Appliance da solução Dispositivo de segurança especializado em proteção contra ataques DDoS

Transcrição

1 GOVERNO DO ESTADO DE MINAS GERAIS ITEM 3478-_M.PDF Appliance da solução Dispositivo de segurança especializado em proteção contra ataques DDoS Item/subitem Descrição Exigência.. O appliance da solução deve estar equipado com (um) processador Intel Xeon de.4ghz ou equivalente; memória RAM de GB; e HD de GB, SSD, em RAID. A solução deve prover capacidade de throughput mínimo de 5 Mbps em um único appliance;. A solução deve implementar bypass de hardware em todas os suas interfaces de proteção..3 A solução deve ser implementada em modo in-line, atuando como ponte nível, de forma a não modificar de modo algum os pacotes atravessando o dispositivo, mas ao mesmo tempo permitindo descartar pacotes considerados malignos..4 A solução deve ser capaz de suportar um modo de teste "inativo" quando configurado in-line, que permita o ajuste de configurações de proteção, sem bloquear qualquer tráfego. Deve permitir geração de relatórios de todo o tráfego que seria bloqueado se estivesse no modo ativo. Arquitetura e Escalabilidade.5 A solução deve suportar um modo de implantação monitorado, em que não se introduz nenhum ponto de falha adicional na rede..6 A solução deve ser capaz de capturar o tráfego diretamente de uma porta mirror (SPAN) em um roteador, switch ou NETWORK TAP..7 A solução deve suportar uma configuração que nunca permita passar qualquer tipo de tráfego entre as portas de proteção ao monitorar portas em mirror, SPAN, ou NETWORK TAP, para evitar a entrada de tráfego duplicado..8 A solução deve suportar duas fontes de alimentação AC com redundância..9. A solução deve suportar hot-swapping de fontes de alimentação danificadas, permitindo a troca durante a operação normal da solução. A solução deverá estar em conformidade com a diretriz RoHS Directive /95/EC. Interfaces. 8 (oito) interfaces // BaseT (cabo metálico) com conectores RJ45.. (duas) interfaces // BaseT (cabo metálico) com conectores RJ45 para gerenciamento. 3. A solução deve fornecer documentação on-line na GUI para ajudar os usuários a entender as funções em cada tela. Gerenciamento A GUI deve permitir acesso para vários níveis de acesso, incluindo os níveis de administrador e operador. A GUI da solução deve incluir um arquivo log com registro de todos os eventos relevantes que possam afetar a sua administração, incluindo logins do usuário, as alterações de configuração, os comandos CLI e atualizações da solução. Página de 7

2 GOVERNO DO ESTADO DE MINAS GERAIS ITEM 3478-_M.PDF A solução deve fornecer a capacidade de criar e exportar arquivos de diagnóstico com informações de configuração e de status para serem usados para solucionar problemas. A solução deve fornecer a capacidade de gerenciar seus arquivos através da GUI, incluindo upload, download e exclusão. A solução deve possuir uma interface CLI que forneça funções de monitoramento da solução. A solução deve permitir a uma escolha de SYSLOG, SNMP ou notificações SMTP para alertas da solução. A solução deve mudanças no modo de implantação (ativo / inativo) e mudanças de nível de proteção de forma online. A solução deve permitir o monitoramento de seu estado geral via SNMP v ou v3. A solução deve permitir visualizar, pesquisar e excluir alertas ativos e expirados através da GUI. A solução deve permitir a criação, exclusão e gerenciamento de contas de usuário através da GUI. Toda a comunicação externa à solução deve ser gerenciada através de um firewall interno para a filtragem de pacotes de forma que apenas os endereços e serviços necessários sejam permitidos. 4. O acesso à interface CLI deve ser fornecido usando SSH. 4. O acesso à GUI da solução deve ser via HTTPS. Protocolos inseguros não devem ser permitidos. 4.3 A solução deve permitir a configuração de múltiplas contas de usuário local. Segurança 4.4 A solução deve fornecer controles de acesso por nível de usuário baseado em tokens, os quais podem ser atribuídos a usuários ou grupos de usuários para fazer cumprir a separação por perfil de privilégios. 4.5 Devem ser permitidos que usuários sem privilégios administrativos gerenciem senhas e configurações de suas próprias contas, mas não possam visualizar ou alterar contas de outros usuários. 4.6 A solução deve fornecer listas de controle de acesso IP para todos os serviços remotos acessíveis. 4.7 A solução deve contemplar protocolos AAA através de banco de dados de usuário local, RADIUS, TACACS, ou uma configuração de métodos combinados. 5. A solução deve suportar configuração via navegadores web. Interface de Usuário A solução deve fornecer uma interface CLI acessível através da rede e / ou de conexão console. 5. A solução deve fornecer um painel de status, o qual deve incluir informações sobre alertas ativos, todas as proteções aplicadas, tráfego total, bloqueado e Página de 7

3 GOVERNO DO ESTADO DE MINAS GERAIS ITEM 3478-_M.PDF das interfaces além do status de CPU e Memória da solução A solução deve exibir uma lista de proteções ativas juntamente com estatísticas resumidas sobre a quantidade de tráfego descartado e que passou, para cada grupo de proteção configurado. A solução deve fornecer estatísticas e gráficos detalhados para cada proteção, mostrando o seu impacto sobre o tráfego nos últimos 5 minutos, hora, 4 horas, 7 dias ou um intervalo personalizado especificado. A solução deve exibir estatísticas em tempo real de proteção do tráfego, em bytes e pacotes, com taxas em bps e pps. As estatísticas e gráficos detalhados para cada grupo de proteção para servidores genéricos devem incluir informações sobre o tráfego total, o total que passou e o total bloqueado, o número de hosts bloqueados, as estatísticas sobre cada tipo de prevenção, o tráfego por URL, o tráfego por Domínio, informações de localização de IP, a distribuição do tráfego por protocolo e por serviço, e as estatísticas sobre hosts bloqueados. As estatísticas e gráficos detalhados para cada grupo de proteção para servidores Web devem incluir informações sobre o tráfego total, o total que passou e o total bloqueado, o número de hosts bloqueados, as estatísticas sobre cada tipo de prevenção, o tráfego por URL, o tráfego por Domínio, informações de localização de IP, a distribuição do tráfego por protocolo e por serviço, e as estatísticas sobre hosts bloqueados. As estatísticas e gráficos detalhados para cada grupo de proteção para o DNS Servers devem incluir informações sobre o tráfego total, o total que passou e o total bloqueado, o número de hosts bloqueados, as estatísticas sobre cada tipo de prevenção, o tráfego por URL, o tráfego por Domínio, informações de localização de IP, a distribuição do tráfego por protocolo e por serviço, e as estatísticas sobre hosts bloqueados. As estatísticas e gráficos detalhados para cada grupo de proteção para servidores VoIP devem incluir informações sobre o tráfego total, o total que passou e o total bloqueado, o número de hosts bloqueados, as estatísticas sobre cada tipo de prevenção, o tráfego por URL, o tráfego por Domínio, informações de localização de IP, a distribuição do tráfego por protocolo e por serviço, e as estatísticas sobre hosts bloqueados. A solução deve permitir a geração de relatórios em PDF contendo as estatísticas e gráficos detalhados para cada grupo de proteção. A solução deve permitir a geração de s de relatórios com estatísticas e gráficos detalhados para cada grupo de proteção. A solução deve fornecer acesso a uma interface CLI via RS-3 porta de console serial. Mitigacao de Ataques DDoS na Nuvem 6. A solução deve fornecer a capacidade de solicitar, através de um protocolo de sinalização, a um provedor de serviços na "nuvem" para que esse possa iniciar o processo de cloud mitigation quando seu uplink estiver sob intenso ataque DDoS. 6. A solução deve suportar a funcionalidade "cloud signaling, permitindo o atendimento à solicitação de cloud mitigation a partir do provedor de seu link Página 3 de 7

4 GOVERNO DO ESTADO DE MINAS GERAIS ITEM 3478-_M.PDF Internet ou a partir de um MSSP (Managed Security Services Provider) na "nuvem" e não diretamente ligado ao seu site 6. A solução deve ser capaz de desencadear o pedido de cloud mitigation manualmente ou automaticamente através de limites configuráveis de tráfego 6.3 A solução deve gerar automaticamente relatório de status e estatísticas sobre um processo de cloud mitigation iniciado pelo provedor de serviços sem autorização prévia 6.4 A solução deve ser capaz de informar a quantidade de tráfego bloqueado por processo de cloud mitigation em curso, em bps e pps 6.5 A solução deve ser capaz de informar a quantidade de tempo em execução de um processo de cloud mitigation. 6.6 A solução deve ser capaz de relatar o status atual de um processo de cloud mitigation solicitado, informando se foi ativada com sucesso na nuvem ou não 6.7 A solução deve enviar notificações sobre mudanças/alterações no processo de cloud mitigation. 6.8 A solução deve ser capaz de relatar o status da conexão com o provedor de Internet, mostrando o status da conexão, erros de conexão e se ele foi desativado. 6.9 A solução deve ser capaz de disparar manualmente um teste de conexão com o provedor de Internet que oferece cloud signaling. 7. A solução deve ser capaz de bloquear pacotes inválidos (incluindo verificação para Malformed IP Header, Incomplete Fragment, Bad IP Checksum, Duplicate Fragment, Fragment Too Long, Short Packet, Short TCP Packet, Short UDP Packet, Short ICMP Packet, Bad TCP / UDP Checksum, Invalid TCP Flags, Invalid ACK Number) e fornecer estatísticas para os pacotes descartados. A solução deve permitir a configuração de listas de filtros contendo expressões FCAP para descartar ou permitir a passagem do tráfego. A solução deve ser capaz de detectar as fontes que emitem quantidades excessivas de tráfego de acordo com parâmetros configuráveis e depois deve colocar temporariamente essas fontes numa lista de hosts bloqueados. Prevenções a Ataque 7.3 A solução deve ser capaz de descartar pacotes de portas TCP especificadas com cargas correspondentes ou não a uma expressão regular configurável. 7.4 A solução deve ser capaz de descartar pacotes de portas UDP especificadas com cargas correspondentes ou não a uma expressão regular configurável. 7.5 A solução deve suportar Spoofed TCP SYN Flood Prevention que autentica conexões TCP a partir do host de origem. 7.6 A prevenção de pacotes Spoofed TCP SYN Flood deve ser capaz de especificar as portas TCP de origem e destino para serem ignoradas. 7.7 A prevenção de pacotes Spoofed TCP SYN Flood deve fornecer uma maneira de não impactar nas sessões HTTP dos usuários autenticados, através de subsequentes redirecionamentos. Página 4 de 7

5 GOVERNO DO ESTADO DE MINAS GERAIS ITEM 3478-_M.PDF A prevenção de pacotes Spoofed TCP SYN Flood deve prover uma opção ao TCP RST enviado a clientes, de forma a evitar problemas com aplicações sensíveis a esta técnica, desta forma o método empregado para esta prevenção deverá suportar o envio de um pacote ACK fora de sequência e desta forma forçar um soft restart da conexão. A solução deve permitir o descarte de sessões TCP ociosas se o cliente não enviar uma quantidade de dados dentro de um período de tempo configurável. A solução deve ser capaz de barrar um host após um determinado número configurável de consecutivos TCP inativos. A solução deve ser capaz de bloquear pedidos de DNS na porta 53 que não estejam em conformidade com os padrões RFC. A solução deve ser capaz de autenticar as solicitações de DNS dos hosts de origem e descartar aqueles que não podem ser autenticados dentro de um prazo especificado. A solução deve ser capaz de limitar o número de consultas DNS por segundo através da configuração de uma taxa pelo usuário. A solução deve ser capaz de bloquear o tráfego de qualquer máquina que gera mais pedidos consecutivos de DNS do que o limite configurado e, depois, deve barrar o host de origem. A solução deve oferecer a possibilidade de configurar até 5 expressões REGEX para descartar um tráfego DNS específico com cabeçalhos correspondentes aos das expressões. A solução deve ser capaz de detectar e descartar pacotes HTTP que não atendam aos padrões RFC e, em seguida, barrar os hosts de origem. A solução deve ser capaz de bloquear hosts que excedam ao número total permitido, configurado pelo usuário, de operações HTTP por segundo e por servidor de destino. A solução deve ser capaz de descartar pacotes específicos HTTP com cabeçalhos HTTP correspondentes a até 5 expressões REGEX configuradas pelo usuário. A solução deve fornecer uma capacidade de moldar o tráfego que corresponde a uma expressão FCAP especificada, e descartar o tráfego que exceda a taxa configurada. As expressões FCAP devem suportar a seleção de campos de cabeçalho IP e campos de cabeçalho da camada 4 (UDP e TCP). A solução deve ser capaz detectar e bloquear TCP SYN Flood acima das taxas configuradas pelo usuário. A solução deve ser capaz de detectar e bloquear ICMP Flood acima das taxas configuradas pelo usuário. A solução deve ser capaz de bloquear o tráfego de hosts que repetidamente interrompem solicitações HTTP. A solução deve ser capaz de bloquear tráfego de acordo com o fornecido pela solução de assinaturas de ataques. Página 5 de 7

6 GOVERNO DO ESTADO DE MINAS GERAIS ITEM 3478-_M.PDF 4 A solução deve ser capaz de ativar regularmente novas técnicas de defesa a partir de assinaturas de ataques atualizadas e mantidas pela equipe do fabricante, através de pesquisa e monitoramento 4x7 da Internet para identificar os botnets mais significativos e recentes e suas estratégias de ataque. 5 A solução deve ser capaz de automaticamente atualizar as assinaturas de ataque, em um intervalo de tempo configurado pelo usuário. 6 A solução deve ser capaz de automaticamente atualizar as assinaturas de ataque, quando solicitado manualmente pelo usuário. 7 A solução deve ser capaz de executar a atualização de assinaturas de ataque através de servidores proxy. 8 A solução deve permitir a configuração de serviços de proteção que contêm configurações de prevenção pré-definidas associadas a serviços específicos, tais como Web, DNS, VoIP ou um servidor genérico. 9 A solução deve suportar a capacidade de alterar o nível de proteção aplicado sobre o tráfego, efetivamente mudando as configurações em uso pela solução para todas as prevenções, simplesmente pressionando botões de seleção para a proteção Low, Medium e High. 7.3 A solução deve permitir que os parâmetros de proteção sejam alterados enquanto uma proteção está sendo executada. Documentação 8. Documentação em papel ou mídia magnética/ótica, em língua portuguesa ou inglesa, bem como, ajuda on-line, interface de administração e outros documentos correlatos 8. Documentação impressa, publicada pelo fabricante dos produtos ofertados, que comprovem, inequivocamente (com informação de endereço Internet, identificação do documento e página) do atendimento de todos os requisitos exigidos nesta Especificação Técnica e no Termo de Referência/Projeto Básico. Garantia 9. Todos os equipamentos e software integrantes dos conjuntos de itens que compõem a solução devem possuir garantia integral, original de fábrica, contra defeitos de fabricação, por período não inferior a 36 (trinta e seis) meses, sem ônus adicional para o CONTRATANTE. 9. O prazo de garantia dos equipamentos de informática contra defeitos de fabricação será contado da data de entrega dos produtos. 9. Caso a garantia oferecida pelo fabricante seja superior à garantia exigida nesta especificação técnica será este o prazo de garantia a ser considerado, devendo o fornecedor descrever, em sua proposta, os termos da garantia adicional oferecida pelo fabricante A assistência técnica utilizará apenas peças e componentes originais, salvo nos casos fundamentados por escrito e aceitos pelo CONTRATANTE. Os equipamentos de informática deverão ser novos e da última geração do fabricante, não denotando uso anterior ou recondicionamento, e entregues em suas embalagens originais lacradas. 9.5 Os equipamentos de informática não poderão estar fora da linha de produção do fabricante em menos de (doze) meses da data da entrega, fato que Página 6 de 7

7 GOVERNO DO ESTADO DE MINAS GERAIS ITEM 3478-_M.PDF deverá ser comprovado pelo fornecedor através de declaração do fabricante, caso solicitado pelo CONTRATANTE A assistência técnica para reparos de defeitos, durante o período de garantia, deverá ser do tipo remoto e/ou on-site, a ser prestada em Belo Horizonte MG, 7 (sete) dias por semana, 4 (vinte e quatro) horas por dia com prazo de atendimento de (quatro) horas úteis após o chamado e solução do problema em até 8 (oito) horas úteis. Deverá prover também suporte técnico quanto ao uso de recursos dos equipamentos de informática e quanto à solução de problemas. Nos casos em que a solução do problema for ultrapassar o prazo previsto no subitem anterior, o equipamento ou componente deverá ser substituído por outro de igual ou maior desempenho e configuração igual ou superior, até que o defeituoso seja recolocado em operação. Não é permitido o recolhimento do disco rígido. Só serão aceitos peças e componentes novos e originais, salvo nos casos fundamentados por escrito e aceitos pela contratante. Deverão ser fornecidos os pacotes de correção, em data e horário a serem definidos pela Secretária de Estado da Fazenda de Minas Gerais, sempre que forem encontradas falhas de laboratório (bugs) ou falhas comprovadas de segurança que integre o hardware objeto desta especificação; A garantia deverá permitir o acesso da Secretária de Estado da Fazenda de Minas Gerais à base de dados de conhecimento do fabricante dos equipamentos, provendo informações, assistência e orientação para: a. instalação, desinstalação, configuração e atualização de imagem de firmware; b. aplicação de correções (patches) de firmware; c. diagnósticos, avaliações e resolução de problemas; características dos produtos; e demais atividades relacionadas à correta operação e funcionamento dos equipamentos; Neste serviço, as atualizações e correções (patches) do software e firmwares deverão estar disponibilizados via WEB ou fornecidas em CD, quando desta forma forem solicitadas ou não for possível obter de outra maneira; 9. Visando a efetividade da prestação dos serviços de garantia, suporte e assistência técnica, a CONTRATADA deverá informar e manter atualizado o número de telefone e endereço de com atendimento 4 x 7 para o registro de chamados de suporte técnico e/ou manutenção corretiva/preventiva. Página 7 de 7