EMPRESA ARGENTINA DE SOLUCIONES SATELITALES S.A. ARSAT CONCURSO PRIVADO Nº 006/2014. SISTEMA DE MITIGACIÓN DE ATAQUES ddos

Transcripción

1 ARSAT CONCURSO PRIVADO Nº 006/204 STEMA DE MITIGACIÓN DE ATAQUES ddos PLIEGO DE ESPECIFICACIONES TÉCNICAS (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página /2

2 Tabla de contenido Introducción Objetivo Alcance Requisitos Tabla de cumplimiento Servicio de Asistencia Técnica Capacitación Puesta en producción Acuerdo de niveles de servicio Penalidades... 9 Solución de Incidentes... 0 Documentación... 2 (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página 2/2

3 Introducción El Centro Nacional de Datos de la Empresa Argentina de Soluciones Satelitales S.A. (en adelante ARSAT) está ubicado en la Avenida Juan Domingo Perón 7934 en la ciudad de Benavidez, Provincia de Buenos Aires, y fue diseñado con la finalidad de proporcionar un ambiente físico adecuado para garantizar el funcionamiento de manera ininterrumpida de infraestructura informática de los organismos gubernamentales y empresas privadas, cumpliendo con todas las normativas internacionales de seguridad edilicia, y protección ambiental. Se trata de Tecnologías de última generación y de instalaciones de vanguardia especialmente diseñadas para responder a las necesidades de los clientes, contando con todas las funciones necesarias para soportar la operación de diversos clientes en forma simultánea. Estas instalaciones han sido certificadas por el Uptime Institute en la categoría TIER III siendo el primer sitio certificado de la República Argentina, con fecha 24 de octubre de 202. Basándose en esta infraestructura, el Centro Nacional de Datos cuenta con un desarrollo de servicios de equipos virtualizados de calidad mundial que se conecta a la Red Federal de Fibra Óptica, a la red Internet con accesos del orden de 0 Gbps, y a las principales empresas de comunicaciones que operan en el país. El catálogo de productos que ofrece el Centro de Datos es: Hosting Virtual (Cloud Computing) Hosting Dedicado Housing en Racks Housing en Jaulas dedicadas 2 Objetivo El objetivo del proyecto es el de implementar una arquitectura que permita realizar una detección y mitigación de ataques de denegación de servicios. Esta arquitectura deberá implementarse a fin de proteger la arquitectura del Centro de Datos de ARSAT, y que permita desarrollar servicios gestionados de seguridad para los clientes, y proteja todos los servicios que ARSAT publica en internet. 3 Alcance El trabajo deberá centrarse en la implementación de una solución/arquitectura que permita minimizar los vectores de ataque que puedan ocasionar una saturación sobre las conexiones a Internet de ARSAT y por consiguiente una interrupción en la disponibilidad en los servicios que brinda el Centro de Datos. La solución deberá brindar escalabilidad necesaria para cualquier inclusión/modificación o integración o nuevas versiones de aplicaciones, servicios, dispositivos y redes con la arquitectura existente. El servicio deberá proveerse en el Centro Nacional de Datos, ubicado en Benavidez, Partido de Tigre, Provincia de Buenos Aires. El proyecto incluirá tareas de relevamiento para realizar el dimensionamiento y laboratorios de prueba. (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página 3/2

4 4 Requisitos A continuación se enumeran requisitos que serán excluyentes para la solución que se solicita: Presentación de un Plan de capacitación (Ver punto 5 Capacitación) Presentación de una fecha de instalación del hardware propuesto. Presentar documentación de ingeniería con la solución propuesta, detallando el dimensionamiento de hardware y software necesario para la implementación (Ver punto ). La solución deberá poder implementarse sobre la arquitectura de Networking de borde existente. La solución deberá poder comunicarse con los equipos de los ISP Proveedores de Internet de ARSAT a fin de realizar cambios en las rutas BGP ante un ataque, de manera automática Se adjuntan los siguientes diagramas complementarios: Esquema Módulo de Internet (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página 4/2

5 Integración Arquitectura Mitigación ddos (Tentativo) 4. Tabla de cumplimiento En base a esta necesidad se elaboró una tabla de cumplimiento que contiene ítems mandatorios y no mandatorios que se deben evaluar ante la elección de una tecnología o distintas tecnologías combinadas a tal fin. Asimismo, tanto los ítems mandatorios como los no mandatorios serán calificados de a 0 en función a la evaluación que se haga de los mismos. A los efectos de la mencionada evaluación, se establecieron tres niveles de ponderación en función de la criticidad para la empresa de cada uno de los ítems. A continuación las funcionalidades y características que deberá contemplar la solución: Pond. Característica Mandatorio 0.4 Generales Ser un equipo dedicado para la denegación de servicios distribuidos (ddos). No deberán ser equipos del tipo multifunción del tipo (UTM), hardware y sistemas operativos o de propósito general. Características secundarias, tales como filtrado de paquetes o firewall solo se aceptarán como funcionalidades adicionales. La solución deberá implementarse sobre la arquitectura de Networking de borde existente sin generar un posible punto de falla para el trafico, es decir, realizando el monitoreo del trafico por telemetría de flujos colectados en forma centralizada La solución deberá ser escalable de forma de proveer interfaces a velocidades de Gbps a 0Gbps por interfaz. La solución deberá permitir la creación de interfaces lógicas link bundle a través del agrupamiento de interfaces físicas. (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página 5/2

6 0.4 0,7 La solución deberá permitir la creación de sub-interfaces VLANs en interfaces físicas o lógicas. La solución deberá permitir la definición de umbrales de funcionamiento inicial. Además, el sistema debe permitir interaccion inteligente con dispositivos Anti-DDoS del tipo In-Line en sitios de clientes finales para mitigacion coordinada de ataques Volumetricos y de Aplicacion La solución deberá contar con la capacidad de aprender continuamente los parámetros normales de tráfico por cada entorno, cliente, VLANs. La solución deberá contar con la capacidad de aprender de las mitigaciones realizadas con el fin de optimizar los umbrales de tráfico normales. Inspección / Mitigación La solución deberá ser capaz de inspeccionar tráfico sin realizar bloqueo. La solución deberá ser capaz de capturar datos de manera directa desde un puerto SPAN desde un router/switch o network tap. La solución deberá ser capaz de generar flujos de datos (flows) en tiempo real a partir de paquetes capturados en línea, desde un puerto SPAN/mirror o a través del proceso VLAN/BGP divert. La solución deberá asegurar la continuidad, seguridad y rendimiento correcto al interceptar, inspeccionar, transformar y dirigir las solicitudes de las aplicaciones y los servicios web basándose en valores encontrados en cualquier punto del paquete o payload. La solución deberá bloquear ataques a nivel de red como Flood, sweep, teardrop, smurff attacks La solución deberá mitigar ataques basados en protocolos, incluyendo SYN, ICMP, ACK, UDP, TCP, IP, DNS, ICMP, ARP La solución deberá bloquear paquetes no validos (Checksum erróneos, malformed header, incomplete Fragment, Duplicate Fragment, short packet) y proporcionar estadísticas. La solución deberá permitir la creación de expresiones FCAP para la realización de filtros de mitigación. La solución deberá permitir el filtrado de paquetes TCP y UDP que coincidan con expresiones regulares definidas para la mitigación. La solución deberá permitir el filtrado de trafico HTTP mediante parámetros o expresiones regulares configurables. La solución deberá permitir el filtrado de trafico DNS que coincidan con expresiones regulares definidas para la mitigación. La solución deberá ser capaz de finalizar sesiones TCP por time out configurables. La protección contra TCP SYN deberá ser capaz de especificar origen/destino y puertos a ser ignorados. La protección contra TCP SYN no deberá impactar contra los usuarios legítimos. Incluir medidas de protección para DNS.(poder controlar el tráfico DNS de acuerdo al tipo de Registro solicitado y detectar anomalías a nivel de protocolo, entre otras) La solución deberá poder detectar y mitigar ataques bps (bytes per second) y pps (packet per second). Capacidad de la solución para bloquear host que superen umbrales configurables de operaciones HTTP. (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página 6/2

7 La solución deberá soportar el filtrado de SSL. La solución deberá ser capaz de detectar y descartar negociaciones SSL incompletas. La solución deberá ser capaz de bloquear a un cliente cuando existen reiterados intentos de negociación SSL incompletos. La solución deberá ser capaz, en el caso de la protección SSL, de añadir al atacante a una lista negra dinámica, con tiempos configurables. La solución deberá ser capaz de detectar equipos comprometidos (zombies/botnets) que participen de un ataque basado en frecuencia. La solución deberá ofrecer distintos mecanismos de detección para equipos comprometidos (zombies/botnets). La solución deberá contemplar la utilización de expresiones regulares para la detección de equipos comprometidos (zombies/botnets) Ante la detección de zombies/botnets la solución deberá ser capaz de añadirlos a una lista negra. La solución deberá tener la capacidad de generar nuevas plantillas (templates) a partir de las mitigaciones realizadas. Contar con un sistema de reputación IP para prevenir conexiones bidireccionales (entrantes y salientes) a direcciones IP no confiables y agrupadas en categorías. La solución deberá soportar la creación de listas negras y blancas para mitigación La solución contar con una lista de excepciones (configurable) que deberá evaluar la solución ante una mitigación. La solución deberá proveer de protección contra ataques de manera dinámica a través del uso de lenguaje de inspección universal, con formatos propuestos por el fabricante 0.4 Permitir la definición de horarios (Schedule) para la aplicación de reglas configuradas. La solución deberá soportar BGP. 0.4 La solución debe ser capaz de direccionar trafico BGP de peering a múltiples routers y switches de la red. La solución debe ser capaz de enviar actualizaciones de BGP desde el mismo Sistema Autónomo (AS) La solución debe ser capaz de enviar actualizaciones de rutas BGP a un peer en un Sistema Autónomo remoto. La solución deberá ser capaz de reinyectar tráfico a través de múltiples túneles GRE. La solución deberá soportar VLANs para mitigación, reinyección de tráfico y desvío de tráfico. Los parámetros de configuración para mitigaciones deberán ser configurables incluso mientras se realiza una mitigación. Los cambios realizados en los parámetros para mitigar un ataque deberán ser configurables desde una única interfaz (en caso de que la solución requiera múltiples equipos) La solución permitir la captura y visualización de paquetes. Deberá permitir la descarga en formato PCAP La solución deberá proporcionar plantillas (templates) de mitigación como así también la creación de nuevas plantillas, que permitan estar asociados a determinados objetos a administrar. (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página 7/2

8 0.4 La solución deberá ser capaz de realizar auto-mitigación, tanto en forma global como en determinados objetos. La solución deberá ser capaz de volver a su estado normal de funcionamiento luego de una mitigación en forma automática o manual. La solución deberá ser capaz de crear perfiles de mitigación utilizando geo localización de IP Debe brindar protección contra Ataques de Denegación de Servicio para el protocolo P y poder controlar el tráfico P de acuerdo al Método P recibido y detectar anomalías a nivel del protocolo. Debe contar con API o herramientas CLI para automatizar la configuración del equipo Monitoria / Reporte Realizar estadísticas de tráfico en tiempo real a través de la interfaz gráfica de usuario. Permitiendo personalizar el portal de reporte, de forma que las plantillas que se crean permitan ver recursos específicos de reportes y ataques. También deberá soportar la posibilidad de agendar y generar reportes definidos en forma períodica y automática, los cuales puedan ser enviados por . (Multi-tenant) Mostrar en forma gráfica la capacidad de mitigación durante las últimas 24hs. Ofrecer un tablero de control (Dashboard) de todos los equipos de mitigación en una sola vista, mostrando las mitigaciones que se realizan, el tráfico recibido, el flujo de envío, carga de CPU, memoria utilizada por dispositivo. Ofrecer estadísticas en tiempo real de la cantidad de tráfico mitigado ( droppeado ) y enviado durante una mitigación activa. Ofrecer estadísticas en tiempo real de la cantidad de tráfico mitigado durante una mitigación por cada dispositivo (que contemple la solución) y ofrecer gráficos independientes por cada dispositivo. La solución deberá notificar cada vez que se inicia o para una mitigación o un cambio de configuración. La solución deberá ser capaz de realizar geo localización de IP (País, región, ciudades) para incluir en los reportes. El oferente debe poder proveer en forma adicional un servicio de mitigación en la nube para el trafico que exceda las capacidades locales La solución deberá proveer una consola de monitoreo de alarmas y estado Administración La solución propuesta en caso de ser tipo Cluster, deberá gestionarse de manera centralizada. Deberá disponer de una interfaz de administración. Deberá disponer de una interfaz gráfica de usuario para la administración. La administración deberá ser basada en roles de usuario. Los roles definidos deberán permitir el acceso global a la administración, y también soportar acceso en forma particionada que permita ofrecer servicios gestionados de Anti-DDoS a clientes finales que puedan acceder solo a sus propios reportes, alertas y mitigaciones (las cuales incluso deberian poder ser iniciadas, modificadas y paradas por los clientes). Multi-tenant La solución deberá proveer una interfaz CLI (Command Line Interface). La solución deberá generar notificaciones del tipo (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página 8/2

9 SYSLOG, SNMP o SMTP. El acceso a la interfaz CLI deberá realizarse a través de SSH. El acceso a la interfaz gráfica de usuario deberá realizarse a través de HTTPS. El acceso a la solución deberá permitir el acceso a través de usuarios locales como así también la integración con RADIUS, TACACS, etc La solución deberá contar con un puerto serial de consola La solución deberá tener la capacidad de restringir a los usuarios finales de los servicios gestionados de clientes, a una vista de solo lectura de mitigaciones activas, que permita ver estadísticas de mitigación, pero no para configurar o modificar ajustes de configuración. 4.2 Servicio de Asistencia Técnica Asimismo se requiere que el oferente cotice un servicio de asistencia técnica contemplando 80 horas mensuales durante los primeros 3 meses y 2 hs. por los restantes 9 meses para facilitar la puesta en marcha con: Atención de requerimientos. Apoyo a la operación. Ajustes menores. Seguimiento de casos. Asimismo el oferente deberá cotizar por hora adicional mensual por el término de los primeros 2 meses. 5 Capacitación Se requiere capacitar tanto en la parte conceptual (4 recursos) y técnica como en el uso específico de la solución (4 recursos). Ambos cursos deben ser dictados en Benavidez, ARSAT. Se deberá detallar el plan de capacitación durante todo el ciclo de vida del proyecto, indicando: Qué roles del equipo intervendrán en el proceso. En qué puntos del plan de proyecto se realizará la capacitación Temario y duración. Detallar la documentación que se entregarán con cada paso de capacitación. Los cursos deberán ser dictados en español o con traducción simultánea. El instructor deberá estar avalado por el fabricante, y contar con una experiencia mínima de dos (2) años en el dictado de los cursos contemplados en la capacitación. El curso deberá ser dictado de lunes a viernes dentro del horario laboral. Los días y horarios específicos serán acordados con el adjudicatario. La no presentación del mencionado plan implicará el rechazo automático de la oferta. 6 Puesta en producción El oferente deberá presentar una propuesta indicando los plazos de instalación del hardware para luego planificar la fecha de puesta en producción. A su vez el oferente deberá desplegar la solución en ambiente de testing (rango de direcciones específicas o VLANs asignadas para dicho propósito) con: (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página 9/2

10 Generación de plan de pruebas. Aprobación del plan de pruebas. Ejecución de plan de pruebas. Aceptación del producto. Puesta en Producción. A su vez, el oferente deberá considerar: Incluir la instalación física, configuración, puesta en marcha y ajustes finales de todos los componentes incluidos en la solución ofrecida La entrega del software y/o hardware en su versión más reciente El software y hardware deberá incluir la posibilidad de acceder a boletines y actualizaciones de seguridad El personal involucrado en la implementación deberá contar con las certificaciones oficiales de los fabricantes de los equipos y/o componentes a instalar. 7 Acuerdo de niveles de servicio Los Oferentes deberán presentar para la solución que proponen, un contrato de nivel de servicio exclusivo para el tiempo de contacto inicial y para la corrección según se define más adelante (se mencionan como SLA ). Los SLA se aplicarán para todos los errores que cumplen con los requisitos descriptos a continuación. Los plazos especificados en la tabla empezarán en el momento de la recepción del mensaje. Grados de Severidad de la Solicitud Las solicitudes se clasificarán en grados de severidad en función del impacto de las mismas sobre el funcionamiento del sistema. Severidad El software/hardware no está disponible presentando interrupción parcial o total de los servicios críticos (*) al negocio. Severidad 2 El software/hardware está disponible con una o más funcionalidades críticas (*) inoperantes. Severidad 3 Severidad 4 El software/hardware está disponible, pero con problemas no críticos en sus funcionalidades. El software/hardware está disponible, pero presenta problemas que no hay impacto significativo al negocio; dudas o consultas de la operación del sistema, módulo de emisión de reportes entre otros. (*) Funcionalidades críticas son las que interfieren con los procesos de aseguramiento (atención de reclamos), provisión, relacionados en forma directa con el servicio comprometido con el cliente (SLA). Tiempos de atención/resolución de las solicitudes En función del grado de severidad de la solicitud se le asociará una prioridad relacionada con los tiempos de atención y resolución de la misma. En la siguiente tabla se detallan los tiempos que el proveedor deberá comprometer. (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página 0/2

11 SLA Tiempo de respuesta del registro de la solicitud Severidad Grado Sev. Grado Sev. 2 Grado Sev. 3 Grado Sev. 4 5 minutos 30 minutos 60 minutos 60 minutos Tiempo Solución Temporal 2 hs. hábiles seguidas 24 hs. hábiles seguidas 72 hs. hábiles seguidas -- Tiempo Solución Definitiva 40 hs. seguidas 80 hs. seguidas mes A convenir (Ej. Próximo Release) Niveles de Servicio Los niveles de servicio indican el porcentaje que los tiempos de atención se mantienen dentro de los límites estipulados para cada grado de severidad. Grados de severidad Grado Grado 2 Grado 3 y/o 4 90 % 85 % 80 % 8 Penalidades Ver punto 9. PENALIDADES POR INCUMPLIMIENTOS VARIOS del Pliego de Bases y Condiciones Particulares. 9 Solución de Incidentes Este ítem comprende la toma de conocimiento (recepción), diagnóstico y solución de los incidentes críticos y no críticos, derivados de ARSAT. El proveedor habilitará una casilla de mail especial para la recepción de los incidentes por los integrantes del grupo de soporte de ARSAT. Asimismo deberá proveer una línea 0800 para utilizar alternativamente a la mencionada casilla de mail, de modo de contar con dos opciones de comunicación. Los incidentes deberán ser atendidos inmediatamente, independientemente de la criticidad de los mismos. El proveedor deberá brindar soporte, que se encargará de: Aclarar las dudas complejas de operación del sistema, cuyas respuestas no consten en la documentación asociada al producto software. Diagnosticar problemas y proporcionar soluciones temporales y/o definitivas que no estén relacionadas con errores en el código fuente del producto, como: posibles problemas en los datos, posibles problemas en la configuración del sistema y/o en el entorno operativo del cliente, uso inadecuado del sistema, etc. Elaboración de documentación de las soluciones definitivas y temporales. (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página /2

12 Recomendar entrenamiento. Recomendar operación asistida. Realizar pruebas y simulación de errores en el ambiente de testing de ARSAT. Diagnosticar errores. Analizar la frecuencia de incidencia de los errores y tomar las acciones correctivas. Poner a disposición releases y patches correctivos. Aplicar patches correctivos. Dar continuidad a la resolución de la solicitud. Producir y documentar las soluciones temporales (workaround) desarrolladas para atender las solicitudes. Producir y documentar las soluciones definitivas encontradas para las solicitudes. Realizar correcciones o ajustes en base de datos. Gestionar ante los Bugs de las Herramientas utilizadas 0 Documentación El oferente deberá proveer un documento de ingeniería con la solución propuesta, detallando el dimensionamiento de hardware y software necesario para la implementación. Dentro de la documentación a entregar se deberá incluir: Diagramas lógicos. Diagramas de conectividad. Manuales de mejores prácticas. Manuales técnicos. Manuales de usuario. Documentación de los procedimientos para su administración. Plan de escalabilidad en función del sizing definido. Capacity planning. En el caso de que el oferente lo crea necesario, el mismo deberá confeccionar y entregar manuales adicionales a los solicitados, la confección de los manuales adicionales deberá ser previamente consensuada por el equipo del proyecto de ARSAT. El plazo de entrega de esta documentación será definido en la reunión de kick off entre ARSAT y el oferente. Toda la documentación entregada estará atada al proceso de revisión conformado por el equipo del proyecto de ARSAT. El líder del proyecto de ARSAT será entonces el responsable de distribuir copias del documento al personal que revisará el entregable. (B62BGZ)- Benavidez - Pcia. de Bs. As. Tel: Página 2/2