильтрация ARP только для одного интерфейса (arp-filter);
            • управление размером TCP MSS (path-mtu-discovery, adjust-mss);
            • равномерное распределение входящих пакетов по очередям обработки (RSS);
            • использование аппаратных возможностей сетевого адаптера (offload);
            • уведомление о заторах без отброса пакетов (ECN);
            • управление перегрузками FIFO, PQ, CQ, WFQ, CBWFQ;
            • избежание перегрузок WRED/RED.
            Качество сервиса (QoS)

            Качество сервиса (QoS)

            • классификация трафика по IP/MAC-адресам, портам и значениям байтов, битам поля CoS фрейма Ethernet и поля TOS/DSCP заголовка IP, наследование значения из заголовка Ethernet в заголовок IP и в заголовок туннеля IPoverIP. Предоставление политик обслуживания, в том числе гарантированной и максимальной полосы пропускания для различных классов трафика;
            • управление полосой пропускания и приоритизация могут быть реализованы с помощью различных политик (HTB, Prio и PrioToS) и различных алгоритмов приоритизации (codel/fqcodel, RED/GRED и SFQ). В политиках обеспечивается двухуровневая иерархия очередей.
            Резервирование

            Резервирование

            Кластеры

            • отказоустойчивый аппаратный кластер с горячим резервированием (активный/пассивный, с передачей информации о текущих соединениях);
              • возможность резервирования на уровне устройств (по протоколу CARP);
              • возможность резервирования на уровне портов (bridge, VLAN, bonding);
              • возможность резервирования на уровне каналов связи посредством динамической маршрутизации с использованием протоколов OSPF, BGP;

            Схема горячего резервирования

            Схема горячего резервирования

            Одно из устройств работает в активном режиме, второе - в режиме ожидания. Если первое устройство отключается, второе устройство переключается в активный режим. Сетевые настройки обоих устройств синхронизируются в автоматическом режиме.

            Общение и связь

            Общение и связь

            • XMPP — протокол обмена сообщениями;
            • Tox — протокол для текстовой, голосовой и видеосвязи.
            Маршрутизация

            Маршрутизация

            • статическая маршрутизация TCP/IP (v4);
            • статическая маршрутизация TCP/IP (v6);
            • маршрутизация на основе политик (PBR) IPv4/IPv6 с учетом классификации трафика, с контролем состояния маршрута;
            • динамическая (протоколы OSPFv2/v3, BGPv4/v6, RIP, RIP-NG) с использованием карт маршрутов (route-map) и протокола быстрого обнаружения недоступности соседа (BFD);
            • маршрутизация мультикаст-трафика (статическая, динамическая по протоколам IGMP, DVMRP, PIM);
            • MPLS (многопротокольная коммутация по меткам) — c возможностью статической и динамической коммутации по меткам (LDP) и построением L2/L3-туннелей с использованием интерфейсов Ditap/Ditun с криптозащитой и без;
            • VRF — технология, позволяющая реализовывать на базе одного физического маршрутизатора несколько виртуальных, каждого со своей независимой таблицей маршрутизации. VRF в связке с технологией MPLS и BGP реализуют (MP-BGP, MPLS-L3 VPN).
            Защищенное исполнение
            Возможность применения изделия в кузовах на колесных и гусеничных шасси (исполнение НПЕШ.465614.002-37 и НПЕШ.465614.002-27).
            Мы всегда рады вашим вопросам и предложениям!
            Воспользуйтесь формой слева, чтобы задать ваш вопрос, оставить отзыв или предложение. Любая обратная связь приветствуется и вы обязательно в скорем времени получите ответ от руководства.
            Name
            Email
            Phone
            Имя
            Телефон
            E-mail
            Выберите дату
            Комментарий
            Спасибо, Ваша заявка отправлена!
            Личный кабинет
            Ваш логин
            Ваш пароль
            141734, МО, г. Лобня, Текстильная ул, д. 1, этаж 3, помещ. 70
            Посмотреть на карте