TEKNİK ŞARTNAME. 1. Saldırı önleme sistemi bu işe özel üretilmiş yazılım/donanım bütünü olan bir cihaz (appliance) olmalıdır.

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "TEKNİK ŞARTNAME. 1. Saldırı önleme sistemi bu işe özel üretilmiş yazılım/donanım bütünü olan bir cihaz (appliance) olmalıdır."

Hakan Atalar
8 yıl önce
İzleme sayısı:

1 TEKNİK ŞARTNAME 1. Saldırı önleme sistemi bu işe özel üretilmiş yazılım/donanım bütünü olan bir cihaz (appliance) olmalıdır. 2. Network IPS çözümü Layer 2 seviyesinde, transparent çalışabilmeli ve ağ üzerinde herhangi bir şekilde algılanmamalıdır. Bu şekilde çalışarak saldırıları hat üzerinde (inline modda) tespit edebilmeli ve gerektiğinde durdurmalıdır. L2 taraması manuel olarak aktive veya deaktive edilebilmelidir 3. Network IPS cihazı en az şu tip saldırılara karşı koruma sağlayabilmelidir. Uygulamaya dönük ataklar Backdoors Botnets Cross-site scripting Webmail attachment ları ile veri sızıntısı Denial of Service (DoS) Distributed denial of service (DDoS) Iç ağ saldırıları Instant messaging (MSN,ICQ vb..) İşletim sistemlerine dönük saldırılar Peer-to-peer (Emule,Edonkey vb.) Protocol tunneling Rootkits Spear phishing Spam Spyware SQL injection Trojans Worms Viruses 4. Cihaz üzerinde, in-line modda çalışması için, en az 10/100/1000 Mbps hızında, en az 8 adet giriş, en az 8 adet çıkış olmak üzere 8 segmenti koruyabilmelidir.cihaz yönetimi için en az, 1 adet 10/100/1000 Mbps hızında ethernet arayüzü olmalıdır.ethernet arayuzler bakır olarak teslim edilecektir. Eger bu istenen segment adedi saglanamıyorsa yeterli sayıda, IPS ve donanım ile bu ihtiyaç karşılanmalıdır. 5. Önerilen cihazın, Inspected Throughput değeri, en az 6 Gbps olmalıdır. Throughput un karşılanamaması durumunda yeterli sayıdaki IPS in bir arada çalışacağı bir metod önerilebilecektir. 1

Bu şekilde çalışarak saldırıları hat üzerinde (inline modda) tespit edebilmeli ve gerektiğinde durdurmalıdır. L2 taraması manuel olarak aktive veya deaktive edilebilmelidir 3.

2 6. Desteklenen eş zamanlı oturum sayısı en az olmalıdır. 7. Latency değeri, maksimum 150 mikrosaniye olmalıdır. 8. Saldırıların karşılanma biçimi, sistem yöneticisi tarafından, her bir saldırı tipi için ayarlanabilmelidir. Cihaz, SSH veya konsol yardımıyla, CLI ile, web arayuzü ile ve merkezi yönetim yazılımı ile yönetilebilmelidir. 9. Saldırı önleme sisteminin ağı dinleyeceği ağ arabiriminde herhangi bir protokol yapılandırması bulunmayacaktır. Alarmlar farklı bir ara birimde yönetim konsoluna yönlendirilecektir. 10. İlgili veri ile birlikte olayın dosyasını ve ayrıntılı trafik bilgisini tutma özelliğine sahip olmalıdır. 11. Saldırı tespit konusunda imza, protokol anomali ve Denial of Service (DoS) Tekniklerini bir arada kullanmalıdır. DoS ve DDoS saldırılarını eşik değer tespit yöntemleri ile kesmek mümkün olabilmelidir. (Orneğin Syn flood,udp flood gibi DoS ataklarında) 12. Protokol çözüm denemelerini tespit edebilmelidir. 13. Saldırı imzaları, güncelleme dosyasından ya da internet üzerinden alan bir sunucu üzerinden güncellenebilmelidir. Ayrıca eğer istenirse otomatik güncellemeleri Sensor yazılımı içinde de yapılabilmelidir. 14. Cihaz istenildiği durumda aktif-pasif,aktif-aktif yedekli yapıyı desteklemelidir. 15. İsim değişikliği yapılarak kullanılmak istenen uygulama ve protokoller tespit edilebilmeli ve önlenebilmelidir. 16. SIP, MGCP, H.323, H.225 ses protokollerine yapılacak atakları analiz edebilmeli ve engelleyebilmelidir. 17. Önerilen IPS aynı zamanda Cross-Site scripting,sql injection,web directory traversal ve hafıza taşmasına sebep olan saldırıları algılayıp kesebilmelidir 18. Cihaz üzerinden geçen trafiğin durum kontrolü, aşağıdaki teknikler bazında yapılabilmelidır. Port assignment Port following Port Variability Stateful inspection Protocol Anomaly Detection 2

Cihaz, SSH veya konsol yardımıyla, CLI ile, web arayuzü ile ve merkezi yönetim yazılımı ile yönetilebilmelidir. 9.

3 Protocol analysis Protocol tunneling Pre-Processing Pattern matching Heuristics RFC compliance checking Statistical analysis TCP reassembly Flow assembly IP V6 tunnel analysis Port Probe Shellcode Heuristics 19. Cihaz, ataklara karşı aşağıdaki önlemleri alabilmelidir; Bloklama DoS paketlerini düşürme, TCP reset Paket kayıt tutma, Sadece kaydetme gönderme SNMP Trap 20. Hat üzerinde çalışan cihaz, saldırıyı tespit ettiği anda iletişimi kesebilmelidir. 21. Cihazın donanımsal bypass özelliği harici yada dahili olmalıdır. 22. Cihaz, dahili güvenlik duvarı (firewall) özelliğine sahip olmalıdır. Bu özellik statefull yada stateless olabilecektir. 23. Cihaz, aynı anda hat üzerinde (in-line) bloklama ve sadece loglama modlarını destekleyebilmeli, farklı gereksinimler ve güvenlik düzeylerine göre ayarlanabilmelidir. 24. Cihaz üzerinde port bazlı, VLAN bazlı ya da IP aralığı bazlı farklı politikalar uygulanabilmeli ve sanal sensorler yaratılabilmelidir. 25. Protocol Anomaly Detection yöntemi ile protokol bozulmalarını ve ağ haberleşme davranışlarını ihlal eden trafiği tespit ederek henüz bilinmeyen yeni saldırıları sıfır anından tespit edebilmelidir. 26. Tüm ethernet arayüzlerinde, Fail open, Fail Close özelliği olmalıdır. Sistem yöneticisi isterse, cihazın teknik özelliklerinde belirtilen performans değerleri 3

Hat üzerinde çalışan cihaz, saldırıyı tespit ettiği anda iletişimi kesebilmelidir. 21. Cihazın donanımsal bypass özelliği harici yada dahili olmalıdır. 22.

4 aşıldığı anda tüm trafiği kesebilme, yada tüm trafiği analiz etmeden geçirebilme özelliğine sahip olmalıdır. 27. Ürün, çalışan uygulama hangi portu kullanırsa kullansın (örneğin http tünelleme vb.), P2P ve mesajlaşma programları gibi, izinsiz yazılımları algılayıp, engelleyebilmelidir. IM yazılımları üzerinde ornegin. 28. Cihaz, 160 dan fazla protokolü analiz edebilmelidir. Spyware ve worm saldırılarına karşı, ilgili ağ segmentlerini koruyabilmelidir. 29. Cihaz aynı anda SPAN/Hub İzleme ve hat üzerinde (in-line) modlarını destekleyebilmeli, farklı gereksinimler ve güvenlik düzeylerine göre konfigüre edilebilmelidir 30. Cihaz ssh, https ve merkezi yönetim yazılımı tarafından yönetilebilmelidir. 31. Merkezi yönetim yazılımı ve sensör arasındaki trafik şifreli olmalıdır. 32. Merkezi yönetim yazılımı önerilen IPS ureticisine ait donanım/yazılım bütünleşik çözümü olan bir appliance olmalı ve en az aşağıdaki donanım ozelliklerini barındırmalıdır. Alternatif olarak ise kurumun elinde halihazırda kullanıdıgı IBM ISS SiteProtector yazılımı ile entegre olabilecek sekilde teklifte verilebilecektir. Cihaz donanım ozellikleri: : 1U CPU: Single 3 Ghz Dual Core Xeon Processor 1333 Mhz 2 GB RAM 70 GB HDD Hot-Swappable Yedekli Güç Kaynağı 34. Tespit edilen atak bilgileri PDF, HTML yada CSV formatında dışarıya alınabilmelidir. 35. Merkezi yönetim yazılımı, rol tabanlı yönetime imkan vermelidir. Bu amaçla kullanılacak kullanıcılar, istendiğinde LDAP veya Radius ile belirlenebilmelidir. Audit günlükleri raporlarla incelenebilmelidir. 36. Merkezi yönetim yazılımı üzerinden detaylı analizler yapmak mümkün olmalıdır. 37. Cihaz ile birlikte, cihaz üreticisinden, 7x24 esaslı mail ve telefon destek hizmeti, ücretsiz olarak verilmelidir. 38. Kullanıcı tarafından oluşturulan imzalar eklenebilmelidir. 39. Cihaz üzerinde en az, en az 2500 saldırı imzası bulunmalıdır. 4

Spyware ve worm saldırılarına karşı, ilgili ağ segmentlerini koruyabilmelidir. 29.

5 40. Merkezi yönetim yazılımı, detaylı istatistiksel ve grafiksel raporlar oluşturabilmelidir.. Bu raporlar istenilerse, otomatik zamana baglı olarak e-posta ile kullanıcılara ulaştırılabilmelidir. 41. IPS sistemi üzerinden saldırı tabanlı karantina desteği sağlanmalıdır. Bir worm yaydığı tespit edilen kullanıcınıni IP numarası karantinaya alınabilmeli ve bilgilendirme yapılabilmelidir. 42. Cihaz üzerinde dahili güç ünitesi yedeklemesi mümkün olmalı ve yedekli güç ünitesi ile birlikte teklif edilmelidir. 43. Cihaz donanımı üzerinde oluşabilecek bir arıza durumunda üzerinden geçen trafiğin kesintiye uğratılmadan geçişine izin verilmesi mümkün olmalıdır. 44. Cihaz Common Criteria EAL2 sertifikasyonuna sahip olmalıdır. 45. Merkezi yönetim sistemine bağlanacak sistem yöneticilerinin yetkileri farklı seviyelerde tanımlanabilmelidir. Bu sayede sadece izleme yetkisine, izleme ve yönetme yetkisine sahip farklı sistem yönetici profilleri tanımlanabilecektir. 46. Geçmişe dönük detaylı raporlamaların alınabilmesi için tutulacak kayıtlar merkezi yönetim sisteminde tutulabileceği gibi, harici syslog sunucularına veri transferi de desteklenmelidir. 47. Cihaz üzerinde direkt erişim amaçlı konsol portu bulunacaktır. 48. Cihaz üzerinde her bir network segmenti için ayrı kural seti tanımlanabilmelidir. 49. Teklif edilecek cihaz üzerinde kullanıcı sınırı bulunmayacaktır. 50. IPS cihazının işletim sistemi, güncellemesi kolaylıkla yapılabilmeli ve konfigürasyon yedeği alınabilmelidir. 51. Cihaz, istenmeyen trafik üreten clientları karantina altına alabilmelidir. 52. Cihaz üzerinde grafiksel raporlama mümkün olacaktır. 53. Önerilen IPS sisteminin üretici web sitesindeki performans degerlerini destekleme amaçlı olarak NSS, ICSA veya TollyGroup gibi bagımsız kurulusların laboratuvar sonuçları teklif sırasında sunulacaktır. 54. Cihaz 2 yıl garanti desteğinde bulunmalıdır. 5

Cihaz üzerinde dahili güç ünitesi yedeklemesi mümkün olmalı ve yedekli güç ünitesi ile birlikte teklif edilmelidir. 43.

Benzer belgeler

T.C. İÇİŞLERİ BAKANLIĞI BİL Gİ İŞLEM DAİRESİ BAŞKANLIĞI GÜVENLİK D UVARI ALIMI TEKNİK ŞAR TNAMESİ

T.C. İÇİŞLERİ BAKANLIĞI BİL Gİ İŞLEM DAİRESİ BAŞKANLIĞI GÜVENLİK D UVARI ALIMI TEKNİK ŞAR TNAMESİ İÇİNDEKİLER 1. Kapsam 2. Tanımlar 3. Genel Hükümler 4. Teknik Koşullar 5. Ödemeler 6. İşin Süresi 7. Diğer