Cartel de Especificaciones Técnicas Adquisición de Antivirus de Servidor y Clientes

Transcripción

1 FANAL Fábrica Nacional de Licores Cartel de Especificaciones Técnicas Adquisición de Antivirus de Servidor y Clientes Elaborado por: Fecha de Creación: Lic. Gilberto Arroyo Morera Enero Fecha Versión de Cambios Modificó

2 Contenido Objetivo General... 3 Objetivos específicos... 3 Condiciones técnicas mínimas.... 3

3 Objetivo General. Adquirir un sistema automatizado de seguridad para la protección de la red interna de datos de FANAL contra virus, gusanos, troyanos, spyware, spam, entre otros. Objetivos específicos. 1. Adquirir un sistema informático antivirus y otros tipos de software maliciosos que se administre mediante una consola centralizada a nivel de servidor e implementación de agentes a nivel de clientes (usuarios finales) 2. Adquirir un sistema automatizado que permita la actualización permanente de sus bases de datos antivíricas, antispam, antispyware y otros para asegurar la protección adecuada de la red interna de datos de FANAL. 3. Adquirir un sistema informático que provea de diversas herramientas de configuración, administración y reportes de actividad para el análisis técnico. 4. Adquirir un sistema informático que permita el Bloqueo de aplicaciones en mensajería instantánea así como el acceso a páginas web. Condiciones técnicas mínimas. Adquirir un sistema automatizado de seguridad para la protección de la red interna de datos de FANAL contra virus, gusanos, troyanos, spyware, spam, entre otros. A. Consola de Administración: Administración Componentes Consola Antivirus Roles de Usuario Revisión o auditoria del administrador de la Consola Actualizaciones Debe proveer una consola de administración Antivirus, antispyware, Desktop Firewall. Agente que se instala en cada computadora y servidor que servirá como medio de comunicación entre las estaciones de trabajo y la consola de antivirus. Consola remota que deberá poder instalarse en Windows XP, Windows 2000 Professional, 2000 Server, Windows 2003 Server. Deberá permitir agregar varios usuarios de tipo administrador global, administrador de grupo, revisor global, revisor del sitio. Los revisores solo tienen acceso lectura. Deberá integrarse con Active Directory y permitir hacer logon a la consola de antivirus utilizando las credenciales de la red con sus respectivos permisos Los revisores o administradores de la consola pueden auditar las siguientes acciones: Logueos al servidor de antivirus cambio de perfiles o roles, cambio de contraseñas, Desinstalación de los agentes por eliminación, cambios de políticas, agregar o borrar sitios, grupos, computadoras o cuentas, renombrar sitios, grupos o máquinas. Esta característica es importante cuando se desea descubrir cambios ocurridos en el servidor de antivirus La consola deberá conectarse al sitio de actualizaciones de forma automática cada hora verificar nuevas actualizaciones de spam, antivirus, anti-spyware, templates de Microsoft. Deberá mostrar la actualización en la consola local y la actualización que está en el proveedor. Deberá actualizar todas las maquinas que estén en la red encendidas no importando la hora, en un tiempo máximo de 60 minutos y mínimo de 30 minutos Deberá mostrar en la pantalla de inicio la versión actual de antivirus y las últimas amenazas de virus que existen en el Internet.

4 Agente Clasificación por IP Repositorios Remotos Catalogo de Políticas Recopilación de Propiedades Creación de políticas Mantenimiento de Agentes Inactivos Detección de Equipos no fiables Sistema de verificación Parches de Microsoft Sistema de búsqueda de aplicaciones o archivos Notificaciones Reportes Deberá mostrar el status de cuando se esta bajando las actualizaciones y el porcentaje de actualizaciones. Ser flexible en la instalación por medio de login script, ejecutable, vía remota. Deberá efectuar la instalación del antivirus, Anti-Spyware de forma automática sin interrupción del usuario y silenciosa. Deberá poder desinstalar el antivirus de la maquina en forma automática. Deberá poder clasificar las maquinas por rangos de dirección IP y mascara de red. Permitir crear repositorios remotos para la distribución del software de antivirus y actualizaciones en sitios remotos y minimizar el ancho de banda. Permitir crear repositorios vía UNC - FTP - HTTP Deberá replicar de forma manual o automática a través de tareas el software para las actualizaciones e instalaciones. Deberá permitir ver las políticas por cada producto y poder sacar una copia a la política de cada producto para generar una nueva sin afectar la política predeterminada. Se tiene información sobre el software y hardware de cada máquina en donde esté instalada el antivirus. Debe comprender al menos información sobre Sistema Operativo, versión de Service Pack, Memoria RAM (Total y Disponible), disco(s) duros(s), MAC Address y grupos de trabajo. Debe permitir crear configuraciones por grupo, dominio o maquina sin afectar la estructura. Puede planificar una tarea de servidor: Mantenimiento de agente inactivo para especificar el período de tiempo que define a los agentes como inactivos y la acción que desea realizar en los equipos que tienen agentes inactivos. Esta tarea no desinstala el agente. Los equipos con agentes inactivos se pueden eliminar de la estructura de red, o migrar a un grupo específico para solución de problemas. La consola deberá detectar cualquier equipo nuevo que se conecte a la red Deberá proveer la dirección IP asignada por el DHCP o MAC Address, nombre de la maquina, Sistema Operativo. Deberá verificar si la maquina tiene agente o antivirus y permitir tomar una acción como envió de instalación de antivirus. Generación de notificación vía SMTP, SNMP, Syslog o Mensaje de red informando sobre la nueva máquina. La consola deberá incluir una herramienta que verifique que parches de Microsoft de seguridad tiene o le hacen falta. La consola deberá incluir una herramienta que verifique si una aplicación o archivo existe dentro la maquina cliente o por medio de la llave del registro. Esta característica permite que se definan las reglas que filtran eventos de los productos manejados por el servidor de antivirus. Cuando los eventos o acontecimientos de los productos especificados, componen de una categoría específica se reciben y procesan un mensaje de notificación este se envía a las personas indicadas en su organización. Estos mensajes son configurables y se pueden enviar vía E- mail estándar, SMS, paginador del texto, o SNMP. Esta característica también proporciona la capacidad de ejecutar comandos externos específicos cuando las condiciones de una regla se cumplen. Deberá generar reportes gráficos en charts y forma de pastel.

5 Los reportes deben poder exportarse a pdf, excel, word, html. Debe haber reportes gráficos de Anti-Spyware. Debe haber reportes gráficos Desktop Firewall. Debe haber reportes gráficos de Anti-Virus. Debe haber reportes gráficos de Network Access Control. Debe tener la capacidad de crear reportes personalizados si fueran necesarios. B. Antivirus Sistemas Operativos Protección de acceso Bloqueo de conexiones Protección contra desbordamiento de Buffer Update selectivo Reparación de la instalación Integración de protección Paquete de instalación Exploración en tiempo real Bloqueo de configuración para usuarios Exploraciones bajo demanda Exploración bajo demanda postponible Instalación personalizada Detección de programas no deseados Detección de IP atacante Análisis de Scripts Utilización de perfiles para la exploración de procesos Tecnologías de detección antivirus Debe instalarse en Windows XP professional, Windows Vista, Windows 2000 Professional, Windows Server, Windows Protección contra intrusos de puertos, archivos, shares y folders bloqueando el acceso hacia ellos. Cuando se detecta un ataque hacia un fólder, debe ser capaz de bloquear las conexiones de computadoras infectadas que tratan de infectar dicho fólder. Capacidad de protección y bloqueo proactivo de desbordamientos de buffer. Debe poseer la capacidad de actualizarse de manera automática contra nuevos sistemas de ataque bajo esta modalidad. Permitir la opción de seleccionar el objeto a actualizar: definiciones de virus, engine, HotFix, Parches, etc. Permitir la restauración de las configuraciones originales o reinstalar los archivos de programa. Debe integrar la protección tanto para servidores como para estaciones de trabajo, con funciones antivirus y de Firewall. El tamaño del paquete de instalación deberá ser considerablemente pequeño, para hacer posible su despliegue a través de la red. Deberá ser capaz de explorar un sistema en tiempo real, cuando sea accesado un archivo o fólder así como los procesos que se ejecuten en memoria. Capacidad de bloqueo de configuraciones por medio de una contraseña. Este bloqueo debe ser selectivo para configuraciones de objetos específicos Capacidad para realizar exploraciones en demanda, estas exploraciones deben ser configurables y ofrecer la opción de seleccionar el objeto a explorar (archivos o carpetas, programas no deseados, memoria, disco, etc). Deberá tener la capacidad para explorar los procesos ejecutados en memoria, así como los archivos almacenados en disco Capacidad para posponer la exploración mientras se está ejecutando. Capacidad para crear un paquete de instalación de forma personalizada, para que las configuraciones iniciales al momento de instalar el software puedan ser personalizadas Capacidad para detectar programas no deseados, como Spyware o Adware y de tomar acciones para cuando haya una detección. Capacidad para detectar la dirección IP atacante Capacidad para analizar Scripts de JavaScript y VBScript antes de que se ejecuten. Capacidad para aplicar distintas configuraciones para los procesos, tanto en la detección como en la acción a tomar. El motor de exploración deberá utilizar distintas tecnologías de detección antivirus: Exploración de firmas y exploración heurística. La exploración de firmas busca un conjunto de código hexadecimal característico de cada virus y la exploración heurística busca

6 Administración remota Registro de eventos Exclusiones en la exploración Acciones posteriores a la detección Acciones posteriores a la detección para una exploración bajo demanda Exploración de correo electrónico Programación de tareas Configuración de repositorios para actualización Instalación remota Detección de Programas no Deseados patrones de comportamiento de virus conocidos para la detección de virus desconocidos. Capacidad para ser administrado remotamente, desde un servidor de antivirus o desde otra consola del mismo producto. Deberá crear logs pro cada uno de los eventos que realice dependiendo del item (exploración, actualización, bloqueos, etc.). Capacidad para excluir de la exploración archivos, folders, procesos, etc. Específicos. Capacidad para tomar distintas acciones cuando sea detectado un virus o un ataque, limpiar el archivo infectado, moverlo a cuarentena, continuar la exploración, no tomar acción, eliminar el archivo, etc. Capacidad para tomar distintas acciones cuando sea detectado un virus, ataque o programa no deseado: limpiar el archivo infectado, moverlo a cuarentena, continuar la exploración, no tomar acción, eliminar el archivo, etc. Capacidad para exploración de mensajes de correo electrónico utilizando Microsoft Outlook, detección de virus y programas no deseados. Capacidad para programar tareas de exploración, actualización, etc. Capacidad para agregar/modificar/eliminar repositorios hacia donde se descarga la actualización de las definiciones de virus Debe ser capaz de instalarse en clientes de forma remota desde un servidor de administración antivirus. El antivirus debe ser capaz de detectar y eliminar Adware- Antispyware- Joke Programs, Keyloggers, Hoaxes, Works y Dialers. C. Antispyware Instalación Integración Protección & Escaneo Acceso Capacidad en Detección Escaneo Registro Sistemas Operativos Reportes Actualización Escaneo de Memoria Desinstalación Debe permitir incorporarse a Consola de Administración y enviar la instalación de forma automática a todas las computadoras de la red. Deberá Integrarse al Antivirus y trabajar de forma conjunta. Deberá escanear y bloquear en tiempo real cualquier acceso e instalación de cualquier spyware, adware, malware, key logger, herramientas de administración remota, Dialer, etc. La herramienta deberá detectar al menos 16,000 tipos diferentes de PUPs como spyware, adwares, malware, keloggers. Deberá escanear llaves del registro y eliminar las llaves creadas por los spyware o cualquier PUP sin afectar la estructura del registro a nivel de Sistema Operativo. Deberá poder instalarse en Windows Vista, XP, Windows 2000 Pro o Server 2003 NT Server Workstation. Deberá proveer reportes gráficos desde la consola de administración centralizada y poder ser exportados a PDF, HTML, Excel, Word. Permitir actualizarse automáticamente desde un sitio Centralizado. Deberá revisar en memoria si se encuentra un spyware, adware, etc. Debe permitir la desinstalación de forma manual o remotamente de la consola de administración.

7 D. Agente Sistema Operativo Servidores Web Bases de Datos Aplicaciones Confiables Escalamiento de Privilegios Protección de Recursos Firmas de Red Reconocimiento de Anomalías Comunicación entre agente y servidor Exploits RPC Buffer Overflows (desbordamiento de memoria) Métodos de Aprendizaje Análisis de Comportamiento Niveles de Protección Instalación Agente para los Sistemas Operativos Microsoft. Windows 2000, 2003 NT 4 Server, NT 4 Enterprise Server, XP, 2000 Professional y Vista. Protección para Servidores Web Microsoft IIS 4, IIS 5, II6. Protección para Bases de Datos MSQL 2000 Server, 2003 Server. Proveer protección a sistemas sin parchar bloqueando ataques desconocidos, mitigando la urgencia de la distribución de parches. Proteger la integridad del sistema previniendo a usuarios de ganar control de acceso "root" o "administrador" en el sistema. Asegurar la disponibilidad e integridad de datos y servicios "locking down" registros y archivos. Detección de Ataques de DOS. Detección y bloqueo de Ataques de tipo Reconocimiento ejemplo: Host Sweep, TCP or UDP port Scan, recons, CGI Holes. Comunicación entre agente y servidor debe ser de tipo RC4 encryption utilizando el algoritmo de Diffie- Hellman key Exchange. Detección de Ataques de Tipo Exploits hacia vulnerabilidades de Sistema operativo como también de aplicaciones no Microsoft que estén instaladas en las desktops y servidores. Detección de buffer overflow de forma genérica sin utilización de firmas basándose en comportamiento del ataque. La herramienta deberá aprender automáticamente de las aplicaciones y puertos y servicios que cada servidor y desktop abre día a día sin necesidad de la intervención del usuario. La herramienta deberá analizar cuando una aplicación efectué comando fuera de lo común como escrituras a registro y/o conexiones externas. Deben haber niveles de protección Alto, Medio, Bajo para la herramienta de desktop Firewall y HIPS. Instalación Silenciosa sin necesidad de Reiniciar el Sistema Operativo desde la misma consola de administración. Debe ser remota o manual. Atentamente, Lic. Gilberto Arroyo Morera Encargado, Unidad de Cómputo FANAL