INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE Nº 04-2006-ST

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE Nº 04-2006-ST 1. Nombre del Área El área encargada de la evaluación técnica para la adquisición e implementación de software de protección para correo electrónico, Internet y sistema preventor de intrusos (IPS) es el Departamento de Soporte Técnico de la Gerencia de Tecnologías de Información (GTI) de esta Superintendencia. 2. Nombre y Cargo del Responsable de la Evaluación El analista responsable de la evaluación es el Sr. Manuel Alcides Escudero Cervantes, Analista de Redes y Comunicaciones del Departamento de Soporte Técnico de la Gerencia de Tecnologías de Información (GTI). 3. Fecha La fecha del presente informe es el 28 de Septiembre del 2006. 4. Justificación Desde su implementación en la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones (SBS), los servicios de correo electrónico e Internet son utilizados como herramientas para obtener, transmitir e intercambiar información por parte de los miembros de la institución. Sin embargo, con el tiempo, estas herramientas se han visto sometidas a diversas actividades y/o usos que trascienden los objetivos habituales de dichos servicios, perjudicando directa o indirectamente a los usuarios finales de los mismos. Algunos de estos eventos son externos a la SBS, tales como spamming, o hacking, pero también los hay internos, tales como acceso a páginas Web con contenido sexualmente explícito o descarga de música (en general, uso inadecuado de las herramientas Internet). Adicionalmente, el uso inapropiado de Internet puede ocasionar ataques por instalación de software malicioso (spyware) al interior de la organización. En la actualidad, la protección perimetral de los servicios de red, correo electrónico e Internet de la SBS cuenta con los sistemas mínimos indispensables para ello, los cuales son: Checkpoint Firewall e InterScan Virus Wall, encargados de la protección de la red de ataques de virus, seguridad perimetral y nateo de las direcciones IP de la institución. Real Secure, sistema detector de intrusos (IDS) encargado de detectar y proteger la red de accesos no permitidos y/o no deseados. Por sus características y ubicación, estos sistemas de seguridad protegen de manera limitada la zona desmilitarizada (DMZ Demilitarized Zone) de las amenazas existentes y no facilitan la optimización ni control del tráfico existente. De este modo, la información que circula, se procesa y se almacena en la DMZ de la SBS está sometida a diversos tipos de amenazas. Una zona desmilitarizada (DMZ) es una subred que se ubica entre la red interna de una organización y una red externa, generalmente Internet. El objetivo de una DMZ es que las conexiones desde la red interna y la externa a la DMZ estén permitidas, mientras que las

conexiones desde la DMZ sólo se permitan a la red externa, es decir, los equipos en la DMZ no pueden conectarse con la red interna. Esto permite a los equipos de la DMZ dar servicios a la red externa, a la vez que protegen la red interna en el caso de que intrusos comprometan la seguridad de los equipos situados en la zona desmilitarizada. Para cualquier usuario de la red externa que intente conectarse ilegalmente a la red interna, la zona desmilitarizada se convierte en un callejón sin salida. La DMZ se usa habitualmente para ubicar servidores que deben ser accedidos desde fuera, tal como es el caso de los servidores Web. (Fuente: http://es.wikipedia.org/wiki/zona_desmilitarizada) Así, se entiende por amenaza una condición del entorno del sistema de información (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación de la seguridad (confidencialidad, integridad, disponibilidad o uso ilegítimo). Un ataque no es más que la realización de una amenaza. Algunas de las amenazas existentes son espionaje o acceso no autorizado a información, interrupción del flujo de información, copia de la información, alteración de la información, destrucción de información o interrupción de los servicios. (Fuente: http://www.delitosinformaticos.com/seguridad/clasificacion.shtml) El uso cada vez mayor de los recursos de correo electrónico e Internet en la SBS, así como la cantidad y variedad de las amenazas existentes, han aumentado significativamente la necesidad de contar con soluciones de seguridad para controlar estos ataques, permitiendo, al mismo tiempo, el acceso seguro a los recursos institucionales por parte de los usuarios de la SBS. Si bien es cierto que el firewall y una adecuada autenticación ayudan a mantener los sistemas libres de intrusos no autorizados, estos sistemas pasivos tienen capacidad limitada para protegerlos de hackers experimentados o de usuarios no autorizados con malas intenciones. Para ello, se requiere implementar un sistema que permita tomar medidas de seguridad proactivas, antes del robo de la información o del mal manejo del sistema. Las amenazas que existen hoy en día y que cada vez son más sofisticadas, hacen necesarias soluciones de seguridad integradas y no soluciones aisladas o puntuales. El objetivo del nuevo nivel de seguridad propuesto es garantizar la privacidad de la información y la continuidad de los servicios de correo electrónico, Internet y los servidores asignados a la Extranet de la SBS, tratando de minimizar la vulnerabilidad de los sistemas y de la información contenida en ellos, estableciendo para ello una arquitectura de seguridad integral. Para ello, se busca proteger la DMZ y optimizar el rendimiento de la red controlando el tráfico existente y deteniendo los correos no deseados, a fin de minimizar o eliminar sus efectos negativos. Así, se requiere disponer de una solución de seguridad que permita mejoras y cambios futuros en su diseño y que, además, posea atributos de escalabilidad, alta disponibilidad y redundancia de los principales elementos que la componen. Así mismo, debe contar con parámetros de evaluación y monitoreo de la solución, incluyendo la verificación del correcto acceso a los sistemas de información. Para ello, en base a la situación anteriormente descrita, se propone adquirir e implementar un sistema de seguridad compuesto por: Sistema de protección de correo electrónico, a fin de anular o minimizar la recepción de spam o correos con contenido malicioso que atente contra los sistemas de la SBS. Spam es un término aplicado a mensajes no deseados distribuidos a una gran cantidad de destinatarios de forma indiscriminada, normalmente de publicidad no solicitada y/o engañosa. En la mayoría de los casos, el emisor de estos mensajes es desconocido y, generalmente, es imposible responderlo (reply) de la forma habitual o incluso llegar a identificar una dirección de retorno correcta. Adicionalmente, el sistema debe permitir escanear todo el tráfico de correo electrónico

entrante, utilizando políticas y reglas definidas por la SBS, así como escanear el tráfico saliente para detectar información protegida y confidencial a fin de controlar el cumplimiento de los requerimientos de confidencialidad establecidos. Algunos de los beneficios de implementar este sistema en la SBS son: Proteger la imagen corporativa de la institución, colaborando en evitar que las cuentas de los contactos se vean inundadas por correo no deseado o potencialmente peligroso proveniente de las direcciones del correo institucional y ayudando a que sus propios sistemas no sean utilizados como medio de propagación. Mayor calidad en el nivel de servicio, al reducir el ancho de banda ocupado por este tipo de mensajes. Mejora de la seguridad, equipos y redes, así como el de los clientes, proveedores y otros contactos de la SBS, al evitar que la propagación de e-mails maliciosos que puedan comprometer la integridad de sus sistemas. Sistema de filtro de contenido, con capacidad de escanear y hacer seguimiento al tráfico saliente y las direcciones URL en busca de sitios no autorizados, FTP, HTTP y otros protocolos estándar de Internet a nivel de usuario, de grupo o institución, según políticas de la SBS, de modo que permita controlar el tráfico por navegación en Internet a fin de evitar problemas por: Responsabilidad legal. El mal uso de la Internet expone a la institución a problemas de responsabilidad legal cuando los trabajadores realizan actividades ilegales o inadecuadas. Los filtros de contenido ayudan a definir y a hacer cumplir políticas de uso del Internet que evitan que los empleados realicen comportamiento inadecuado. Ancho de banda. El uso inadecuado de los recursos Internet, tales como radio on-line o descarga de música, decrementan la capacidad del ancho de banda de la red. Un sistema de filtro de contenido permite definir e implementar políticas que orienten el uso del ancho de banda para aplicaciones de la institución. Productividad. El acceso irrestricto a Internet origina que los miembros de la institución se distraigan en actividades ajenas a los objetivos de la misma, no orientadas al trabajo o no productivas. Los filtros de contenido ayudan a la institución a definir y hacer cumplir políticas de uso del Internet que satisfagan los procesos de cultura de negocio. Sistema IPS (Intrusion Prevent System), que incluya herramientas para detectar o monitorizar eventos o intentos de comprometer la seguridad de la DMZ de la SBS. Los sistemas IPS son un complemento ideal para el firewall, en la protección del tráfico malicioso que pudiera penetrar exitosam ente para luego ingresar en la DMZ y poseen habilidades de proteger los sistemas contra ataques, durante el tiempo en el cual es descubierta una vulnerabilidad y la aplicación del parche de seguridad. Los sistemas IPS son mecanismos de defensa proactivos diseñados para detectar paquetes maliciosos dentro del tráfico normal de red (algo que la actual generación de firewall no realiza) y detienen dicho tráfico totalmente, bloqueándolo antes de que efectúe algún daño. Algunos de los principales beneficios de implementar este sistema son: Realiza funciones preventivas que permiten minimizar los efectos de posibles ataques. Permite establecer y mantener políticas de seguridad frente a ataques y nuevas vulnerabilidades actualizadas. Reduce exposición de riesgo, maximizando la protección de la institución.

5. Alternativas De acuerdo a las recomendaciones señaladas en los párrafos anteriores, en el Anexo Nº 1 se presentan las especificaciones técnicas del servicio a adquirir. Para realizar este análisis comparativo técnico, se eligieron los siguientes productos, todo ellos líderes en su área: Sistema de protección de correo electrónico Symantec Mail Security 8240 Barracuda Spam Firewall B400 Proventia Mail Filter Sistema de filtro URL Symantec Web Security Websense Enterprise Corporate Edition Proventia Web Filter Sistema IPS Symantec Network Security 7120 Juniper NetScreen-IDP 10 Proventia GX4002 Así, se han evaluado las características técnicas de los productos mencionados, cada uno de los cuales es de fácil implementación, uso y mantenimiento, no siendo necesario realizar modificaciones o cambios radicales en la plataforma actualmente en uso. Los productos evaluados cumplen las especificaciones solicitadas en el Anexo Nº 1. 6. Análisis Comparativo Técnico y de Costo - Beneficio Adjunto al presente informe, se encuentran los Anexos Nº 2, Nº 3 y Nº 4, en los cuales se comparan las características técnicas de las alternativas evaluadas para las soluciones de protección de correo electrónico, sistema de filtro URL y sistema preventor de intrusos (IPS), respectivamente. En dichos análisis, se han considerado los datos oficiales proporcionados por los fabricantes de las soluciones evaluadas. Así mismo, los anexos presentan los resúmenes de los aspectos evaluados en ambas alternativas. El análisis realizado puede incluir a más de un producto, por lo que se mencionan los aspectos más resaltantes de cada uno de los productos evaluados. Adicionalmente, se presentan las Tablas Nº 2.1, Nº 3.1 y Nº 4.1, en las cuales se incluyen los costos de los productos. Estos costos han sido proporcionados por los representantes oficiales de los productos en el Perú y no incluyen costos por capacitación del personal, debido a que todas las propuestas incluyen inducción de uso de las respectivas herramientas para los usuarios administradores.

7. Conclusiones Las conclusiones de la evaluación realizada son las siguientes: La SBS obtendrá mayor calidad en el nivel de servicio de los recursos de red, al reducir el ancho de banda y los equipos ocupados por correos no deseados y el uso incorrecto de las herramientas Internet. Los filtros de contenido permiten balancear adecuadamente las necesidades de acceso a los recursos de Internet por parte del personal de la SBS contra los riesgos de responsabilidad legal, así como mantener el ancho de banda en niveles adecuados e incrementar la productividad. El sistema de seguridad preventor de intrusos (IPS) permitirá reforzar el nivel de seguridad actualmente disponible. Los servicios ofrecidos por los sistemas de la SBS son críticos y de alta importancia para las labores diarias de los usuarios, por lo que se requiere contar con una plataforma de seguridad acorde con las tecnologías y amenazas actuales existentes, que asegure a su vez el correcto funcionamiento de los sistemas institucionales. La Implementación del nuevo sistema de seguridad permitirá identificar problemas en tiempo real y determinar los riesgos potenciales de responsabilidad, ancho de banda, productividad y seguridad dentro de la SBS, mediante los informes de riesgos correspondiente. Adicionalmente, permitirá implementar políticas flexibles para controlar aplicaciones maliciosas y no autorizadas. Los nuevos proyectos a desarrollar por la Gerencia de Tecnologías de Información durante los próximos meses necesitan también de una plataforma segura. Por las razones expuestas anteriormente, se recomienda adquirir e implementar las soluciones propuestas a fin de mejorar el nivel de seguridad de la información de la institución. 8. Firmas Igor Sakuma Carbonel Gerente de Tecnologías de Información Manuel Alcides Escudero Cervantes Analista de Redes y Comunicaciones

ANEXO Nº 1 CARACTERÍSTICAS TÉCNICAS DE LAS SOLUCIONES SISTEMA DE PROTECCIÓN DE CORREO ELECTRÓNICO, SISTEMA FILTRO DE CONTENIDOS Y SISTEMA IPS DESCRIPCIÓN DEL SERVICIO La SBS requiere adquirir un sistema de filtrado y protección de correo electrónico. Dicho sistema puede ser software o tipo appliance, el cual deberá cumplir los siguientes requisitos mínimos: Sistema de protección de correo electrónico, Cobertura para 500 usuarios concurrentes. Inferfaz de usuario en idioma inglés como mínimo. Protección contra correo no deseado y no solicitado (sistema anti spam). Capacidad de generar listas blancas y negras según políticas de la SBS. Enrutamiento del spam según niveles. Capacidad de enrutar el spam detectado de manera selectiva de acuerdo a calificación (puntuación del correo no deseado). Capacidad de bloqueo de spammers conocidos por dominio, dirección o IP. Posibilidad de separación de políticas de filtrado de contenido del tráfico entrante y saliente. Capacidad de realizar excepciones a las reglas de filtrado para usuarios determinados. Capacidad de bloqueo de archivos adjuntos de acuerdo al asunto del mensaje (subject), texto del mensaje, extensión, nombre de archivo y al usuario de destino. Protección contra "Phishing" (estafas electrónicas) y contra spyware (software espía) Capacidad de funciones anti relay. Total interoperatividad con Ms. Exchange Server 2000 o superior. Total integración con Microsoft Outlook, Ms. Outlook Express y Lotus Notes. Total integración con LDAP y Microsoft Active Directory. Imprescindible detección heurística de spam. Imprescindible filtro bayesiano anti-spam o equivalente. Imprescindible sistema de filtrado anti-spam RBL. Imprescindible c aracterística de autoajuste. Capacidad de contar con un administrador de cuarentena a la que se pueda dirigir los correos electrónicos dudosos para su futura revisión. Capacidad de envío de correos electrónicos de compilación. Debe permitir enviar un correo electrónico con resumen del contenido de las casillas de correo individuales para cuarentena a todos los usuarios finales con una cuenta en cuarentena y al administrador del sistema. El envío debe ser automático. Imprescindible envío diario. Actualización continua y automática de nuevas reglas y algoritmos de correo no deseado y de nuevas definiciones de virus y distribución diaria de dichas actualizaciones (ideal cada una hora). Las actualizaciones no deben requerir corte, reinicio o apagado del sistema y deben ser proporcionadas por la empresa fabricante de la solución. Administración centralizada e integral del sistema. Debe permitir configurar y ejecutar políticas según criterio de la SBS y monitorear la efectividad de su protección de filtrado. Las políticas deben poder configurarse para incluir reglas para usuarios individuales o para grupos de usuarios. Interfaz administrativa amigable y de fácil implementación, personalización y uso que permita definir, administrar y controlar políticas de correo electrónico. Opcional interfaz administrativa web. Capacidad de acceso remoto a la consola de administración. Restricción de acceso por usuario y password.

Capacidad de visualizar y generar registros e informes multinivel y auditoría gráficos y detallados para proporcionar visibilidad dentro de la organización. Capacidad de visualizar y generar informes y reportes configurables y personalizables (destinatarios de correo no deseado más frecuentes, emisores de correo no deseado más frecuentes, etc) en tiempo real. Permitir personalización de reportes mediante formatos específicos como Active X, Cristal Reports, RTF, PDF y otros. Diversas capacidades de notificación al administrador. Considerar como mínimo envío de mensajes por red, SNMP y/o SMTP. Capacidad de archivo y limpieza de datos históricos en las bases de datos durante horas de reducida actividad (capacidad programable). En el caso de proponer una solución software, dicho software debe ser la última versión lanzada al mercado por el fabricante de la solución y además debe contemplarse los upgrade correspondientes mientras dure el período de garantía ofertado. El software deberá poder ser instalado sobre plataforma Microsoft Windows 2000 o superior. En el caso de proponer una solución appliance la instalación debe ser "plug and play" Capacidad para múltiples servidores de correo electrónico y para múltiples dominios. Sistema de filtro de contenidos La SBS requiere adquirir un sistema de filtro de contenidos para la navegación en Internet. Dicho sistema puede ser software o tipo appliance que reúna los siguientes requisitos mínimos: Cobertura para 500 usuarios concurrentes. Inferfaz de usuario en idioma inglés como mínimo. Lista precargada de direcciones URL para filtrado clasificada por categorías (mínimo 30 categorías) para facilitar el filtrado de contenido. Listas predefinidas de las más problemáticas o peligrosas (pornografía, violencia, juegos, etc) Actualización gratuita, continua y automática de la lista y distribución diaria de la lista (ideal cada una hora). Las actualizaciones deben efectuarse on-line sin requerir corte, reinicio o apagado del sistema y deben ser proporcionadas por la empresa fabricante de la solución. Capacidad de escanear y hac er seguimiento al tráfico saliente y direcciones URL, FTP, HTTP y otros protocolos estándar de Internet a nivel de usuario, de grupo o institución. Reglas de bloqueo basadas en listas negras y blancas. Debe permitir generar categorías nuevas (personalizables de acuerdo a políticas propias de la SBS) y permitir clasificación por categorías (acceso a noticias, deportes, chats, etc) Debe permitir definir usuarios y grupos de usuarios para la aplicación de políticas individuales y/o grupales. Políticas y categorías personalizables por usuario, grupo de usuarios, host y por IP. Flexibilidad para configurar el día, hora, categorías, tipo de ficheros y usuarios para permitir y restringir accesos. Capacidad de generar políticas basadas en horarios. Notificación inm ediata al usuario cuando se le restringe el acceso través de e-mail o navegador. Capacidad de monitoreo continuo y en tiempo real de las acciones de los usuarios para detectar e impedir actividades no autorizadas. Capacidad de gestión del acceso a streamings de audio, video e imágenes (para controlar el tráfico y ancho de banda). Análisis de contenido de texto e imagen. Capacidad de bloqueo por tipo de archivo detectado y contenido web inapropiado según criterio de la SBS. Detección y bloqueo de actividades de software espía. Bloqueo de sitios web de software espía, bloqueo de descargas de software espía y detección de software espía, notificando al administrador.

Capacidad de evitar ataques de denegación de servicio, bloqueo de Active X y Java Applets. Administración centralizada e integral del sistema. Debe permitir configurar y ejecutar políticas según criterio de la SBS y monitorear la efectividad de su protección de seguridad y antivirus. Las políticas deben poder configurarse para incluir reglas para usuarios individuales o para grupos de usuarios. Interfaz administrativa amigable y de fácil implementación, personalización y uso que permita definir, administrar y controlar políticas de contenido y de software espía. Opcional interfaz administrativa web. Capacidad de acceso remoto a la consola de administración. Restricción de acceso por usuario y password. Total integración con Ms Windows ISA Server. Total integración con LDAP y Microsoft Active Directory. Capacidad de visualizar y generar registros e informes multinivel y auditoría gráficos y detallados para proporcionar visibilidad dentro de la organización. Capacidad de visualizar y generar informes y reportes configurables y personalizables (usuarios infectados con software espía, el software espía y los virus descargados, los principales sitios web visitados y el ranking de sitios web visitados y con intentos de acceso, de software espía bloqueados, etc) para usuarios individuales y grupos por categoría en tiempo real. Permitir personalización de reportes mediante formatos específicos como Active X, Cristal Reports, RTF, PDF y otros. En el caso de proponer una solución software, dicho software debe ser la última versión lanzada al mercado por el fabricante de la solución y además debe contemplarse los upgrade correspondientes mientras dure el período de garantía ofertado. En el caso de proponer una solución appliance la instalación debe ser "plug and play" Disponibilidad mensual del sistema de 99.999%. Sistema IPS La SBS requiere adquirir un sistema IPS para proteger la DMZ de la red interna. Dicho sistema deberá ser tipo appliance (dedicado y propietario) y cumplir los siguientes requerimientos mínimos: Protección contra ataques de denegación de servicio, gusanos, virus, bloqueo de intrusos, códigos maliciosos, puertas traseras, día cero y ataques híbridos, sin disminuir el rendimiento y sin necesidad de una reconfiguración de la red. Respuesta a ataques en todos los protocolos normales de comunicación como: IP, TCP, ICMP, ARP, ECHO, DISCARD, (TCP/9,UDP/9) CHARGEN, DNS, SMTP, TELNET, SSH, FTP, DNS(UDP/53), DHCP, TFTP, FINGER, HTTP, POP3, PORTMAPPER(TCP/111, UDP111), SMB/NETBIOS, IMAP, SNMP, SNMP-TRAP, REXEC, RLOGIN, RSH, SYSLOG, RTSP, entre otros. Administración basada en reglas: proveyendo el control de las respuestas a un ataque (drop package, drop connection, close client/sever). Capacidad de bloquear el paquete inicial inmediatamente y prevenir la comunicación con el objetivo deseado de un ataque sin tener en cuenta el protocolo en uso. Operación en línea sin retardo significativo en una típica Red Ethernet 10/100 Mbps como mínimo. Deberá tener un amplio rango de métodos los cuales serán aplicados para permitir la detección de ataques, incluyendo ataques heuristicos y predefinidos (Signatures). Deberá tener un mecanismo para la reducción de falso-positivos.

Creación y personalización de políticas o reglas de acceso. Flexibilidad para controlar políticas a nivel de dispositivo, puerto, VLAN y direcciones IP. Capacidad de prevención de ataques de texto normal y encriptado. Inferfaz de usuario en idioma inglés como mínimo. Administración centralizada e integral del sistema. Debe permitir configurar y ejecutar políticas según criterio de la SBS y monitorear la efectividad de su protección de seguridad Interfaz administrativa amigable y de fácil implementación, personalización y uso que permita definir, administrar y controlar políticas y acciones de respuesta. La interfaz administrativa deberá ser capaz de manejar múltiples appliances, Capacidad de acceso remoto a la consola de administración. Restricción de acceso por usuario y password. Diversas capacidades de notificación al administrador. Considerar como mínimo envío de mensajes por red, SNMP, SMTP. El administrador debe ser capaz de hacer cambios al sistema en tiempo real. El administrador debe ser capaz de monitorear actividades en tiempo real. Los reportes deben contar al menos con las siguientes características: las fuentes y los objetivos de exploración (scan) predominantes, los ataques y los agresores más importantes, las víctimas más afectadas, registros por indicador (flag), los ataques por nivel de severidad, ataques dentro de un periodo de tiempo y una descripción del ataque. Identificación, relevancia, dirección, impacto y análisis de intrusos. Los reportes deben referenciar los ataques con definiciones estándares y proveer un nivel de detalle que permita un entendimiento rápido y oportuno de las amenazas de ataques. El manejador de bases de datos de eventos deberá ser propietario del fabricante del dispositivo de detección y prevención de intrusos u otras bases de datos compatibles con el equipo y que sean capaces de escribir un alto número de eventos (log events) por segundo Esta base de datos deberá estar limitada en su tamaño solamente por el espacio en disco duro disponible y deberá integrarse en forma transparente al sistema de administración. Esta Base de datos deberá poder ser instalada sobre plataforma Windows 2000 o superior. 1. Arquitectura del Hardware Hardware de propósito específico. Tipo de chasis: RACK. Accesorios necesarios para la instalación en rack de 19. Fuente de Poder 220 Voltios 60 Hz. Memoria RAM 1GMB como mínimo. El equipo debe contar con un mínimo de 3 interfaces Fast Ethernet (10/100 Mbps), dos de ellas podrán operar en modo full-duplex o half-duplex y la otra interface Fast Ethernet (10/100 Mbps), deberá estar dedicada a la consola de administración. Tasa de transferencia, rendimiento o throughput deberá ser de 100Mbps como mínimo. El sistema deberá incluir un dispositivo de Fail over o puenteo (by-pass) del mismo fabricante integrado en el equipo que permita que el flujo de trafico continúe en caso de que el sistema de prevención y detección de intrusos tenga una falla de hardware o Software. Capacidad de desvío de tráfico, que permita que el tráfico continúe en caso de que el dispositivo tenga una falla que afecte una de sus interfaces, sin necesidad de reconfigurar la red. El IPS se puede desplegar como una solución en línea. Disponibilidad mensual del sistema de 99.999%.

2. Arquitectura del Software El IPS debe usar un mecanismo de detección hibrido basado en Stateful signature detection, Protocol anomaly detection, Traffic Anomaly detection, Layer-2 ARP spoofing detection, Spoofing detection, and Syn flood detection y otros. El IPS debe ser capaz de responder a un ataque de tipo DOS. Debe soportar actualizaciones periódicas o inmediatas de ataques y nuevas firmas. Actualización gratuita, continua y automática contra firmas de ataques. Las actualizaciones deben efectuarse online sin requerir corte, reinicio o apagado del sistema y deben ser proporcionadas por la empresa fabricante de la solución. La administración de políticas debe seguir una regla basada en una metodología que permita tomar respuestas específicas en el instante de una amenaza. El IPS deberá ser capaz de operar en modos de configuración múltiple incluyendo configuraciones activas y pasivas. La capacidad de respuesta del sistema debe permitir protección contra el paquete inicial, con esto se asegura que el ataque no llegue al objeto destino (m étodo preventivo) Deberá tener la capacidad de hacer caer un paquete, una conexión o cerrar una conexión. SERVICIOS COMPLEMENTARIOS PARA TODAS LAS SOLUCIONES El proveedor deberá realizar además los servicios de: Entregar toda bibliografía (en formato físico o electrónico) considerada necesaria para utilizar los sistemas (software y/o hardware) ofrecidos, actualizada a la última versión y con la obligación permanente, durante la vigencia del servicio, de remitir toda modificación. Instalación, configuración y soporte de todos los sistemas incluyendo cliente, consola de administración y sensores a nivel hardware y software, a satisfacción de la SBS. Capacitación a los usuarios administradores del funcionamiento de los sistemas. Considerar cinco (05) personas como mínimo. El proveedor deberá contemplar: Plan de capacitación. Debe considerar entrenamiento en la instalación de hardware y software y entrenamiento en la configuración y administración de las consolas administrativas y de los equipos de acuerdo a los ítems respectivos. Objetivos. Contenido de los cursos. Duración (mínimo 36 horas). Lugar (instalaciones de la SBS). Material didáctico. Equipos, manuales. Currículum Vitae de los instructores, con datos académicos y experiencia laboral. La SBS se reserva el derecho de solicitar cambio de instructor. En el caso de que las soluciones para los sistemas de correo seguro y filtro URL sean tipo software, la SBS proporcionará los equipos en los cuales deberán ser instalados. Las características de hardware y software base de estos equipos deberán ser proporcionados por la empresa fabricante. Adicionalmente, el proveedor deberá proporcionar una copia del software original y su respectiva licencia de funcionamiento

En el caso de que las soluciones para los sistemas de correo seguro y filtro URL sean hardware (appliance), deberán respetarse los mismos requerimientos de arquitectura hardware solicitados para la solución IPS. GARANTÍA, SOPORTE TÉCNICO Y MANTENIMIENTO PARA TODAS LAS SOLUCIONES Esta garantía estará referida tanto al servicio de soporte, como al servicio de mantenimiento preventivo y correctivo de los equipos ofrecidos. La garantía entrará en vigencia a partir de la fecha de aceptación de los bienes por escrito por parte de la SBS. A fin de garantizar que el mantenimiento sea de óptima calidad y los repuestos sean originales, la garantía, soporte y mantenimiento de los equipos deberá ser asumido por el fabricante o representante oficial local, quien podrá delegar estas funciones al postor. Sin embargo, en caso de que el postor se vea imposibilitado de cumplir estas funciones, éstas deberán ser delegadas a otra empresa, por lo cual el postor deberá presentar una carta de garantía, soporte y mantenimiento emitido por el fabricante. La garantía al hardware de los productos ofrecidos no deberá ser inferior a dos (02) años, para los casos en que se aplique este tipo de solución. En cuanto al servicio de mantenimiento preventivo y correctivo de los equipos ofrecidos, en adición a lo antes especificado, éste deberá contemplar lo siguiente: a) Ante un problema o incidente comunicado por la SBS al proveedor, el tiempo de respuesta deberá ser no mayor a dos (02) horas luego de recibida la notificación, las 24 horas. b) Los servicios de mantenimiento correctivo de las soluciones deberán estar disponibles las 24 horas, sin límite de horas por intervención, ni cantidad de intervenciones mensuales del personal del proveedor; dándose por atendido un problema cuando es solucionado en su totalidad. El proveedor deberá concluir con la solución del problema en un plazo no mayor a 24 horas; de ser mayor el plazo el proveedor deberá entregar, si se aplica, a la SBS una solución con similares o mayores características técnicas para reemplazar éste, hasta que concluya con la solución del problema. c) El personal técnico del proveedor, para solucionar un problema o incidente reportado, deberá apersonarse a las instalaciones de la SBS, salvo que previamente y por mutuo acuerdo entre el personal técnico de ambas partes, se convenga que dicho soporte sea telefónico. d) El personal de soporte del proveedor deberá ser certificado con comprobada experiencia y solvencia para la solución de los problemas e incidentes que pudieran presentarse. e) No podrá modificarse el nivel, calidad, periodicidad, categoría o cualquier otra característica de estos servicios durante el período de garantía, sin consentimiento de la SBS. f) Mano de obra y repuestos para cualquier servicio de atención por hardware (para el caso que lo requiera). g) Mantenimiento preventivo cada seis (06) meses en las instalaciones de la SBS, a realizarse únicamente en días no laborables. h) Mantenimiento correctivo cada vez que se presente una falla o mal funcionamiento propio de las soluciones. i) Deberá garantizarse un stock de repuestos originales que cubran los requerimientos de los servicios de mantenimiento preventivo y correctivo por un periodo no menor a cinco (05) años. j) El postor deberá contar como mínimo con una (01) persona certificada por el fabric ante en soluciones similares a las ofrecidas y una (01) persona certificada por el fabricante en hardware (para el caso que lo requiera) similares a los ofrecidos, debiendo tener como mínimo un (01) año de experiencia.

LUGAR DE INSTALACION Lima, Los Laureles Nº 214, San Isidro. DURACION DEL SERVICIO El servicio tendrá un plazo de duración de un (01) año.

ANEXO N o 2 - Análisis Comparativo Técnico para sistemas de protección de correo electrónico CARACTERISTICA SYMANTEC Mail Security 8240 BARRACUDA Spam Firewall B400 PROVENTIA Mail Filter Facilidad de Uso Ambiente Windows. Administración y monitoreo en tiempo real. Totalmente interoperativo con MS Exchange 2000 y Exchange 2003. Ambiente Windows. Administración y monitoreo en tiempo real. Totalmente interoperativo con MS Exchange 2000 y Exchange 2003. Ambiente Windows. Administración y monitoreo centralizados en tiempo real. Totalmente interoperativo con MS Exchange 2000 y Exchange 2003. Técnicas de análisis Administración y herramientas de reporte estadístico Protección de lectura de agenda. Detección heurística. Filtro RBL. Filtro de contenidos. Listas blancas y negras. Filtro bayesiano propietario. Autoajuste. Filtro de reputación del remitente. Análisis sin exclusión de idioma. Análisis de archivos adjuntos. Reportes en formato HTML. Reportes con formato gráfico. Envío de reportes diarios al administrador vía SMTP. Envío de reportes a los usuarios finales con resumen de cuarentena. Prohibición de servicio y protección de seguridad. Lista de bloqueo de IP. Control de tasa. Análisis de virus con descompresión de archivos. Análisis de virus Barracuda (propietario). Reglas definidas por el usuario. Verificación de huellas digitales del correo no deseado. Análisis de intención. Análisis bayesiano. Calificación según reglas. Capacidad de exportación en archivo PDF. Reportes con formato gráfico. Envío de reportes diarios al administrador vía SMTP, SNMP. Envío de reportes a los usuarios finales con resumen de cuarentena. Lista negra externa. Lista negra interna. Base de datos Spam. Categoría de texto Spam. Categoría de texto pornografía. Categoría de texto Criminalista. Palabras clave. Detector de imágenes pornográficas. Detector de links URL. Análisis de archivos adjuntos. Capacidad de exportación en archivo PDF. Reportes con formato gráfico. Envío de reportes diarios al administrador vía SMTP, SNMP. Envío de reportes a los usuarios finales con resumen de cuarentena.

CARACTERISTICA SYMANTEC Mail Security 8240 BARRACUDA Spam Firewall B400 PROVENTIA Mail Filter Periodo de envío de reportes configurable. Periodo de envío de reportes configurable. Periodo de envío de reportes configurable. Administración centralizada por interfaz Administración centralizada por interfaz Administración centralizada por software Web. Web. propietario Proventia Mail Filter. Idioma Inglés. Inglés. Inglés. Servicio de Mantenimiento Actualizaciones diarias cada 10 minutos ofrecida por empresa fabricante. Actualizaciones gratuitas y en tiempo real. No requiere reinicio ni apagado del equipo. Requiere renovación anual de licencia. Licencia por usuario final. Actualizaciones diarias cada 1 hora ofrecida por empresa fabricante. Actualizaciones gratuitas y en tiempo real. No requiere reinicio ni apagado del equipo. No requiere renovación de licencia. Actualizaciones diarias cada 8 horas ofrecida por empresa fabricante. Actualizaciones gratuitas y en tiempo real. No requiere reinicio ni apagado del equipo. Requiere renovación anual de licencia. Licencia por usuario final Tabla Nº 2.1 Cuadro Resumen Económico de Alternativas Nº Alternativa Producto N o de Licencias Valor de Servicio Renovación anual 1 SYMANTEC Mail Security 8240 500 US $ 10,056.37 + IGV US $ 7,765.00 + IGV 2 BARRACUDA Spam Firewall B400 No aplica US $ 9,935.37 + IGV US$ 3,821.14 +IGV 3 PROVENTIA Mail Filter 500 US $ 8,250 + IGV US $ 8,250.00 + IGV

ANEXO N o 3 - Análisis Comparativo Técnico para sistemas de filtro URL CARACTERISTICA SYMANTEC Web Security WEBSENSE Enterprise Corporate Edition PROVENTIA URL Filter Facilidad de Uso Ambiente Windows. Administración y monitoreo centralizados en tiempo real. Integrable con Active Directory y LDAP. Ambiente Windows. Administración y monitoreo centralizados en tiempo real. Integrable con Active Directory y LDAP. Ambiente Windows. Administración y monitoreo centralizados en tiempo real. Requiere que el equipo donde se instale el Administración centralizada por interfaz software se encuentre en el dominio de la Web. institución. Técnicas de análisis Herramientas de reporte estadístico Base de datos precargada. Categorización en 31 categorías. Permite generar reglas de filtrado propias. Filtrado por listas blancas y listas negras. Análisis de texto. Análisis de imágenes. Análisis heurístico. Filtrado HTTP y FTP. Capacidad de trabajo programable por horas. No bloquea virus, pero permite anular URL asociadas a virus. Base de datos precargada de más de 15M de direcciones. Permite generar reglas de filtrado propias. Filtrado por listas blancas y listas negras. Análisis de texto. Permite generar políticas para administrar aplicaciones. Alertas en tiempo real basadas en categorías y protocolo. Protección contra ataques de día cero. Capacidad de trabajo programable por horas. Capacidad de escalamiento. Permite instalar módulos de filtrado adicionales. No bloquea virus, pero permite anular URL asociadas a virus. Integrable con Active Directory e ISA Server. Base de datos precargada de más de 20M de direcciones. Categorización en 58 categorías. Permite generar reglas de filtrado propias. Filtrado por listas blancas y listas negras. Análisis de texto. Análisis de imágenes. Protección contra ataques de día cero. Capacidad de trabajo programable por horas. Trabajo como Proxy. No bloquea virus, pero permite anular URL asociadas a virus. Capacidad de exportación en varios Capacidad de exportación en varios Capacidad de exportación en archivo PDF.

CARACTERISTICA SYMANTEC Web Security WEBSENSE Enterprise Corporate Edition PROVENTIA URL Filter formatos. Reportes en varios idiomas. Capacidad de envío de reportes a usuarios finales. formatos. Reportes en varios idiomas. Capacidad de envío de reportes a usuarios finales. Período de envío configurable. Reportes con formato gráfico. Envío de reportes diarios al administrador vía SMTP, SNMP. Envío de reportes a los usuarios finales con resumen de cuarentena. Periodo de envío de reportes configurable. Reporte de estadísticas por usuario y por IP. Administración centralizada por software propietario Proventia Web Filter. Idioma Inglés. Inglés. Inglés. Servicio de Mantenimiento Actualizaciones cada 1 día ofrecida por empresa fabricante. Actualizaciones gratuitas y en tiempo real. No requiere reinicio ni apagado del equipo. Licencia por usuario final. Actualizaciones cada 1 día ofrecida por empresa fabricante. Actualizaciones configurables. Actualizaciones gratuitas y en tiempo real. No requiere reinicio ni apagado del equipo. Requiere nueva compra del producto 1 anualmente. No involucra licencia por usuario final. Actualizaciones diarias cada 8 horas ofrecida por empresa fabricante. Actualizaciones configurables. Actualizaciones gratuitas y en tiempo real. No requiere reinicio ni apagado del equipo. Requiere renovación anual de licencia. Licencia por usuario final Tabla Nº 3.1 Cuadro Resumen Económico de Alternativas Nº Alternativa Producto N o de Licencias Valor de Servicio Renovación anual 1 SYMANTEC Web Security 500 US $ 7,815.00 + IGV US $ 4545.00 + IGV 2 WEBSENSE Enterprise Corporate Edition 500 US $ 13,899.00 inc IGV US $ 13,899.00 inc IGV 3 PROVENTIA URL Filter 500 US $ 8,250 + IGV US $ 8,250.00 + IGV

ANEXO N o 4 - Análisis Comparativo Técnico para sistema IPS CARACTERISTICA SYMANTEC Network Security 7120 JUNIPER NetScreen-IDP 10 PROVENTIA GX4002 Facilidad de Uso Ambiente Windows. Administración y monitoreo en tiempo real. Ambiente Windows. Administración y monitoreo en tiempo real. Ambiente Windows. Administración y monitoreo centralizados en Administración por software propietario tiempo real. Symantec Network Security Management Administración por software propietario Console. Proventia Management Site Protector Console. Técnicas de análisis Herramientas de reporte estadístico Detección de anomalías de protocolo. Intercepción de ataques de vulnerabilidad. Detección de flujo de tráfico (normas de tráfico). Tráfico de mensajería instantánea y entre redes iguales. Identificación de tráfico IPV6 de túneles. Lenguaje de firmas. Capacidad de exportación en archivo PDF. Envío de reportes al administrador vía SNMP y SMTP. Periodo de envío de reportes configurable. Detección de firmas de estado. Detección de protocolos anormales. Detección de puertas traseras. Detección de tráfico anormal. Detección de IP Spoofing. Detección DoS. Detección den Capa 2. Network Honeypot. Capacidad de exportación en archivo PDF. Envío de reportes al administrador vía Buil-in log viewer, Email, Custom script, SNMP trap, SYSLOG. Periodo de envío de reportes configurable. Idioma Inglés. Inglés. Inglés. Servicio de Mantenimiento Actualizaciones cada 1 día ofrecida por empresa fabricante. Actualizaciones gratuitas y en tiempo real. No requiere reinicio ni apagado del equipo. Actualizaciones cada 1 semana ofrecida por empresa fabricante. Actualizaciones gratuitas y en tiempo real. No requiere reinicio ni apagado del equipo. Modos de operación Preventivo (in-line, activo, bloqueo), Simulación (in-line, no bloqueo), Monitoreo (pasivo, no bloqueo). Análisis de más de 100 protocolos. Bloqueo de spywares. Seguridad para VoIP. Capacidad de cuarentenas. Envío de reportes al administrador vía SNMP y SMTP. Periodo de envío de reportes configurable. Actualizaciones cada 1 día ofrecida por empresa fabricante, previa configuración. Actualizaciones gratuitas y en tiempo real. No requiere reinicio ni apagado del equipo.

CARACTERISTICA SYMANTEC Network Security 7120 JUNIPER NetScreen-IDP 10 PROVENTIA GX4002 Cobertura por actualizaciones permanente. Requiere renovación de licencia. No posee redundancia. Requiere renovación de licencia. No posee redundancia. Requiere renovación anual de licencia. No posee redundancia. Posee capacidad de desvío de tráfico en caso de fallo. Tabla Nº 4.1 Cuadro Resumen Económico de Alternativas Nº Alternativa Producto Valor de Servicio Renovación anual 1 SYMANTEC Network Security 7120 US $ 14,892.72 + IGV US $ 2,752.76 + IGV 2 JUNIPER NetScreen IDP 10 US$ 15,800.00 + IGV US$ 3,000.00 + IGV 3 PROVENTIA GX4002 US $ 14,750.00 + IGV US $ 4,050.00 + IGV

ANEXO N o 5 Fuentes de información consultadas para la elaboración del presente informe http://www.securityfocus.com/infocus/1670 http://es.wikipedia.org/wiki/zona_desmilitarizada http://www.delitosinformaticos.com/seguridad/clasificacion.shtml http://www.dric.com.mx/asociados/barracuda/barracuda1a.php?cat=3&scat=1a http://www.checkpoint.com/products/interspect/index.html http://www.dric.com.mx/asociados/barracuda/barracuda6a.php http://www.symantec.com.pe/es/es/downloads/index.jsp http://64.233.161.104/search?q=cache:kfosmb6vimkj:www.mef.gob.pe/propuesta/servicios/2004/consultas_ Preguntas_Respuestas_Firewall_final.pdf+licitacion+ids+ips&hl=es&gl=pe&ct=clnk&cd=3 http://documents.iss.net/literature/mss/ids_datasheet.pdf http://documents.iss.net/literature/proventia/qrc_gx4002.pdf http://eval.veritas.com/mktginfo/enterprise/fact_sheets/ent-factsheet_network_security_7100_series_01-2005.enus.pdf http://www.proweb.cl/archivos/interspect.pdf http://www.iss.net/products_services/webfilter/ http://www.iss.net/issen/myiss/campaignform_sp.jhtml http://www.dric.com.mx/asociados/barracuda/barracuda8.php?cat=3 http://www.mcafee.com/mx/products/home.htm http://www.mcafee.com/us/enterprise/products/anti_spam/index.html http://www.openwired.com/owcontrol.php?rp_action=contenido&rp_function=antispamviruss http://www.iss.net/products_services/enterprise_protection/proventia/g_series.php http://documents.iss.net/literature/proventia/proventia_web_filter_faq.pdf http://www.iss.net/support/documentation/docs.php?product=39&family=13 http://www.gca.net/partners/websense.cfm http://www.juniper.net/customers/support/products/netscreenidp10.jsp