bilgiz.org

Radio Tipi

  • FIREWALL CİHAZI 1 ADET



  • Tarih01.10.2017
    Büyüklüğü49.59 Kb.

    Indir 49.59 Kb.

    DOKUZ EYLÜL ÜNİVERSİTESİ SALDIRI TESPİT SİSTEMİ

    TEKNİK ŞARTNAMESİ


    AĞ TABANLI ATAK ÖNLEME SİSTEMİ 1 ADET

    1. Sistem üzerinde saldırı tespit ve engelleme amaçlı en az 8 (yirmi) adet 10/100/1000 Mbps hızında inline çalışabilen GE SFP yuvası (4 segment korunabilmesi amacıyla) olmalıdır. Bunların en az 2 adedi bakır SFP GBIC ile dolu olarak verilmelidir. Cihaz üzerinde en az 1 adet Gbit ethernet responce port ve yönetim amaçlı 1 adet Gbit ethernet ve en az 1 adet konsol portu olmalıdır.

    2. Sistemin performansı (throughput) en az 3 (üç) Gbps ve eş zamanlı oturum sayısı en az 1.500.000 (bir milyon beş yüzbin) olacaktır.

    3. Sistem üzerinde trafiği dinleyen fiziksel port bazında, VLAN ya da IP aralığı bazında ayrı ayrı politikalar uygulanabilecektir.

    4. Sistem, katman iki (layer 2) seviyesinde çalışacaktır. Ağ üzerinde sistemin varlığı atak yapan tarafından herhangi bir şekilde algılanamayacaktır.

    5. Sistem, donanım ve yazılım bütününden oluşacaktır. Donanım bileşeni saldırıları engelleyecek IPS modülü, yazılım bileşeni de bu modülün yönetiminden teşkil olacaktır. Donanım bileşeni yüksek verimlilik ve hız ihtiyaçları sebebi ile ASIC tabanlı olacaktır.

    6. İmza, anomali ve servis dışı bırakma DoS tekniklerini bir arada kullanarak atak tespiti ve önleme yapacaktır.

    7. Yeni çıkan atak imzaları İnternet üzerinden otomatik veya manuel olarak indirilebilecektir.

    8. İsim değişikliği yapılarak kullanılmak istenen uygulama ve protokoller tespit edilebilecek ve önlenebilecektir.

    9. DoS ve dağıtık servis dışı bırakma (DDoS) ataklarını istatistiki eşik değer ile tespit edebilecek, algılayıcı (sensör) tabanlı öğrenim/profil ve DoS profilleri tabanlı olarak tespit edebilecek ve kesebilecektir.

    10. Cihazın, üzerinden geçen trafiğin durum kontrolü için kullanacağı yöntemlerden en az aşağıda sıralanan yöntemleri içerecektir:

    IP Defragmantation ve TCP Stream Reassambly,

    Detaylı Protokol Analizi,

    Asimetrik Trafik İzleme,

    Adli veri toplanması,

    Protokol Tünellemesi,

    Protokol Tespiti.



    Protokol Normalizasyon

    1. Sistem, yönetim ve kayıt günlüğü tutulması (loglaması) için merkezi yönetim yazılımına sahip olacaktır.

    2. Yönetim yazılımının grafik raporlama, atak merkezi tespiti ve kayıt tutma özellikleri olacaktır. Yönetim yazılımı Windows 2003 üzerinde çalışacak olup veri tabanı olarak Mysql kullanacaktır. Yüklenici firma bu yazılımı kendisi kuracaktır. Yazılımın kurulması için gerekli olan donanım Üniversitemizce temin edilecektir. Yüklenici firma gerekli olan donanım konusunda Üniversitemizi kurulumdan önce bilgilendirmelidir.

    3. Atak önleme sisteminde meydana gelebilecek herhangi bir arıza, atak önleme sisteminin entegre edildiği mevcut sistemin akışını engellemeyecektir (fail open/fail safe).

    4. Sistem içi (inline) modunda çalışan sistem saldırıyı tespit ettiği anda saldırıya ilişkin iletişimi kesecektir. İkinci katman erişiminin olduğu yerel ağlarda, saldırıları tetikleyen istemcilerin belirtilecek bir zaman için karantinaya alınmasını destekleyecektir.

    5. Sistem tespit ettiği uygulama grubuna (p2p gibi) istinaden hat genişliği yönetimi yapabilecek, bunla ilgili kullanım bilgilerini sunabilecektir.

    6. İkinci katman (OSI 2) “ARP Spoofing” atakları tespit edilip kesilebilecektir.

    7. Casus yazılım (spyware) ve diğer zararlı kodlar da dâhil olmak üzere HTTP cevap ataklarına karşı ağ tarayıcıları için koruma sağlayacaktır.

    8. Noktadan noktaya bağlantı (peer-to-peer) ve anlık mesajlaşma (instant messaging) da dâhil olmak üzere en az 100 (yüz) protokolü tanıyacak ve ilgili atakları kesecektir.

    9. Algılayıcı (sensör) ve yönetim yazılımı SSL ile şifrelenmiş bir hat üzerinden iletişim kuracaktır. Yönetim yazılımı detaylı istatistiksel raporlar üretebilmeli ve oluşan raporlar mail ile otomatik alıcılara gönderilebilmelidir.

    10. En az 100 (yüz) protokolü analiz edebilecek ve bu protokoller için koruma sağlayacaktır.

    11. Sistem komut satırından yapılandırılabilecektir.

    12. Önerilen IPS istenilirse modül upgrade ile NAC denetleyicilik yapabilmeli bu yolla kontrol dışı istemcilerin IPS segmentlerinden geçişi engellenebilmelidir.

    13. Önerilen sistem SSL ile kriptolanmış trafiği sonlandırabilmeli ve bu yolla yapılabilecek saldırıları tespit edip engelleyebilmelidir.

    14. Merkezi yönetim yazılımı en az 2 adet IPS cihazını yönetebilecek şekilde lisanslanmalıdır.

    15. Sistem içi (inline) modunda çalışan sistem saldırıyı tespit ettiği anda saldırıya ilişkin iletişimi kesecektir. İkinci katman erişiminin olduğu yerel ağlarda, saldırıları tetikleyen istemcilerin belirtilecek bir zaman için karantinaya alınmasını destekleyecektir.

    16. Yönetim yazılımı üzerinden anlık atakların izlenmesi mümkün olmalı bu amaçla olası filtrelerle ilgili olay kaydına ulaşılabilmelidir. Aynı zamanda geçmişe dönük istatistiksel raporlar alınabilmeli bunları otomatik olarak yapabilmeli ve ilgili kullanıcılara mail ile ulaştırılabilmelidir. Oluşturulan raporlar HTML ve pdf olarak alınabilmelidir.

    17. Yönetim yazılımı farklı rollerde sistem yöneticileri atayabilmelidir.

    18. Önerilen donanım yedekli güç ünitesi içermelidir.

    19. Önerilen sistem merkezi yönetim yazılımı dışında temel ayarlar ve sorun tespitleri amacı ile CLI üzerinden kullanılabilmelidir.

    20. Gereğinde delil amaçlı kullanılmak üzere detaylı trafik log’u ürettirilebilmelidir.(TCPDUMP seviyesinde)

    21. Merkezi yönetim yazılımı Radius, TCACS ve ldap protokolleri yardımıyla kimlik doğrulama yapabilmelidir.

    22. IPS sistemi malware denetimi için davranış tabanlı özel tespit mekanizmasını barındırabilmelidir.

    23. Önerilen sistem gerektiğinde aktif-aktif ve aktif-pasif yedekli çalışabilmelidir.

    24. Merkezi yönetim yazılımı gerektiği takdirde yedekli çalışabilecek mimaride olmalıdır.

    25. IPV6 desteği tam olmalı, atakların tespiti dışında yönetim portunda IPV6 adresleri ayarlanabilmelidir.

    26. Atak önleme sistemi aynı üreticinin network zafiyet tarama aracı ve HOST IPS ürünleri ile entegre olabilmelidir.

    27. Son kullanıcı 7x24 üreticiye sorunlarla ilgili e-mail veya telefon ile bildirimde bulunabilmelidir.


    FIREWALL CİHAZI 1 ADET


    1. Cihaz üzerinde Firewall ve VPN sonlandırma işlevlerini yerine getirecek özel olarak üretilmiş bir donanım çözümü olmalıdır.

    2. Cihaz üzerinde genel amaçlı bir işletim sistemi yerine, kendine özel bir işletim sistemi bulunmalıdır.

    3. “Firewall throughput” kapasitesi en az 10 Gbps olmalıdır.

    4. “VPN throughput” kapasitesi en az 2 Gbps olmalıdır.

    5. Desteklenen maksimum bağlantı sayısı en az 1,000,000 olacaktır. Cihaz saniyede en az 120,000 yeni bağlantı açabilmelidir.

    6. Saniyede en az 3.000.000 paket iletimini desteklemelidir.

    7. Cihaz 10,000 adede kadar IPSEC VPN bağlantısı yapabilmelidir.

    8. Cihaz Aktif/Yedek ve Aktif/Aktif çalışabilmelidir.

    9. Cihaz üzerinde en az 8 tane 10/100/1000 Mbps ethernet portu ve 2 tane 10 Gigabit fiber/ 10 Gigabit bakır tercihe bağlı olarak kullanılabilecek ethernet portu olmalıdır. ( Toplam olarak 8 tane Gigabit Ethernet port ve 2 adet 10 Gigabit Ethernet port). Cihaz üzerinde en az 2 adet genişleme yuvası bulunmalıdır.

    10. Cihaz üzerinde en az 2 adet USB 2.0 portu bulunmalıdır.

    11. Cihaz üzerinde en az 12 GB Bellek, 2 GB Flash bellek bulunmalıdır.

    12. Cihaz en az 250 adet VLAN’i destekleyebilmelidir.

    13. Üzerinde iki adet sanal firewall desteği olmalı ve ek lisans ile bu sayı 50’ye çıkabilmelidir.

    14. Cihaz 2 adet güç kaynağını desteklemeli ve bu şekilde yedekli güç kaynağı ile teklif edilmelidir.

    15. 2 RU ( Rack Unit ) boyutlarında olmalıdır.

    16. Cihaz gelişmiş uygulama denetleme ve kontrol servislerini desteklemelidir. Cihaz HTTP, FTP, ESMTP, DNS, SNMP, ICMP, SQL.Net, H.323, SIP, SCCP, MGCP, RTSP, CTIQBE, ILS, SunRPC gibi protokollerin uygulama denetim ve kontrollerini yapabilmelidir.

    17. Cihaz web trafiği için kapsamlı bir denetleme mekanizmasına sahip olmalıdır.

    18. HTTP trafik akışı içersindeki RFC istek metodları için gerekli kontrolleri yapabilmelidir.

    19. Web trafiği denetlenmesinde farklı kaynak ve hedef adreslerine farklı politikalar uygulanabilmelidir.

    20. Cihaz http paketinin RFC’ye uygunluğunu, protokol anormalliği olup olmadığını kontrol edebilmeli, protokol durum takibi yapabilmeli, MIME çeşit ve içerik kontrolü yapabilmeli, URI (Uniform Resource Identifier) uzunluğunu kontrol edebilmelidir.

    21. Cihaz web uygulama portları içerisinden tünelleme yoluyla taşınan “instant messaging”, “peer-to-peer” dosya paylaşımı gibi uygulamaları tespit edebilme ve istenirse bloklama yeteneğine sahip olmalıdır.

    22. Cihaz AOL Instant Messenger, Microsoft Messenger ve Yahoo Messenger gibi popüler mesajlaşma uygulamalarını engelleyebilmelidir.

    23. Cihaz Kazaa, Gnutella gibi dosya paylaşımı uygulamalarını engelleyebilmelidir.

    24. Cihaz GoToMyPc gibi tünelleme uygulamalarını engelleyebilmelidir.

    25. NAT, PAT, Dynamic port açma ve kapama desteklenmelidir.

    26. FTP komutları (get, put gibi) kontrol edilebilmelidir.

    27. Atak amaçlı kullanılabilecek SMTP ve ESMTP komutları otomatik olarak filtrelenebilmelidir.

    28. AUTH, DATA, EHLO, ETRN, HELO, HELP, MAIL, NOOP, QUIT, RCPT, RSET, SAML, SEND, SOML ve VRFY gibi ESMTP komutları desteklenmelidir.

    29. SNMP versiyon 1, 2, 2c, 3 için filtreleme desteği olmalıdır.

    30. Problem giderme için güvenli bir şekilde ICMP kullanımı desteklenmeli, ICMP oturumları takip edilebilmeli, ICMP hata mesajları kontrol edilebilmelidir.

    31. H.323 versiyon 1-4 protokolleri için gelişmiş denetim servislerine sahip olunmalıdır.

    32. H.323 için NAT, PAT desteği olmalıdır.

    33. TCP ve UDP tabanlı SIP ortamlarını güvenli tutabilecek denetleme mekanizmasına sahip olmalıdır.

    34. SIP tabanlı IP telefonlar ve Microsoft Windows Messenger gibi uygulamalar için NAT ve PAT desteklenmelidir.

    35. SCCP için NAT ve PAT desteği sunabilmelidir.

    36. “Media gateway”, “call agent” ile “media gateway controller” arasındaki MGCP bağlantıları için NAT ve PAT adres çevrimini desteklemeli ve MGCP güvenlik servisleri hizmeti sunabilmelidir.

    37. RTSP media stream için NAT adres çevrimini desteklemelidir.

    38. Parçalı halde gelen H.323, SIP ve SCCP tabanlı ses ve multimedya dizisini denetleyebilmelidir.

    39. Web Sense, Secure Computing/N2H2 tabanlı URL filtreleme programları ile çalışabilmelidir.

    40. “Malware” indirilmesini önlemek için ActiveX ve Java appletlerini filtreleyebilmelidir.

    41. Ağ haberleşmesinin durumunu takip eden “Stateful Inspection Firewall” servisini desteklemelidir.

    42. Yetkisiz network ulaşımlarını önlemek için güvenlik servislerini desteklemelidir.

    43. “Inbound” ve “Outbound” erişim kontrol listelerini desteklemeli ve bu sayede hem arayüzden içeri giren hem de dışarı çıkan trafiği kontrol edebilmelidir.

    44. IP adresi yerine arayüzlere (interface)’lerin adına göre güvenlik politikaları yaratılabilmelidir.

    45. Zaman Bağlı Erişim Kontrol Listesi ( Access Control List, ACL) konfigüre edilebilmelidir.

    46. Erişim Kontrol Listesi (Access Control List, ACL) satırına ilişkin syslog mesajları gönderebilmelidir.

    47. Kullanıcı bazında kimlik sorgulaması sonrasında Dinamik ACL (Access Control List, ACL) indirme ve uygulamayı desteklemelidir.

    48. Cihazlar, networkler veya servisler gibi ağ nesnelerini lojik olarak gruplara ayırabilmelidir.

    49. Dinamik, statik ve politika tabanlı NAT ve PAT’ı desteklemelidir.

    50. Cihaz üzerinden “VPN Software Client”lara VPN politikası gönderilmeli ve bu yolla her bir “client”ın tek tek yönetiminin yapılmasına gerek olmadan son kurum politikası ile tüm “uzak VPN” bağlantıların gerçekleştirilmesi sağlanmalıdır.

    51. “VPN client”ın tipine göre (donanım veya yazılım olmasından bağımsız olarak) ve “VPN Software Client”ın versiyonuna göre kontroller yapabilmelidir.

    52. VPN bağlantısı kurulduğunda otomatik olarak veya isteğe bağlı olarak bağlı “VPN Software Client”ların yazılım güncellemelerini yapabilmelidir.

    53. “TCP/UDP NAT ve PAT Traversal” methotlarını desteklemelidir.

    54. “VPN Software Client” ile bağlanan kullanıcılar -geldikleri port üzerinden tekrar internete çıkarken- firewall kuralları, URL filtrelemesi ve diğer güvenlik kontrolleri işlemlerine tabii tutulabilmelidir.

    55. Beraberinde gelen “VPN Software Client” LZS sıkıştırma özelliğini desteklemelidir.

    56. Cihaz ile gelen “VPN Software Client”ın Windows 98, ME, NT, 2000,XP, Linux, Sun Solaris ve Apple Mac OS desteği olmalıdır.

    57. SSL VPN ve beraberinde gelen dosya paylaşımı, Telnet ve “Windows Terminal Services” gibi TCP tabanlı uygulamalara erişim, “Port forwarding” gibi özellikler desteklenebilmelidir.

    58. IPSec ve Web VPN için “clustering” desteklenmelidir.

    59. VPN kullanıcıları ayrı bir RADIUS veya TACACS+ sunucusuna ihtiyaç olmadan “Microsoft Active Directory”, “Microsoft Windows Domain”, Kerberos, LDAP ve RSA secure ID ile direk entegre edebilmelidir.

    60. IKE (Internet Key Exchange) ve IPSec VPN desteklemelidir.

    61. “Hub-and-spoke” veya “meshed VPN” konfigürasyonlarını desteklemelidir.

    62. OSPF dinamik yönlendirme protokolü ve “reverse-route injection” desteği ile bölgeden bölgeye tünellerinde güvenilirlik ve performansı arttırabilmelidir.

    63. Aşağıda belirtilen asimetrik kripto algoritmaları desteklenmelidir.

    RSA public/private key pairs, 512 to 4096 bits

    DSA public/private key pairs, 512 to 1024 bits



    1. Aşağıda belirtilen simetrik kripto algoritmaları desteklenmelidir.

    Advanced Encryption Standard (AES): 128, 192, and 256 bits

    DES: 56 bits

    3DES: 168 bits

    RC4: 40, 56, 64, and 128 bits



    1. Aşağıda belirtilen Diffie-Hellman grupları desteklenmelidir.

    Group 1: 768 bits

    Group 2: 1024 bits

    Group 5: 1536 bits


    1. Aşağıda belirtilen “hashing” algoritmaları desteklenmelidir.

    Message Digest Algorithm (MD5): 128 bits

    Secure Hash Algorithm 1 (SHA-1): 160 bits



    1. Aşağıda belirtilen X.509 Sertifika Kayıt Metodları desteklenmelidir.

    Simple Certificate Enrollment Protocol (SCEP)

    Manual (PKCS #7 and #10)



    1. İlerde yanına eklenecek aynı model cihaz ile Aktif/Aktif ve Aktif/Yedek yapısında çalışabilecektir. Aktif/Yedek ve Aktif/Aktif çalışma sırasında üzerinden geçen bağlantı durumları ve konfigürasyon bilgisi her iki cihazda da sürekli senkron tutulabilecektir. Sistemde veya ağda oluşabilecek bir kesinti durumunda ağ oturumları otomatik olarak yedek cihaza aktarılabilecektir.

    2. 2. katmanda, “bridging” modda çalışabilmelidir.

    3. “Vlan trunking” özelliği desteklenmeli ve tek bir fiziksel arayüz üzerinden birden fazla sanal arayüz desteklenebilecektir. Bu yolla toplamda 100 adet VLAN desteği sağlanabilecektir.

    4. OSPF, RIP yönlendirme protokolü desteklenmelidir.

    5. PIM Sparse Mode v2, IGMPv2 ve multicast trafik için NAT, PAT ve ACL destekleri olmalıdır.

    6. Belli trafik akışları için önceliklendirme yapılabilmeli ve belli trafik akışları için de bir “Committed Rate” ( CR: bit/sec ) tanımlaması yapılabilmelidir.

    7. IPv6 konfigure edilmiş ağ ortamlarında veya IPv4 ve IPv6’nın beraber yer aldığı ağ ortamlarında gerekli erişim kontrol ve firewall servisleri açılabilmelidir.

    8. IPv6 kullanılırken HTTP, FTP, SMTP, ICMP, TCP ve UDP için kontrol servisleri açılabilmelidir.

    9. IPv6 üzerinden SSHv2, Telnet, HTTP, HTTPS ve ICMP tabanlı yönetim desteği sağlamalıdır.

    10. Birden fazla portunda DHCP sunucu servisini desteklemelidir.

    11. “DHCP Relay” özelliğine sahip olmalıdır.

    12. NTPv3 protokolü desteklenmelidir.

    13. Web tabanlı ve istenirse bilgisayara da yüklenebilecek bir yazılım ile GUI bazlı yönetilebilmelidir.

    14. Kullanım trendleri, performans değerleri ve güvenlik ile ilgili olaylar görüntülenebilmelidir.

    15. Telnet, SSH ve Konsol bağlantılarıyla cihaza CLI erişim sağlanabilmelidir.

    16. Belli trafik tipleri sınıf bazlı olarak ayrılabilmeli ve firewall, denetim ve Servis Kalitesi ( Servis Kalitesi, QoS) politikaları, bağlantı limitleri ve “timer” değerleri sınıf bazında konfigüre edilebilmelidir.

    17. Cihaza erişimde “sadece görüntüleme”, “sadece okuma”, “sadece ağ konfigurasyon”, “sadece firewall konfigurasyon” gibi farklı toplam 16 farklı seviyede yönetim rolü konfigure edilebilmelidir.

    18. Cihaza SSH, SSL, seri veya telnet gibi erişimlerde kimlik sorgulaması cihazın lokal veritabanında veya cihaz ile ilişkilendirilen TACACS+/RADIUS sunucular ile gerçekleştirilebilmelidir. Bu sunucu gruplarına cihazın erişimde bir kesinti olması durumunda tekrar lokal veritabanına geri dönülüp kontrolün orada gerçekleştirme opsiyonu açılabilmelidir.

    19. “Accounting” bilgisi eş zamanlı olarak birden fazla RADIUS sunucuya gönderilebilmelidir.

    20. Cihaza erişimlerde gerçekleştirilen konfigürasyon değişikliklerinin takibi amacıyla TACACS+ AAA bilgisi üretilebilmelidir.

    21. Cihaz üzerinden bir kullanıcıya ait herhangi bir trafik geçişi olmadan önce cihaz üzerinde o kullanıcının kimlik sorgulaması telnet/ http/ https metotlarından biri kullanılarak yapılabilmelidir. Bu amaçla kullanıcı ad ve şifreleri cihaz üzerinde tutulabilmeli veya cihaz harici bir Radius/Tacacs+ sunucu ile ilişkilendirilebilmelidir.

    22. SNMPv2c desteği olmalıdır.

    23. SNMP v2 MIB, Interface grup MIB, IP MIB, Entity MIB desteği olmalıdır.

    24. IPSec “Flow Monitoring” MIB desteği ile detaylı vpn tünel istatistikleri, tünelin ayakta kalma süresi, transfer edilen toplam paket ve byte sayısı gibi bilgilere ulaşılabilmelidir.

    25. TCP veya UDP protokolleri üzerinden birden fazla syslog sunucu ile ilişkilendirilebilmelidir.

    26. Yönetim/Görüntüleme Arayüzünde veya harici syslog sunucu üzerinde eş zamanlı görüntüleme yapılabilmelidir.

    27. 7 farklı seviyede loglama filtrelemesi açılabilmelidir.

    28. TFTP, HTTP, HTTPS ve SCP ile konfigürasyon ve yazılım dosyaları cihaza gönderilebilmelidir.

    29. Cihaz üzerinden konfigürasyon dosyası TFTP veya SCP yoluyla alınabilmelidir.

    30. Cihaza yönetim amaçlı olarak SSHv1,SSHv2 veya SSL ile bağlanılabilmelidir.

    31. SCP kullanılarak cihaza dosya veya imaj gönderimi gerçekleştirilebilmelidir.

    32. “Flash memory”de birden fazla imaj ve konfigürasyon dosyası tutulabilmeli ve gerektiğinde diğer bir imaj veya konfigurasyona kolay geçiş yapılabilmelidir.

    33. Gerekli konfigürasyon yapılandırılarak cihazın şifresi kırılması durumunda hafızanın içindeki tüm sertifikalar ve konfigurasyonlar otomatik olarak silinebilmelidir.

    34. “Out of band” yönetim için iki adet 10/100/1000 çalışan ethernet portuna sahip olmalıdır.

    35. Tüm portlarında paket yakalama özelliğini desteklemeli ve yakalanan paketler konsol, güvenli web erişimi veya TFTP’ye gönderilen bir dosya ile görülebilmelidir.

    36. Cihaz üzerinden “extended ping” yapılabilmelidir.

    37. Kritik olaylar meydana geldiğinde yöneticileri e-posta yoluyla haberdar edebilmelidir.

    Sistemin (iki cihazın tamamının), bakım ve güncelleme desteğiyle kesin kabul tarihinden itibaren en az 2 yıl süre ile garantisi olacaktır.



    Öğr. Gör. Serat KORSACILAR Yrd. Doç. Dr. Zafer DİCLE


    SALDIRI TESPİT SİSTEMİ TEKNİK ŞARTNAMESİ Sayfa /







        Ana sayfa


    Radio Tipi

    Indir 49.59 Kb.