A solução deverá ser implementada de forma distribuída, com appliances geograficamente afastados e gerenciamento de forma centralizada.

Transcrição

1 Diretoria de Tecnologia e Operações - DIT Coordenação Geral de Governança de TIC - CGGT Coordenação de Recursos de TIC - COGR Termo de Referência Solução de Firewall de Aplicação ITEM ANEXO I ESPECIFICAÇÃO TÉCNICA Página da documentação 1 APPLIANCES DE FIREWALL DE APLICAÇÃO WEB A solução deverá ser implementada de forma distribuída, com appliances geograficamente afastados e gerenciamento de forma centralizada. Cada appliance deve possuir softwares específicos, destinados a finalidade de Firewall de Aplicação Web (WAF Web Application Firewall), bem como as licenças necessárias para o seu funcionamento e proteção de ilimitados servidores e aplicações Web. A solução ofertada deverá suportar as seguintes opções de implementação do Firewalls de Aplicação Web: Bridge; Proxy (Reverso e Transparente). Introduzir latência inferior a 5 milissegundos. para tráfego SSL, a fim de não impactar a performance das aplicações Web. Cada appliance deve possuir, no mínimo, uma interface de rede específica para gerenciamento do equipamento, pela qual não deverá passar tráfego relacionado às aplicações protegidas. 2 REQUISITOS ESPECÍFICOS PARA APPLIANCES FÍSICOS DE FIREWALL 2.1 Cada appliance deverá ser instalado em rack de 19 (dezenove) polegadas padrão EIA 310D, incluindo todos os acessórios necessários. 2.2 Deve possuir altura máxima de 2U A plataforma de hardware deve permitir a instalação/substituição de transceptores e fonte de alimentação sem ter que remover o aparelho do rack. A plataforma de hardware deve ter múltiplas CPUs ou, pelo menos, uma CPU com múltiplos núcleos. 2.5 Deve possuir 1 (um) disco rígido de tecnologia SSD (Solid State Disk), com especificação de mínima de MTBF (Mean Time Between Failures) de horas, ou possuir ao menos 2 (dois) discos funcionando em RAID 1, ou mais de 2 (dois) discos rígidos funcionando em RAID 5, provendo redundância dos dados. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 1/15

2 Possuir no mínimo 2 (duas) fontes de alimentação internas redundantes AC bivolt, com seleção automática de tensão, entre 100 e 230 V, e de frequência, entre 50 e 60 Hz. As fontes deverão possuir alimentação independente, a fim de permitir a sua conexão a circuitos elétricos distintos. Possuir cabo de alimentação para cada fonte com comprimento mínimo de 1,80m (um metro e oitenta centímetros). Uma fonte deve ser capaz de sustentar a carga de todo o equipamento com todas as portas ativas. 2.9 As fontes de alimentação e transceptores devem ser hot swappable Deve vir acompanhado de todos os acessórios indispensáveis para a sua perfeita instalação e funcionamento. Deve ser destinado ao uso normal, em ambiente tropical, com umidade relativa na faixa de 20 a 80% (sem condensação) e suportar temperatura ambiente de armazenamento entre 0 C e 40 C Deve operar entre temperaturas de 10 C a 40 C O equipamento deve possuir política de garantia de um ciclo de vida de modo a atender aos requerimentos dos itens 15.1 e 15.2, não podendo ser um equipamento com término de comercialização (End-of-Sale) anunciado, isto é, o equipamento deve estar em produção e ser comercializado pelo fabricante no momento da elaboração da proposta, onde, mesmo após ser anunciado o término da comercialização (End-of- Sale) do equipamento, o suporte (End-of-Support) deverá permanecer por no mínimo o período de vigência da garantia, atendendo aos requerimentos dos itens 15.1 e Deve possuir configurações de CPU e memória (RAM e Flash) suficientes para a implementação de todas as funcionalidades descritas nesta especificação Possuir módulos de ventilação redundantes O fluxo de ar dos equipamentos não pode ser lateral Para facilitar o manuseio de cabos e conexões, todas as placas de rede, interfaces e portas devem estar localizadas no painel frontal do equipamento. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 2/15

3 O equipamento deve ser entregue com a saída de ar permitindo que fluxo de ar (exaustão) ocorra em direção a parte traseira do Rack, assim, possibilitando a utilização da infraestrutura de Corredor-Frio e Corredor- Quente implementada no Datacenter da Dataprev, conforme imagem abaixo: Possuir porta de console RS-232 ou RJ45, para acesso à interface de linha de comando do appliance. Deverá ser fornecido cabo de console compatível com a porta de console do equipamento. O appliance deve possuir, no mínimo, 2 (duas) interfaces padrão IEEE 802.3ae 10GBASE-SR e seus respectivos transceptores, que serão utilizados para tráfego de dados. Deve ser possível, caso desejado posteriormente pela Dataprev, acrescentar mais 2 (duas) interfaces padrão IEEE 802.3ae 10GBASE-SR e seus respectivos transceptores, que também possam ser utilizados para tráfego de dados. Deve implementar o protocolo de negociação Link Aggregation Control Protocol (LACP). Implementar associação das portas 10 Gigabit Ethernet, compatível com o padrão IEEE 802.ad, em grupos de pelo menos 2 portas, formando uma única interface lógica com as mesmas funcionalidades das interfaces originais. A interface de rede utilizada para gerenciamento deve ser do padrão IEEE 802.3ab 1000BASE-T. Caso necessário, seu transceptor também deve ser fornecido. Deverão ser fornecidos todos os cabos, de até 150 metros, conectores ópticos e transceptores necessários para todas as interfaces e portas do appliance, sendo que o comprimento adequado de cada cabo será especificado pela Contratante no momento do pedido de compra Deverão ser fornecidos transceptores para todas as interfaces disponíveis no appliance, não apenas para o número mínimo de interfaces exigidas Possuir LEDs para a indicação do status e atividade das interfaces. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 3/15

4 Os appliances devem possuir throughput igual ou maior a 10Gbps, com capacidade de inspeção igual ou maior a 5Gbps, independente da quantidade de aplicações inspecionadas.. Devem ser capazes de realizar (vinte e oito milhões) trocas de chaves simétricas de sessão por hora, utilizando o padrão RSA com chaves assimétricas de 2048 bits, independente da quantidade de aplicações inspecionadas. Para implementação em modo bridge, os appliances devem possuir recursos de tolerância a falha Para implementação em modo bridge, deve ser possível configurar o recurso de tolerância à falha dos appliances de tal modo que, ao detectar queda de link em uma interface, um appliance automaticamente desative a outra interface pertencente ao mesmo segmento Para implementação em modo bridge, deve ser possível configurar o recurso de tolerância à falha dos appliances de tal modo que, quando houver uma falha em um equipamento que o torne inoperante, seja possível o tráfego fluir através do appliance standby automaticamente. Para implementação em modo bridge, no caso de utilização de dois appliances em conjunto para fornecer alta disponibilidade, não deve haver interrupção de sessões quando o tráfego deixar de fluir em um equipamento e passar para o outro. Deverá possuir Plugin ou REST API para integração ao VMware vcenter Orchestrator REQUISITOS ESPECÍFICOS PARA APPLIANCES VIRTUAIS Cada appliance virtual deverá possuir capacidade de inspeção igual ou maior a 3Gbps. Deverá possuir Plugin ou REST API para integração ao Vmware vcenter Orchestrator. Todas as funcionalidades de segurança do exigidas nesta Especificação Técnica também se aplicam aos appliances virtuais. 4 APPLIANCES DE GERENCIAMENTO LOCAL 4.1 Caso a solução possua gerenciamento local para o appliance WAF, deverão ser fornecidos 6 (seis) servidores de gerenciamento locais para os Firewalls de Aplicação Web. 4.2 Caso a solução possua gerenciamento local para o appliance WAF, em cada Centro de Processamento (CP) deverá haver um cluster de alta disponibilidade de gerenciamento local, composto por 2 servidores de gerenciamento local, em modo ativo-standby, que será responsável por gerenciar todos os Firewalls de Aplicação Web físicos e virtuais localizados no site. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 4/15

5 4.3 Caso a solução possua gerenciamento local para o appliance WAF, cada servidor de gerenciamento local deverá ser um appliance virtual com software específico para esta função. 5 GERENCIAMENTO CENTRAL Deverá ser fornecido dois servidores de gerenciamento central, que serão configurados em cluster de alta disponibilidade. O servidor de gerência centralizada deverá possuir solução de redundância no esquema ativo/standby permitindo a instalação em localidades distintas. 5.3 Cada um dos servidores ficará instalado em Centro de Processamento distinto e em configuração ativo/standby. A escolha dos Centros de Processamente será definida a critério da Dataprev. 5.4 Caso a solução possua gerenciamento local para o appliance WAF, o cluster de servidores de gerenciamento global deverá gerenciar todos os servidores de gerenciamento local, nos 3 Centros de Processamento, provendo uma solução de gerenciamento integrada. 6 FUNCIONALIDADES DE SEGURANÇA DA SOLUÇÃO A solução deve inspecionar, até a camada de aplicação, todas as requisições e respostas HTTP, incluindo cabeçalhos, campos de formulários e seus conteúdos, cookies, elementos XML, ações SOAP entre outros elementos. A solução deve ser capaz de interpretar o campo X-Forwarded-For como endereço IP de origem original de um pacote, a fim de identificar a origem real de tráfego que sofra NAT de origem. A solução deve possibilitar a configuração de políticas de segurança baseadas, ao menos, nos seguintes parâmetros: requisição HTTP, endereço IP e usuário da aplicação. 6.4 A solução deve ser capaz de identificar e bloquear ataques baseados em: Assinaturas: funcionamento semelhante ao de um IPS, onde uma combinação de caracteres ou a presença de uma característica no tráfego através de uma expressão regular, identifica o tráfego como um ataque Regras: similar à base de assinaturas, porém realizando uma análise mais complexa e detalhada, uma regra pode identificar um ataque analisando partes específicas da transação (como pequenos trechos de cabeçalho) e ainda ser configurada de forma composta, onde mais de uma regra é analisada logicamente para caracterizar ou não um determinado tráfego como ataque. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 5/15

6 A solução deve possuir uma base de assinatura de ataques com mais de 2500 assinaturas inclusas, as quais deverão ser atualizadas periodicamente pelo próprio fabricante via Internet. Deve permitir ao Administrador a criação de novas assinaturas e/ou alteração de assinaturas já existentes. Deve ser capaz de armazenar, para fins de rastreamento, informações de identificação dos usuários autenticados na aplicação. 6.8 Deve suportar análise de tráfego HTTP/1.0 e HTTP/ Os appliances devem ser capazes de decifrar tráfego SSL, a partir da importação de chaves criptográficas, para permitir a inspeção de todo conteúdo do pacote originalmente cifrado A solução deve ser capaz de proteger o ambiente de aplicações WEB dos seguintes tipos de ataques: Anonymous Proxy Vulnerabilities Brute Force Login Buffer Overflow Cookie Injection Cookie Poisoning Credit Card Exposure Cross Site Request Forgery (CSRF) Cross Site Scripting (XSS) Directory Traversal Forceful Browsing Form Field Tampering Google Hacking HTTP Denial of Service HTTP Response Splitting Illegal Encoding Known Worms Malicious Encoding Malicious Robots OS Command Injection Parameter Tampering Patient Data Disclosure Remote File Inclusion Attacks Session Hijacking Site Reconnaissance SQL Injection Web Scraping Web server software and operating system attacks Web Services (XML) attacks Zero Day Web Worms. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 6/15

7 Ao detectar um ataque ou qualquer atividade não autorizada, deve ser possível realizar as seguintes ações: bloquear requisições e respostas; bloquear uma conexão TCP; bloquear um determinado usuário; bloquear um determinado endereço IP; e bloquear um endereço IP durante um determinado intervalo de tempo. Quando realizado um bloqueio, deve ser possível comunicar ao usuário sobre o fato através de uma página HTML informativa e customizável. Deve ser capaz de configurar para cada aplicação protegida restrições de métodos HTTPS permitidos, tipos ou versões de protocolos, tipos de caracteres e versões utilizadas de cookies. A solução deve possuir mecanismo de aprendizado automatizado, capaz de identificar conteúdos das aplicações como, por exemplo: URLs; parâmetros de URLs; campos de formulários; as propriedades de cada campo (tipo de dado, tamanho de caracteres, se é um campo obrigatório e ainda se é somente leitura ); cookies; arquivos XML; ações SOAP; e elementos XML. Deve aprender a estrutura e os elementos das aplicações Web automaticamente. Deve identificar e criar um perfil de utilização das aplicações, mesmo que as páginas e conteúdos sejam dinâmicos, como os desenvolvidos em Javascript, CGI, ASP, PHP ou Java. Deve permitir que um perfil aprendido de forma automatizada possa ser ajustado pelo administrador ou bloqueado, para que não sofra alterações Deve reconhecer alterações legítimas realizadas nas aplicações protegidas, sem impactar negativamente no funcionamento das mesmas. Deve ser capaz de rastrear e monitorar usuários das aplicações Web. Este processo deve ser automatizado, sem modificações na aplicação existente ou no esquema de autenticação. Deve ser capaz de diferenciar entre bots e usuários humanos para bloquear ataques automatizados. Deve oferecer um serviço opcional baseado na reputação do endereço IP de origem, protegendo as aplicações de serem acessadas pelas seguintes origens: botnets, rede TOR, proxies anônimos e endereços IP de baixa reputação. Deve ser capaz de correlacionar múltiplos eventos de segurança para que possa distinguir, de forma precisa, tráfego legítimo de tráfego malicioso. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 7/15

8 Deve atender à maioria (senão todos) dos critérios de avaliação de um Firewall de Aplicação Web (Web Application Firewall Evaluation Criteria - WAFEC), conforme definido pelo Web Application Security Consortium ( A solução deve considerar os seguintes critérios de decisão para realizar um bloqueio ou gerar um alerta, sendo que uma política pode conter um ou mais desses critérios simultaneamente: Tempo de resposta de uma página web Tamanho da resposta de uma página web User-agent (navegador) Usuário Horário IP de origem Assinatura de ataque Conteúdo do payload Conteúdo do cabeçalho Conteúdo do cookie Código de resposta Nome do host Tipo de protocolo (HTTP ou HTTPS) Número de ocorrências num intervalo de tempo Método HTTP A solução deve ser capaz de compartilhar informações de ataques detectados por um conjunto de Firewalls de Aplicações Web para outros Firewalls que estão sob sua gerência, a fim bloquear essas ameças em todos os pontos. Quando implementado em modo Proxy, o Firewall de Aplicação Web deve ser capaz de assinar cookies digitalmente, criptografá-los e editar endereços de URL ( URL Rewriting ). Deve suportar gerenciamento centralizado e relatórios de múltiplos equipamentos na mesma gerência centralizada. Deve ser possível exportar logs de eventos para servidores Syslog ou SNMP. A solução deve integrar-se com diversas ferramentas de análise de vulnerabilidades de aplicações como, pelo menos, Qualys e Whitehat. 7 ADMINISTRAÇÃO DA SOLUÇÃO Deve ser possível acessar a interface de administração da solução através browser. A interface de administração deve ser compatível com, pelo menos, os browsers MS Internet Explorer e Mozilla Firefox. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 8/15

9 7.3 A geração de relatórios relacionados aos tráfegos analisados pelos Firewalls de Aplicação Web dos 3 Centros de Processamento deve ser feita de forma centralizada, através de uma interface única Deve ser possível agendar a geração de relatórios. 7.6 A solução deve fornecer diversos modelos pré-definidos de relatórios e permitir a criação de relatórios personalizados. A solução deve integrar-se nativamente com ferramentas de gerenciamento e correlação de eventos do tipo SIEM (Security Information and Event Management) RECURSOS E DESEMPENHO DOS APPLIANCES O appliance deve possibilitar a configuração dinâmica de interfaces por software, permitindo a definição de interfaces ativas / inativas. Deve permitir a inclusão de um texto de descrição na configuração de cada interface, possibilitando ao administrador identificar as regiões do ambiente de rede que serão alcançadas através de uma determinada interface. Deve implementar as seguintes especificações IETF referentes ao protocolo IPv6: Especificação Básica de IPv6 (RFC 2460), Arquitetura de endereçamento IPv6 (RFC 4291), Seleção de Endereço Padrão (RFC 3484), ICMPv6 (RFC 4443) e Mecanismos de Transição Básicos para Hosts e Roteadores IPv6 (RFC4213). 8.4 Deve permitir programar seu desligamento para determinada data e hora O hardware e o software do appliance devem ser obrigatoriamente do mesmo fabricante, não sendo aceito qualquer tipo de solução OEM composta de servidor de mercado com software embarcado ou préinstalado. O sistema operacional / firmware dos appliances fornecidos deve, dentro das características solicitadas, ser a versão atual mais estável no momento da instalação. O sistema operacional / firmware deve suportar interface gráfica web para a configuração de todas as funções do sistema operacional através de interface gráfica, utilizando navegadores disponíveis gratuitamente e protocolo HTTPS, e através de CLI (interface de linha de comando), acessando localmente, via porta de console, ou acessando remotamente, via comunicação SSHv2. Deve permitir o armazenamento de sua configuração em memória não volátil, podendo, numa queda e posterior restabelecimento da alimentação, voltar à operação normalmente na mesma configuração anterior à queda de alimentação. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 9/15

10 Deve possibilitar o agendamento remoto para as tarefas básicas e frequentes de administração, como a execução de scripts personalizados, cópia de arquivos e desligamento programado. Deve possuir ferramentas para depuração e gerenciamento em primeiro nível, tais como debug, traceroute, ping e log de eventos. O sistema operacional do dispositivo deverá permitir a utilização da ferramenta tcpdump, ou similar de qualidade igual ou superior, para captura e monitoração de pacotes em quaisquer de suas interfaces de rede, permitindo que as capturas sejam armazenadas em formato libpcap A execução do tcpdump, ou ferramenta similar, não deve impactar no desempenho dos appliances. Um sistema de backup/restore de todas as configurações do appliance deve estar incluso e deve permitir ao administrador agendar backups das configurações em um determinado dia e exportá-los para um servidor FTP remoto Deve suportar sincronização do relógio interno via protocolo NTP Deve suportar atualização automática do horário de verão com suporte a customização local, por fato de algumas cidades do Brasil não seguirem o padrão mundial. Esta configuração deve ser realizada através de interface de configuração do sistema operacional, não sendo necessário instalar nenhum tipo de correção Devem ser fornecidos manuais de instalação, configuração e operação do equipamento, na língua portuguesa ou inglesa, com apresentação de boa qualidade. 9 GERENCIAMENTO DA SOLUÇÃO 9.1 A Contratada deverá fornecer as licenças e os softwares necessários da solução de Firewall de aplicação Web, que deverá atender a todos os requisitos especificados neste documento A solução deve suportar e estar licenciada para gerenciar todos os gateways de Firewall de Aplicação Web envolvidos com este fornecimento. Deve permitir que todos os gateways de Firewall de Aplicação Web sejam controlados de forma centralizada, utilizando apenas um servidor de gerência, ou quando utilizar servidores de gerência local os mesmos devem ser configurados e gerenciados por um servidor de gerência central. 9.4 Um sistema de backup/restore de todas as configurações da solução de gerência deve estar incluso e deve permitir ao administrador agendar backups da configuração em um determinado dia e hora. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 10/15

11 Deve ser permitido ao administrador transferir os backups para um servidor FTP. Cada servidor de gerência, local ou centralizada, deve ser hospedado em um equipamento independente, não exercendo funções de Firewall de Aplicação Web. Caso os appliances percam comunicação com os servidores de gerência, local ou centralizada, os Firewalls de Aplicação Web deverão continuar tratando o tráfego corretamente, sem causar interrupção das comunicações. O software do servidor de gerência deve ser, dentro das características solicitadas, a versão atual mais estável no momento da instalação. Deve incluir um canal de comunicação seguro, com criptografia baseada em certificados, entre os servidores de gerência e todos os Firewalls de Aplicação Web que fazem parte da solução. Todos os softwares de gerência necessários para o controle dos Firewalls devem ser fornecidos pela Contratada. A solução de gerência deve permitir a gerência através de interface Web ou de software cliente, desde que todos os softwares necessários sejam fornecidos. A solução deve incluir uma ferramenta para gerenciar centralmente as licenças de todos os appliances controlados pela estação de gerenciamento, permitindo ao administrador incluir e remover licenças nos appliances através dessa ferramenta. A solução deve possibilitar a distribuição e instalação remota, de maneira centralizada, de novas versões de software dos appliances Deve ser permitido aos administradores se autenticarem nos servidores de gerência através de certificado digital ou nome de usuário e senha No caso de usuário e senha, o usuário deverá poder se autenticar utilizando quaisquer dos seguintes esquemas: contas de usuários cadastrados no próprio servidor de gerência, RADIUS e estruturas LDAP Deve suportar sincronização do relógio interno via protocolo NTP Deve suportar atualização automática do horário de verão, com suporte a personalização local, pelo fato de algumas cidades do Brasil não seguirem o padrão mundial. Esta configuração deve ser realizada através da interface de configuração do sistema operacional (GUI ou CLI). Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 11/15

12 Deve registrar login ou tentativa de login de qualquer usuário A solução deve suportar níveis de permissões de administração distintos, incluindo pelo menos os seguintes perfis: read/write, read only, gerenciamento de usuários (com exceção de administradores) e visualização de logs. Os logs gerados pelos appliances devem ser centralizados nos servidores de gerência, mas a solução deve oferecer também a possibilidade de utilização de um syslog externo ou similar. Se desejarmos utilizar algum servidor externo de log, do mesmo fabricante da solução de gerência, a Contratada deverá fornecer todas as licenças necessárias Os logs devem ser transferidos de maneira segura entre os appliances e o servidor de gerência ou o servidor dedicado de log, e desses servidores até a interface de visualização de logs na estação do administrador. A solução de gerência deve permitir a replicação dos logs entre os servidores de gerência ou entre os servidores externos de log, se utilizados. Deve manter todos os logs gerados pelos Firewalls de Aplicação Web por um período de, no mínimo, 30 dias nos servidores centrais de log. Estimase, baseado na solução atual, que a cada dia será gerado um volume de 40GB de log. Deve suportar o rotacionamento automático de arquivo de log, em intervalo de tempo regular ou de acordo com o tamanho do arquivo. Deve ser capaz de exportar logs para arquivos externos em formato CSV ou XLS. Logs de auditoria para configurações de regras e objetos devem ser visualizados em uma lista diferente da que exibe os logs relacionados a tráfego de dados. Devem ser fornecidos manuais de instalação, configuração e operação de todo o gerenciamento da solução, na língua portuguesa ou inglesa, com apresentação de boa qualidade. 10 REQUISITOS DE FIREWALL Para cada regra, a solução deve fornecer várias opções de evento, entre elas: Log, envio de SNMP trap, enviar um , alerta para a interface de monitoração da gerência e executar um script definido pelo administrador. Deve ser possível definir tempos de expiração de sessões/conexões ociosas específicos para diferentes tráfegos, de acordo com a análise do administrador. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 12/15

13 Qualquer funcionalidade de controle de tráfego implementados para IPv4, também deve funcionar com IPv6. Deve permitir o encaminhamento e tratamento de segurança de Jumbo Frames (pacotes de 9000 bytes). Deve permitir que o administrador bloqueie facilmente tráfego de entrada e/ou tráfego de saída com base nos países, sem a necessidade de gerir manualmente os ranges de endereços IP correspondentes a cada país. 11 CORRELAÇÃO DE EVENTOS DE SEGURANÇA Deve incluir a opção de gerar automaticamente pequenos gráficos e tabelas, com os eventos, as origens e os destinos. Deve incluir a opção de tomar ações pré-definidas disparadas por determinados alertas Deve permitir agendar a geração de relatórios pré-definidos de eventos de segurança em intervalos diários, semanais e mensais, incluindo Top eventos, Top origens, Top destinos, Top Serviços, Top origens e os seus principais eventos, Top destinos e seus principais eventos e Top serviços e seus principais eventos. Deve permitir o uso de filtros customizáveis para selecionar alertas baseados nos seguintes parâmetros: origem, destino, serviço, tipo e nome do alerta. Deve permitir a criação de filtros com base em qualquer característica do evento, tais como endereços IP de origem e destino, serviço, tipo de evento, severidade do evento, nome do ataque, inclusive países de origem e de destino Deve exibir num mapa ou numa lista a distribuição por países dos diferentes eventos (Geolocation) possibilitando bloquear o acesso por país de origem e ou região de origem Deve detectar ataques de DoS e correlacionar eventos das fontes. 12 MONITORAÇÃO DOS APPLIANCES 12.1 Cada appliance deve suportar os padrões abertos de gerência de rede SNMPv2c e SNMPv3, incluindo a geração de traps SNMP para falhas de hardware e eventos, como alterações na configuração do equipamento, por exemplo Deve possuir suporte a MIB II, conforme RFC Implementar MIB privativa que forneça informações específicas sobre o funcionamento de seus módulos de proteção. Possuir descrição completa da MIB implementada no equipamento, inclusive a extensão privativa Suportar SNMP sobre IPv6. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 13/15

14 12.6 Todos os componentes e processos críticos devem gerar logs e permitir gravação dos logs em servidor remoto, através do protocolo syslog A solução de monitoramento deve incluir uma interface gráfica que forneça uma maneira simples de monitorar o estado dos appliances Deve prover, entre outras, as seguintes informações do sistema para cada gateway: sistema operacional, consumo de CPU, consumo de memória, percentual de HD livre, atividade de rede, throughput, número de conexões simultâneas, novas conexões por segundo e número de pacotes por segundos O administrador deve poder configurar limites de consumo de disco, CPU e memória que, quando atingidos iniciarão uma determinada ação (ou ações). As ações devem incluir: log, alerta, envio de traps SNMP, envio de e execução de um script definido pelo administrador. 13 GERAÇÃO DE RELATÓRIOS 13.1 A solução deve incluir uma ferramenta para geração de relatórios. Esta ferramente deve suportar pelo menos os seguintes filtros: IP de origem, IP de destino, usuário, nome do ataque, hora e ação tomada. Deve ser possível utilizar mais de um filtro simultaneamente A ferramenta de geração de relatórios deve permitir personalizar um relatório e salvar essas alterações, para agilizar a coleta de informações necessárias para o administrador. Deve permitir o agendamento de relatórios em intervalos diários, semanais e mensais. Deve ser possível exportar os relatórios gerados para arquivos nos formatos HTML ou PDF Deve fornecer informações consolidadas sobre: O volume de eventos que foram bloqueados pelo gateway As dez origens de conexões mais bloqueadas, seus destinos e serviços Deve suportar a distribuição automática de relatórios por e salvá-los em servidor FTP. 3. Os dez ataques à segurança mais detectados pelo gateway e determinação das suas principais fontes e os destinos Aplicações que utilizaram mais tráfego criptografado. 14 LICENCIAMENTO 14.1 Deve ser licenciado para um número de usuários e endereços IP ilimitados. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 14/15

15 14.2 Quaisquer licenças necessárias para o funcionamento de todos os recursos e requisitos especificados nesse documento devem ser incluídas e não devem expirar após o término do tempo de vida de suporte dos equipamentos. 15 GARANTIA 15.1 Possibilidade de atualização, durante todo o período de garantia de 60 meses, de hardware, firmware, software, subscrição de licenças, atualização de assinaturas e serviço de suporte do tipo "Help desk" (Suporte Técnico Remoto) do fornecedor dos equipamentos, provendo o fornecimento de novas versões por necessidade de correção de problemas ou por implementação de novos recursos Mesmo após o término do prazo de garantia e vigência, a solução deverá permanecer em operação, ainda que sem a possibilidade de fazer atualizações, mas permitindo aos administradores realizarem qualquer tipo de configuração e alteração de regras dos equipamentos. 16 PROVA DE CONCEITO 16.1 Na etapa de prova de conceito prevista no Termo de Referência, a Contratada deverá realizar, sob a supervisão da Dataprev, as seguintes tarefas: elaboração de um plano de testes, montagem do ambiente de testes, configuração dos elementos geradores / analisadores de tráfego e a execução dos testes. O plano de testes criado pela Contratada deverá ser submetido à avaliação e aprovado pela DATAPREV Será responsabilidade da Contratada o provimento dos equipamentos e acessórios que serão utilizados exclusivamente para os testes da etapa de prova de conceito, como gerador de tráfego, switches, roteadores, transceptores, cabos, etc. A DATAPREV não irá adquirir nenhum destes equipamentos utilizados exclusivamente na prova de conceito. 17 SEGURANÇA 17.1 O fabricante deve atestar e garantir formalmente, que a solução não é passível de sofrer por qualquer mecanismo ou método de: acesso não autorizado, interceptação e monitoramento de comunicações de dados, por força de requerimentos legais ou regulatórios definidos por governos, agências, entidades ou pessoas. Termo de Referência - ANEXO I Solução de Firewall de Aplicação Web 15/15