TEKNİK ŞARTNAME
Transkript
TEKNİK ŞARTNAME
BİLİŞİM GÜVENLİĞİ PROJESİ TEKNİK ŞARTNAMESİ 1. KAPSAM VE AMAÇ Kurumumuz bilişim güvenliği altyapısının iyileştirilmesi projesi kapsamında bu şartnamede teknik detayları belirtildiği üzere aşağıda listesi verilen ürün ve yazılım alımları yapılacaktır. • Ana veri merkezi için yedekli mimaride bir çift (2 adet) güvenlik duvarı ürünü • Yedek veri merkezi güvenlik duvarı ürünü • Merkezi Yönetim ve Log Arşivleme ürünü • SSL VPN Cihazı • Proxy/Web Gateway, İçerik Tarama ve Zero-Day Atak Önleme çözümü • Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network IPS) • Siber Tehdit Test ve Analiz Yazılımı 2. GENEL HÜKÜMLER 2.1. Bu teknik şartname kapsamında ihtiyaç duyulan yapının tümü kurulumları yapılarak çalışır vaziyette teslim edilecektir. 2.2. Proje anahtar teslim iş olup teklifler götürü bedel olarak verilecektir. 2.3. İSTEKLİ ilk ilan veya davet tarihinden geriye doğru son beş yıl içinde kesin kabul işlemleri tamamlanan mal alımlarıyla ilgili yurt içinde veya yurt dışında kamu veya özel sektörde bedel içeren tek bir sözleşme kapsamında gerçekleştirdiği ihale konusu iş veya benzer işlere ilişkin olarak deneyimini gösteren belge sunması zorunludur. İSTEKLİ, teklif ettiği bedelin %30’undan az olmamak üzere, ihale konusu iş veya benzer işlere ait tek sözleşmeye ilişkin iş deneyimini gösteren belgelerini teklifi ile birlikte sunacaktır. 2.4. Benzer iş olarak, yeni nesil güvenlik duvarı kurulum ve yapılandırması ve/veya saldırı tespit ve önleme sistemi kurulum ve yapılandırması ve/veya DoS/DDoS önleme sistemi kurulum ve yapılandırması ve/veya Proxy/WebGateway ve/veya Zero-Day atak önleme/Sandboxing sistemi kurulum ve yapılandırması kabul edilecektir. 2.5. İSTEKLİlerin belgeleyeceklerdir. Türkiye’de yerleşik ofisleri bulunacaktır ve bunu tekliflerinde 2.6. İSTEKLİ, TSE Hizmet Yeterlilik veya ilgili Bakanlıktan alınmış Satış Sonrası Hizmet Yeterlilik belgesine sahip olmalıdır ve teklifine eklemelidir. 2.7. İSTEKLİ’ler teklif ettikleri ürünler(SSL VPN cihazı hariç) için yetkili satıcı olduklarına dair yetki belgelerini tekliflerine ekleyeceklerdir. Yetki belgeleri üretici firmanın Türkiye ofisinden veya temsilcisi veya distribütöründen alınacaktır. 2.8. Teklif edilecek ürünlerin EOL(End of Life ) ve/veya EOS(End of Sale) duyurusu ihale tarihinde yapılmamış olacaktır. Bilişim Güvenliği Projesi-Genel Şartlar 2/7 2.9. İSTEKLİ teklif ettiği ürünlerin marka, model bilgilerini ve yazılımlarda ise marka, sürüm vb. bilgilerini teklifinde belirtecektir. 2.10. YÜKLENİCİ imzalayacaktır. işe başlamadan önce İDARE’nin matbu gizlilik sözleşmesini 2.11. YÜKLENİCİ’nin arıza kayıtlarının açılacağı, tutulacağı ve izleneceği bir sistemi olacaktır. 2.12. Proje kapsamındaki eğitimlerin tarihleri İDARE ile birlikte kararlaştırılacaktır. 2.13. Bu şartname ve ekleri bir bütündür. Bu şartname ve ekleri kapsamında çelişen maddeler olması durumunda İDARE’nin lehine olan hüküm geçerli olacaktır. 3. KURULUM ve TESLİMAT 3.1. YÜKLENİCİ, kuruluma başlamadan önce proje yöneticisi tayin edip İDARE’ye bildirecektir. 3.2. YÜKLENİCİ, işe başlamadan önce tasarım ve yapılandırma için bir proje teknik sorumlusu atayacak ve İDARE’ye bildirecektir. 3.3. Proje yöneticisi ve proje teknik sorumlusu ihale konusu ve/veya benzer işlerde çalışmış olmalıdır. 3.4. İDARE’nin proje yöneticisi ve teknik sorumlusunu değiştirme hakkı mahfuzdur. 3.5. Teklif edilen güvenlik duvarı ürünleri kurulmadan önce, İDARE’nin ana veri merkezinin bulunduğu binadaki kullanıcı ve sunucu ağlarını ayırmak amacıyla gerekli VLAN segmentasyonu, YÜKLENİCİ tarafından yapılacaktır. 3.6. Tasarım, kurulum ve yapılandırma hizmetleri, daha önce ihale konusu işler ve/veya benzer işlerde çalışmış, konusunda uzman personeller tarafından verilecektir. Proje kapsamındaki sistemlerin kurulum ve yapılandırmalarını yapacak uzman kişiler her ürün için sertifikalı profesyoneller(Örneğin Check Point için Check Point Certified Security Administrator(CCSA), Cisco için Cisco Certified Network Professional Security (CCNP Security) gibi.) olacaktır. Eğer yüklenici firmada, kurulum ve yapılandırma hizmetini gerçekleştirecek personel yoksa YÜKLENİCİ, üreticiden ya da üretici tarafından bu konuda yetkilendirilmiş firmadan(üreticinin servis iş ortağı) veya teklif edilen ürün distribütöründen bu hizmeti alarak bu hizmetleri verecektir. Bu şekilde hizmet verilmesi YÜKLENİCİ’nin sorumluluğunu ortadan kaldırmayacaktır. 3.7. YÜKLENİCİ, tasarım, kurulum ve yapılandırma hizmetlerinde çalışacak kişilerin adı, soyadı ve iletişim bilgileriyle(cep telefonu, e-posta) birlikte sertifikalarını sözleşme sırasında İDARE’ye yazı ile verecektir. 3.8. Teklif edilen tüm ürünlerin işbu şartname kapsamındaki isterleri yerine getirecek şekilde kurulumu ve sorunsuz şekilde devreye alınması için gerekli tüm ekipman ve malzemeler(Örneğin; montaj kitleri, güç kabloları, PDU, bakır ve fiber data kabloları vd. ) YÜKLENİCİ tarafından sağlanacaktır. Bilişim Güvenliği Projesi-Genel Şartlar 3/7 3.9. YÜKLENECİ teklif ettiği ürünleri ve ürünlere ait tüm kabloları ve bu ürünlerle ilintili olup etiketlenmesi gereken diğer ekipmanları etiketleyecektir. Tüm etiketler kolay okunabilir, anlaşılabilir ve takip edilebilir olacaktır. Ayrıca neme, ısıya, sürtünmeye ve olağan(işin doğası gereği olabilen) mekanik zorlanmalara karşı dayanıklı olacaktır. Etiketleme yöntemi ve etiket seçimleri İDARE ile birlikte kararlaştırılacaktır. 3.10. Sanal sistem olarak teklif edilen ürünler için İDARE’nin Vmware ESX 5.x sanallaştırma altyapısı kullanılacaktır. 3.11. İşe başlama tarihi, sözleşmenin imzalanmasını takip eden ilk gündür. Tüm kurulum ve yapılandırma hizmetleri, sözleşmenin imzalanmasından itibaren 60(Altmış) takvim günü içinde tamamlanacaktır. Bu süre içerisinde sistem çalışır şekilde İDARE’ye teslim edilecektir. 3.12. Gecikme halinde firmaya 20(Yirmi) güne kadar cezalı süre verilebilir. Gecikilen her gün için sözleşme tutarının ‰5(Binde beş)’i oranında ceza uygulanılır 3.13. YÜKLENİCİ, muayene ve kabul işlemlerine başlanmadan önce, yapılanan iş ve işlemlerin ayrıntılı izahını ve oluşturulan topolojiyi içeren proje sonuç raporunu İDARE’ye sunacaktır. 3.14. Kurulum ve yapılandırma hizmetleri ile test ve devreye alma işlemleri mümkün olan en az kesintiye sebep olacak şekilde planlanacak ve uygulanacaktır. 3.15. YÜKLENİCİ, kurulum, yapılandırma, test ve devreye alma işlemleri sırasında azami titizliği göstermekle yükümlüdür. YÜKLENİCİ, bu işlemler sırasında İDARE’ye verdiği zararlardan sorumlu olacaktır. 3.16. Proje kapsamındaki ürünler/cihazlar devreye alındıktan sonra oluşabilecek sorunlara anında müdahale edebilmek amacıyla her cihaz/ürün için sertifikalı uzmanlar en az 5(beş) işgünü idarenin bilgi işlem ofisinde hazır bulunacaklardır. 3.17. YÜKLENİCİ işin tüm kısımlarını bizzat yapmakla mükelleftir. Alt yüklenici kullanamaz. 3.18. YÜKLENİCİ, teklif ettiği ürünleri İDARE’nin onayı ile teknik şartnamedeki özellikleri taşımak kaydıyla daha üst model ve/veya sürüm ile değiştirebilir. 3.19. Teklif edilen ürünlerin muayene ve kabul işlemleri sırasında teknik şartname isterlerini karşılayamadığının tespit edilmesi durumunda YÜKLENİCİ, İDARE’nin istediği ve teknik şartname isterlerini karşılayan marka model ürün/ürünleri herhangi ek ücret talep etmeden verecektir. 3.20. Tüm lisanslar, garanti ve destek paketleri İDARE adına kaydedilecektir. Bilişim Güvenliği Projesi-Genel Şartlar 4/7 4. GARANTİ, BAKIM VE DESTEK 4.1. YÜKLENİCİ, bu şartname kapsamında kullanılacak bütün ürünleri garanti süresi boyunca çalışır vaziyette bulunmasını sağlayacaktır. YÜKLENİCİ, aksi ve daha geniş kapsamlı hali bu şartnamenin başka bir yerinde belirtilmediği sürece teklif ettiği ürünlerin arızaları için en az 3 (üç) yıl mal ve hizmet garantisi verecektir. Teklif edilen ürünler 3 (üç) yıllık garanti süresi boyunca üretici firmanın donanım ve işletim sistemini kapsayan destek paketine sahip olacaktır. 4.2. YÜKLENİCİ garanti süresi boyunca donanım ve işletim sistemi güncellemelerini içeren destek paketinin alındığına dair belgeleri kabul tarihinden önce İDARE’ye sunacaktır. 4.3. Teknik destek verecek elemanlar ilgili ürünün üreticisi tarafından sertifikalandırılmış(üretici onaylı sertifika) profesyoneller olacaktır. (Örneğin Check Point için Check Point Certified Security Administrator(CCSA), Cisco için Cisco Certified Network Professional Security (CCNP Security) gibi). YÜKLENİCİ’nin bünyesinde sertifikalı personel yoksa bu hizmeti ilgili üreticiden veya distribütörden veya üreticinin servis iş ortağından alarak yapacaktır. 4.4. Tüm imalat, montaj ve işçilik hatalarına karşı 3 (üç) yıl servis garantisi verilecektir. Ve garanti süresi kabul tarihinden itibaren başlayacaktır. Garanti süresi boyunca imalat, montaj ve işçilik hatalarından meydana gelen arızalarının giderilmesi sırasında işçilik masrafı, parça bedeli yada başka herhangi bir ad altında ücret talep edilmeyecektir. 4.5. Garanti süresi içerisinde bildirilen bir arıza/soruna müdahale sırasında sistemler için kullanılacak her türlü sistem ve yedek parça YÜKLENİCİ tarafından sağlanacaktır. 4.6. YÜKLENİCİ tarafından sağlanacak her türlü sistem ve orijinal yedek parça en az değişen parçanın teknik/fonksiyon özelliklerine sahip olacaktır. 4.7. Donanımsal sorunlarda sorunlu cihaz 30 gün içerisinde tamir edilecek veya yenisi ile değiştirilecektir. 4.8. YÜKLENİCİ, garanti gereği yaptığı müdahalelerde kendisinin sebep olduğu tüm arızaları ve hasarları giderecektir. Garanti kapsamında yapılacak donanımların tamir, nakliye ve taşınması sırasında meydana gelebilecek her türlü hasar ve arızadan YÜKLENİCİ sorumlu olacaktır. 4.9. YÜKLENİCİ, garanti süresi boyunca, kurulumunu yaptığı sistemin veya sistemlerin bir bütün olarak çalışmasını sağlayacaktır. 4.10. YÜKLENİCİ, arıza kaydı ve takibi için 24 saat ulaşılabilen bir çağrı merkezi hizmeti sunacaktır. YÜKLENİCİ çağrı merkezinin telefon, faks, e-posta vb. bilgileri ile çağrı merkezinin koordinatörü sıfatındaki bir personelinin isim ve irtibat bilgilerini İDARE'ye sunacaktır. 4.11. Arızaya müdahale süresi, herhangi bir arıza durumunda İdarenin, YÜKLENİCİ‘nin bildirdiği telefon, e-posta veya faksına arıza bildiriminden itibaren, destek merkezi elemanlarının arızaya müdahalesine kadar geçebilecek en uzun süredir. 4.12. YÜKLENİCİ, teknik destek konusunda kullanılacak, telefon, faks, e-posta ve kişi isimlerini; değişiklik halinde ise değişiklik bilgilerini önceden veya aynı gün verecektir. 4.13. Teklif edilen ürünlere ilişkin bir arıza/sorun kullanıcı tarafından YÜKLENİCİ’ye bildirildiği takdirde, YÜKLENİCİ, bildirimi takiben en geç 6(altı) saat içerisinde arıza/soruna Bilişim Güvenliği Projesi-Genel Şartlar 5/7 uzaktan veya yerinde müdahale edecektir. Bu hizmet haftada yedi gün yirmi dört saat boyunca (7x24) verilecektir. 4.14. YÜKLENİCİ tarafından sağlanacak her türlü sistem ve orijinal yedek parça en az değişen parçanın teknik/fonksiyon özelliklerine sahip olacaktır. 5. EĞİTİM 5.1. Yüklenici, bu iş kapsamında verilen ürünlere yönelik aşağıda belirtilen eğitim hizmetlerini sağlayacaktır: a. Güvenlik Duvarı ve Merkezi Yönetim ve Log Arşivleme ürünleri eğitimi: • Eğitim, eğitim merkezinde sertifikalı eğitmen veya teklif edilen ürüne ait en az administrator sertifikasına sahip teknik personel tarafından en az 4 (dört) gün verilecektir. Yüklenicide bu eğitimi verebilecek teknik personel yoksa üreticinin veya distribütörün veya üreticinin yetkili servis iş ortağının sertifikalı teknik personeli tarafından verilecektir. • Verilecek eğitim cihazın kurulumu ve yönetimini kapsayacaktır. b. SSL VPN Cihazı eğitimi: • Eğitim, sertifikalı eğitmen veya sertifikalı teknik personel tarafından cihaz başında kurulum ve cihazın yönetimine ilişkin olacak şekilde en az 1 (bir) gün verilecektir. Yüklenicide bu eğitimi verebilecek teknik personel yoksa üreticinin veya distribütörün veya üreticinin yetkili servis iş ortağının sertifikalı teknik personeli tarafından verilecektir. • Eğitimler en verilecektir. az ürün yönetimi(administration) seviyesine kadar c. Proxy/WebGateway, İçerik Tarama ve Zero-Day Atak Önleme Çözümü eğitimi: • Eğitim, sertifikalı eğitmen veya sertifikalı teknik personel tarafından cihaz başında kurulum ve cihazın yönetimine ilişkin olacak şekilde en az 3 (üç) gün verilecektir. Yüklenicide bu eğitimi verebilecek teknik personel yoksa üreticinin veya distribütörün veya üreticinin yetkili servis iş ortağının sertifikalı teknik personeli tarafından verilecektir. • Eğitimler en verilecektir. az ürün yönetimi(administration) seviyesine kadar d. Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network IPS) eğitimi: Bilişim Güvenliği Projesi-Genel Şartlar 6/7 • Eğitim, sertifikalı eğitmen veya üretici tarafından sertifika verilmiş uzman personel tarafından teorik ve uygulamalı olarak, üreticinin yetkilendirdiği eğitim merkezinde verilecektir. • Eğitimler en az ürün yönetimi(administration) verilecektir. Eğitim süresi en az 3(üç) gün olacaktır. seviyesine kadar e. Siber Tehdit Test ve Analiz Yazılımı eğitimi: • Eğitim, kurum bünyesinde sertifikalı eğitmen veya teklif edilen ürün hakkında uzman teknik personel tarafından en az 2 (iki) gün verilecektir. • Eğitimler ürünün kurulum ve yönetimini kapsayacaktır. 5.2. Eğitim için gerekli materyaller ve altyapı yüklenici tarafından sağlanacaktır. Eğitime katılacak personelin ulaşım ve yemek masrafları YÜKLENİCİ tarafından karşılanacaktır. 5.3. Katılımcı sayısı 4(dört) kişidir. 5.4. Eğitim tarihleri İdare ile birlikte kararlaştırılacaktır. 5.5. İDARE, eğitmeni ve/veya eğitim içeriğini yetersiz bulması durumunda eğitmenin değiştirilmesini ve/veya eğitimin yenilenmesini isteyebilir. YÜKLENİCİ, idarenin bu isteğini yerine getirmek zorundadır. 6. DİĞER HUSUSLAR 6.1. Proje kapsamındaki aşağıda teknik şartnameleri verilen her bir ürün/çözüm için donanım, yazılım/lisans, garanti-bakım, kurulum ve eğitim bedelleri tablo halinde teklif ekinde verilecektir. 7. TEKNİK ŞARTNAMELER İhale kapsamında temin edilecek ürünlere ait teknik şartnameler: A) Güvenlik Duvarları ve Merkezi Yönetim ve Log Arşivleme ürünü B) SSL VPN Cihazı C) Proxy/Web Gateway , İçerik Tarama ve Zero-Day Atak Önleme çözümü D) Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network IPS) E) Siber Tehdit Test ve Analiz Yazılımı Bilişim Güvenliği Projesi-Genel Şartlar 7/7 A) GÜVENLİK DUVARLARI VE MERKEZİ YÖNETİM VE LOG ARŞİVLEME ÜRÜNÜ TEKNİK ŞARTNAMESİ 1. KONU Bu teknik şartname, yedekli mimaride çalışmak üzere bir çift(2 adet) ve yedek veri merkezi için 1(bir) adet güvenlik duvarı ürünü ile bu ürünlerin yönetim ve log arşivleme ürününün teknik gerekliklerini kapsamaktadır. 2. ANA VERİ MERKEZİ GÜVENLİK DUVARI (2 ADET) 2.1.Teklif edilecek güvenlik duvarı ürünü özelleştirilmiş donanım ürünü (appliance) olarak teklif edilebileceği gibi güvenlik duvarı üreticisi tarafından sertifikalandırılmış sunucu mimarisi üzerinde çalışabilen yazılım ürünü olarak da teklif edilebilir. Yazılım ürünü olarak teklif edilmesi durumunda üzerinde çalışacağı sunucu donanımı da teklife dahil edilmelidir. 2.2.Güvenlik duvarı ürünü, mimari açıdan Stateful Inspection ve IP paket filtreleme özelliklerini bünyesinde bulundurmalıdır. 2.3.Üretici firma tarafından geliştirilmiş ve güçlendirilmiş özel bir işletim sistemi üzerinde çalışacaktır. 2.4.Özelleştirilmiş donanım ürünü (appliance) olarak teklif edilmesi durumunda firewall performans (throughput) değeri en az 5 Gbps olmalıdır. Güvenlik duvarı üreticisi tarafından sertifikalandırılmış sunucu mimarisi üzerinde çalışabilen yazılım ürünü olarak teklif edilmesi durumunda sunucu üzerinde en az 8 core’u adresleyebilecek lisanslarla teklif edilmelidir. 2.5.Ürün üzerinde en az 8 adet 10/100/1000 Mbps hızlarında çalışabilen bakır ethernet ağ ara yüzü bulunmalıdır. İleride ihtiyaç duyulması durumunda en az 4 adet 10/100/1000 Mbps hızlarında çalışabilen SFP fiber ve en az 4 adet 10G SFP+ fiber ara yüz takılabilmelidir. Ve ürünler en az 4 adet 10G SFP+ ara yüz ile teklif edilmelidir. 2.6.Ürün üzerinde RAID yedeklilik ve hot-swap mimarisine sahip en az iki adet ve en az 240 GB kapasitede sabit disk üniteleri olmalıdır. Disklerden herhangi birisinin arızalanması ürünün çalışmasını etkilememelidir. 2.7.Ürün üzerinde yedekli çalışan ve hot-swap mimarisine sahip iki adet güç ünitesi (power supply) bulunmalıdır. Güç ünitelerinden herhangi birisinin arızalanması ürünün çalışmasını etkilememelidir. 2.8.Aktif-aktif ve aktif-pasif yedekli çalışma mimarilerinin her ikisini de desteklemelidir. 2.9.En az 1024 adet VLAN desteklemelidir. 2.10. Ürünün AD (Active Directory) entegrasyon özelliği olmalıdır. MS Active Directory ve kullanıcı makinaları üzerine herhangi bir yazılım kurmadan kişi, grup ve OU (organization unit) bazında firewall kuralı yazılmasına olanak tanımalı, tutulan kayıtlarda kullanıcı ismi yer alabilmelidir. Bu sayede trafiği yaratan kullanıcıların isim ile takibinin yapılabilmesine olanak sağlayacaktır. 2.11. OSI Layer-3 ile Layer-7 arasındaki ağ trafiğini izleyebilmelidir. 2.12. İnternette kullanılan her servisi; TCP, UDP, RPC ve ICMP tabanlı protokolleri desteklemelidir. Kullanıcı tanımlı servis hizmeti tanımlamaya izin vermelidir. 2.13. Saat, gün, tarih, periyod bazında erişim kontrolü yapabilmelidir. Bilişim Güvenliği Projesi-Güvenlik Duvarı 1/7 2.14. Yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP’yi istenirse tek bir adres arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilmeli ya da bire bir adres çevrim özelliği (NAT) olmalıdır. 2.15. Port adres çevrim (PAT) özelliğine sahip olmalıdır. 2.16. Bant genişliği kontrolü (QoS) yapabilmelidir. Bu özellik ile kaynak/hedef veya servis bazında bant genişliği kullanımını limitleyebilmeli, garanti edebilmeli, veya ağırlık tanımlaması ile dinamik olarak denetleme yapabilmelidir. 2.17. Firewall static route, RIP, OSPF, BGP dinamik yönlendirme protokollerini desteklemeli ve bu özellikler ile teklif edilmelidir. 2.18. IPv6 desteği olacaktır. 2.19. Site to site ve client to site VPN desteği olmalıdır. 2.20. Güvenlik duvarı, IPSec VPN standardını desteklemelidir. 3DES , AES algoritmaları ile paket şifreleme yapabilmelidir. Veri bütünlüğü için MD5 ve SHA1 algoritmalarını desteklemelidir. Diffie-Hellman groups 1, 2 ve 5 (Perfect forward secrecy) desteği olmalıdır. 2.21. Güvenlik duvarı ağ geçidinin saklanması (Stealth Mode) desteği olmalıdır. 2.22. Cihaz üzerinde en az 2000 uygulamayı tanıyabilen ve detayları aşağıda belirtilen uygulama kontrol(Application Control) özelliği olacaktır. a) Sistem üzerinde tanımlı olan tüm uygulamalar kategorize edilmiş olmalıdır. b) Uygulama kontrol özelliği aktif dizin ile entegre çalışabilecek bu sayede Aktif Dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında uygulama kontrol kuralları tanımlanabilecektir. c) Her bir uygulama, uygulama kategorisi, kullanıcı, kullanıcı grubu veya network için farklı bant genişliği limitasyon kuralları tanımlanabilmelidir. d) Veri tabanında yer alan uygulamaların listesi, ilgili uygulamanın yer aldığı ana ve alt kategoriler, ilgili uygulamanın risk seviyesi bilgileri üreticinin resmi web sayfasında yayınlanacaktır. e) Uygulama veri tabanında yer alan uygulama imzaları üretici tarafından tanımlanmış olmalı, harici firmalardan temin edilen uygulamalar olmamalıdır. f) Uygulama bloklama ekranı özelleştirilebilmeli ve Türkçeleştirilebilmelidir. 2.23. Teklif edilecek güvenlik duvarı üzerinde ihtiyaç durumunda sonradan temin edilecek ek lisans ve/veya modülle aktifleştirilebilecek atak engelleme(IPS), Anti-Virus, URL filtreleme ve SSL VPN özellikleri aktif edilebilmelidir. 2.24. Firewall yazılımının konfigürasyonu grafiksel bir arabirimle (GUI) veya web üzerinden yapılabilmelidir. Bu konfigürasyon yazılımına bağlantı yapabilecek kullanıcılar için farklı erişim ve güvenlik seviyeleri ile gruplar tanımlanabilmelidir (Read-Write, Read-Only, Monitor Only gibi). 2.25. Güvenlik duvarı üreticilerinin sertifikalandırılmış olması gerekmektedir. NSS Labs test süreçlerine katılmış ve 2.26. Güvenlik duvarı ürünlerinin konfigürasyon yönetimi ve log izleme/arşivleme işlemleri bu şartnamede belirtilen “Merkezi Yönetim ve Log Arşivleme Ürünü” aracılığıyla yapılabilecektir. Veya teklif edilen cihaz üzerinde “Merkezi Yönetim ve Log Arşivleme Ürünü” fonksiyonları sağlanabilmelidir. Bilişim Güvenliği Projesi-Güvenlik Duvarı 2/7 2.27. Güvenlik duvarı, üreticisi tarafından sertifikalandırılmış sunucu mimarisi üzerinde çalışabilen yazılım ürünü olarak teklif edilmesi durumunda teklif edilecek sunucular en az aşağıdaki özellikleri taşımalıdır: a) En az 1 adet 2.6 GHz 30 MB L3 Cache Intel Xeon E5-2690 v3işlemci ve en az 32 GB, 2133 MHz, DDR4 fiziksel bellek (RAM) bulunmalıdır. Teklif edilen ürünün işletim sistemi bu opsiyonları desteklememesi durumunda; en az bir adet 3.0 GHz 25 MB cache Intel Xeon E5-2690 v2 işlemci ve en az 32 GB 1866 MHz DDR3 fiziksel bellek(RAM) bulunmalıdır. b) En az 2 adet hot-pluggable özellikte minimum 7200 rpm, en az 300 GB SAS sabit disk bulunmalıdır. c) Disklerin Raid0, Raid1 teknolojileri ile ayarlanabilmesi için önbelleğe ve pil korumasına sahip RAID kartı bulunmalıdır. d) En az 3 adet PCI-E genişleme yuvası bulunmalıdır. e) En az 1 adet grafik bağdaştırıcısı, en az 2 adet USB (USB 2.0, USB 3.0) arabirimi bulunacaktır. f) Sunucu üzerinde kullanılabilir durumda en az 8 adet 10/100/1000 Base-T gigabit bakır ethernet ve en az 4 adet 10G SFP+ portu olmalıdır. Bu arabirimlerin ve sürücülerinin teklif edilecek işletim sistemiyle uyumluluğu göz önünde bulundurulmalıdır. g) 1 adet DVD-ROM sürücü bulunmalıdır. h) Yedekli hot-swap özellikli güç kaynağı ve soğutma birimleri bulunmalıdır. i) Sunucular en fazla 2U yüksekliğinde olmalı ve kabine monte edilebilmelidir. Montaj aparatları ile birlikte teklif edilmelidir. j) Sunucular, 32 bit ve 64 bit uygulamaların çalışmalarına imkân vermelidir. k) Sunucular RedHat Linux, SUSE Linux, Windows Server 2012, VMware ESXİ işletim sistemlerini desteklemelidir. Ayrıca teklif edilecek ürününün işletim sistemini desteklemelidir. l) Teklif edilecek sunucular 3 (üç) yıl garantili olacaktır. 3. YEDEK VERİ MERKEZİ(YVM) GÜVENLİK DUVARI(1 ADET) 3.1.Bu iş için özel olarak üretilmiş yazılım ve donanım bütünü (appliance) olarak teklif edilecektir. 3.2.Üretici firma tarafından geliştirilmiş ve güçlendirilmiş özel bir işletim sistemi üzerinde çalışacaktır. 3.3.Mimari açıdan Stateful Inspection ve IP paket filtreleme özelliklerini bünyesinde bulundurmalı ve aşağıdaki güvenlik servislerine sahip olmalıdır. a. Firewall b. IPSEC VPN c. Uygulama Kontrolü (Application control) d. URL Filtreleme e. Atak Engelleme (IPS) Bilişim Güvenliği Projesi-Güvenlik Duvarı 3/7 f. Anti-Virus g. Anti-Bot h. Bandwith Management (QoS) i. SSL-VPN (Mobile VPN) (Bu özellik ihtiyaç halinde ek lisans ile sağlanabilir olcaktır) 3.4.Cihazın firewall performans değeri (throughput) en az 4 Gbps ve IPS performans değeri en az 700 Mbps olmalıdır. 3.5. 1 milyon adet eş zamanlı oturum (concurrent session) desteği olmalıdır. 3.6.Anlık 40.000 adet bağlantı isteğini (connection per second) karşılayabilmelidir. 3.7.Üzerinde her biri 1 gbps hızlarında çalışabilen en az 8 adet bakır ağ arayüzü olmalıdır. İhtiyaç duyulması durumunda en az 4 adet 1 gbps SFP fiber ağ arayüzü takılabilmelidir. 3.8.Cihaz üzerinde en az 120 GB kapasiteye sahip sabit disk olmalıdır. 3.9. Kullanıcı farkındalığı özelliği olmalıdır. Bu özellik sayesinde kullanıcı bilgisayarları veya DC (domain controller) üzerine herhangi bir yazılım kurmadan DC ile entegre olarak kişi, grup, bilgisayar ve OU (organization unit) bazında kural yazılmasına olanak tanımalı, tutulan kayıtlarda kullanıcı ismi yer alabilmelidir. Bu sayede trafiği yaratan kullanıcıların isim ile takibinin yapılabilmesine olanak sağlayacaktır. 3.10. OSI Layer-3 ile Layer-7 arasındaki ağ trafiğini izleyebilmelidir. 3.11. İnternette kullanılan her servisi; TCP, UDP, RPC ve ICMP tabanlı protokolleri desteklemeli, kullanıcı tanımlı servis hizmeti tanımlamaya izin vermelidir. 3.12. Saat, gün, tarih, periyod bazında erişim kontrolü yapabilmelidir. 3.13. Yerel ağdaki bir ya da birden fazla adres aralığındaki birçok IP’yi istenirse tek bir adres arkasında, istenirse her bir aralığı başka bir tek adres arkasında saklayabilmeli ya da bire bir adres çevrim özelliği (NAT) olmalıdır. 3.14. Bant genişliği kontrolü (QoS) yapabilmelidir. Bu özellik ile kaynak/hedef veya servis veya uygulama bazında bant genişliği kullanımını limitleyebilmeli, garanti edebilmeli veya ağırlık tanımlaması ile dinamik olarak denetleme yapabilmelidir. 3.15. Firewall statik yönlendirme, RIP, OSPF, BGP dinamik yönlendirme protokollerini desteklemeli ve bu özellikler ile teklif edilmelidir. 3.16. Site to site ve client to site VPN desteği olmalıdır. 3.17. IPSec VPN standardını desteklemelidir. IKE şifreleme şemalarını desteklemelidir. 3DES , AES algoritmaları ile paket şifreleme yapabilmelidir. Veri bütünlüğü için MD5 ve SHA1 algoritmalarını desteklemelidir. Diffie-Hellman groups 1, 2 ve 5 (Perfect forward secrecy) desteği olmalıdır. 3.18. Firewall yazılımının konfigürasyonu grafiksel bir arabirimle (GUI) veya web üzerinden yapılabilmelidir. Bu konfigürasyon yazılımına bağlantı yapabilecek kullanıcılar için farklı erişim ve güvenlik seviyeleri ile gruplar tanımlanabilmelidir (Read-Write, Read-Only, Monitor Only gibi). 3.19. Cihaz üzerinde en az 2000 uygulamayı tanıyabilen ve detayları aşağıda belirtilen uygulama kontrol özelliği olacaktır. 3.20. Sistem üzerinde tanımlı olan tüm uygulamalar kategorize edilmiş olmalıdır. Bilişim Güvenliği Projesi-Güvenlik Duvarı 4/7 3.21. Uygulama kontrol özelliği aktif dizin ile entegre çalışabilecek bu sayede Aktif Dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında uygulama kontrol kuralları tanımlanabilecektir. 3.22. Her bir uygulama, uygulama kategorisi, kullanıcı, kullanıcı grubu veya network için farklı bant genişliği limitasyon kuralları tanımlanabilmelidir. 3.23. Veri tabanında yer alan uygulamaların listesi, ilgili uygulamanın yer aldığı ana ve alt kategoriler, ilgili uygulamanın risk seviyesi bilgileri üreticinin resmi web sayfasında yayınlanacaktır. 3.24. Uygulama veri tabanında yer alan uygulama imzaları üretici tarafından tanımlanmış olmalı, harici firmalardan temin edilen uygulamalar olmamalıdır. 3.25. Uygulama bloklama ekranı özelleştirilebilmeli ve Türkçeleştirilebilmelidir. 3.26. Cihaz üzerinde bulut mimarisi temelli çalışan, bulut veri tabanı bulunan ve detayları aşağıda iletilen URL filtreleme özelliği olmalıdır. 3.27. Kategorize edilmemiş sitelere yapılan erişimler için sistem yöneticilerinin müdahalesi olmadan otomatik kategorizasyon yapabilme özelliği olmalıdır. 3.28. Bulut mimarisi sayesinde bulut veri tabanı üzerinde yapılan tüm güncellemelerden kurumun anında faydalanması mümkün olmalıdır. 3.29. İçerik filtreleme özelliği aktif dizin ile entegre çalışabilecek bu sayede aktif dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında url filtreleme kuralları tanımlanabilecektir. 3.30. Farklı URL adresleri yazılabilmelidir. ve kategori grupları için farklı erişim 3.31. Sistem yöneticileri tarafından özel URL tanımlamaları yapılabilmelidir. 3.32. Cihaz üzerinde detayları aşağıda iletilen IPS özelliği olmalıdır. politikaları 3.33. Farklı ülkelerden gelebilecek trafiği tehdit anında kesebilmelidir. Coğrafi koruma sağlayabilmelidir. 3.34. IPS sisteminin saldırıları karşılama biçimi, sistem yöneticisi tarafından her bir imza için ayrı ayrı ayarlanabilmelidir. 3.35. IPS özelliğinde saldırılara karşı kullanılan filtreler, güncelleme dosyasından ya da internet üzerinden güncellenebilmelidir. Ayrıca eğer istenirse, imza güncellemeleri kullanıcı müdahalesi olmadan otomatik olarak da yapılabilmelidir 3.36. Saldırı imzalarına bağımlı kalmaksızın saldırıları engelleyen Protokol Anormallik Tespiti (Protocol Anomaly Detection) teknolojisine sahip olacaktır. 3.37. IPS fonksiyonu aşağıdaki saldırı tiplerine karşı koyabilmelidir; a) Backdoors b) Botnets c) Anlık mesajlaşma (MSN, ICQ vb.) d) İşletim sistemlerine dönük saldırılar e) Peer-to-peer (Emule, Edonkey vb.) f) Protocol tunneling g) Traffic Anomaly h) Protocol Anomaly Bilişim Güvenliği Projesi-Güvenlik Duvarı 5/7 3.38. IPS mimarisi cihaz üzerindeki diğer güvenlik mimarilerinden (örneğin Anti-Bot, AntiVirüs v.b.) bağımsız çalışmalıdır. Bu sayede diğer mimarileri etkilemeden aktif edilebilmeli veya sorun tespiti aşamasında kapatılabilmelidir. 3.39. Cihaz üzerinde detayları aşağıda iletilen Botnet tespit ve engelleme özelliği olmalıdır. 3.40. Bulut mimarisi sayesinde bulut veri tabanı üzerinde yapılan tüm güncellemelerden kurumun anında faydalanması mümkün olmalıdır. 3.41. Port ve protokolden bağımsız çalışmalı, internete doğru yapılan tüm ip trafiğini inceleyebilmelidir. 3.42. Botnet komuta kontrol merkezlerine erişim için yapılan adres çözümleme isteklerini tespit ve DNS sorgusu esnasında trafiği bloklayabilme özelliğine sahip olmalıdır. 3.43. Bilinmeyen komuta kontrol merkezleriyle yapılan iletişimler için davranışsal analiz yapabilmeli bu sayede şüpheli trafiği engelleyebilmelidir. 3.44. Bilinen Botnetler için imza temelli bloklama yapabilmelidir. 3.45. Farklı kullanıcı oluşturulabilmelidir. veya kullanıcı grupları için farklı botnet politikaları 3.46. Botnet tespit ve engelleme mimarisi aktif dizin ile entegre çalışabilecek bu sayede aktif dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında botnet filtreleme kuralları tanımlanabilecektir. 3.47. Cihaz üzerinde bulut mimarisi temelli çalışan ve detayları aşağıda sıralanan AntiVirus tespit ve engelleme sistemi olmalıdır. a. Bulut mimarisi sayesinde anti-virüs verit abanı üzerinde yapılan güncellemelerden kurumun anında faydalanması mümkün olmalıdır. tüm b. Akan dosya trafiğini tarayabilmelidir. Hangi dosya tiplerinin veya uygulamaların taranıp taranmayacağı sistem yöneticileri tarafından belirlenebilmelidir. Arşivlenmiş dosyaları tarayabilmelidir. c. Anti-virüs mimarisi aktif dizin ile entegre çalışabilecek bu sayede Aktif Dizinde tanımlı olan kullanıcı ve kullanıcı grupları bazında Anti-Virüs kuralları tanımlanabilecektir. d. Farklı kullanıcı veya kullanıcı grupları için farklı Anti-virüs politikaları oluşturulabilmelidir. 3.48. Cihaz, detayları aşağıda açıklanan SSL-VPN özelliğini desteklemelidir. Bu özellik ileride lisans artırımı ile kullanılabilir olmalıdır. a) En az MS Windows7, MS Windows 8 tabanlı taşınabilir cihazlar SSL VPN client olarak desteklenecektir. b) Kurumun internete açık olan Outlook Web Access, Exchange Web Servis ve Active Sync servislerine erişim SSL VPN üzerinden sağlanabilecektir. c) SSL VPN aracılığıyla erişen kullanıcılar, sistem üzerinde tanımlı kullanıcı veri tabanı, RADIUS, LDAP ve Active Directory üzerinden yetkilendirilebilecektir ve bu yetkilendirme ile erişilebilecek iç kaynaklar tanımlanabilecektir. d) SSL-VPN ile bağlanan kullanıcıların IPS taramasından geçirilip güvenli bir şekilde lokal ağa bağlantısı sağlanabilmelidir. Bilişim Güvenliği Projesi-Güvenlik Duvarı 6/7 e) SSL-VPN ile bağlanan kullanıcıların, bağlandıkları cihazlar üzerinde belirtilen politikalara uygun olmamaları durumunda daha önceden belirlenen az yetkili kullanıcı profili olarak veya kısıtlı servise bağlanması sağlanabilmelidir. f) SSL-VPN ile bağlanan kullanıcıların kimlik doğrulama işlemi 2-aşamalı (2-factor) kimlik doğrulamayı destekleyecektir. Donanım gerektirmeyen SMS vb. çözümleri destekleyecektir. 3.49. Yedek Veri Merkezi(YVM) güvenlik duvarı ürününün konfigürasyon yönetimi, log izleme/arşivleme işlemleri bu şartnamede belirtilen “Merkezi Yönetim ve Log Arşivleme Ürünü” aracılığıyla yapılabilecektir. Veya teklif edilen cihaz üzerinde “Merkezi Yönetim ve Log Arşivleme Ürünü” fonksiyonları sağlanabilmelidir. 4. MERKEZİ YÖNETİM VE LOG ARŞİVLEME ÜRÜNÜ 4.1.Teklif edilecek merkezi yönetim ve log arşivleme sistemi bu şartnamede belirtilen merkez güvenlik duvarı ürünleri ve YVM güvenlik duvarı ürününün merkezi konfigürasyon yönetimi ve log arşivleme/filtreleme işlemlerini yapabilmelidir. Bu işlemlerin tek bir donanım/yazılım üzerinde yapılamaması durumunda aşağıda belirtilen teknik özellikler karşılanmak kaydıyla aynı veya farklı üreticilere ait birden fazla cihaz/yazılım teklif edilebilir. Bu bölümde istenen özellikler teklif edilen güvenlik duvarı cihazı üzerinde sağlanabiliyorsa ayrı bir ürün teklif edilmeyebilir. 4.2.Teklif edilecek merkezi yönetim, log arşivleme sistem(veya sistemleri) sanal sistem (Vmware) üzerine kurulabilen yazılımsal bir ürün olabileceği gibi donanımsal olarak da teklif edilebilir. 4.3.Bu amaçla yazılımsal bir ürün (veya ürünler) teklif edilmesi durumunda ilgili sistemin çalışacağı sanal sistem platformu kurumumuz tarafından sağlanacaktır. 4.4.Merkezi yönetim sistemi (veya sistemleri) sayesinde merkez güvenlik duvarı ürünleri ve YVM güvenlik duvarı ürünü üzerinde herhangi bir arıza yaşanması durumunda geçmiş tarihli olay kayıtları (loglar) ve konfigürasyon (kurallar, objeler v.b.) verisinde herhangi bir kayıp yaşanmamalı, tanımlı konfigürasyon güncel haliyle korunmalıdır. 4.5.Merkezi yönetim platformu aracılığıyla merkez güvenlik duvarı ürünleri ve YVM güvenlik duvarı ürünü üzerinden geçen tüm trafiğin günlüklerde tutulması, istenen kriterlere göre (En az IP, IP aralığı, ağ, protokol, zaman) filtrelenebilmesi ve aktif bağlantıların gerçek zamanlı izlenebilmesi sağlanacaktır. 4.6. Güvenlik duvarı trafik logları arasında korelasyon yapılabilmeli ve birbiriyle ilişkili trafik loğlarını gruplayarak analiz edebilmelidir. 4.7. Ürün üzerinde ön tanımlı gelen en az 40 farklı rapor formatı yer almalıdır. PDF ve HTML formatlarında raporlar alınabilmelidir. 4.8.Geçmişe yönelik yapılan tüm trafik raporları, otomatik olarak e-posta yolu ile sistem yöneticilerine gönderilebilmelidir. 4.9.Merkezi yönetim platformu aracılığıyla ilgili sistemlerin durum bilgisi, disk doluluğu, CPU ve RAM kullanım değerleri eş zamanlı gözlemlenebilecek, en fazla trafiği yaratan bilgisayarlar, hedef sunucu ve servis bilgileri gibi gerçek zamanlı trafik analizi yapılabilecektir. Bilişim Güvenliği Projesi-Güvenlik Duvarı 7/7 B) SSL VPN CİHAZI 1. KONU Bu teknik şartname bir adet SSL Vpn Cihazı için istenen teknik gereksinimleri kapsamaktadır. 2. SSL VPN CİHAZI TEKNİK ÖZELLİKLERİ 2.1.SSL-VPN cihazı, (Appliance) donanım ve yazılım bütünü ve tek üretici firma tarafından sağlanmalıdır. 2.2.SSL-VPN cihazında işletim sistemi özel olarak SSL VPN işlemi için geliştirilmiş ve fiziksel donanım üzerine AES 128 bit şifrelenmiş olarak yüklenmiş olmalıdır. 2.3.Gerek IPSEC gerek SSL portlarını kullanabilmeli, IKEv2 desteği olmalıdır. 2.4.SSL-VPN cihazı, Windows XP, Windows 2000, Windows Vista, Windows 7, Windows 8 Mac OS, Red Hat Linux 7.3 üstü istemci işletim sistemleri ile uyumlu çalışabilmelidir. 2.5.Mobil platformlarda IOS(Apple), Android, Blackberry, WinMobile, Symbian istemci işletim sistemleri ile uyumlu çalışabilmelidir. 2.6.SSL-VPN cihazı Windows 2008 Active Directory, LDAP, LDAPS, RADIUS, Anonymous Authentication, Client Certificate, RSA Secure ID ve Ace authentication, UNIX NIS, SAMLV1/V2, kimlik doğrulama metotlarını desteklemeli ve bu aşağıda sayılan metotlardan herhangi ikisini tek bir kimlik doğrulama isteği için kullanabilmelidir. 2.7.SSL VPN cihazı Kerberos SSO ve NTLMv2 SSO desteklemelidir. 2.8.SSL-VPN cihazı, User-ID/group-ID, User location, Resource name, URL, Client certificate, Source-ip, Browser type, Time and Day, User attiribute ve UserDN kriterlerine göre dinamik bir şekilde kaynaklara erişim hakkı sağlayabilmeli veya engelleyebilmelidir. 2.9.SSL-VPN cihazı, istenildiğinde tek kutuda eşzamanlı en az 1000 clientless vpn kullanıcıya kadar destek sağlayabilmeli, 250 eş zamanlı kullanıcı için tekliflendirilmelidir. 2.10. SSL VPN cihazı karşılıklı ekran görüntüsü ve kontrol paylaşımını sağlayan güvenli toplantılar yapabilme özelliğinde olacak. Eş zamanlı 25 kullanıcı/ 25 toplantı için güvenli toplantı lisansı ile teklif edilecektir. 2.11. SSL-VPN cihazı, aynı anda bağlı olan kullanıcılar arasında https protokolü üzerinden sohbet (chat) ve remote desktop kontrol desteği sağlamalıdır. 2.12. SSL-VPN cihazı Cluster ve yedekli yapıda çalışabilmelidir. 2.13. SSL-VPN cihazı, şifre yönetimi, single sign-on, user Authorization ve modifiye edilebilir giriş (Log-in) sayfaları desteği sağlamalıdır. Gerektiğinde tamamen tekrar baştan yazılabilecek web sayfası kodları ve farklı dizayn edilmiş sayfa örneklerini (mobil cihazlar dahil) içinde barındırmalıdır. 2.14. SSL-VPN cihazı, internet üzerinden doğrudan erişilemeyen websiteleri, Windows ve Unix dosya paylaşım sunucularına, Windows 2008 Terminal server erişimi, Telnet/SSH ve her türlü TCP tabanlı client server mimarisinde olan uygulamalara erişimi sağlayabilmelidir. Bilişim Güvenliği-SSL VPN Cihazı 1/3 2.15. SSL-VPN cihazı istemcinin kullandığı bilgisayar masaüstü ve dosya sistemi ile kullanıcı arabirimi arasında sanal bir masaüstü ve dosya sistemi yaratabilmeli bu sistem ile kullanıcının kullandığı istemci donanımında kullanacağı USB bağlantısı gibi kaynaklar ve kullanıcının çalıştırabileceği uygulamalar denetlenebilmelidir. 2.16. SSL-VPN cihazı ağ seviyesinde erişim client yazılımı ile kullanıcının IPsec vpn bağlantıları yapabilmesini ve doğrudan network katmanında çalışabilmesini sağlamalı bu IPsec bağlantısı ile beraber split-tunneling ya da sadece lan ağına erişimin denetlenebilmesini ve bant genişliğinin yönetilebilmesini desteklemelidir. Client’ın opsiyonel olarak FIPS desteği olmalıdır. 2.17. SSL-VPN cihazı ağ seviyesinde IPsec erişimi sırasında istemcinin kullanacagı DNS ve proxy sunucuları denetleyebilmeli ve önceliklendirebilmelidir. 2.18. SSL VPN cihazı, uzaktan erişim yöntemi olarak hedef tcp port ve çalışan proses (uygulama) bazında tünelleme yapabilmelidir. Bu sayede hedef port ve sunucuya uzaktan erişirken, client üzerinde çalışan olası zararlı proseslerin bu portlara tünel üzerinden erişimi engellenebilmelidir. 2.19. SSL-VPN cihazı, ayrıntılı bir şekilde log tutabilmelidir. Logların incelenmesi için filtreler ve şablonlar yazılabilmelidir. Bağlanan kullanıcılar izlenebilmelidir. SNMP (V2/V3) trap desteği olmalıdır. 2.20. SSL VPN Cihazı VMWare’in View Manager ve Citrix’in XenDesktop gibi VDI teknolojilerini desteklemelidir. 2.21. SSL-VPN cihazı, ping, traceroute, nslookup ve arp komutlarını çalıştırabilmelidir. 2.22. SSL-VPN cihazı, kullanıcı erişim loglarını, yönetici erişim logları, sistem logları gibi eventleri bir ftp ve scp sunucusuna belirlenmiş kurallar ile otomatik olarak arşivleyebilmelidir. Syslog sunucuna log transferi yapılabilmelidir. 2.23. SSL-VPN cihazında software güncelemeleri web arayüzünden yapılabilmelidir, ayrıca roll-back özelliği ile bir önceki konfig ve yazılıma otomatik donuş yapğılabilemelidir. 2.24. SSL-VPN cihazı, konfigurasyonu XML olarak import ve export edilebilmeli ve ya kullanıcı ve sistem konfigurasyonu şifre korumalı bir sekilde import / export edilebilmelidir. 2.25. SSL-VPN cihazı üzerinde farklı seviyede yönetici tanımları yapılabilmelidir. Group yönetim delegasyonu (group management delegation) yapılabilmelidir. 2.26. SSL-VPN cihazı end to end security için Native Host Checker, Host Checker API, Host Check Server Integration API, özelliklerini sağlamalı TNC (Trusted Network Connect ) onaylı olmalıdır. 2.27. Mobil cihazları işletim sistemleri versiyonu jailbreak, Rooted olup olmadıklarına göre ayırabilmeli bu parametrelere göre farklı yetkilendirmeler yapabilmelidir. 2.28. SSL-VPN cihazı end to end security için Policy-based enforcement(uygulama) remediation(iyileştirme), Cache Cleaner özelliklerini sağlamalıdır. ve 2.29. Remediation (iyileştirme) sslvpn ile microsoft SMS/SCCM ile entegre halde otomatik olarak yapılabilmelidir 2.30. SSL-VPN cihazına sanal port ve birden fazla URL tanımlamaları yapılabilmelidir. Herhangi bir kullanıcı veya kullanıcı grubuna istenen URL adresi tanımlanabilmelidir. Bilişim Güvenliği-SSL VPN Cihazı 2/3 2.31. SSL-VPN cihazı Lightweight Java veya Windows temelli yüklemeyi otomatik yaparak sadece bir web browser kullanarak kullanıcı veya server uygulamalarına erişim sağlamalıdır. Ve ekstra üst seviye yönetim özelliklerine sahip olmalıdır. 2.32. SSL-VPN cihazında en az iki adet 10/100/1000 ethernet portu ,1 adet konsol portu ve 1 adet usb portu bulunmalıdır. Bilişim Güvenliği-SSL VPN Cihazı 3/3 C) PROXY/WEBGATEWAY, İÇERİK TARAMA VE ZERO-DAY ATAK ÖNLEME ÇÖZÜMÜ 1. KONU Bu teknik şartname, Güvenli Web Ağ Geçidi, İçerik Tarama ve Zero-Day Atak Önleme çözümünün taşıması gereken minimum teknik isterleri kapsamaktadır. Bu teknik şartnamede istenen teknik özellikler, tek veya birden fazla markanın ürün veya ürünler bileşiminden oluşan bir çözüm olarak teklif edilebilir. 2. TEKNİK ÖZELLİKLER Proxy Gateway ve Cache Özellikleri: 2.1. Teklif edilen çözüm, özelleştirilmiş bir işletim sistemine sahip olan bir appliance çözümü olacaktır. 2.2. Teklif edilen çözümün donanım platformu ile ilgili detaylı bilgi verilmelidir. Çözüme ait donanım, yüksek performanslı özel geliştirilmiş bir donanım olmalıdır. 2.3. Teklif edilen çözüm, yüksek erişilebilirlik/kullanılabilirlik operasyonlarını, Aktif –Pasif ve Aktif – Aktif topolojilerde destekleyebilmelidir. 2.4. Teklif edilen çözüm, internet protokolleri için vekillik (proxy), içeriği önbellekleme (cache), içerik filtreleme, anti-malware ve SSL trafiğinin incelenmesi için gerekli kabiliyeti sağlayacaktır. 2.5. Çözümle birlikte gerekli olan donanım ve yazılım altyapısı, gereksinimleri tam olarak karşılayacak şekilde tekliflendirilmelidir. 2.6. Teklif edilen çözüm, proxy, cache, içerik filtreleme, anti-malware ve SSL trafiği incelemesi fonksiyonları tek bir yönetim arabirimi üzerinden sağlamalıdır. 2.7. Teklif edilen çözüm tek bir cihaz ile, ağ üzerinde bulunan 6000 adet kullanıcıya hizmet sağlayabilir kapasitede olacaktır. Cihazın desteklediği %70 işlemci utilizasyonu ile Transaction Per Second(TPS) değeri, secure web gateway, ICAP ve SSL çözme özellikleri açık iken en az 1350 TPS olacaktır. Teklif verecek olan yüklenici, bu değeri karşılaması gereken tüm donanım ve bileşenlerini verecektir. Test ve kabul işlemleri sırasında bu değerleri gösterebilecektir. Kabul işlemleri sırasında, teklif edilen çözüm bu değerleri sağlamıyor ise, YÜKLENİCİ, bu değeri saylayacak tüm donanım ve bileşenleri ücretsiz olarak kuruma teslim edecektir. 2.8. Çözüm, anlık minimum 700 kullanıcı lisansı ile teklif edilecektir. 2.9. Toplam kullanıcı sayısının ürünün lisanslı kullanıcı sayısını geçmesi durumunda ürün hizmet vermeye devam etmelidir. Tüm işlevleri açısından herhangi bir kesinti yaşanmayacaktır. 2.10. Çözüm DLP ya da Anti-Malware çözümleri ile ICAP protokolü üzerinden haberleşebilecektir. 2.11. Çözüm 64 bit mimari tabanlı olacaktır. 2.12. Teklif edilen çözüm SSL trafiğinin çözülmesi için ortak işlemci gücü kullanmadan, kendi üzerinde özel donanım kartlarına sahip olacak ve SSL trafiğinin çözülmesi işlemini bu kartlar vasıtası ile yapacaktır. Teklif edilen çözüm, ortak Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü 1/6 işlemci gücü kullanıyor ise, SSL trafiğinin çözülmesi için kaybedilen performans değerini karşılayacak kadar gereken cihaz, ihale kapsamında verilen teklife dahil edilecektir. 2.13. Teklif edilen çözüm, bilinen web tarayıcılarını (Firefox, Chrome, Internet Explorer) destekleyecektir. 2.14. Teklif edilen çözüm, explicit ya da transparent proxy (WCCP ve Transparent Inline) yapılandırılmalarını destekleyecektir. Transparent yapılandırma istenildiğinde WCCP ya da 3.parti bir yük dengeleme sistemine ihtiyaç duymayacaktır. Eğer teklif edilen çözüm, WCCP yada 3. parti bir yük dengeleme sistemine ihtiyaç duyuyor ise, bu işlemi yapacak cihaz teklife eklenecektir. 2.15. Teklif edilen çözüm, IPV4 ve IPV6 desteğine sahip olacaktır. 2.16. Teklif edilen çözüm, üretilen http/https ve ftp erişim loglarını, gerektiğinde birden fazla hedefe gönderebilme kabiliyetine sahip olacaktır. 2.17. Bağlantı sonrasında üretilen loglara ait bilgi sunulmalıdır. 2.18. Teklif edilen çözüm, aktif ve pasif FTP bağlantılarını desteklemelidir. 2.19. Teklif edilen çözüm, HTTP CONNECT methodunu destekleyecek şekilde TCP portlarının tanımlanmasına olanak sağlamalıdır. 2.20. Teklif edilen çözüm, HTTP, HTTPS ve FTP portlarının tanımlanabilmesine olanak sağlamalıdır. 2.21. Teklif edilen çözüm, aşağıda belirtilen kimlik doğrulama yöntemlerini destekleyecektir. • Windows NTLM (Active Directory) • LDAP • Yerel / Lokal Kullanıcı Veri Tabanı. • RADIUS • Digital Certificates (X509) • Misafir (Guest) Kimlik Doğrulama 2.22. Teklif edilen çözüm, transparan kimlik doğrulamayı destekleyecektir. Örneğin; kullanıcıları tanımak için tarayıcılarını her açışlarında kullanıcı adı ve şifre bilgilerini girmesini istemeyecektir. 2.23. Teklif edilen çözüm, istendiğinde kurumun etki alanı(domain)nda bulunmayan kullanıcılara, bir web sayfası ya da pop-up ekranı çıkararak kullanıcı adı ve şifre bilgilerini sorabilmelidir. 2.24. Teklif edilen çözüm, SOCKS protokolünü destekleyecektir. 2.25. Teklif edilen çözüm, SSL Trafiğini “Man-in-The-Middle” yöntemi karakterlerini izleyerek yakalayabilmeli, ayrıca self-signed ya da güvenli sertifika sağlayıcılarının üretmiş oldukları sertifikaları sistemine eklenmesine izin vermelidir. 2.26. Teklif edilen çözüm desteklediği SSL V2, V3 ve TLS v1.0, v.1.1 ve v1.2 desteğine sahip olmalıdır. Bu versiyonlar ihtiyaç olması halinde aktif ya da inaktif hale getirilebilmelidir. Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü 2/6 2.27. Teklif edilen çözüm, Güvenilir Sertifika Otoritesi bilgilerini (Trusted CA) otomatik olarak güncelleyebilmelidir. Bunun için ek bir işlem yapmaya gerek olmamalıdır. 2.28. Teklif edilen çözüm, istendiğinde güvenilir olmayan ya da kullanım tarihi geçmiş HTTPS adreslerine yapılacak olan bağlantıları engelleyebilecektir. Ayrıca yeni Certificate Authority bilgileri web arabiriminden güncellenebilecektir. 2.29. Teklif edilen çözüm, farklı web kategorileri ve web uygulamalarına QoS (Quality of Service) minumum ve maksimum bant genişliği ayırma işlemi ve trafik önceliklendirmelerini aşağıdaki kriterlere göre yapabilecektir. • Hedef ve Kaynak IP Adresi • URL ya da Site Kategorisi • Kimlik Doğrulaması yapılmış kullanıcı 2.30. Teklif edilen çözüm, RTMP(Real-Time Messaging Protocol), RTSP(RealTime Streaming Protocol), HDS(HTTP Dynamic Streaming), HLS(HTTP Live Streaming) ve Microsoft Smooth Streaming (Silverlight) protokollerini ve Windows Media, Adobe Flash, Real Player, Quick Time, Live Video Splitting, Cache Video on Demand özelliklerini desteklemelidir. Bu özellik desteklenemiyor ise, bu cache’lemeyi yapacak cihaz teklife dahil edilmelidir. 2.31. Teklif edilen çözüm, kurum lokasyonunda, genel erişim ortamında ya da popüler internet sitelerinde bulunan video içeriklerini ön bellek (Cache) kontrol yöntemleri ile obje/nesne ön bellekleme özelliğine sahip olmalıdır. Bu özellik aynı çözüm üzerinde sunulamıyorsa, gerekli çözüm ürün ile birlikte teklif edilmelidir. 2.32. Teklif edilen çözüm, önceden kurulmuş video akış/yayınlarını (splitstreaming) tekrar kullandırarak, bant genişliği kullanımında tasarruf ve daha iyi kullanım olanağı sağlamalıdır. 2.33. Teklif edilen çözüm, önbellek içeriğini kısmen ya da tamamen web arabirimi ya da komut arabirimi ile temizlemeye imkan sağlamalıdır. 2.34. Teklif edilen çözüm, sunucu-istemci ve istemci-sunucu arasındaki iletişimlerdeki HTTP başlıklarına (headers) ekleme ya da çıkarma yapma olanağı sağlayabilmelidir. Bu sayede kullanıcıların internette sadece belirli adreslere veri göndermesi(Post) sağlanabilmeli, tarayıcıların belirli versiyonlarını hedef alan güvenlik açıklarına karşı kullanıcılar, internete çıkarken güncel bir tarayıcı versiyonuyla çıkıyormuş gibi tarayıcı bilgileri değiştirilebilmelidir. 2.35. Teklif edilen çözüm web istemcileri ya da tarayıcıların versiyon bilgi ve modeline göre (user-agent) engelleme ve yetkilendirme kuralı oluşturabilmelidir. 2.36. Teklif edilen çözüm, önbellek kullanımını efektif bir şekilde artırabilmek için önbellek kurallarını üreticinin bulut ortamından otomatik olarak alacak ve güncelleyebilecektir. 2.37. Teklif edilen çözüm, üreticiden periyodik ve otomatik bir şekilde URL tabanlı güncellemeler alabilecektir. 2.38. Teklif edilen çözüm, URL tabanlı ön-tanımlı kategori bilgisine sahip olmalıdır. Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü 3/6 2.39. Teklif edilen çözüm, HTTP ve HTTPS trafiği için yerel tabanlı kategorilendirebilmeye izin verecektir. Ayrıca en az “Sosyal Ağ”, “ Video Siteleri” , “ Audio Siteleri” , “Dosya İndirme” , “Webmail” , “Haberler”, “ Ip Telefon”, “P2P” , “Pornografi”, “ Sex Education”, “ Hükümet ve Resmi Siteler” , “Bankacılık” , “AlışVeriş”, “İçerik Sunucuları”, “Oyun Siteleri”, “Online Arkadaşlık”, “Sağlık” ve “ Uyuşturucu” kategorilerine sahip olacaktır. 2.40. Teklif edilen çözüm, bilgi güvenliğine özel kategorilere sahip olacaktır. “Spam”, “Phising”, “Malware” “ Şüpheli İçerik” ve “Command and Control Networks” kategorilerine erişimi etkin bir şekilde engelleyebilecek yapıya sahip olacaktır. 2.41. Teklif edilen çözüm, gerçek zamanlı olarak bilinmeyen ya da yeni internet sitelerini otomatik bir şekilde kategorilendirebilecektir. 2.42. Teklif edilen çözüm, bir web sitesi için çoklu kategori atayabilmelidir. 2.43. Teklif edilen çözüm, gerçek zamanlı kategorilendirilmemiş ya da yerel veri tabanında bulunmayan sitelerin kategorilendirilebilmesi için ürün yöneticisine, dilediği siteyi elle / manuel kategorilendirebilme özelliği sunabilmelidir. 2.44. Teklif edilen çözüm, elle kategori tanımlamasına, herhangi bir web sitesi, ip adresi, subnet ya da domain için tanımlamaya olanak sağlayabilmelidir. 2.45. Teklif edilen çözüm, "Facebook", "Twitter", "Gmail", "MS-Outlook", "Dropbox", "Google Drive" ,"Youtube", “Box.com”, “Google Docs” , “Google Reader” ,” PasteBin”, “Office 365 SharePoint” “Goto Meeting” gibi Web 2.0 uygulamalarını tanıyabilecek ve “Email Gönderimi” ,“ Eklenti Gönderimi” ,”Video Yükleme” , “Mesaj Gönderme” gibi uygulamalara yönelik operasyonları yönetebilmelidir. 2.46. Teklif edilen çözüm, Youtube videoları için spesifik kategorilere sahip olmalıdır. Youtube videosu içeriğine göre sınıflandırma yapıp ilgili Youtube kategorisine atayabilmelidir. 2.47. Teklif edilen çözüm, “mp3”, “wmv”, “avi”, “exe”, “iso” gibi dosya uzantılarına(MIME) filtre uygulayabilmeli ayrıca yeni dosya uzantılarının tanımlanmasına olanak sağlamalıdır. 2.48. Teklif edilen çözüm, dosya tiplerinin dosya uzantısı değiştirilse bile tanıyabilmeli ve söz konusu dosyaları engelleyebilmelidir. 2.49. Teklif edilen çözüm, şifreli SSL trafiğini her iki yönde de (inbond / Outbound) filtreleyebilecektir. Bu trafiğe, şifrelenmemiş trafiğe uygulanan aynı politika kuralları uygulanabilecektir. 2.50. Teklif edilen çözüm, filtreleme kuralları, domain kullanıcıları, grupları, domain, kategoriler, anahtar kelimeler, düzenli ifadeler (regular expression), günün zamanı, haftanın günü, hedef ve kaynak ip adresine göre özelleştirmeyi desteklemelidir. 2.51. Teklif edilen çözüm, HTTP header tanıma ve yeniden düzenleyebilme özelliğine sahip olacaktır. 2.52. Teklif edilen destekleyecektir, • çözüm, sistem kurallara göre aşağıdaki özellikleri Tamamen erişime izin verebilecek. Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü 4/6 • Kullanıcıyı kullanım politikaları hakkında bilgilendirip, kullanıcıya buna göre oturumuna devam etme ya da sonlandırmaya olanağı sağlayacak. • Koşulsuz olarak erişimi engelleyebilecek. 2.53. Teklif edilen çözüm, erişimin engellenmesi durumunda kullanıcıların karşısına neden engellendiğini açıklayan erişim engelleme sayfaları yayınlayabilecektir. Erişim sayfaları düzenlenebilecek ve birden fazla tanımlanabilecektir. 2.54. Çözüm mobil istemcilere (notebook vb) yüklenebilecek bir uygulamaya sahip olmalıdır. Bu uygulama için gerekli olan lisanslar -ihale kapsamında teklif edilen kullanıcı adedi kadar- teklife eklenmelidir. 2.55. Mobil istemci uygulaması Windows 7/8 ve Mac işletim sistemlerini desteklemelidir. 2.56. Mobil istemci uygulamasına ait loglar kurum içinde bulunan raporlama sunucusuna gönderilebilmelidir. 2.57. Çözüme ait raporlama uygulaması aynı üreticiye ait birden fazla log kaynağını tek bir veritabanında saklayabilmelidir. 2.58. Raporlama uygulaması rol tabanlı erişim politikaları tanımlamalarına imkan sağlamalı, Active Directory / LDAP entegrasyonuna sahip olmalıdır. 2.59. Raporlama uygulaması kolay çıktılar oluşturmaya imkan sağlayabilecek raporlama şablonlarına sahip olmalı ve bu şablonlar istenildiği zaman özelleştirilebilmelidir. Kullanıcı internet aktivitelerini uygulama kullanımı, arama motorları anahtar kelimeleri, video kullanımı, bant genişliği tüketimi, trafik profilleri, zararlı internet trafiğine ait detaylı bilgiler, AD kullanıcı adı ve grupları bazında rapor şablonlarına sahip olmalıdır. 2.60. Raporlarda kullanıcıların sayfa görüntüleme ve tarayıcı zaman bilgileri (browse time) ayrı ayrı görüntülenmelidir. 2.61. Raporlama çıktılarında istenilen alanlar gizlenebilmelidir. 2.62. Raporlama yöneticisine ait audit logları izlenebilmeli, raporlanabilmelidir. 2.63. Raporlama ürünü 3. Parti çözümlerle HTTP/XML, PDF ve CSV formatlarını destekleyecek şekilde API entegrasyonuna olanak sağlamalıdır. 2.64. Raporlar belirtilen zamanlarda otomatik olarak istenilen kişilere mail yoluyla PDF ya da CSV olarak gönderilebilmeli ayrıca üretilen raporların sunucu üzerinde otomatik saklanmasına olanak sağlanmalıdır. Anti Malware / İçerik Tarama ve Zero-Day Atak Önleme Özellikleri: 2.65. Çözüm üzerinden geçen tüm içeriğin antivirus taramasını yapmalıdır. Tüm içerik kategori ya da itibar bazlı ön tarama kararına uğramaksızın taranmalıdır. 2.66. Dosyalar antivirus taramasından önce “iyibilinen” ya da “kötübilinen” tablosu üzerinden kontrol edilmeli, şayet bu tabloda yer alan bir durum varsa hızlıca karar verip antivirus taramasına tabi tutmadan kullanıcıya içeriği engellemeli ya da izin vermelidir. Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü 5/6 2.67. Dosyalar “iyibilinen” ya da “kötübilinen” tablosunda yer almıyor ise antivirus taramasına tabi tutulmalıdır. 2.68. Antivirus motoru ve imza güncellemeleri ve “iyibilinen” ve “kötübilinen” tablo güncellemeleri otomatik yapılmalıdır. 2.69. Tarama sonuçlarına göre engelleme yapılabilmelidir. 2.70. Tarama sonuçları raporlarda gösterilebilmelidir. 2.71. Antivirus taraması sonucunda herhangi bir bulguya rastlanılmaz ise bu dosya otomatik olarak kurum bünyesinde bulunan Zero-Day atak önleme/Sandbox çözümüne gönderilebilmelidir. Bu nedenle çözüm teklif edilecek Zero-Day atak önleme/Sandbox ürünü ile entegre olması gerekmektedir. 2.72. Önerilecek ürün kendisine yönlendirilen şüpheli dosyaların analizini gerçekleştirip, imza tabanlı geleneksel güvenlik çözümlerinin yakalayamadığı dosyaların zararlı davranışlarını tespit edebilmelidir. 2.73. Çözüm tüm inceleme ve analiz işlemlerini özelleştirilmiş donanım üzerinde yapacaktır. Dosyalar analiz amacıyla kurum dışına yönlendirilmemelidir. 2.74. Ürün, öneride bulunacak üreticinin web güvenliği/içerik analiz sistemi ile entegre çalışmalıdır. 2.75. Zararlı içeriğin dosyası ya da barındığı URL, ürün ile analiz edilebilmelidir. 2.76. Analiz ve tespit platformları sandbox/emulator ve sanal işletim sistemi platformlarına sahip olmalıdır. Sanal işletim sistemi platformu ile kurum bünyesinde kullanılan windows istemci imajlarında tehdit analizi ve zararlı tespiti yapılabilmelidir. 2.77. Ürün, sahip olduğu sanal işletim sistemlerinin, üreticiden herhangi bir profesyonel hizmet satın alınmadan kolaylıkla özelleştirilebilmesine olanak sağlamalıdır. Kurum, aşağıda belirtilen sanal platformları istediği gibi düzenleyebilmeli, uygulama yükleyip, işletim sistemi parametrelerini ayarlayabilmelidir. Bununla, kurumun kendi ortamına en yakın senaryoda zararlı yazılım analizi yapılması amaçlanmaktadır. 2.78. Ürün üzerinde yer alan sanal platformların Windows 7/8 32/64 bit ve Android işletim sistemi desteği bulunmalıdır. 2.79. Ürün üzerinde yer alan sanal işletim sistemi platformlarda kullanılabilecek eklentiler sayesinde zararlı yazılımın interaktif davranışlarına yanıt verebilmelidir. Zararlı yazılım sistem üzerine bir uygulama kurmaya çalıştığında buna izin verip davranışını daha detaylı bir şekilde analiz edilmesine olanak sağlamalıdır. 2.80. Üretilen zararlı yazılım sonuçları, risk değerlerine göre belirtelebilmelidir. 2.81. Ürün üzerinde tespit edilen davranışlara ait risk değerleri değiştirilebilmelidir. 2.82. Ürünün RAPI(Remote API) desteği bulunmalıdır. 2.83. Ürün sonuçları gönderilebilmelidir. 2.84. ile ilgili bilgilendirmeler syslog çıktısı olarak Ürün, günlük 12000 örnek analiz edebilecek kapasiteye sahip olmalıdır. Bilişim Güvenliği Projesi-Proxy/WebGateway, Zero-Day Atak Önleme Çözümü 6/6 D) AĞ TABANLI SALDIRI TESPİT VE ÖNLEME SİSTEMİ(NETWORK IPS) 1. KONU 1.1. Bu teknik şartname 1(bir) adet Ağ Tabanlı Saldırı Tespit ve Önleme Sistemi(Network IPS)nin minimum teknik gereksinimlerini kapsamaktadır. 2. NETWORK IPS TEKNİK ÖZELLİKLERİ 2.1. Sistem üzerinde saldırı tespit ve engelleme amaçlı olarak şu port dağılımlarını desteklemelidir: • En az 8 adet 1 Gbps hızında bakır ara yüz hazır gelmelidir. Bu hazır portlar Fail-Open özelliğine sahip olmalıdır. • En az 2 adet network I/O modül kullanılabilmelidir. Bu modüllere en az aşağıdaki konfigurasyonlarda port tipleri sağlanabilmelidir. 8 Port SFP+/SFP 1GbE/10 GbE 6 Port RJ45 1GbE 4-port 10 GigE/1 GigE LR Optical with fail open • Teklif edilecek sistem üzerinde en az 8 adet 10 Gbps SR(MM) portlar önerilmelidir. 2.2. En az 1 adet 100/1000/10000 RJ45 yönetim portu, 1 adet response port , 1 adet konsol portu ve 1 adet RJ45 AUX port olmalıdır 2.3. Sistemin performansı (throughput) en az 3 Gbps ve eş zamanlı oturum sayısı en az 5.000.000 olacaktır. Atak anında cihazın ağ üzerindeki bekletme süresi en fazla 100 mikro saniye olacaktır. 2.4. Sistem, donanım ve yazılım bütününden oluşacaktır. Donanım bileşeni saldırıları engelleyecek IPS modülü, yazılım bileşeni de bu modülün yönetiminden teşkil olacaktır. Sunulacak çözüm UTM veya yeni nesil firewall modülü şeklinde olmayacaktır. 2.5. Sistem, katman iki (layer 2) seviyesinde çalışacaktır. Ağ üzerinde sistemin varlığı atak yapan tarafından herhangi bir şekilde algılanamayacaktır. Monitor portları hiç bir şekilde IP adresi içermeyecektir. 2.6. Sistem üzerinde trafiği dinleyen fiziksel port bazında, VLAN ID ya da IP aralığı bazında ayrı ayrı politikalar uygulanabilecektir. 2.7. Önerilen port tiplerine uygun olarak Fail-Open kitler önerilecektir. Fail-Open kitler olası arıza, güç kesintisi ve cihazın kapasitesinin üzerinde trafik oluşması durumunda devreye girecektir. 2.8. Atak önleme sistemi Inline, Span ve Tap modlarında çalışabilmelidir. 2.9. Önerilen donanım yedekli güç ünitesi içermelidir. Bilişim Güvenliği Projesi-Network IPS 1/5 2.10. İstenilmesi desteklemelidir. durumunda aktif-aktif ve aktif-pasif yedekli çalışma tekniklerini 2.11. İmza, anomali, istatiksel tespit ve DoS/DDoS tekniklerini bir arada kullanarak atak tespiti ve önleme yapacaktır. 2.12. Yeni çıkan indirilebilecektir. atak imzaları İnternet üzerinden otomatik veya manuel olarak 2.13. Cihazın, üzerinden geçen trafiğin durum kontrolü için kullanacağı yöntemlerden en az aşağıda sıralanan yöntemleri içerecektir: • IP Defragmantation ve TCP Stream Reassambly • Anomaly Detection • Signature-based Detection (üretici temelli, el ile imza ve snort imzaları) • Reputation-Based Detection • Heuristic Bot Detection • Multi-Attack Correlation • Layer 7 Protocol Detection • Advanced Evasion Protection • Protocol Normalization 2.14. Brute force, Host sweep, Finger printing, Port scan, Service sweep gibi atak öncesi tespit ve ele geçirme tekniklerine karşı özel kural setleri içermelidir. Bu koruma tekniklerinin tespit istatistikleri ayarlanabilir yapıda olmalıdır. Örneğin aynı kaynaktan 5 sn de 10 farklı şifre denemesi yapılması durumunda ilgili saldırgan belirlenen süre boyunca karantinaya alınabilmelidir. 2.15. El ile özelliştirilmiş keşif atakları yazılmaya uygun alt yapı sağlanmalıdır. 2.16. DNS flood ve DNS poisining tekniklerine karşı imza yöntemleri dışında özel koruma mekanizmaları içermelidir. 2.17. Interface seviyesinde antispoof ayarı yapılabilmelidir. Özellikle DoS/DdoS ataklarında kullanılan Ip spoof mekanizmaları tespit edilebilmelidir. 2.18. SYN ataklarına karşı istatistiksel yöntemler dışında SYN Cookie ve SYN Proxy metotlarını kullanabilmelidir. 2.19. Vlan, Double Vlan, MPL , Fragmanted ve Unfragmented trafik örneklerinde Jumbo Frame desteklenmeli ve atak tespiti yapabilmelidir. 2.20. IPv6, V4-in-V4, V4-in-V6, V6-in-V4, V6-in-V6 tunnel, MPLS, GRE, Q-in-Q Double VLAN desteği olmalı ve bu tunel tekniklerinde atak tespiti yapabilmelidir. 2.21. OS fingerprinting özelliği ile IPS üzerinde oluşan olaylara ait source ve destination lar için OS tespiti yapılabilmeli ve olay ekranlarında bunlar sorgulanabilmelidir. 2.22. Exploit teknikleri arasında en az aşağıdaki tiplerde saldırı koruma tekniklerine sahip olmalıdır. Bilişim Güvenliği Projesi-Network IPS 2/5 • Protocol Violation • Buffer Overflow • Shellcode Execution • Remote Access • Privileged Access • Probe • DoS • Evasion Attempt • Arbitrary Command Execution • Code/Script Execution • Bot • Trojan • DDoS Agent Activity • Backdoor • Worm • Virus • Read Exposure • Write ExposureAudit • Sensitive Content • Phishing • Potentially Unwanted Program 2.23. Önerilen IPS sistemi davranışsal malware tespit motoruna sahip olmalıdır. Şüpheli dosyaları özet bilgileri çıkarılabilmeli ve bu özet bilgilerin üreticinin bulut sistemine sorulmasına mütakip gerekli tespit ve aksiyonlar alınabilmelidir. Bu özellikler port temelinde uygulanabilir olmalıdır. 2.24. Connection limit kuralları reputation servis ve geo-location parametreleri ile desteklenebilmelidir. Örneğin X ülkesinde ilgili hedef IPye saniyede 100 bağlantı açılabilir ve bu açılan IPler yüksek risk içermemelidir denebilmelidir. Özellikle DoS atakları açısıdan bu tip kombinasyonlar kullanılabilir olmalıdır. Aksiyon olarak Drop ve Deny dışında karantina uygulanabilir olmalıdır. 2.25. Önerilen IPS sistemi Vmware host ve interconnect wmvare trafikleri arasında atakları tespit edebilmeli, Vshield entegrasyonu sayesinde atakları karantinaya alabilmelidir. 2.26. Önerilen IPS sistemi L7 firewall özelliğine sahip olmalıdır. 1000in üzerinde uygulama bu yolla denetlenebilir olmalıdır. Bu yolla ilgili iç kaynakların internet eişiminde kullandıkları uygulamalar tespit edilebilmeli ve bloklanabilmelidir. IPS dashboardları hangi uygulamaların ne Bilişim Güvenliği Projesi-Network IPS 3/5 miktarda trafik oluşturduğunu gösterebilmelidir. Firewall kurallarının çalışabileceği zamanlar ayarlanabilmelidir. 2.27. IPS sistemi davranışsal web application server koruma özelliğine sahip olmalıdır. Bu sayede özellikle HTTP ve HTTPS trafikleri içerisinde gerçekleşen SQL Injection atak tipleri tespit edip engellenebilmelidir. 2.28. Advanced Botnet detection özelliği ile oluşan olaylar kendi içerisinde korele edilerek CCC ve Zombi sistemlerin tespiti mümkün olmalıdır. Tespit ve raporlama için gerekli hassasiyet ayarı yapılabilmelidir. 2.29. Atak imzaları ile ilgili olarak CVE, Bugtrack, CERT gibi endüstri standartları listelenebilir olmalıdır. 2.30. Atak imzaları ile ilgili politikalar oluşturulurken atak imzaları kategorize edilmiş olmalıdır. Örneğin sadece P2P imzaları, malwareler, phising ile ilgili ataklar kolayca listelenebilir olmalı. Ayrıca sadece özel bir kelime aranabilir olmalıdır. El ile özel filtreler yazmaya imkan tanımalıdır. (Örnegin son 2 imza guncellemesi arasındaki farklar nelerdir seklinde.) 2.31. Gelen imzalarla birlikte üreticinin önerdiği imza tipleri gerekirse otomatik aktif ve blok şeklinde kullanılabilmelidir. 2.32. Atak önem seviyeleri el ile değiştirilebilir yapıda olmalıdır. 2.33. IPS cihazının CPU, Throughput, Interface Throughput, Trafik flowları gibi performans değerleri görsel ve grafiksel olarak izlenebilir olmalıdır. 2.34. Belli trafik örnekleri için atak imzalarında ayrıştırma yapılabilir olmalıdır veya belli trafik örnekleri için tamamen IPS denetiminden çıkarılma mümkün olmalıdır. 2.35. Bulk edit yöntemi ile birden fazla atak imzasının aynı anda değiştirilmesine imkan tanımalıdır. 2.36. Oluşan olaylar gerçek zamanlı olarak izlenebilmeli, oluşan bir olay istenilmesi durumunda bloklanabilmeli yada belirlenen bir süre ile karantinaya alınabilmelidir. Karantinaya alınan hostlar ayrıca izlenebilmeli, karantina sureleri uzatılabilmeli veya serbest bırakılabilmelidir. 2.37. Merkezi yönetim yazılımı aynı üreticinin zaafiyet tespit, Host IPS, risk tespit sistemi ile entegre olabilmeli bu yolla ortak aksiyonlar alabilmelidir. Örneğin IPS admin oluşan olaylar üzerinden belli bir IP sahibini otomatik zaafiyet tarama testinden geçirebilmeli ve sonuçları yine aynı ekrandan görebilmelidir. Son kullanıcılarda çalışan HIPS modulu ile ise korelasyon imkanı sağlanmalı ve forensic araştırmalar yapılabilmelidir 2.38. Kritik sistem sorunları durumunda otomatik uyarı oluşturulabilmelidir (snmp, syslog, email) 2.39. Merkezi yönetim yazılımı veritabanı otomatik bakım prosedurlerini içermeli, otomatik arsivleme ve yedeklemeyi desteklemelidir. 2.40. Oluşan olaylar bir IPS admin tarafından farklı adminlere incelenmesi adına atanabilmelidir. 2.41. Gerektiği durumda cihaz tamamen Layer2 moda çekilip trafik denetleme dışında tutulabilmelidir. Bilişim Güvenliği Projesi-Network IPS 4/5 2.42. Merkezi yönetim sistemi üzerinde her bir IPS yöneticisinin ne yaptıgı audit loglar üzerinden detaylı incelenebilmelidir. 2.43. Sensor firmwareleri TFTP yoluyla veya merkezi GUI tarafından güncellenebilir olmalıdır. 2.44. Önerilen IPS sistemi aynı üreticinin zaafiyet tespit sistemi ,host IPS ve malware forensic sistemi ile entegre çalışabilir mimaride olmalıdır. Bilişim Güvenliği Projesi-Network IPS 5/5 E) SİBER TEHDİT TEST ve ANALİZ YAZILIMI 1. KONU Bu teknik şartname, kurumumuz dış katman güvenlik sisteminin siber tehditlere karşı sürekli olarak test edilip analiz edilmesi amacıyla alınması planlanan “Siber Tehdit Test ve Analiz Yazılımı”nın teknik özelliklerini kapsamaktadır. 2. TEKNİK ÖZELLİKLER Teklif edilen ürün, kurum BT(Bilgi Teknolojileri) altyapısının siber tehditlere ne kadar hazır olduğunu ve kurumda kullanılan ağ güvenlik sistemlerinin ne kadar etkin koruma sağladığını periyodik ve otomatik olarak test edilebilmesi ve raporlanabilmesi için en az aşağıdaki teknik özellikleri sağlayan bir yazılım çözümü olmalıdır. 2.1. Ürün, Kurumun siber tehditlere hazırlığı, internet ve kurum farklı ağları arasında koruma sağlayan ağ güvenliği sistemlerinin güvenlik başarımı siber saldırı simülasyonları gerçekleştirilerek test etmelidir. 2.2. Ürün, kurum sistemlerine, bilinen güvenlik zafiyeti bulunan uygulamalar veya sistemler kurmadan ön tanımlı siber saldırıları gerçekleştirebilmelidir. 2.3. Ürün, belirli bir güvenlik ürün üreticisine bağlı olmaksızın, tek başına çalışan veya diğer ağ güvenlik sistemleriyle entegre çalışan güvenlik sistemlerini analiz edebilmelidir. 2.4. Ürün, siber saldırıları en az iki farklı sistemde çalışan yazılım bileşenleri arasında gerçekleştirmelidir. Bileşenlerin her biri kurum ağındaki farklı mantıksal ağlara veya internete konumlandırılabilmelidir. 2.5. Ürün, kurum web sunucuları için özelleşmiş güvenlik politikalarını ayrıca test edebilmelidir. Bu amaçla ürün, kurum web sunucularına herhangi bir yazılım bileşeni kurmadan saldırı senaryolarını gerçekleştirerek, ağ veya kurum web sunucusu üzerinde çalışan güvenlik cihazlarının bu saldırıları engelleme başarımını ölçebilmelidir. 2.6. Testler web raporlanabilmelidir. tabanlı merkezi yönetim bileşeni üzerinden yönetilebilmeli ve 2.7. Testlerin icrası ve raporlama için erişilecek yönetim arabiriminde en az kullanıcı kimlik denetimi yapılmalı ve iletişim trafiği şifreli olmalıdır. 2.8. Ürün bileşenleri arasında gerçekleştirilen siber saldırılar, Ağ Adres Çevrimi (Network Address Translation) yapılan ağlar arasında da gerçekleştirilebilmelidir. 2.9. Ürünle yapılan saldırılar, durumsal denetim (stateful inspection) yapan güvenlik cihazları tarafından, durumsal olmadığı için, engellenmemelidir. 2.10. Ürün siber saldırıları gerçekleştirirken, saldırının tek bağlantı (connection) içermesi durumunda her bir saldırı için farklı bağlantı veya saldırının birden fazla bağlantı içermesi durumunda farklı bağlantılar açmalıdır. Tüm saldırılar tek bir bağlantı üzerinden gerçekleştirilmemelidir. Bilişim Güvenliği Projesi-Siber Tehdit Test ve Analiz Yazılımı 1/2 2.11. Ürün, siber saldırıları gerçekleştirirken güvenlik cihazları tarafından kara listeye alınma durumunu tespit edebilmelidir. Ürün, kara liste durumunu tespit ettikten sonra kalan atakları gerçekleştirmeden her bir atak için bu durumu raporlayarak, taramayı sonlandırmalıdır. 2.12. Ürün, siber saldırılarını gerçekleştirirken güvenlik cihazları tarafından paket düşürülerek, reset paketi gönderilerek ve paket içeriği değiştirilerek engellenen saldırıları tespit edebilmeli ve bu atakların engellendiği bilgisini raporlayabilmelidir. 2.13. Ürün, siber saldırılarını gerçekleştirirken, bir saldırı trafiğinin kesintiye uğramadan tamamlanması durumunda bu saldırının engellenmediğini raporlamalıdır. 2.14. Ürün üzerinde en az Zararlı Yazılım, Zafiyet Sömürme ve Web Uygulama Atakları tehdit kategorilerinde yer alan saldırı imzaları bulunmalıdır. 2.15. Ürününün web arabiriminden, kurumda bulunan ürün ve teknolojilere göre atak grupları özelleştirilebilmeli ve ataklar bu özelleşmiş gruplar üzerinden yapılabilmelidir. Üründe, atak gruplarının çalışma sıklığı tanımlanarak, testler otomatik olarak gerçekleştirilebilmelidir. 2.16. Ürün atak veri tabanında en az 900 (dokuzyüz) farklı atak imzası yer almalıdır. Ürüne dışarıdan uygun PCAP formatında atak imzası da eklenebilmelidir. 2.17. Ürün raporları engellenen, engellenmeyen ve başarısız atakları istatistik olarak göstermeli ve her bir atakla ilgili olarak en az atak ismi, kategorisi, kritikliği, kullandığı portu, atağın sonucu, referansı ve atağın kısa açıklamasını içermelidir. 2.18. Test edilen her bir Zafiyet Sömürme ve Web Uygulama atağına karşı alınabilecek önlemlerin anlaşılabilmesi için, ürün raporlama ekranlarında ilgili atağı engelleyecek Snort veya ModSecurity imza örnekleri bulunmalıdır. 2.19. Ürünün tüm bileşenleri, CentOS Linux 64bit tabanlı işletim sistemleri üzerinde çalışabilmelidir. 2.20. Üründe, raporlar PDF ve CSV formatında dışarıya aktarılabilmelidir. 2.21. Ürün, kurum ağ güvenliği sistemlerinin başarımı haftalık olarak PDF formatında raporlayabilmelidir. Raporlarda en az güvenlik başarımdaki değişim, önceki haftaya göre engellenen ve engellenmeyen ataklardaki değişim, yeni eklenen atakların sonuçları ve son yapılan güvenlik testinin sonuçları kısımlarını içermelidir. Kurum güvenlik yöneticisi testleri çalıştırdığı web arabiriminden bu raporları otomatik olarak üretebilmelidir. 2.22. Ürünün, Vmware ESX ve Microsoft HyperV sanallaştırma ortamlarına kolay kurulumu için hazır bir kurulum imajı bulunmalıdır. 2.23. Ürün, lisans süresi boyunca kurum altyapısında sürekli çalışacak şekilde lisanslanmalıdır. 2.24. Ürün, 3 (üç) adet saldırı simülasyon bileşeni, 3 (üç) adet web sunucusunu test edebilme yeteneği ve 1 (bir) adet yönetim bileşeni olarak teklif edilmelidir. 2.25. Ürün, 3 (üç) yıl boyunca kurumun talebine göre bulut tabanlı veya kurum ağına kurulacak yönetim bileşenine erişim yanında ürünün ve saldırı imza veri tabanının en güncel versiyonu kullanımını içerecek şekilde teklif edilmelidir. Bilişim Güvenliği Projesi-Siber Tehdit Test ve Analiz Yazılımı 2/2