ANEXO I. Motivo: Adquisición/Actualización de Equipamiento de Seguridad Perimetral (protección Intranet/Internet/Correo Corporativo).

Transcripción

1 ANEXO I ESPECIFICACIONES TÉCNICAS Motivo: Adquisición/Actualización de Equipamiento de Seguridad Perimetral (protección Intranet/Internet/Correo Corporativo).- De acuerdo a la necesidad genuina de renovar y actualizar la Solución Integral Antivirus y de filtrado de contenidos utilizada por esta LCABA, y en virtud de los avances tecnológicos producidos en este campo, se solicita la adquisición/renovación (según corresponda) del equipamiento de seguridad detallado a continuación (el cual incluye la solución antivirus y de filtrado de contenido necesaria, aclarando que se está buscando combinación de hardware + software que no deban ser instalados en los servidores centrales, del tipo appliance rackeable que se agregue al actualmente en servicio), lo cual es imprescindible para el normal desarrollo de las tareas informáticas de esta LCABA: 1) Antivirus para Servidor de Archivos (File Server) también denominado Cliente /servidor Consideraciones técnicas Protección Antivirus /Anti-Spyware con motor y firmas propietarias de la marca que provee la solución. La consola deberá poder configurar y actualizar la solución; aplicar políticas globales, por grupo, o por dominio; y centralizar informes y reportes. Soporte de instalación y actualización centralizada (desatendida del antivirus de PC). Programación de actualizaciones hacia todos los clientes y servidores en modo centralizado automático. Soporte de certificación ICSA o Checkmark de WestCoast Labs. Contar con los siguientes métodos para la instalación desde la consola de administración hacia las estaciones clientes y/o servidores: - Conexión a red - Intranet /Internet - Forma remota - CD - Otras (USB, etc) Durante el proceso de instalación, deberá corroborar la existencia de otro Anti-Virus en la PC y tener la posibilidad de desinstalarlo sin intervención del usuario. La instalación deberá ser transparente sin la necesidad de que intervenga el usuario final. 1

2 Detección y eliminación de malware conocidos y desconocidos en las estaciones cliente y/o servidores según el método de rastreo seleccionado (tiempo real, demanda, programado, etc) para, por lo menos, los siguientes tipos: - Virus de arranque - Virus de archivos - Virus Macros - Virus de VB script y Java Script - Virus en archivos compactados - Virus en archivos compactados en distintos niveles - Virus de red - Troyanos - Spyware/Adware - Rootkits - Phishing/Pharming - Hi-jacking - Keyloggers - Amenazas Web Debe soportar la busqueda de malware sobre los formatos de compresión mas utilizados tales como: - zip - rar - tar - bin - cab La solución deberá permitir crear una lista de Spyware/Grayware aprobados. La solución debe prohibir el acceso a sitios considerados maliciosos validando la reputación del mismo mediante una consulta a una base de datos del fabricante que provee la misma. Chequeo automático de la transferencia de archivos entre clientes y servidores Rastreo de infecciones en un registro de actividad. El servidor deberá soportar instalación, configuración y administración centralizada con opción para Múltiples Dominios. Generación automática de mensajes de alerta ante la detección de virus. Notificación al administrador de la red ante la detección de virus. Posibilidad de realizar en estaciones cliente y servidores los distintos tipos de rastreo (por lo menos) en: - Tiempo Real - Por demanda - Programado - Remoto - Discos 2

3 - Directorios - Archivos Seleccionados Ante la detección de un virus por cualquiera de los métodos de rastreo seleccionados en las estaciones cliente y servidores posibilidad (por lo menos) de: - Borrar - Enviar a Cuarentena - Limpiar - Pasar - Renombrar (Opcional) Protección por contraseña de equipos cliente de manera Opcional. Soporte de administración remota desde cualquier estación de trabajo o servidor (Opcional): - Con Interfaz Gráfica - Con Interfaz Web Notificación de detección virus (por lo menos) vía: - SNMP - Correo Electrónico - Message box Realizar notificaciones de detección de virus (por lo menos) a: - Distintos niveles de Administrador. ( Opcional ) - Utilizando mensajes pre configurables Posibilidad de realizar informes que muestren (por lo menos): - Versiones de definiciones y motor de búsqueda - Detección de Virus - Tareas Programadas Permitir la creación de distintos perfiles de administrador El administrador podrá programar la actualización de los equipos cliente seleccionando (por lo menos): - Todas las estaciones de trabajo - Un grupo de estaciones de trabajo Deberá tener la posibilidad de poder correr actualizaciones de manera manual y automática. 3

4 La consola de administración deberá usar conexiones seguras (cifradas) para comunicarse con cada uno de los elementos de la solución Antivirus. El producto deberá incorporar un firewall y debe tener la posibilidad de crear políticas de Firewall para tráfico saliente y entrante. El firewall debe proveer funcionalidades del tipo IDS. Deber brindar la funcionalidad de detectar si la pc se encuentra dentro o fuera de la red y aplicar distintos niveles de protección según su ubicación sobre el firewall. Debe tener integración de forma nativa con Cisco NAC. Las actualizaciones de motores y firmas deberán ser incrementales con posibilidad de Rollback. Debe brindar la funcionalidad de descargar actualizaciones desde el servidor de la solución y en caso de no tener conectividad contra este poder descargar las mismas directamente desde internet. La solución deberá brindar la posibilidad de realizar configuraciones a clientes de manera global, de manera individual y a grupos de usuario de manera separada. Las plataformas que deberán ser soportadas por la solución ofertada son: - Windows 2000 Server - Windows bit / 64 bit (en todas sus versiones) - Windows bit / 64 bit (en todas sus versiones) 2) Software antivirus y de filtrado de contenido de perímetro para protección de los protocolos SMTP/POP3 en formato de appliance Consideraciones técnicas La solución debe ofrecer su propio sistema operativo cerrado, segurizado y optimizado para el correcto funcionamiento de la misma, y mesurar si el equipamiento actual lo soporta o, en su defecto, ofrecer el equipamiento actualizado adecuado. Soporte de protocolos - SMTP - POP3 Contar con los siguientes métodos para la instalación: - Conexión a red 4

5 - Intranet /Internet - Forma remota - CD/DVD - Otras Protección Antivirus con motor y firmas propietarias del fabricante de la solución. Protección Anti-Spyware motor y firmas propietarias del fabricante de la solución. Protección Anti-Phishing / Anti-Pharming mediante consultas a bases de datos de reputación de URLs / IPs propietarias del fabricante de la solución. Protección Heurística en tiempo real ante nuevas variantes de código malicioso o amenazas de día cero. Filtrado Antispam mediante engine heurístico, que permita la identificación de correo no deseado mediante el análisis y procesamiento de los mensajes. Servicio de Filtrado de IPs Spammers mediante consultas a base de datos externas a la solución según su reputación. Las bases de datos a las cuales se harán las consultas deben ser propietarias del fabricante de la solución. Filtrado de contenido permitiendo crear una política de bloqueo de extensiones, documentos, textos, palabras o patrones específicos, adecuándose a las necesidades del administrador de la solución. Integración con el protocolo LDAP. Debe ofrecer soporte para: - Microsoft Active Directory 2000/2003/2008 La solución deberá permitir la siguiente flexibilidad en las configuraciones: La solución debe permitir la creación de múltiples políticas sobre el tráfico entrante y saliente sobre el protocolo SMTP. Se deben poder crear políticas independientes tanto para tráfico entrante como para correo saliente difiriendo en cada caso los niveles de filtros, acciones a tomar en cada política, prioridades, los usuarios o dominios a los cuales aplican estas mismas. Debe brindar la posibilidad aplicar políticas especificas sobre el protocolo POP3. Deberá existir la posibilidad de generar una política global para todos los mensajes aplicando al tráfico entrante, saliente SMTP y al protocolo POP3. 5

6 Deberá ofrecer el armado de políticas ofreciendo las siguientes posibilidades: Selección de remitente y receptor: - Dominio - Grupo de LDAP - Cuenta de Correo Selección de excepciones a la política: - Dominio - Grupo de LDAP - Cuenta de Correo Aplicar la política únicamente cuando aplica a todos los usuarios que pertenecen a la política. Aplicar la política únicamente cuando aplica a cualquiera de los usuarios que pertenecen a la política. Durante el proceso de armado de políticas la solución debe ofrecer la posibilidad de aplicar los siguientes filtros: Filtro Antispam Filtro Antivirus/Antispyware Filtro AntiPhishing Filtro de Archivos Adjuntos por Nombre o extensión Filtro de Archivos Adjuntos por contenido del tipo MIME Filtro de Archivos Adjuntos por real tipo de extensión Filtro de Archivos Adjuntos por tamaño Filtro de Archivos Adjuntos por cantidad de estos mismos Filtro de Mensaje por tamaño del mensaje Filtro de contenido por: - patrones de expresiones regulares en el Asunto del mensaje - asunto en blanco - patrones de expresiones regulares en el cuerpo del mensaje - patrones de expresiones regulares en el encabezado del mensaje - patrones de expresiones regulares en el archivo adjunto en el mensaje - cantidad de destinatarios finales - rango de horario de mensaje recibido 6

7 El filtro Antispam debe permitir como mínimo 3 niveles de configuración, nivel de configuración personalizable por el administrador de la solución, excepciones y lista segura. ( Opcional ) Los filtros de contenido deben permitir agregar nuevas expresiones regulares y editar las ya existentes en la solución. Debe ofrecer la posibilidad de aplicar uno o más filtros en la misma política. Durante el proceso de armado de políticas la solución debe ofrecer la posibilidad de aplicar el siguiente tipo de acciones sobre el o los mensajes procesados que apliquen a alguna de las políticas generadas por el administrador de la solución: - No aplicar acción. - Eliminar el mensaje - Enviar a cuarentena - Redireccionar los mensajes hacia otro destinatario - Reenviar hacia un nuevo servidor SMTP - Eliminar los archivos adjuntos, todos o solamente los que apliquen con la política - Agregar un estampado personalizable en el cuerpo del mensaje - Agregar una etiqueta personalizable en el asunto del mensaje - Posponer el envío del mensaje para un horario determinado (Opcional) - Enviar notificación a: Administrador Remitente Receptor/es Casilla de correo personalizable - Archivar el mensaje en una carpeta especifica (Opcional) - Hacer copia oculta de los mensajes a una dirección determinada Deberá permitir especificar una o varias política/s por grupo/s o casilla/s de correo/s en la cual se definirán los archivos a escanear de Código Malicioso/Malware: - Todos los archivos - Archivos potencialmente riesgosos verificando en el encabezado del archivo la real extensión que posee el archivo - Extensiones riesgosas y definidas por el usuario. 7

8 Deberá ofrecer la capacidad de escanear en búsqueda de código malicioso archivos de por lo menos hasta 20 capas de compresión en los formatos más populares de compresión. Deberá especificar la acción a tomar en correos infectados. Deberá ofrecer la posibilidad de tomar distintas acciones para los tintos tipos de malware que se pudieran llegar a encontrar diferenciando entre: o Virus o Spyware/Grayware o Nuevas Variantes de Virus o Virus de día Cero Deberá ofrecer la posibilidad de generar excepciones sobre: o Mensajes encriptados o Mensajes con archivos protegidos con contraseña Los motores y definiciones de virus que utiliza el antivirus se deben actualizar automáticamente desde Internet y cualquier otro punto de la red local. Soporte de registro de infecciones opcional. Los mensajes de correo electrónico infectados, deben llegar limpios al destinatario manteniendo al menos el cuerpo del mensaje. Envío de mensajes de advertencia personalizados (destinatario/s y al Administrador/es. ( Opcional ) Soporte antispam. Soporte de certificación ICSA o Checkmark de WestCoast Labs Posibilidad de administración remota Soporte de administración remota desde cualquier estación de trabajo o servidor: - Con Interfaz Gráfica - Con Interfaz Web La consola deberá requerir contraseña y usuario para su acceso. Se deben poder generar diferentes perfiles con diferentes privilegios para acceder a la consola. Desde la consola se deberá ofrecer la posibilidad de configurar actualizaciones de forma automática / manual y establecer los puntos de actualización. La solución debe permitir la administración automática de logs y componentes de la solución. Los logs deben brindar información detallada de cómo fue procesado un mensaje permitiendo el fácil seguimiento de las políticas aplicadas en la solución sobre este mismo. 8

9 Se deberán poder hacer búsqueda de los logs por tipo de filtro aplicado, por fecha o periodo de tiempo. Deberá brindar el acceso a la cuarentena de los mensajes de correo electrónico y permitir hacer búsquedas por Fecha, Periodo de Tiempo, Remitente, Receptor, Asunto, filtro por el cual fue a la cuarentena. La solución debe proveer al administrador la posibilidad de ver el estado de la solución en tiempo real, generar reportes bajo demanda y generar reportes programados. La solución deberá incluir un sistema de cuarentena externo para almacenamiento, con acceso web para los usuarios y con posibilidad de autogestión de cuarentena integrable a Active Directory. (Opcional) 3) Software antivirus y de filtrado de contenido de perímetro HTTP/FTP en formato appliance Consideraciones técnicas La solución debe ofrecer su propio sistema operativo cerrado, segurizado y optimizado para el correcto funcionamiento de la misma soporta o, en su defecto, ofrecer el equipamiento actualizado adecuado. Soporte de protocolos (por lo menos): - HTTP - FTP Contar con los siguientes métodos para la instalación (por lo menos): - Conexión a red - Intranet /Internet - Forma remota (Opcional) - CD/DVD Protección Antivirus con motor y firmas propietarias del fabricante de la solución. Protección Anti-Spyware motor y firmas propietarias del fabricante de la solución. Protección Anti-Phishing / Anti-Pharming mediante consultas a bases de datos de reputación de URLs / IPs propietarias del fabricante de la solución. 9

10 Protección Heurística en tiempo real ante nuevas variantes de código malicioso o amenazas de día cero. Bloqueo de URLs, el administrador podrá indicar que URLs son peligrosas para los usuarios y cuáles de confianza. Filtrado de URLs por categorías, el administrador podrá indicar a los usuarios en que URLs podrán navegar según categorías definidas por la solución, también pudiendo definir horarios en los cuales los usuarios podrán navegar en distintas categorías definidas por el administrador. La solución deberá permitir la siguiente flexibilidad en las configuraciones: Deberá permitir la creación de políticas sobre el tráfico entrante y saliente sobre el protocolo HTTP. Deberá brindar la posibilidad de aplicar políticas específicas sobre el protocolo FTP. ( Opcional ) Durante el armado de la política de escaneo se deberá poder especificar los archivos a escanear: - Todos los archivos - Archivos potencialmente riesgosos verificando en el encabezado del archivo la real extensión que posee el archivo - Extensiones riesgosas y definidas por el usuario. - Excepciones a extensiones definidas por el administrador Deberá ofrecer la capacidad de escanear en búsqueda de código malicioso archivos de por lo menos hasta 20 capas de compresión en los formatos más populares de compresión. Deberá poder generar excepciones de escaneo en archivos de gran tamaño. (Opcional). Deberá poder especificar la acción a tomar en archivos infectados. En caso de que se detecte malware en HTTP o FTP las acciones a tomar deberán ser: Limpiar (Opcional) En caso de no poder limpiar manifestar la posibilidad de poder tomar acciones tales como (Opcional): - Eliminar - Enviar a cuarentena - Dejar pasar Bloquear Dejar pasar 10

11 En archivos protegidos con contraseña poder tomar acciones como: - Eliminar - Enviar a cuarentena (Opcional) - Dejar pasar En archivos con macros poder tomar acciones como: - No escanear macros - Enviar a cuarentena (Opcional) - Dejar pasar. Deberá poder Especificar los archivos a bloquear en el trafico HTTP y FTP (este último Opcional) por: - Audio/Video (.mp3,.wav, etc.) - Imágenes (.gif,.jpg, etc.) - Archivos Comprimidos (.zip,.tar,.jar, etc.) - Ejecutables (.exe,.dll, etc.) - Documentos de Microsoft (.doc,.xls, etc.) - Extensiones especificadas por el administrador. Deberá contar con un módulo de Filtrado URL por categorías. Deberá contar con la posibilidad de generar políticas en las cuales el administrador de la solución definirá que IPs, Host Name o Grupo de usuarios LDAP navegaran por ciertas categproas de URLs, por horarios. (Opcional) Deberá contar con la posibilidad de generar políticas en las cuales el administrador de la solución definirá que IPs, Host Name o Grupo de usuarios LDAP usara cuotas en MBytes de navegación. (Opcional) Deberá permitir hacer filtrado de contenido en URLs que contengan palabras no permitidas. Protección FTP transparente evitando la descarga de archivos infectados de sitios no seguros. Posibilidad de administración remota Soporte de certificación ICSA o Checkmark de WestCoast Labs Soporte de administración remota desde cualquier estación de trabajo o servidor: - Con Interfaz Gráfica - Con Interfaz Web La consola deberá requerir contraseña y usuario para su acceso. Se deben poder generar diferentes perfiles con diferentes privilegios para acceder a la consola. Desde la consola se deberá ofrecer la posibilidad de configurar actualizaciones de forma automática / manual y establecer los puntos de actualización. 11

12 La solución debe permitir la administración automática de logs y componentes de la solución. Los logs deben brindar información detallada de cómo fue procesada una petición HTTP permitiendo el fácil seguimiento de las políticas aplicadas en la solución sobre este mismo. Se deberán poder hacer búsqueda de los logs por tipo de filtro aplicado, por fecha o periodo de tiempo. Deberá brindar el acceso a la cuarentena de los archivos. (Opcional) La solución debe proveer al administrador la posibilidad de ver el estado de la solución en tiempo real, generar reportes bajo demanda y generar reportes programados. Deberá tener integración con ICAP. Deberá poder funcionar tanto en modo proxy estándar como enganchado a otro proxy. Deberá tener como alternativa de implementación el modo Bridge de manera de no realizar cambios en la topología de red. (Opcional) Deberá tener los siguientes métodos de notificación: - SNMP - SMTP - Pager (Opcional) - Syslog (Opcional) 4) Software antivirus estaciones de trabajo (PC de escritorio / Notebooks) Consideraciones técnicas La cantidad de estaciones de trabajo a proteger es de 1000 (mil). Protección Antivirus /Anti-Spyware con motor y firmas propietarias de la marca que provee la solución. La consola deberá poder configurar y actualizar la solución; aplicar políticas globales, por grupo, o por dominio; y centralizar informes y reportes. Soporte de instalación y actualización centralizada (desatendida del antivirus de PC) Programación de actualizaciones hacia todos los clientes y servidores en modo centralizado automático. Poseer certificación ICSA Contar con los siguientes métodos para la instalación desde la consola de administración hacia las estaciones clientes y/o servidores: - Conexión a red - Intranet /Internet - Forma remota 12

13 - CD/DVD - Otras (USB, etc) Durante el proceso de instalación, deberá corroborar la existencia de otro Anti-Virus en la PC y tener la posibilidad de desinstalarlo sin intervención del usuario. La instalación deberá ser transparente sin la necesidad de que intervenga el usuario final. Detección y eliminación de malware conocidos y desconocidos en las estaciones cliente y/o servidores según el método de rastreo seleccionado (tiempo real, demanda, programado, etc) para, por lo menos, los siguientes tipos: - Virus de arranque - Virus de archivos - Virus Macros - Virus de VB script y Java Script - Virus en archivos compactados - Virus en archivos compactados en distintos niveles - Virus de red - Troyanos - Spyware/Adware - Rootkits - Phishing/Pharming - Hi-jacking - Keyloggers - Amenazas Web - Desbordamiento de Buffer (Opcional) Debe soportar la búsqueda de malware sobre los formatos de compresión mas utilizados tales como: - zip - rar - tar - bin - cab La solución deberá permitir crear una lista de Spyware/Grayware aprobados. ( Opcional ) La solución debe prohibir el acceso a sitios considerados maliciosos validando la reputación del mismo mediante una consulta a una base de datos del fabricante que provee la misma. Chequeo automático de la transferencia de archivos entre clientes y servidores. ( Opcional ) Rastreo de infecciones en un registro de actividad. El servidor deberá soportar instalación, configuración y administración centralizada con opción para Múltiples Dominios. 13

14 Generación automática de mensajes de alerta ante la detección de virus. Notificación al administrador de la red ante la detección de virus. Posibilidad de realizar en estaciones cliente y servidores los distintos tipos de rastreo (por lo menos) en: - Tiempo Real - Por demanda - Programado - Remoto - Discos - Directorios - Archivos Seleccionados Ante la detección de un virus por cualquiera de los métodos de rastreo seleccionados en las estaciones cliente y servidores posibilidad (por lo menos) de: - Borrar - Enviar a Cuarentena - Limpiar - Pasar Protección por contraseña de equipos cliente de manera Opcional. Soporte de administración remota desde cualquier estación de trabajo o servidor: - Con Interfaz Gráfica - Con Interfaz Web Notificación de detección virus (por lo menos) vía: - SNMP - Correo Electrónico - Message box Realizar notificaciones de detección de virus (por lo menos) a: - Distintos niveles de Administrador ( Opcional ) - Utilizando mensajes pre configurables Posibilidad de realizar informes que muestren (por lo menos): - Versiones de definiciones y motor de búsqueda - Detección de Virus - Tareas Programadas Permitir la creación de distintos perfiles de administrador 14

15 El administrador podrá programar la actualización de los equipos cliente seleccionando (por lo menos): - Todas las estaciones de trabajo - Un grupo de estaciones de trabajo Deberá tener la posibilidad de poder correr actualizaciones de manera manual y automática. La consola de administración deberá usar conexiones seguras (cifradas) para comunicarse con cada uno de los elementos de la solución Antivirus. El producto deberá incorporar un firewall y debe tener la posibilidad de crear políticas de Firewall para tráfico saliente y entrante. El firewall debe proveer funcionalidades del tipo IDS. Deber brindar la funcionalidad de detectar si la pc se encuentra dentro o fuera de la red y aplicar distintos niveles de protección según su ubicación sobre el firewall. Debe tener integración de forma nativa con Cisco NAC. Las actualizaciones de motores y firmas deberán ser incrementales con posibilidad de Rollback. Debe brindar la funcionalidad de descargar actualizaciones desde el servidor de la solución y en caso de no tener conectividad contra este poder descargar las mismas directamente desde internet. La solución deberá brindar la posibilidad de realizar configuraciones a clientes de manera global, de manera individual y a grupos de usuario de manera separada. Las plataformas que deberán ser soportadas por la solución ofertada son: - Windows 2000 Professional - Windows XP 32 bit / 64 bit - Windows Vista 32 bit /64 bit (en todas sus versiones) - Windows 7 32 bit /64 bit (en todas sus versiones) 5) Suite de seguridad para plataforma virtualizada Consideraciones técnicas Antimalware: La solución debe ofrecer protección en tiempo real ante amenazas conocidas y de día cero 15

16 La solución debe ofrecer la posibilidad de realizar acciones de limpieza o remediación ante las detecciones encontradas en tiempo real La solución debe ofrece modos de exploración en tiempo real, bajo demanda y bajo tareas programadas La solución debe ofrecer la posibilidad de configurar distintas acciones ante las detecciones según el tipo de exploración (tiempo real, programada, bajo demanda) La solución debe ofrecer protección ante los siguientes tipos de amenazas: Virus, Troyanos, Gusanos, Virus de red, Spyware, Keyloggers, Adwares, Dialers, Rootkits, Remote Access Tools, Hacking Tools, Amenazas Web y otros La solución debe tener la capacidad de ofrecer el mismo tipo de protección con agentes en equipos físicos y sin agentes en equipos virtuales bajo plataforma Vmware ESX La protección sin agentes en equipos Vmware no debe requerir la instalación de ningún agente adicional sobre la máquina virtual La solución debe tener la capacidad de definir distintas políticas y perfiles de seguridad Las políticas de seguridad deberán poder aplicarse a un equipo, un grupo de equipos o de forma global, según el requerimiento del administrador de la solución La solución deberá contar con la posibilidad de configurar el listado de archivos que deberán explorarse de forma independiente en los tres tipos de tareas de exploración (tiempo real, manual bajo demanda, programada) Así mismo, la solución deberá permitir generar listas de excepción de exploración en los tres tipos de tareas (tiempo real, manual bajo demanda y programado) basadas en directorios, extensiones de archivos y nombres de archivos puntuales. La solución deberá poder identificar el tipo de archivo basado en su contenido y no en su extensión. El motor antimalware de la solución deberá ofrecer la configuración de límites de verificación para evitar ataques de denegación de servicio El motor antimalware debe contener tecnología de detección heurística para la detección de archivos anormales no detectados por firmas Como parte de la protección Antivirus, la solución deberá poder identificar las URLs y sitios web que son accedidas desde los equipos protegidos y bloquear todas aquellas conexiones a sitios maliciosos o de dudosa reputación La solución deberá contar con la posibilidad de utilizar acciones recomendadas por el fabricante, las cuales deberán actualizarse 16

17 de forma periódica en conjunto a las actualizaciones del resto de la solución La solución deberá ofrecer la posibilidad de utilizar listas de reputación en tiempo real, las cuales podrán o no ser accedidas a través de Internet. La solución deberá poder configurar las acciones a realizar en caso de una detección positiva. Estas acciones deberán ser independientes según el tipo de exploración (tiempo real, manual bajo demanda y programado), contemplando al menos las siguientes acciones: limpiar, enviar a cuarentena, eliminar. La solución deberá permitir la generación de distintos perfiles de configuración Los perfiles de configuración podrán heredar configuraciones desde un nivel superior Los perfiles de configuración podrán sobre escribir configuraciones en un nivel inferior Los perfiles de configuración podrán ser aplicados de forma automática ante los siguientes eventos: o Creación de una nueva máquina virtual o Registro de un nuevo equipo físico o Movimiento de una máquina virtual de un hypervisor a otro o Nombre del equipo registrado (utilizando comodines) Capacidad de notificar ante eventos de detección positiva en los equipos protegidos Capacidad de realizar actualizaciones de forma programada y manual de todos los módulos de detección Capacidad de distribuir las actualizaciones recibidas desde Internet a todos los agentes de protección Capacidad de distribuir actualizaciones incrementales para disminuir el impacto en la red Capacidad de instalar un agente de notificación para los usuarios de equipos protegidos sin agentes. Host IPS La solución deberá ofrecer la capacidad de detectar anomalías en el tráfico de red de forma indistinta en equipos físicos, como virtuales protegidos sin agentes La solución deberá ser capaz de ofrecer protección a nivel de red sin instalar ningún agente adicional sobre máquinas virtuales montadas sobre Vmware ESX La solución deberá ofrecer un conjunto de reglas de análisis para la protección de los equipos 17

18 La solución deberá permitir al administrador de la misma, decidir que reglas aplicar La solución deberá permitir al administrador de la misma, aplicar reglas de forma automática según el nivel de seguridad del equipo a proteger La solución deberá poder identificar que vulnerabilidades tiene el equipo protegido y aplicar reglas que blinden de forma virtual estas vulnerabilidades de forma automática La solución deberá poder identificar que vulnerabilidades tiene el equipo protegido y recomendar al administrador las reglas que debe aplicar para su puesta en funcionamiento de forma manual La solución deberá ofrecer protección ante ataques de red orientadas a vulnerabilidades La solución deberá contemplar cubrir vulnerabilidades de al menos los siguientes fabricantes: Microsoft, Oracle, Adobe, mysql, Linux, Sun y otros según la criticidad e impacto de la vulnerabilidad La solución deberá poder identificar protocolos de aplicaciones según su huella en la red. La solución deberá poder bloquear protocoles de aplicaciones no permitidas en los equipos protegidos La solución deberá poder identificar los protocolos por su contenido y no por su puerto de origen / destino La solución deberá poder identificar ataques orientados a aplicaciones web La solución deberá poder identificar y bloquear de forma heurística ataques a aplicaciones web La solución deberá ofrecer protección ante ataques a aplicaciones web como cross site script, sql injection y otros La solución deberá permitir al administrador generar perfiles de seguridad con las distintas reglas que podrá aplicar Los perfiles de configuración podrán heredar configuraciones desde un nivel superior Los perfiles de configuración podrán sobre escribir configuraciones en un nivel inferior Los perfiles de configuración podrán ser aplicados de forma automática ante los siguientes eventos: o Creación de una nueva máquina virtual o Registro de un nuevo equipo físico o Movimiento de una máquina virtual de un hypervisor a otro o Nombre del equipo registrado (utilizando comodines) La solución deberá ser capaz de notificar al administrador según el tipo de evento detectado 18

19 La solución deberá ofrecer información y referencias externas acerca de cada una de las reglas que contiene La solución deberá permitir la configuración y ajuste de aquellas reglas que precisen especialización para ser aplicadas La solución deberá permitir al administrador de la misma generar sus propias reglas de protección La reglas podrán ser aplicadas en modo solo de detección, para evaluar su impacto antes de ser aplicadas. Firewall La solución deberá contar con un módulo de firewall La solución deberá poder aplicar las reglas en modo de monitoreo para poder evaluar el impacto de las mismas La solución deberá poder inspeccionar el trafico IPv4 e IPv6 La solución deberá poder aplicar las reglas en entornos VMware ESX sin necesidad de instalar un agente en la virtual machine La solución deberá proveer el mismo tipo de seguridad para equipos físicos con la instalación de un agente La solución debe tener la capacidad de inspeccionar protocolos desde la capa 2 (dos) del modelo OSI (Open Systems Interconnection) La solución debe tener capacidad de generar reglas basadas en: protocolo, dirección, puerto de origen, puerto de destino, IP de origen e Ip de destino La solución debe tener la capacidad de utilizar listas configuradas anteriormente por el administrador para ser utilizadas como: conjunto de puertos y conjuntos de IPs como mínimo La solución debe poder aplicar las reglas basadas en políticas La solución deberá permitir al administrador generar perfiles de seguridad con las distintas reglas que podrá aplicar Los perfiles de configuración podrán heredar configuraciones desde un nivel superior Los perfiles de configuración podrán sobre escribir configuraciones en un nivel inferior Los perfiles de configuración podrán ser aplicados de forma automática ante los siguientes eventos: o Creación de una nueva máquina virtual o Registro de un nuevo equipo físico o Movimiento de una máquina virtual de un hypervisor a otro o Nombre del equipo registrado (utilizando comodines) La solución debe permitir la notificación al administrador ante un evento relacionado con las reglas. 19

20 Inspección de eventos La solución debe tener la capacidad de inspección los eventos del sistema y sus aplicaciones, discriminando aquellos eventos más relevantes de los no relevantes El criterio de relevante y no relevante debe poder ser configurada por el administrador de la solución La solución debe contener filtros ya configurados para la utilización de inspección de eventos Los filtros de inspección de eventos podrán ser actualizados desde internet de forma automática Los filtros de inspección de eventos podrán ser modificados por el administrador de la solución El administrador de la solución podrá generar sus propios filtros de inspección de eventos Los distintos filtros de inspección de eventos podrán complementarse sin afectar al funcionamiento de la solución El administrador pordrá asignar puntaje a cada tipo de evento y un umbral de aceptación de los eventos Una vez sobrepasado el umbral de aceptación, la solución deberá generar una alerta visible desde un tablero de control provisto por la solución Una vez sobrepasado el umbral, la solución deberá poder notificar al administrador de la misma La solución deberá permitir generar perfiles de seguridad con las distintas configuraciones de los filtros de inspección Los perfiles de configuración podrán heredar configuraciones desde un nivel superior Los perfiles de configuración podrán sobre escribir configuraciones en un nivel inferior Los perfiles de configuración podrán ser aplicados de forma automática ante los siguientes eventos: o Creación de una nueva máquina virtual o Registro de un nuevo equipo físico o Movimiento de una máquina virtual de un hypervisor a otro o Nombre del equipo registrado (utilizando comodines) La solución debe tener la capacidad de recomendar qué filtros de inspección debería ser aplicado en un equipo según el sistema operativo del mismo, servicios ejecutándose y aplicaciones instaladas Chequeo de integridad La solución debe ofrecer los mecanismos para realizar un chequeo de integridad de los sistemas abarcados 20

21 El chequedo de integridad deberá contemplar la agregación, modificación o eliminación de los elementos a monitorear El monitoreo de integridad debe aplicar a archivos, directorios y/o ramas de registro según lo permita el sistema operativo El monitoreo de integridad deberá poder realizarse a través de un agentes en equipos físicos y sin agentes en máquinas virtuales sobre plataforma Vmware ESX El monitoreo de integridad sin agentes no debe requerir la instalación de ningún agente adicional La solución debe proveer algunos filtros de chequedo de integridad listos para ser aplicados La solución debe poder recomendar los filtros que deberían ser aplicados en base al sistema operativo, servicios ejecutándose y aplicaciones instaladas en el sistema El administrador de la solución deberá poder generar nuevos filtros de chequeo de integridad. El chequeo de integridad deberá poder realizarse en tiempo real, tareas programadas o bajo demanda El administrador de la solución deberá poder modificar la reglas y filtros de chequeo de integridad De encontrarse alguna anomalía disparadas por algunos de los filtros aplicados sobre el equipo, la solución deberá poder enviar una notificación al administrador de la misma La solución deberá permitir generar perfiles de seguridad con las distintas configuraciones de los filtros de chequeo de integridad Los perfiles de configuración podrán heredar configuraciones desde un nivel superior Los perfiles de configuración podrán sobre escribir configuraciones en un nivel inferior Los perfiles de configuración podrán ser aplicados de forma automática ante los siguientes eventos: o Creación de una nueva máquina virtual o Registro de un nuevo equipo físico o Movimiento de una máquina virtual de un hypervisor a otro o Nombre del equipo registrado (utilizando comodines) La solución debe ser compatible con plataformas TPM/TXT para la verificación de la integridad del hypervisor Consola de administración La solución debe proveer una consola de administración web, basada en protocolo HTTP seguro (HTTPS) La solución deberá poder implementar la consola de administración tanto en sistemas operativos Windows como Linux. 21

22 La consola de administración debe poder integrase con VMware vcenter para poder obtener los eventos referentes a la creación, modificación, eliminación y movimiento de máquinas virtuales protegidas por la solución. La solución debe permitir generar distintos usuarios y roles con distintos alcances La solución debe permitir importar usuarios desde Active Directory La solución debe ofrecer un tablero de control (Dashboard) personalizable para la rápida identificación de eventos críticos de la plataforma La solución debe ofrece distintos mecanismos de notificación al o a los administradores de la misma La solución debe permitir generar roles de usuarios definiendo: visibilidad de equipos, permisos de escritura, modificación y/o eliminación de configuraciones de seguridad Los roles de los usuarios deben poder también definir si el usuario con dicho rol puede ver, escribir o modificar configuraciones globales de la solución La consola de administración de la solución debe permitir la visualización de todos los eventos generados por los distintos módulos de protección de la misma La consola de administración de la solución debe permitir marcar los eventos como resueltos La consola de administración debe ofrecer los mecanismos necesarios para configurar todas las características mencionadas en este pliego 6) Software de monitoreo de riesgos de seguridad presentes en la red. Consideraciones técnicas La solución debe analizar tráfico en tiempo real La solución debe poder guardar un histórico del tráfico analizado. La solución debe poder asociar los paquetes analizados y ensamblar los archivos enviados por la red. La solución debe correlacionar eventos La solución debe poder instalarse en un equipo virtual La solución debe poder conectarse a un puerto espejado del enrutador. La solución no debe interferir con el tráfico de la red. 22

23 La solución debe poder detectar los siguientes tipos de amenazas: Virus, Troyanos, Gusanos, Virus de red, Spyware, Keyloggers, Adwares, Dialers, Rootkits, Remote Access Tools, Hacking Tools, Amenazas Web, botnets y otros La solución debe poder integrarse a un ambiente de análisis capaz de ejecutar muestras de archivos desconocidos en equipos con sistemas operativos Windows. La solución debe poseer un ambiente de análisis propio él cual deberá estar integrado por un equipo virtual con un sistema operativo Windows. La solución debe identificar los equipos infectados. La solución debe poder indicar que equipos se están conectando a páginas webs dañinas. La solución debe poseer una base de datos integrada. La solución debe poder realizar consultas del tráfico afectado a su base de datos integrada por fecha y hora. La solución debe poder detectar explotaciones a vulnerabilidades de diferentes fabricantes. La solución debe poseer consola de administración web. La solución deberá poder monitorear el estado de memoria, memoria de procesamiento y la cantidad de disco duro utilizado de sí misma. La solución deberá poder conectarse a un servidor NTP. La solución deberá poder utilizar un proxy para actualizarse. La solución deberá poder realizar respaldo de las configuraciones. La solución deberá poder restaurar las configuraciones respaldadas. La solución deberá proveer al usuario de una sección para definir las extensiones de los archivos potencialmente maliciosos que se enviaran al ambiente de análisis. La solución deberá poder enviar correos en caso de detección de amenazas. La solución deberá de identificar amenazas basadas en comportamiento y firmas como mínimo de las siguientes aplicaciones: o Mensajería Instantánea (Live Messenger, GoogleTalk, ebuddy, Skype, YahooMsg). o Aplicaciones P2P (Ares, edonkey, Kazaa, BitTorrent, ). o Streaming Media. o Servicios no autorizados tales como open-relay SMTP y DNS falsos. La solución deberá proveer registros de logs de la siguiente información: o Datos de detección. o Protocolo/servicio. o Dirección del ataque (Externo/Interno). 23

24 o Dirección de origen. o Dirección de destino. o Tipo de riesgo. o Nombre de archivo. La consola de administración deberá: o Tener conexión de seguridad mediante certificados SSL o La consola debe ser Web accesible desde un browser mediante el uso de contraseña. o La consola debe poder realizar reportes personalizables y a demanda. o La consola debe poder realizar reportes programados. o La consola debe poseer un tablero personalizable. o La consola debe poder indicar el panorama de amenazas a nivel global. o La consola debe poder monitorear equipos específicos de manera personalizada. o Poder hacer consultas de logs sobre detecciones, filtros de aplicaciones y eventos de sistema o Tener la posibilidad de enviar notificaciones mediante correo electrónico al administrador u otros usuarios sobre detecciones de riesgos potenciales, riesgos conocidos, clientes de alto riesgo y alto tráfico de red. o Tener la posibilidad de configurar actualizaciones de forma manual y programadas o Poseer la capacidad de crear backup y restauración de la configuración actual o La consola deberá poder apartar e informar las detecciones fehacientes y los equipos comprometidos. o Posibilidad de generación de reporte en tiempo real que contenga como mínimo la siguiente información: a. Clientes con mayor registro de eventos. b. Clientes utilizados como fuente de propagación de malware. c. Descripción de reglas más violadas. d. Protocolos más utilizados por las amenazas 7) Software de administración centralizada de las soluciones antivirus de clientes / servidores y soluciones de perímetro Deberá coordinar y administrar todos los productos de seguridad implementados en la red provistos por el mismo fabricante. Deberá centralizar los logs de todos los productos administrados. Soporte de administración remota desde cualquier estación de trabajo o servidor: - Con Interfaz Gráfica - Con Interfaz Web 24

25 Deberá contar con un resumen en tiempo real de detecciones y actualizaciones de la soluciones de seguridad administradas. La consola de administración deberá usar conexiones seguras (cifradas) para comunicarse con cada uno de los elementos de la solución Antivirus. Deberá tener la posibilidad de generar tareas de actualización programadas divididas según el modulo: - Lista de firmas - Motores - Actualizaciones de programa Deberá tener la capacidad de organizar el árbol de productos administrados según: - Ubicaciones geográficas - Tipo de protección - Criticidad del servicio - Delegación de funciones Deberá tener la capacidad de generar los reportes en los siguientes formatos (por lo menos): - PDF - HTML - CSV Los reportes deberán poder ser generados de manera programada o bajo demanda. Los reportes deberán tener la posibilidad de ser enviados automáticamente, al destinatario que se indique, por medio de correo electrónico. Los perfiles de los reportes deberán poder ser generados por producto o por criterio utilizado en la organización de los productos (ubicación geográfica, tipo de protección, etc). Deberán poder hacerse consultas directamente a la base de datos de la solución para poder visualizar información específica de las soluciones integradas a la misma. Deberá brindar la posibilidad de generar reportes personalizados eligiendo tablas especificas de la base de datos. Deberá permitir enviar información hacia un Syslog Server. Deberá contar con notificación vía: - Correo electrónico (SMTP) - SNMP Trap - Pager (Opcional) - Windows Event Log (Opcional) Deberá poder generar varios perfiles de usuarios para la administración y monitoreo. 25

26 Deberá permitir que el administrador de la solución seleccione que menús pueden ser visualizados por los usuarios no administradores que ingresen a su consola. Deberá poder hacer mantenimiento de los logs de forma automática. La consola deberá permitir actualizar de forma centralizada los códigos de activación de todas las soluciones administradas, sin necesidad de ingresar a cada una de estas para extender sus funciones en la red protegida. La solución debe poder instalarse sobre los siguientes sistemas operativos: - Windows 2000 Server - Windows 2003 Server - Windows 2008 Server 8) Servicios Profesionales de Soporte y Asistencia Técnica: una vez implementada la solución completa, el oferente deberá integrar una consultaría mensual en concepto de servicios profesionales cuya misión, además de los servicios detallados a continuación, es la de integrar el producto con la tecnología y electrónica presentes, evaluando el estado de todos los activos de red, a fin de proponer y documentar las soluciones/actualizaciones necesarias (propuestas de modificaciones/actualizaciones de hardware/software/firmware en gral., adquisición de nuevos componentes necesarios para corregir los riesgos potenciales y críticos) dentro del perímetro de seguridad de la red. OnSite para Emergencias El servicio deberá ser brindado en el horario de oficina, de Lunes a Viernes de 9 a 19hs. Se deberá poder hacer uso del servicio sólo ante algunas de las siguientes situaciones: o Infección de virus generalizada o Comportamiento vírico en la red o Inconvenientes de producto que ocasionen riesgos a la continuidad operativa de la organización El proveedor deberá brindar para el uso del servicio un número telefónico para que el cliente pueda comunicarse para declarar debidamente el incidente. El tiempo máximo de respuesta telefónica deberá ser de cómo máximo 1 hora desde el primer llamado. Soporte OnSite Resolutivo El servicio deberá ser brindado en el horario de oficina, de Lunes a Viernes de 9 a 19hs, no debiendo extenderse la visita fuera de estos horarios salvo previo acuerdo de ambas partes. Las visitas deberán ser programadas con un mínimo de 2 días hábiles anteriores al día en el cual se desee la visita. 26

27 Soporte Remoto (Opcional) El servicio deberá ser brindado en el horario de oficina, de Lunes a Viernes de 9 a 19hs. La empresa prestadora del servicio deberá brindar soporte de manera remota, en sesión compartida con el cliente, complementada de manera telefónica o no. Soporte Telefónico La empresa prestadora del servicio deberá brindar para el uso del mismo un número telefónico para que el cliente pueda comunicarse para declarar debidamente el incidente. El servicio deberá ser brindado en el horario de oficina, de Lunes a Viernes de 9 a 19hs, durante el período de licenciamiento de la solución. Soporte Vía La empresa prestadora del servicio deberá brindar para el uso del mismo una dirección de correo para que el cliente pueda comunicarse para declarar debidamente el incidente. Todos aquellos correos electrónicos que sean enviados a la dirección de correo brindada por el proveedor deberán ser contestados de Lunes a Viernes en el horario de 9 a 19hs con un tiempo de respuesta inicial máximo de 8 horas hábiles, durante el período de licenciamiento de la solución. Actualización de productos OnSite El servicio deberá ser brindado en el horario de oficina, de Lunes a Viernes de 9 a 19hs, no debiendo extenderse la visita fuera de estos horarios salvo previo acuerdo de ambas partes. El personal técnico de la empresa prestadora del servicio deberá: o Analizar los datos requeridos para la actualización o Generar el plan de acción para las tareas a realizar o Instalar la nueva versión del producto afectado por el alcance ya sea por actualización o migración, teniendo en cuenta que: La actualización se realiza sobre el mismo equipo que contenía la versión anterior La migración se realiza sobre un nuevo equipo el cual deberá estar debidamente listo al momento de realizar las tareas 9) Servicios Profesionales Nacionales Curso de administración: (para el personal de esta DGSI) Los cursos deberán ser dictados de lunes a viernes en el horario de 9hs a 19hs con una duración estimada de 7 horas. 27

28 El temario del curso deberá abarcar tareas administrativas y de configuraciones de uso común para las soluciones, como por ejemplo, instalación, actualización, etc El proveedor deberá poner a disposición el calendario mensual de capacitaciones. Los cursos deberán ser dictados a un número de asistentes no mayor a 10 personas. Se podrán utilizar los cupos contratados en cualquier momento durante el período en la propuesta comercial. Instalación del producto: El servicio deberá ser brindado en el horario de oficina, de Lunes a Viernes de 9 a 19hs. El proveedor deberá informar acerca de los requerimientos mínimos de hardware y software de la versión del producto que deba implementar y requerir el cumplimiento de los mismos a fin de lograr el correcto funcionamiento de la solución. El personal técnico de la empresa prestadora del servicio deberá: o Analizar los datos requeridos para la instalación o Instalar la última versión del producto y realizar las configuraciones acordes a las peticiones del administrador, siempre y cuando lo permita la solución. o Verificar el correcto funcionamiento de la solución luego de las tareas de instalación. o En el caso de aquellas soluciones que consten de un elemento servidor y varios clientes, el personal asignado a la instalación, demostrará y recomendará al administrador el mejor método de instalación para la topología analizada realizando la instalación de tres clientes para tal fin. Consideraciones Generales La LCABA será la usuaria de los productos de software solicitados, pudiendo la misma instalarlos y utilizarlos en todos sus dependencias. Se deberá realizar una visita técnica a fin de interiorizarse por completo con la tecnología y material existente, la cual tiene carácter de excluyente, expidiéndose el correspondiente certificado que deberá adjuntarse con la oferta, cuarenta y ocho (48) hs. antes de la apertura de ofertas. El Servicio de Mantenimiento incluyendo actualización de los motores y definiciones de virus mas el Upgrade (actualización) de versiones durante el período contratado. 28