BİLİŞİM GÜVENLİĞİ PROJESİ TEKNİK ŞARTNAMESİ

Transkript

1 BİLİŞİM GÜVENLİĞİ PROJESİ TEKNİK ŞARTNAMESİ

2 1. KAPSAM VE AMAÇ Kurumumuz bilişim güvenliği altyapısının iyileştirilmesi projesi kapsamında bu şartnamede teknik detayları belirtildiği üzere aşağıda listesi verilen ürün ve yazılım alımları yapılacaktır. Ana veri merkezi için yedekli mimaride bir çift (2 adet) güvenlik duvarı ürünü Yedek veri merkezi güvenlik duvarı ürünü Merkezi Yönetim ve Log Arşivleme ürünü SSL VPN Cihazı Proxy/Web Gateway, İçerik Tarama ve Zero-Day Atak Önleme çözümü Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network IPS) Siber Tehdit Test ve Analiz Yazılımı 2. GENEL HÜKÜMLER 2.1. Bu teknik şartname kapsamında ihtiyaç duyulan yapının tümü kurulumları yapılarak çalışır vaziyette teslim edilecektir Proje anahtar teslim iş olup teklifler götürü bedel olarak verilecektir İSTEKLİ ilk ilan veya davet tarihinden geriye doğru son beş yıl içinde kesin kabul işlemleri tamamlanan mal alımlarıyla ilgili yurt içinde veya yurt dışında kamu veya özel sektörde bedel içeren tek bir sözleşme kapsamında gerçekleştirdiği ihale konusu iş veya benzer işlere ilişkin olarak deneyimini gösteren belge sunması zorunludur. İSTEKLİ, teklif ettiği bedelin %30 undan az olmamak üzere, ihale konusu iş veya benzer işlere ait tek sözleşmeye ilişkin iş deneyimini gösteren belgelerini teklifi ile birlikte sunacaktır Benzer iş olarak, yeni nesil güvenlik duvarı kurulum ve yapılandırması ve/veya saldırı tespit ve önleme sistemi kurulum ve yapılandırması ve/veya DoS/DDoS önleme sistemi kurulum ve yapılandırması ve/veya Proxy/WebGateway ve/veya Zero-Day atak önleme/sandboxing sistemi kurulum ve yapılandırması kabul edilecektir İSTEKLİlerin Türkiye de yerleşik ofisleri bulunacaktır ve bunu tekliflerinde belgeleyeceklerdir İSTEKLİ, TSE Hizmet Yeterlilik veya ilgili Bakanlıktan alınmış Satış Sonrası Hizmet Yeterlilik belgesine sahip olmalıdır ve teklifine eklemelidir İSTEKLİ ler teklif ettikleri ürünler(ssl VPN cihazı hariç) için yetkili satıcı olduklarına dair yetki belgelerini tekliflerine ekleyeceklerdir. Yetki belgeleri üretici firmanın Türkiye ofisinden veya temsilcisi veya distribütöründen alınacaktır Teklif edilecek ürünlerin EOL(End of Life ) ve/veya EOS(End of Sale) duyurusu ihale tarihinde yapılmamış olacaktır. Bilişim Güvenliği Projesi-Genel Şartlar 2 / 7

3 2.9. İSTEKLİ teklif ettiği ürünlerin marka, model bilgilerini ve yazılımlarda ise marka, sürüm vb. bilgilerini teklifinde belirtecektir YÜKLENİCİ işe başlamadan önce İDARE nin matbu gizlilik sözleşmesini imzalayacaktır YÜKLENİCİ nin arıza kayıtlarının açılacağı, tutulacağı ve izleneceği bir sistemi olacaktır Proje kapsamındaki eğitimlerin tarihleri İDARE ile birlikte kararlaştırılacaktır Bu şartname ve ekleri bir bütündür. Bu şartname ve ekleri kapsamında çelişen maddeler olması durumunda İDARE nin lehine olan hüküm geçerli olacaktır. 3. KURULUM ve TESLİMAT 3.1. YÜKLENİCİ, kuruluma başlamadan önce proje yöneticisi tayin edip İDARE ye bildirecektir YÜKLENİCİ, işe başlamadan önce tasarım ve yapılandırma için bir proje teknik sorumlusu atayacak ve İDARE ye bildirecektir Proje yöneticisi ve proje teknik sorumlusu ihale konusu ve/veya benzer işlerde çalışmış olmalıdır İDARE nin proje yöneticisi ve teknik sorumlusunu değiştirme hakkı mahfuzdur Teklif edilen güvenlik duvarı ürünleri kurulmadan önce, İDARE nin ana veri merkezinin bulunduğu binadaki kullanıcı ve sunucu ağlarını ayırmak amacıyla gerekli VLAN segmentasyonu, YÜKLENİCİ tarafından yapılacaktır Tasarım, kurulum ve yapılandırma hizmetleri, daha önce ihale konusu işler ve/veya benzer işlerde çalışmış, konusunda uzman personeller tarafından verilecektir. Proje kapsamındaki sistemlerin kurulum ve yapılandırmalarını yapacak uzman kişiler her ürün için sertifikalı profesyoneller(örneğin Check Point için Check Point Certified Security Administrator(CCSA), Cisco için Cisco Certified Network Professional Security (CCNP Security) gibi.) olacaktır. Eğer yüklenici firmada, kurulum ve yapılandırma hizmetini gerçekleştirecek personel yoksa YÜKLENİCİ, üreticiden ya da üretici tarafından bu konuda yetkilendirilmiş firmadan(üreticinin servis iş ortağı) veya teklif edilen ürün distribütöründen bu hizmeti alarak bu hizmetleri verecektir. Bu şekilde hizmet verilmesi YÜKLENİCİ nin sorumluluğunu ortadan kaldırmayacaktır YÜKLENİCİ, tasarım, kurulum ve yapılandırma hizmetlerinde çalışacak kişilerin adı, soyadı ve iletişim bilgileriyle(cep telefonu, e-posta) birlikte sertifikalarını sözleşme sırasında İDARE ye yazı ile verecektir Teklif edilen tüm ürünlerin işbu şartname kapsamındaki isterleri yerine getirecek şekilde kurulumu ve sorunsuz şekilde devreye alınması için gerekli tüm ekipman ve malzemeler(örneğin; montaj kitleri, güç kabloları, PDU, bakır ve fiber data kabloları vd. ) YÜKLENİCİ tarafından sağlanacaktır. Bilişim Güvenliği Projesi-Genel Şartlar 3 / 7

4 3.9. YÜKLENECİ teklif ettiği ürünleri ve ürünlere ait tüm kabloları ve bu ürünlerle ilintili olup etiketlenmesi gereken diğer ekipmanları etiketleyecektir. Tüm etiketler kolay okunabilir, anlaşılabilir ve takip edilebilir olacaktır. Ayrıca neme, ısıya, sürtünmeye ve olağan(işin doğası gereği olabilen) mekanik zorlanmalara karşı dayanıklı olacaktır. Etiketleme yöntemi ve etiket seçimleri İDARE ile birlikte kararlaştırılacaktır Sanal sistem olarak teklif edilen ürünler için İDARE nin Vmware ESX 5.x sanallaştırma altyapısı kullanılacaktır İşe başlama tarihi, sözleşmenin imzalanmasını takip eden ilk gündür. Tüm kurulum ve yapılandırma hizmetleri, sözleşmenin imzalanmasından itibaren 60(Altmış) takvim günü içinde tamamlanacaktır. Bu süre içerisinde sistem çalışır şekilde İDARE ye teslim edilecektir Gecikme halinde firmaya 20(Yirmi) güne kadar cezalı süre verilebilir. Gecikilen her gün için sözleşme tutarının 5(Binde beş) i oranında ceza uygulanılır YÜKLENİCİ, muayene ve kabul işlemlerine başlanmadan önce, yapılanan iş ve işlemlerin ayrıntılı izahını ve oluşturulan topolojiyi içeren proje sonuç raporunu İDARE ye sunacaktır Kurulum ve yapılandırma hizmetleri ile test ve devreye alma işlemleri mümkün olan en az kesintiye sebep olacak şekilde planlanacak ve uygulanacaktır YÜKLENİCİ, kurulum, yapılandırma, test ve devreye alma işlemleri sırasında azami titizliği göstermekle yükümlüdür. YÜKLENİCİ, bu işlemler sırasında İDARE ye verdiği zararlardan sorumlu olacaktır Proje kapsamındaki ürünler/cihazlar devreye alındıktan sonra oluşabilecek sorunlara anında müdahale edebilmek amacıyla her cihaz/ürün için sertifikalı uzmanlar en az 5(beş) işgünü idarenin bilgi işlem ofisinde hazır bulunacaklardır YÜKLENİCİ işin tüm kısımlarını bizzat yapmakla mükelleftir. Alt yüklenici kullanamaz YÜKLENİCİ, teklif ettiği ürünleri İDARE nin onayı ile teknik şartnamedeki özellikleri taşımak kaydıyla daha üst model ve/veya sürüm ile değiştirebilir Teklif edilen ürünlerin muayene ve kabul işlemleri sırasında teknik şartname isterlerini karşılayamadığının tespit edilmesi durumunda YÜKLENİCİ, İDARE nin istediği ve teknik şartname isterlerini karşılayan marka model ürün/ürünleri herhangi ek ücret talep etmeden verecektir Tüm lisanslar, garanti ve destek paketleri İDARE adına kaydedilecektir. Bilişim Güvenliği Projesi-Genel Şartlar 4 / 7

5 4. GARANTİ, BAKIM VE DESTEK 4.1. YÜKLENİCİ, bu şartname kapsamında kullanılacak bütün ürünleri garanti süresi boyunca çalışır vaziyette bulunmasını sağlayacaktır. YÜKLENİCİ, aksi ve daha geniş kapsamlı hali bu şartnamenin başka bir yerinde belirtilmediği sürece teklif ettiği ürünlerin arızaları için en az 3 (üç) yıl mal ve hizmet garantisi verecektir. Teklif edilen ürünler 3 (üç) yıllık garanti süresi boyunca üretici firmanın donanım ve işletim sistemini kapsayan destek paketine sahip olacaktır YÜKLENİCİ garanti süresi boyunca donanım ve işletim sistemi güncellemelerini içeren destek paketinin alındığına dair belgeleri kabul tarihinden önce İDARE ye sunacaktır Teknik destek verecek elemanlar ilgili ürünün üreticisi tarafından sertifikalandırılmış(üretici onaylı sertifika) profesyoneller olacaktır. (Örneğin Check Point için Check Point Certified Security Administrator(CCSA), Cisco için Cisco Certified Network Professional Security (CCNP Security) gibi). YÜKLENİCİ nin bünyesinde sertifikalı personel yoksa bu hizmeti ilgili üreticiden veya distribütörden veya üreticinin servis iş ortağından alarak yapacaktır Tüm imalat, montaj ve işçilik hatalarına karşı 3 (üç) yıl servis garantisi verilecektir. Ve garanti süresi kabul tarihinden itibaren başlayacaktır. Garanti süresi boyunca imalat, montaj ve işçilik hatalarından meydana gelen arızalarının giderilmesi sırasında işçilik masrafı, parça bedeli yada başka herhangi bir ad altında ücret talep edilmeyecektir Garanti süresi içerisinde bildirilen bir arıza/soruna müdahale sırasında sistemler için kullanılacak her türlü sistem ve yedek parça YÜKLENİCİ tarafından sağlanacaktır YÜKLENİCİ tarafından sağlanacak her türlü sistem ve orijinal yedek parça en az değişen parçanın teknik/fonksiyon özelliklerine sahip olacaktır Donanımsal sorunlarda sorunlu cihaz 30 gün içerisinde tamir edilecek veya yenisi ile değiştirilecektir YÜKLENİCİ, garanti gereği yaptığı müdahalelerde kendisinin sebep olduğu tüm arızaları ve hasarları giderecektir. Garanti kapsamında yapılacak donanımların tamir, nakliye ve taşınması sırasında meydana gelebilecek her türlü hasar ve arızadan YÜKLENİCİ sorumlu olacaktır YÜKLENİCİ, garanti süresi boyunca, kurulumunu yaptığı sistemin veya sistemlerin bir bütün olarak çalışmasını sağlayacaktır YÜKLENİCİ, arıza kaydı ve takibi için 24 saat ulaşılabilen bir çağrı merkezi hizmeti sunacaktır. YÜKLENİCİ çağrı merkezinin telefon, faks, e-posta vb. bilgileri ile çağrı merkezinin koordinatörü sıfatındaki bir personelinin isim ve irtibat bilgilerini İDARE'ye sunacaktır Arızaya müdahale süresi, herhangi bir arıza durumunda İdarenin, YÜKLENİCİ nin bildirdiği telefon, e-posta veya faksına arıza bildiriminden itibaren, destek merkezi elemanlarının arızaya müdahalesine kadar geçebilecek en uzun süredir YÜKLENİCİ, teknik destek konusunda kullanılacak, telefon, faks, e-posta ve kişi isimlerini; değişiklik halinde ise değişiklik bilgilerini önceden veya aynı gün verecektir Teklif edilen ürünlere ilişkin bir arıza/sorun kullanıcı tarafından YÜKLENİCİ ye bildirildiği takdirde, YÜKLENİCİ, bildirimi takiben en geç 6(altı) saat içerisinde arıza/soruna Bilişim Güvenliği Projesi-Genel Şartlar 5 / 7

6 uzaktan veya yerinde müdahale edecektir. Bu hizmet haftada yedi gün yirmi dört saat boyunca (7x24) verilecektir YÜKLENİCİ tarafından sağlanacak her türlü sistem ve orijinal yedek parça en az değişen parçanın teknik/fonksiyon özelliklerine sahip olacaktır. 5. EĞİTİM 5.1. Yüklenici, bu iş kapsamında verilen ürünlere yönelik aşağıda belirtilen eğitim hizmetlerini sağlayacaktır: a. Güvenlik Duvarı ve Merkezi Yönetim ve Log Arşivleme ürünleri eğitimi: Eğitim, eğitim merkezinde sertifikalı eğitmen veya teklif edilen ürüne ait en az administrator sertifikasına sahip teknik personel tarafından en az 4 (dört) gün verilecektir. Yüklenicide bu eğitimi verebilecek teknik personel yoksa üreticinin veya distribütörün veya üreticinin yetkili servis iş ortağının sertifikalı teknik personeli tarafından verilecektir. Verilecek eğitim cihazın kurulumu ve yönetimini kapsayacaktır. b. SSL VPN Cihazı eğitimi: Eğitim, sertifikalı eğitmen veya sertifikalı teknik personel tarafından cihaz başında kurulum ve cihazın yönetimine ilişkin olacak şekilde en az 1 (bir) gün verilecektir. Yüklenicide bu eğitimi verebilecek teknik personel yoksa üreticinin veya distribütörün veya üreticinin yetkili servis iş ortağının sertifikalı teknik personeli tarafından verilecektir. Eğitimler en az ürün yönetimi(administration) seviyesine kadar verilecektir. c. Proxy/WebGateway, İçerik Tarama ve Zero-Day Atak Önleme Çözümü eğitimi: Eğitim, sertifikalı eğitmen veya sertifikalı teknik personel tarafından cihaz başında kurulum ve cihazın yönetimine ilişkin olacak şekilde en az 3 (üç) gün verilecektir. Yüklenicide bu eğitimi verebilecek teknik personel yoksa üreticinin veya distribütörün veya üreticinin yetkili servis iş ortağının sertifikalı teknik personeli tarafından verilecektir. Eğitimler en az ürün yönetimi(administration) seviyesine kadar verilecektir. d. Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network IPS) eğitimi: Bilişim Güvenliği Projesi-Genel Şartlar 6 / 7

7 Eğitim, sertifikalı eğitmen veya üretici tarafından sertifika verilmiş uzman personel tarafından teorik ve uygulamalı olarak, üreticinin yetkilendirdiği eğitim merkezinde verilecektir. Eğitimler en az ürün yönetimi(administration) seviyesine kadar verilecektir. Eğitim süresi en az 3(üç) gün olacaktır. e. Siber Tehdit Test ve Analiz Yazılımı eğitimi: Eğitim, kurum bünyesinde sertifikalı eğitmen veya teklif edilen ürün hakkında uzman teknik personel tarafından en az 2 (iki) gün verilecektir. Eğitimler ürünün kurulum ve yönetimini kapsayacaktır Eğitim için gerekli materyaller ve altyapı yüklenici tarafından sağlanacaktır. Eğitime katılacak personelin ulaşım ve yemek masrafları YÜKLENİCİ tarafından karşılanacaktır Katılımcı sayısı 4(dört) kişidir Eğitim tarihleri İdare ile birlikte kararlaştırılacaktır İDARE, eğitmeni ve/veya eğitim içeriğini yetersiz bulması durumunda eğitmenin değiştirilmesini ve/veya eğitimin yenilenmesini isteyebilir. YÜKLENİCİ, idarenin bu isteğini yerine getirmek zorundadır. 6. DİĞER HUSUSLAR 6.1. Proje kapsamındaki aşağıda teknik şartnameleri verilen her bir ürün/çözüm için donanım, yazılım/lisans, garanti-bakım, kurulum ve eğitim bedelleri tablo halinde teklif ekinde verilecektir. 7. TEKNİK ŞARTNAMELER İhale kapsamında temin edilecek ürünlere ait teknik şartnameler: A) Güvenlik Duvarları ve Merkezi Yönetim ve Log Arşivleme ürünü B) SSL VPN Cihazı C) Proxy/Web Gateway, İçerik Tarama ve Zero-Day Atak Önleme çözümü D) Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network IPS) E) Siber Tehdit Test ve Analiz Yazılımı Bilişim Güvenliği Projesi-Genel Şartlar 7 / 7

8 A) GÜVENLİK DUVARLARI VE MERKEZİ YÖNETİM VE LOG ARŞİVLEME ÜRÜNÜ TEKNİK ŞARTNAMESİ 1. KONU Bu teknik şartname, yedekli mimaride çalışmak üzere bir çift(2 adet) ve yedek veri merkezi için 1(bir) adet güvenlik duvarı ürünü ile bu ürünlerin yönetim ve log arşivleme ürününün teknik gerekliklerini kapsamaktadır. 2. ANA VERİ MERKEZİ GÜVENLİK DUVARI (2 ADET) 2.1.Teklif edilecek güvenlik duvarı ürünü özelleştirilmiş donanım ürünü (appliance) olarak teklif edilebileceği gibi güvenlik duvarı üreticisi tarafından sertifikalandırılmış sunucu mimarisi üzerinde çalışabilen yazılım ürünü olarak da teklif edilebilir. Yazılım ürünü olarak teklif edilmesi durumunda üzerinde çalışacağı sunucu donanımı da teklife dahil edilmelidir. 2.2.Güvenlik duvarı ürünü, mimari açıdan Stateful Inspection ve IP paket filtreleme özelliklerini bünyesinde bulundurmalıdır. 2.3.Üretici firma tarafından geliştirilmiş ve güçlendirilmiş özel bir işletim sistemi üzerinde çalışacaktır. 2.4.Özelleştirilmiş donanım ürünü (appliance) olarak teklif edilmesi durumunda firewall performans (throughput) değeri en az 5 Gbps olmalıdır. Güvenlik duvarı üreticisi tarafından sertifikalandırılmış sunucu mimarisi üzerinde çalışabilen yazılım ürünü olarak teklif edilmesi durumunda sunucu üzerinde en az 8 core u adresleyebilecek lisanslarla teklif edilmelidir. 2.5.Ürün üzerinde en az 8 adet 10/100/1000 Mbps hızlarında çalışabilen bakır ethernet ağ ara yüzü bulunmalıdır. İleride ihtiyaç duyulması durumunda en az 4 adet 10/100/1000 Mbps hızlarında çalışabilen SFP fiber ve en az 4 adet 10G SFP+ fiber ara yüz takılabilmelidir. Ve ürünler en az 4 adet 10G SFP+ ara yüz ile teklif edilmelidir. 2.6.Ürün üzerinde RAID yedeklilik ve hot-swap mimarisine sahip en az iki adet ve en az 240 GB kapasitede sabit disk üniteleri olmalıdır. Disklerden herhangi birisinin arızalanması ürünün çalışmasını etkilememelidir. 2.7.Ürün üzerinde yedekli çalışan ve hot-swap mimarisine sahip iki adet güç ünitesi (power supply) bulunmalıdır. Güç ünitelerinden herhangi birisinin arızalanması ürünün çalışmasını etkilememelidir. 2.8.Aktif-aktif ve aktif-pasif yedekli çalışma mimarilerinin her ikisini de desteklemelidir. 2.9.En az 1024 adet VLAN desteklemelidir Ürünün AD (Active Directory) entegrasyon özelliği olmalıdır. MS Active Directory ve kullanıcı makinaları üzerine herhangi bir yazılım kurmadan kişi, grup ve OU (organization unit) bazında firewall kuralı yazılmasına olanak tanımalı, tutulan kayıtlarda kullanıcı ismi yer alabilmelidir. Bu sayede trafiği yaratan kullanıcıların isim ile takibinin yapılabilmesine olanak sağlayacaktır OSI Layer-3 ile Layer-7 arasındaki ağ trafiğini izleyebilmelidir İnternette kullanılan her servisi; TCP, UDP, RPC ve ICMP tabanlı protokolleri desteklemelidir. Kullanıcı tanımlı servis hizmeti tanımlamaya izin vermelidir Saat, gün, tarih, periyod bazında erişim kontrolü yapabilmelidir. Bilişim Güvenliği Projesi-Güvenlik Duvarı 1 / 7

9 2.14. Yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP yi istenirse tek bir adres arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilmeli ya da bire bir adres çevrim özelliği (NAT) olmalıdır Port adres çevrim (PAT) özelliğine sahip olmalıdır Bant genişliği kontrolü (QoS) yapabilmelidir. Bu özellik ile kaynak/hedef veya servis bazında bant genişliği kullanımını limitleyebilmeli, garanti edebilmeli, veya ağırlık tanımlaması ile dinamik olarak denetleme yapabilmelidir Firewall static route, RIP, OSPF, BGP dinamik yönlendirme protokollerini desteklemeli ve bu özellikler ile teklif edilmelidir IPv6 desteği olacaktır Site to site ve client to site VPN desteği olmalıdır Güvenlik duvarı, IPSec VPN standardını desteklemelidir. 3DES, AES algoritmaları ile paket şifreleme yapabilmelidir. Veri bütünlüğü için MD5 ve SHA1 algoritmalarını desteklemelidir. Diffie-Hellman groups 1, 2 ve 5 (Perfect forward secrecy) desteği olmalıdır Güvenlik duvarı ağ geçidinin saklanması (Stealth Mode) desteği olmalıdır Cihaz üzerinde en az 2000 uygulamayı tanıyabilen ve detayları aşağıda belirtilen uygulama kontrol(application Control) özelliği olacaktır. a) Sistem üzerinde tanımlı olan tüm uygulamalar kategorize edilmiş olmalıdır. b) Uygulama kontrol özelliği aktif dizin ile entegre çalışabilecek bu sayede Aktif Dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında uygulama kontrol kuralları tanımlanabilecektir. c) Her bir uygulama, uygulama kategorisi, kullanıcı, kullanıcı grubu veya network için farklı bant genişliği limitasyon kuralları tanımlanabilmelidir. d) Veri tabanında yer alan uygulamaların listesi, ilgili uygulamanın yer aldığı ana ve alt kategoriler, ilgili uygulamanın risk seviyesi bilgileri üreticinin resmi web sayfasında yayınlanacaktır. e) Uygulama veri tabanında yer alan uygulama imzaları üretici tarafından tanımlanmış olmalı, harici firmalardan temin edilen uygulamalar olmamalıdır. f) Uygulama bloklama ekranı özelleştirilebilmeli ve Türkçeleştirilebilmelidir Teklif edilecek güvenlik duvarı üzerinde ihtiyaç durumunda sonradan temin edilecek ek lisans ve/veya modülle aktifleştirilebilecek atak engelleme(ips), Anti-Virus, URL filtreleme ve SSL VPN özellikleri aktif edilebilmelidir Firewall yazılımının konfigürasyonu grafiksel bir arabirimle (GUI) veya web üzerinden yapılabilmelidir. Bu konfigürasyon yazılımına bağlantı yapabilecek kullanıcılar için farklı erişim ve güvenlik seviyeleri ile gruplar tanımlanabilmelidir (Read-Write, Read-Only, Monitor Only gibi) Güvenlik duvarı üreticilerinin NSS Labs test süreçlerine katılmış ve sertifikalandırılmış olması gerekmektedir Güvenlik duvarı ürünlerinin konfigürasyon yönetimi ve log izleme/arşivleme işlemleri bu şartnamede belirtilen Merkezi Yönetim ve Log Arşivleme Ürünü aracılığıyla yapılabilecektir. Veya teklif edilen cihaz üzerinde Merkezi Yönetim ve Log Arşivleme Ürünü fonksiyonları sağlanabilmelidir. Bilişim Güvenliği Projesi-Güvenlik Duvarı 2 / 7

10 2.27. Güvenlik duvarı, üreticisi tarafından sertifikalandırılmış sunucu mimarisi üzerinde çalışabilen yazılım ürünü olarak teklif edilmesi durumunda teklif edilecek sunucular en az aşağıdaki özellikleri taşımalıdır: a) En az 1 adet 2.6 GHz 30 MB L3 Cache Intel Xeon E v3işlemci ve en az 32 GB, 2133 MHz, DDR4 fiziksel bellek (RAM) bulunmalıdır. Teklif edilen ürünün işletim sistemi bu opsiyonları desteklememesi durumunda; en az bir adet 3.0 GHz 25 MB cache Intel Xeon E v2 işlemci ve en az 32 GB 1866 MHz DDR3 fiziksel bellek(ram) bulunmalıdır. b) En az 2 adet hot-pluggable özellikte minimum 7200 rpm, en az 300 GB SAS sabit disk bulunmalıdır. c) Disklerin Raid0, Raid1 teknolojileri ile ayarlanabilmesi için önbelleğe ve pil korumasına sahip RAID kartı bulunmalıdır. d) En az 3 adet PCI-E genişleme yuvası bulunmalıdır. e) En az 1 adet grafik bağdaştırıcısı, en az 2 adet USB (USB 2.0, USB 3.0) arabirimi bulunacaktır. f) Sunucu üzerinde kullanılabilir durumda en az 8 adet 10/100/1000 Base-T gigabit bakır ethernet ve en az 4 adet 10G SFP+ portu olmalıdır. Bu arabirimlerin ve sürücülerinin teklif edilecek işletim sistemiyle uyumluluğu göz önünde bulundurulmalıdır. g) 1 adet DVD-ROM sürücü bulunmalıdır. h) Yedekli hot-swap özellikli güç kaynağı ve soğutma birimleri bulunmalıdır. i) Sunucular en fazla 2U yüksekliğinde olmalı ve kabine monte edilebilmelidir. Montaj aparatları ile birlikte teklif edilmelidir. j) Sunucular, 32 bit ve 64 bit uygulamaların çalışmalarına imkân vermelidir. k) Sunucular RedHat Linux, SUSE Linux, Windows Server 2012, VMware ESXİ işletim sistemlerini desteklemelidir. Ayrıca teklif edilecek ürününün işletim sistemini desteklemelidir. l) Teklif edilecek sunucular 3 (üç) yıl garantili olacaktır. 3. YEDEK VERİ MERKEZİ(YVM) GÜVENLİK DUVARI(1 ADET) 3.1.Bu iş için özel olarak üretilmiş yazılım ve donanım bütünü (appliance) olarak teklif edilecektir. 3.2.Üretici firma tarafından geliştirilmiş ve güçlendirilmiş özel bir işletim sistemi üzerinde çalışacaktır. 3.3.Mimari açıdan Stateful Inspection ve IP paket filtreleme özelliklerini bünyesinde bulundurmalı ve aşağıdaki güvenlik servislerine sahip olmalıdır. a. Firewall b. IPSEC VPN c. Uygulama Kontrolü (Application control) d. URL Filtreleme e. Atak Engelleme (IPS) Bilişim Güvenliği Projesi-Güvenlik Duvarı 3 / 7

11 f. Anti-Virus g. Anti-Bot h. Bandwith Management (QoS) i. SSL-VPN (Mobile VPN) (Bu özellik ihtiyaç halinde ek lisans ile sağlanabilir olcaktır) 3.4.Cihazın firewall performans değeri (throughput) en az 4 Gbps ve IPS performans değeri en az 700 Mbps olmalıdır milyon adet eş zamanlı oturum (concurrent session) desteği olmalıdır. 3.6.Anlık adet bağlantı isteğini (connection per second) karşılayabilmelidir. 3.7.Üzerinde her biri 1 gbps hızlarında çalışabilen en az 8 adet bakır ağ arayüzü olmalıdır. İhtiyaç duyulması durumunda en az 4 adet 1 gbps SFP fiber ağ arayüzü takılabilmelidir. 3.8.Cihaz üzerinde en az 120 GB kapasiteye sahip sabit disk olmalıdır Kullanıcı farkındalığı özelliği olmalıdır. Bu özellik sayesinde kullanıcı bilgisayarları veya DC (domain controller) üzerine herhangi bir yazılım kurmadan DC ile entegre olarak kişi, grup, bilgisayar ve OU (organization unit) bazında kural yazılmasına olanak tanımalı, tutulan kayıtlarda kullanıcı ismi yer alabilmelidir. Bu sayede trafiği yaratan kullanıcıların isim ile takibinin yapılabilmesine olanak sağlayacaktır OSI Layer-3 ile Layer-7 arasındaki ağ trafiğini izleyebilmelidir İnternette kullanılan her servisi; TCP, UDP, RPC ve ICMP tabanlı protokolleri desteklemeli, kullanıcı tanımlı servis hizmeti tanımlamaya izin vermelidir Saat, gün, tarih, periyod bazında erişim kontrolü yapabilmelidir Yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP yi istenirse tek bir adres arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilmeli ya da bire bir adres çevrim özelliği (NAT) olmalıdır Bant genişliği kontrolü (QoS) yapabilmelidir. Bu özellik ile kaynak/hedef veya servis veya uygulama bazında bant genişliği kullanımını limitleyebilmeli, garanti edebilmeli veya ağırlık tanımlaması ile dinamik olarak denetleme yapabilmelidir Firewall statik yönlendirme, RIP, OSPF, BGP dinamik yönlendirme protokollerini desteklemeli ve bu özellikler ile teklif edilmelidir Site to site ve client to site VPN desteği olmalıdır IPSec VPN standardını desteklemelidir. IKE şifreleme şemalarını desteklemelidir. 3DES, AES algoritmaları ile paket şifreleme yapabilmelidir. Veri bütünlüğü için MD5 ve SHA1 algoritmalarını desteklemelidir. Diffie-Hellman groups 1, 2 ve 5 (Perfect forward secrecy) desteği olmalıdır Firewall yazılımının konfigürasyonu grafiksel bir arabirimle (GUI) veya web üzerinden yapılabilmelidir. Bu konfigürasyon yazılımına bağlantı yapabilecek kullanıcılar için farklı erişim ve güvenlik seviyeleri ile gruplar tanımlanabilmelidir (Read-Write, Read-Only, Monitor Only gibi) Cihaz üzerinde en az 2000 uygulamayı tanıyabilen ve detayları aşağıda belirtilen uygulama kontrol özelliği olacaktır Sistem üzerinde tanımlı olan tüm uygulamalar kategorize edilmiş olmalıdır. Bilişim Güvenliği Projesi-Güvenlik Duvarı 4 / 7

12 3.21. Uygulama kontrol özelliği aktif dizin ile entegre çalışabilecek bu sayede Aktif Dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında uygulama kontrol kuralları tanımlanabilecektir Her bir uygulama, uygulama kategorisi, kullanıcı, kullanıcı grubu veya network için farklı bant genişliği limitasyon kuralları tanımlanabilmelidir Veri tabanında yer alan uygulamaların listesi, ilgili uygulamanın yer aldığı ana ve alt kategoriler, ilgili uygulamanın risk seviyesi bilgileri üreticinin resmi web sayfasında yayınlanacaktır Uygulama veri tabanında yer alan uygulama imzaları üretici tarafından tanımlanmış olmalı, harici firmalardan temin edilen uygulamalar olmamalıdır Uygulama bloklama ekranı özelleştirilebilmeli ve Türkçeleştirilebilmelidir Cihaz üzerinde bulut mimarisi temelli çalışan, bulut veri tabanı bulunan ve detayları aşağıda iletilen URL filtreleme özelliği olmalıdır Kategorize edilmemiş sitelere yapılan erişimler için sistem yöneticilerinin müdahalesi olmadan otomatik kategorizasyon yapabilme özelliği olmalıdır Bulut mimarisi sayesinde bulut veri tabanı üzerinde yapılan tüm güncellemelerden kurumun anında faydalanması mümkün olmalıdır İçerik filtreleme özelliği aktif dizin ile entegre çalışabilecek bu sayede aktif dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında url filtreleme kuralları tanımlanabilecektir Farklı URL adresleri ve kategori grupları için farklı erişim politikaları yazılabilmelidir Sistem yöneticileri tarafından özel URL tanımlamaları yapılabilmelidir Cihaz üzerinde detayları aşağıda iletilen IPS özelliği olmalıdır Farklı ülkelerden gelebilecek trafiği tehdit anında kesebilmelidir. Coğrafi koruma sağlayabilmelidir IPS sisteminin saldırıları karşılama biçimi, sistem yöneticisi tarafından her bir imza için ayrı ayrı ayarlanabilmelidir IPS özelliğinde saldırılara karşı kullanılan filtreler, güncelleme dosyasından ya da internet üzerinden güncellenebilmelidir. Ayrıca eğer istenirse, imza güncellemeleri kullanıcı müdahalesi olmadan otomatik olarak da yapılabilmelidir Saldırı imzalarına bağımlı kalmaksızın saldırıları engelleyen Protokol Anormallik Tespiti (Protocol Anomaly Detection) teknolojisine sahip olacaktır IPS fonksiyonu aşağıdaki saldırı tiplerine karşı koyabilmelidir; a) Backdoors b) Botnets c) Anlık mesajlaşma (MSN, ICQ vb.) d) İşletim sistemlerine dönük saldırılar e) Peer-to-peer (Emule, Edonkey vb.) f) Protocol tunneling g) Traffic Anomaly h) Protocol Anomaly Bilişim Güvenliği Projesi-Güvenlik Duvarı 5 / 7

13 3.38. IPS mimarisi cihaz üzerindeki diğer güvenlik mimarilerinden (örneğin Anti-Bot, Anti- Virüs v.b.) bağımsız çalışmalıdır. Bu sayede diğer mimarileri etkilemeden aktif edilebilmeli veya sorun tespiti aşamasında kapatılabilmelidir Cihaz üzerinde detayları aşağıda iletilen Botnet tespit ve engelleme özelliği olmalıdır Bulut mimarisi sayesinde bulut veri tabanı üzerinde yapılan tüm güncellemelerden kurumun anında faydalanması mümkün olmalıdır Port ve protokolden bağımsız çalışmalı, internete doğru yapılan tüm ip trafiğini inceleyebilmelidir Botnet komuta kontrol merkezlerine erişim için yapılan adres çözümleme isteklerini tespit ve DNS sorgusu esnasında trafiği bloklayabilme özelliğine sahip olmalıdır Bilinmeyen komuta kontrol merkezleriyle yapılan iletişimler için davranışsal analiz yapabilmeli bu sayede şüpheli trafiği engelleyebilmelidir Bilinen Botnetler için imza temelli bloklama yapabilmelidir Farklı kullanıcı veya kullanıcı grupları için farklı botnet politikaları oluşturulabilmelidir Botnet tespit ve engelleme mimarisi aktif dizin ile entegre çalışabilecek bu sayede aktif dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında botnet filtreleme kuralları tanımlanabilecektir Cihaz üzerinde bulut mimarisi temelli çalışan ve detayları aşağıda sıralanan Anti- Virus tespit ve engelleme sistemi olmalıdır. a. Bulut mimarisi sayesinde anti-virüs verit abanı üzerinde yapılan tüm güncellemelerden kurumun anında faydalanması mümkün olmalıdır. b. Akan dosya trafiğini tarayabilmelidir. Hangi dosya tiplerinin veya uygulamaların taranıp taranmayacağı sistem yöneticileri tarafından belirlenebilmelidir. Arşivlenmiş dosyaları tarayabilmelidir. c. Anti-virüs mimarisi aktif dizin ile entegre çalışabilecek bu sayede Aktif Dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında Anti-Virüs kuralları tanımlanabilecektir. d. Farklı kullanıcı veya kullanıcı grupları için farklı Anti-virüs politikaları oluşturulabilmelidir Cihaz, detayları aşağıda açıklanan SSL-VPN özelliğini desteklemelidir. Bu özellik ileride lisans artırımı ile kullanılabilir olmalıdır. a) En az MS Windows7, MS Windows 8 tabanlı taşınabilir cihazlar SSL VPN client olarak desteklenecektir. b) Kurumun internete açık olan Outlook Web Access, Exchange Web Servis ve Active Sync servislerine erişim SSL VPN üzerinden sağlanabilecektir. c) SSL VPN aracılığıyla erişen kullanıcılar, sistem üzerinde tanımlı kullanıcı veri tabanı, RADIUS, LDAP ve Active Directory üzerinden yetkilendirilebilecektir ve bu yetkilendirme ile erişilebilecek iç kaynaklar tanımlanabilecektir. d) SSL-VPN ile bağlanan kullanıcıların IPS taramasından geçirilip güvenli bir şekilde lokal ağa bağlantısı sağlanabilmelidir. Bilişim Güvenliği Projesi-Güvenlik Duvarı 6 / 7

14 e) SSL-VPN ile bağlanan kullanıcıların, bağlandıkları cihazlar üzerinde belirtilen politikalara uygun olmamaları durumunda daha önceden belirlenen az yetkili kullanıcı profili olarak veya kısıtlı servise bağlanması sağlanabilmelidir. f) SSL-VPN ile bağlanan kullanıcıların kimlik doğrulama işlemi 2-aşamalı (2-factor) kimlik doğrulamayı destekleyecektir. Donanım gerektirmeyen SMS vb. çözümleri destekleyecektir Yedek Veri Merkezi(YVM) güvenlik duvarı ürününün konfigürasyon yönetimi, log izleme/arşivleme işlemleri bu şartnamede belirtilen Merkezi Yönetim ve Log Arşivleme Ürünü aracılığıyla yapılabilecektir. Veya teklif edilen cihaz üzerinde Merkezi Yönetim ve Log Arşivleme Ürünü fonksiyonları sağlanabilmelidir. 4. MERKEZİ YÖNETİM VE LOG ARŞİVLEME ÜRÜNÜ 4.1.Teklif edilecek merkezi yönetim ve log arşivleme sistemi bu şartnamede belirtilen merkez güvenlik duvarı ürünleri ve YVM güvenlik duvarı ürününün merkezi konfigürasyon yönetimi ve log arşivleme/filtreleme işlemlerini yapabilmelidir. Bu işlemlerin tek bir donanım/yazılım üzerinde yapılamaması durumunda aşağıda belirtilen teknik özellikler karşılanmak kaydıyla aynı veya farklı üreticilere ait birden fazla cihaz/yazılım teklif edilebilir. Bu bölümde istenen özellikler teklif edilen güvenlik duvarı cihazı üzerinde sağlanabiliyorsa ayrı bir ürün teklif edilmeyebilir. 4.2.Teklif edilecek merkezi yönetim, log arşivleme sistem(veya sistemleri) sanal sistem (Vmware) üzerine kurulabilen yazılımsal bir ürün olabileceği gibi donanımsal olarak da teklif edilebilir. 4.3.Bu amaçla yazılımsal bir ürün (veya ürünler) teklif edilmesi durumunda ilgili sistemin çalışacağı sanal sistem platformu kurumumuz tarafından sağlanacaktır. 4.4.Merkezi yönetim sistemi (veya sistemleri) sayesinde merkez güvenlik duvarı ürünleri ve YVM güvenlik duvarı ürünü üzerinde herhangi bir arıza yaşanması durumunda geçmiş tarihli olay kayıtları (loglar) ve konfigürasyon (kurallar, objeler v.b.) verisinde herhangi bir kayıp yaşanmamalı, tanımlı konfigürasyon güncel haliyle korunmalıdır. 4.5.Merkezi yönetim platformu aracılığıyla merkez güvenlik duvarı ürünleri ve YVM güvenlik duvarı ürünü üzerinden geçen tüm trafiğin günlüklerde tutulması, istenen kriterlere göre (En az IP, IP aralığı, ağ, protokol, zaman) filtrelenebilmesi ve aktif bağlantıların gerçek zamanlı izlenebilmesi sağlanacaktır Güvenlik duvarı trafik logları arasında korelasyon yapılabilmeli ve birbiriyle ilişkili trafik loğlarını gruplayarak analiz edebilmelidir Ürün üzerinde ön tanımlı gelen en az 40 farklı rapor formatı yer almalıdır. PDF ve HTML formatlarında raporlar alınabilmelidir. 4.8.Geçmişe yönelik yapılan tüm trafik raporları, otomatik olarak e-posta yolu ile sistem yöneticilerine gönderilebilmelidir. 4.9.Merkezi yönetim platformu aracılığıyla ilgili sistemlerin durum bilgisi, disk doluluğu, CPU ve RAM kullanım değerleri eş zamanlı gözlemlenebilecek, en fazla trafiği yaratan bilgisayarlar, hedef sunucu ve servis bilgileri gibi gerçek zamanlı trafik analizi yapılabilecektir. Bilişim Güvenliği Projesi-Güvenlik Duvarı 7 / 7

15 B) SSL VPN CİHAZI 1. KONU Bu teknik şartname bir adet SSL Vpn Cihazı için istenen teknik gereksinimleri kapsamaktadır. 2. SSL VPN CİHAZI TEKNİK ÖZELLİKLERİ 2.1.SSL-VPN cihazı, (Appliance) donanım ve yazılım bütünü ve tek üretici firma tarafından sağlanmalıdır. 2.2.SSL-VPN cihazında işletim sistemi özel olarak SSL VPN işlemi için geliştirilmiş ve fiziksel donanım üzerine AES 128 bit şifrelenmiş olarak yüklenmiş olmalıdır. 2.3.Gerek IPSEC gerek SSL portlarını kullanabilmeli, IKEv2 desteği olmalıdır. 2.4.SSL-VPN cihazı, Windows XP, Windows 2000, Windows Vista, Windows 7, Windows 8 Mac OS, Red Hat Linux 7.3 üstü istemci işletim sistemleri ile uyumlu çalışabilmelidir. 2.5.Mobil platformlarda IOS(Apple), Android, Blackberry, WinMobile, Symbian istemci işletim sistemleri ile uyumlu çalışabilmelidir. 2.6.SSL-VPN cihazı Windows 2008 Active Directory, LDAP, LDAPS, RADIUS, Anonymous Authentication, Client Certificate, RSA Secure ID ve Ace authentication, UNIX NIS, SAMLV1/V2, kimlik doğrulama metotlarını desteklemeli ve bu aşağıda sayılan metotlardan herhangi ikisini tek bir kimlik doğrulama isteği için kullanabilmelidir. 2.7.SSL VPN cihazı Kerberos SSO ve NTLMv2 SSO desteklemelidir. 2.8.SSL-VPN cihazı, User-ID/group-ID, User location, Resource name, URL, Client certificate, Source-ip, Browser type, Time and Day, User attiribute ve UserDN kriterlerine göre dinamik bir şekilde kaynaklara erişim hakkı sağlayabilmeli veya engelleyebilmelidir. 2.9.SSL-VPN cihazı, istenildiğinde tek kutuda eşzamanlı en az 1000 clientless vpn kullanıcıya kadar destek sağlayabilmeli, 250 eş zamanlı kullanıcı için tekliflendirilmelidir SSL VPN cihazı karşılıklı ekran görüntüsü ve kontrol paylaşımını sağlayan güvenli toplantılar yapabilme özelliğinde olacak. Eş zamanlı 25 kullanıcı/ 25 toplantı için güvenli toplantı lisansı ile teklif edilecektir SSL-VPN cihazı, aynı anda bağlı olan kullanıcılar arasında https protokolü üzerinden sohbet (chat) ve remote desktop kontrol desteği sağlamalıdır SSL-VPN cihazı Cluster ve yedekli yapıda çalışabilmelidir SSL-VPN cihazı, şifre yönetimi, single sign-on, user Authorization ve modifiye edilebilir giriş (Log-in) sayfaları desteği sağlamalıdır. Gerektiğinde tamamen tekrar baştan yazılabilecek web sayfası kodları ve farklı dizayn edilmiş sayfa örneklerini (mobil cihazlar dahil) içinde barındırmalıdır SSL-VPN cihazı, internet üzerinden doğrudan erişilemeyen websiteleri, Windows ve Unix dosya paylaşım sunucularına, Windows 2008 Terminal server erişimi, Telnet/SSH ve her türlü TCP tabanlı client server mimarisinde olan uygulamalara erişimi sağlayabilmelidir. Bilişim Güvenliği-SSL VPN Cihazı 1 / 3

16 2.15. SSL-VPN cihazı istemcinin kullandığı bilgisayar masaüstü ve dosya sistemi ile kullanıcı arabirimi arasında sanal bir masaüstü ve dosya sistemi yaratabilmeli bu sistem ile kullanıcının kullandığı istemci donanımında kullanacağı USB bağlantısı gibi kaynaklar ve kullanıcının çalıştırabileceği uygulamalar denetlenebilmelidir SSL-VPN cihazı ağ seviyesinde erişim client yazılımı ile kullanıcının IPsec vpn bağlantıları yapabilmesini ve doğrudan network katmanında çalışabilmesini sağlamalı bu IPsec bağlantısı ile beraber split-tunneling ya da sadece lan ağına erişimin denetlenebilmesini ve bant genişliğinin yönetilebilmesini desteklemelidir. Client ın opsiyonel olarak FIPS desteği olmalıdır SSL-VPN cihazı ağ seviyesinde IPsec erişimi sırasında istemcinin kullanacagı DNS ve proxy sunucuları denetleyebilmeli ve önceliklendirebilmelidir SSL VPN cihazı, uzaktan erişim yöntemi olarak hedef tcp port ve çalışan proses (uygulama) bazında tünelleme yapabilmelidir. Bu sayede hedef port ve sunucuya uzaktan erişirken, client üzerinde çalışan olası zararlı proseslerin bu portlara tünel üzerinden erişimi engellenebilmelidir SSL-VPN cihazı, ayrıntılı bir şekilde log tutabilmelidir. Logların incelenmesi için filtreler ve şablonlar yazılabilmelidir. Bağlanan kullanıcılar izlenebilmelidir. SNMP (V2/V3) trap desteği olmalıdır SSL VPN Cihazı VMWare in View Manager ve Citrix in XenDesktop gibi VDI teknolojilerini desteklemelidir SSL-VPN cihazı, ping, traceroute, nslookup ve arp komutlarını çalıştırabilmelidir SSL-VPN cihazı, kullanıcı erişim loglarını, yönetici erişim logları, sistem logları gibi eventleri bir ftp ve scp sunucusuna belirlenmiş kurallar ile otomatik olarak arşivleyebilmelidir. Syslog sunucuna log transferi yapılabilmelidir SSL-VPN cihazında software güncelemeleri web arayüzünden yapılabilmelidir, ayrıca roll-back özelliği ile bir önceki konfig ve yazılıma otomatik donuş yapğılabilemelidir SSL-VPN cihazı, konfigurasyonu XML olarak import ve export edilebilmeli ve ya kullanıcı ve sistem konfigurasyonu şifre korumalı bir sekilde import / export edilebilmelidir SSL-VPN cihazı üzerinde farklı seviyede yönetici tanımları yapılabilmelidir. Group yönetim delegasyonu (group management delegation) yapılabilmelidir SSL-VPN cihazı end to end security için Native Host Checker, Host Checker API, Host Check Server Integration API, özelliklerini sağlamalı TNC (Trusted Network Connect ) onaylı olmalıdır Mobil cihazları işletim sistemleri versiyonu jailbreak, Rooted olup olmadıklarına göre ayırabilmeli bu parametrelere göre farklı yetkilendirmeler yapabilmelidir SSL-VPN cihazı end to end security için Policy-based enforcement(uygulama) ve remediation(iyileştirme), Cache Cleaner özelliklerini sağlamalıdır Remediation (iyileştirme) sslvpn ile microsoft SMS/SCCM ile entegre halde otomatik olarak yapılabilmelidir SSL-VPN cihazına sanal port ve birden fazla URL tanımlamaları yapılabilmelidir. Herhangi bir kullanıcı veya kullanıcı grubuna istenen URL adresi tanımlanabilmelidir. Bilişim Güvenliği-SSL VPN Cihazı 2 / 3

17 2.31. SSL-VPN cihazı Lightweight Java veya Windows temelli yüklemeyi otomatik yaparak sadece bir web browser kullanarak kullanıcı veya server uygulamalarına erişim sağlamalıdır. Ve ekstra üst seviye yönetim özelliklerine sahip olmalıdır SSL-VPN cihazında en az iki adet 10/100/1000 ethernet portu,1 adet konsol portu ve 1 adet usb portu bulunmalıdır. Bilişim Güvenliği-SSL VPN Cihazı 3 / 3

18 C) PROXY/WEBGATEWAY, İÇERİK TARAMA VE ZERO-DAY ATAK ÖNLEME ÇÖZÜMÜ 1. KONU Bu teknik şartname, Güvenli Web Ağ Geçidi, İçerik Tarama ve Zero-Day Atak Önleme çözümünün taşıması gereken minimum teknik isterleri kapsamaktadır. Bu teknik şartnamede istenen teknik özellikler, tek veya birden fazla markanın ürün veya ürünler bileşiminden oluşan bir çözüm olarak teklif edilebilir. 2. TEKNİK ÖZELLİKLER Proxy Gateway ve Cache Özellikleri: 2.1. Teklif edilen çözüm, özelleştirilmiş bir işletim sistemine sahip olan bir appliance çözümü olacaktır Teklif edilen çözümün donanım platformu ile ilgili detaylı bilgi verilmelidir. Çözüme ait donanım, yüksek performanslı özel geliştirilmiş bir donanım olmalıdır Teklif edilen çözüm, yüksek erişilebilirlik/kullanılabilirlik operasyonlarını, Aktif Pasif ve Aktif Aktif topolojilerde destekleyebilmelidir Teklif edilen çözüm, internet protokolleri için vekillik (proxy), içeriği önbellekleme (cache), içerik filtreleme, anti-malware ve SSL trafiğinin incelenmesi için gerekli kabiliyeti sağlayacaktır Çözümle birlikte gerekli olan donanım ve yazılım altyapısı, gereksinimleri tam olarak karşılayacak şekilde tekliflendirilmelidir Teklif edilen çözüm, proxy, cache, içerik filtreleme, anti-malware ve SSL trafiği incelemesi fonksiyonları tek bir yönetim arabirimi üzerinden sağlamalıdır Teklif edilen çözüm tek bir cihaz ile, ağ üzerinde bulunan 6000 adet kullanıcıya hizmet sağlayabilir kapasitede olacaktır. Cihazın desteklediği %70 işlemci utilizasyonu ile Transaction Per Second(TPS) değeri, secure web gateway, ICAP ve SSL çözme özellikleri açık iken en az 1350 TPS olacaktır. Teklif verecek olan yüklenici, bu değeri karşılaması gereken tüm donanım ve bileşenlerini verecektir. Test ve kabul işlemleri sırasında bu değerleri gösterebilecektir. Kabul işlemleri sırasında, teklif edilen çözüm bu değerleri sağlamıyor ise, YÜKLENİCİ, bu değeri saylayacak tüm donanım ve bileşenleri ücretsiz olarak kuruma teslim edecektir Çözüm, anlık minimum 700 kullanıcı lisansı ile teklif edilecektir Toplam kullanıcı sayısının ürünün lisanslı kullanıcı sayısını geçmesi durumunda ürün hizmet vermeye devam etmelidir. Tüm işlevleri açısından herhangi bir kesinti yaşanmayacaktır Çözüm DLP ya da Anti-Malware çözümleri ile ICAP protokolü üzerinden haberleşebilecektir Çözüm 64 bit mimari tabanlı olacaktır Teklif edilen çözüm SSL trafiğinin çözülmesi için ortak işlemci gücü kullanmadan, kendi üzerinde özel donanım kartlarına sahip olacak ve SSL trafiğinin çözülmesi işlemini bu kartlar vasıtası ile yapacaktır. Teklif edilen çözüm, ortak Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü 1 / 6

19 işlemci gücü kullanıyor ise, SSL trafiğinin çözülmesi için kaybedilen performans değerini karşılayacak kadar gereken cihaz, ihale kapsamında verilen teklife dahil edilecektir Teklif edilen çözüm, bilinen web tarayıcılarını (Firefox, Chrome, Internet Explorer) destekleyecektir Teklif edilen çözüm, explicit ya da transparent proxy (WCCP ve Transparent Inline) yapılandırılmalarını destekleyecektir. Transparent yapılandırma istenildiğinde WCCP ya da 3.parti bir yük dengeleme sistemine ihtiyaç duymayacaktır. Eğer teklif edilen çözüm, WCCP yada 3. parti bir yük dengeleme sistemine ihtiyaç duyuyor ise, bu işlemi yapacak cihaz teklife eklenecektir Teklif edilen çözüm, IPV4 ve IPV6 desteğine sahip olacaktır Teklif edilen çözüm, üretilen http/https ve ftp erişim loglarını, gerektiğinde birden fazla hedefe gönderebilme kabiliyetine sahip olacaktır Bağlantı sonrasında üretilen loglara ait bilgi sunulmalıdır Teklif edilen çözüm, aktif ve pasif FTP bağlantılarını desteklemelidir Teklif edilen çözüm, HTTP CONNECT methodunu destekleyecek şekilde TCP portlarının tanımlanmasına olanak sağlamalıdır Teklif edilen çözüm, HTTP, HTTPS ve FTP portlarının tanımlanabilmesine olanak sağlamalıdır Teklif edilen çözüm, aşağıda belirtilen kimlik doğrulama yöntemlerini destekleyecektir. Windows NTLM (Active Directory) LDAP Yerel / Lokal Kullanıcı Veri Tabanı. RADIUS Digital Certificates (X509) Misafir (Guest) Kimlik Doğrulama Teklif edilen çözüm, transparan kimlik doğrulamayı destekleyecektir. Örneğin; kullanıcıları tanımak için tarayıcılarını her açışlarında kullanıcı adı ve şifre bilgilerini girmesini istemeyecektir Teklif edilen çözüm, istendiğinde kurumun etki alanı(domain)nda bulunmayan kullanıcılara, bir web sayfası ya da pop-up ekranı çıkararak kullanıcı adı ve şifre bilgilerini sorabilmelidir Teklif edilen çözüm, SOCKS protokolünü destekleyecektir Teklif edilen çözüm, SSL Trafiğini Man-in-The-Middle yöntemi karakterlerini izleyerek yakalayabilmeli, ayrıca self-signed ya da güvenli sertifika sağlayıcılarının üretmiş oldukları sertifikaları sistemine eklenmesine izin vermelidir Teklif edilen çözüm desteklediği SSL V2, V3 ve TLS v1.0, v.1.1 ve v1.2 desteğine sahip olmalıdır. Bu versiyonlar ihtiyaç olması halinde aktif ya da inaktif hale getirilebilmelidir. Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü 2 / 6

20 2.27. Teklif edilen çözüm, Güvenilir Sertifika Otoritesi bilgilerini (Trusted CA) otomatik olarak güncelleyebilmelidir. Bunun için ek bir işlem yapmaya gerek olmamalıdır Teklif edilen çözüm, istendiğinde güvenilir olmayan ya da kullanım tarihi geçmiş HTTPS adreslerine yapılacak olan bağlantıları engelleyebilecektir. Ayrıca yeni Certificate Authority bilgileri web arabiriminden güncellenebilecektir Teklif edilen çözüm, farklı web kategorileri ve web uygulamalarına QoS (Quality of Service) minumum ve maksimum bant genişliği ayırma işlemi ve trafik önceliklendirmelerini aşağıdaki kriterlere göre yapabilecektir. Hedef ve Kaynak IP Adresi URL ya da Site Kategorisi Kimlik Doğrulaması yapılmış kullanıcı Teklif edilen çözüm, RTMP(Real-Time Messaging Protocol), RTSP(Real- Time Streaming Protocol), HDS(HTTP Dynamic Streaming), HLS(HTTP Live Streaming) ve Microsoft Smooth Streaming (Silverlight) protokollerini ve Windows Media, Adobe Flash, Real Player, Quick Time, Live Video Splitting, Cache Video on Demand özelliklerini desteklemelidir. Bu özellik desteklenemiyor ise, bu cache lemeyi yapacak cihaz teklife dahil edilmelidir Teklif edilen çözüm, kurum lokasyonunda, genel erişim ortamında ya da popüler internet sitelerinde bulunan video içeriklerini ön bellek (Cache) kontrol yöntemleri ile obje/nesne ön bellekleme özelliğine sahip olmalıdır. Bu özellik aynı çözüm üzerinde sunulamıyorsa, gerekli çözüm ürün ile birlikte teklif edilmelidir Teklif edilen çözüm, önceden kurulmuş video akış/yayınlarını (splitstreaming) tekrar kullandırarak, bant genişliği kullanımında tasarruf ve daha iyi kullanım olanağı sağlamalıdır Teklif edilen çözüm, önbellek içeriğini kısmen ya da tamamen web arabirimi ya da komut arabirimi ile temizlemeye imkan sağlamalıdır Teklif edilen çözüm, sunucu-istemci ve istemci-sunucu arasındaki iletişimlerdeki HTTP başlıklarına (headers) ekleme ya da çıkarma yapma olanağı sağlayabilmelidir. Bu sayede kullanıcıların internette sadece belirli adreslere veri göndermesi(post) sağlanabilmeli, tarayıcıların belirli versiyonlarını hedef alan güvenlik açıklarına karşı kullanıcılar, internete çıkarken güncel bir tarayıcı versiyonuyla çıkıyormuş gibi tarayıcı bilgileri değiştirilebilmelidir Teklif edilen çözüm web istemcileri ya da tarayıcıların versiyon bilgi ve modeline göre (user-agent) engelleme ve yetkilendirme kuralı oluşturabilmelidir Teklif edilen çözüm, önbellek kullanımını efektif bir şekilde artırabilmek için önbellek kurallarını üreticinin bulut ortamından otomatik olarak alacak ve güncelleyebilecektir Teklif edilen çözüm, üreticiden periyodik ve otomatik bir şekilde URL tabanlı güncellemeler alabilecektir Teklif edilen çözüm, URL tabanlı ön-tanımlı kategori bilgisine sahip olmalıdır. Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü 3 / 6

21 2.39. Teklif edilen çözüm, HTTP ve HTTPS trafiği için yerel tabanlı kategorilendirebilmeye izin verecektir. Ayrıca en az Sosyal Ağ, Video Siteleri, Audio Siteleri, Dosya İndirme, Webmail, Haberler, Ip Telefon, P2P, Pornografi, Sex Education, Hükümet ve Resmi Siteler, Bankacılık, Alış- Veriş, İçerik Sunucuları, Oyun Siteleri, Online Arkadaşlık, Sağlık ve Uyuşturucu kategorilerine sahip olacaktır Teklif edilen çözüm, bilgi güvenliğine özel kategorilere sahip olacaktır. Spam, Phising, Malware Şüpheli İçerik ve Command and Control Networks kategorilerine erişimi etkin bir şekilde engelleyebilecek yapıya sahip olacaktır Teklif edilen çözüm, gerçek zamanlı olarak bilinmeyen ya da yeni internet sitelerini otomatik bir şekilde kategorilendirebilecektir Teklif edilen çözüm, bir web sitesi için çoklu kategori atayabilmelidir Teklif edilen çözüm, gerçek zamanlı kategorilendirilmemiş ya da yerel veri tabanında bulunmayan sitelerin kategorilendirilebilmesi için ürün yöneticisine, dilediği siteyi elle / manuel kategorilendirebilme özelliği sunabilmelidir Teklif edilen çözüm, elle kategori tanımlamasına, herhangi bir web sitesi, ip adresi, subnet ya da domain için tanımlamaya olanak sağlayabilmelidir Teklif edilen çözüm, "Facebook", "Twitter", "Gmail", "MS-Outlook", "Dropbox", "Google Drive","Youtube", Box.com, Google Docs, Google Reader, PasteBin, Office 365 SharePoint Goto Meeting gibi Web 2.0 uygulamalarını tanıyabilecek ve Gönderimi, Eklenti Gönderimi, Video Yükleme, Mesaj Gönderme gibi uygulamalara yönelik operasyonları yönetebilmelidir Teklif edilen çözüm, Youtube videoları için spesifik kategorilere sahip olmalıdır. Youtube videosu içeriğine göre sınıflandırma yapıp ilgili Youtube kategorisine atayabilmelidir Teklif edilen çözüm, mp3, wmv, avi, exe, iso gibi dosya uzantılarına(mime) filtre uygulayabilmeli ayrıca yeni dosya uzantılarının tanımlanmasına olanak sağlamalıdır Teklif edilen çözüm, dosya tiplerinin dosya uzantısı değiştirilse bile tanıyabilmeli ve söz konusu dosyaları engelleyebilmelidir Teklif edilen çözüm, şifreli SSL trafiğini her iki yönde de (inbond / Outbound) filtreleyebilecektir. Bu trafiğe, şifrelenmemiş trafiğe uygulanan aynı politika kuralları uygulanabilecektir Teklif edilen çözüm, filtreleme kuralları, domain kullanıcıları, grupları, domain, kategoriler, anahtar kelimeler, düzenli ifadeler (regular expression), günün zamanı, haftanın günü, hedef ve kaynak ip adresine göre özelleştirmeyi desteklemelidir Teklif edilen çözüm, HTTP header tanıma ve yeniden düzenleyebilme özelliğine sahip olacaktır Teklif edilen çözüm, sistem kurallara göre aşağıdaki özellikleri destekleyecektir, Tamamen erişime izin verebilecek. Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü 4 / 6