INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE
1. Nombre del Área Gerencia de Operaciones y Sistemas.
2. Responsable de la Evaluación Isaac Rotstain Helfman
3. Cargo Analista de Soporte Técnico
4. Fecha 14/09/2007
5. Justificación Permitirá establecer los atributos o características mínimas para la renovación o adquisición de un software Firewall. Actualmente, Agrobanco cuenta con dos equipos Firewall que atienden a segmentos deferentes, dichos equipos (appliance) ya tienen más de 4 años de antigüedad y actualmente ya no tienen contrato de mantenimiento (actualizaciones). En tal sentido, se ha evaluado la posibilidad de renovar el contrato de mantenimiento frente a la adquisición un nuevo Firewall bajo un nuevo esquema de red, tomando en cuenta que estamos próximos a interconectarnos con el Banco de la Nación para realizar transacciones en línea. Con esta nueva modalidad de trabajo (en línea) con el Banco de la Nación, es necesario contar con un esquema de redundancia de alta disponibilidad y con tolerancia a fallas.
6. Alternativas Se analizaron los siguientes productos Firewall: • • •
Checkpoint Juniper Cisco
PDF created with pdfFactory Pro trial version www.pdffactory.com
7. Análisis Comparativo Técnico
Se realizó aplicando la parte 3 de la Guía de Evaluación de Software. a. Propósito de la Evaluación: Determinar los atributos o características mínimas para la renovación del actual Firewall o la adquisición de un nuevo Software Firewall. b. Identificar el tipo de producto •
c.
Software Firewall.
Especificación del Modelo de Calidad •
Se aplicará el Modelo de Calidad de Software descrito en la Parte I de la Guía de Evaluación de Software aprobado por Resolución Ministerial N° 139-2004-PCM.
d. Selección de métricas Las métricas fueron seleccionadas en base al análisis de la información técnica de los productos Firewall señalados en el punto “6. ALTERNATIVAS”, como son las características del producto y requerimientos de instalación y que fueron obtenidas de las siguientes empresas proveedoras de software: • • •
Cosapi Data TrendCorp GMD
En el Anexo I, se puede apreciar el cuadro de análisis con las características resumidas de los Firewall. En el Anexo III, se presenta copias de las proformas proporcionadas por los proveedores, en las que se detall an las características propias de cada Firewall. Del análisis realizado se ha determinado las siguientes mínimas: ITEM
ATRIBUTOS
características técnicas
DESCRIPCI ON
ATRIBUTOS INTERNOS
1
Sistema operativo
2
Tipo de solución
3
Actualizaciones y Mantenimiento
4
Interfaces
El producto debe correr sobre un sistema operativo propietario. Deberá ser basada en hardware y software con un esquema de redundancia de alta disponibilidad (activo – pasivo) y tolerancia a fallas. El hardware deberá de estar certificado por el fabricante del software Firewall y podrá ser de la misma marca. Debe de incluir actualizaciones y mantenimiento mínimo por un año de hardware y software, tanto del módulo de Firewall y de otros adicionales que pudieran tener. Debe de tener por lo menos 03 interfaces de red Fast Ethernet 10/100 Mbps y 02 interfaces de red Fast Ethernet 10/100/1000 Mbps.
PDF created with pdfFactory Pro trial version www.pdffactory.com
5 6 7 8
Licenciamiento Servidor VPN Sesiones concurrentes Throughput del Firewall ATRIBUTOS EXTERNOS
Mínimo 200 licencias. Debe incluir servidor de VPN. Mínimo 32,000. Mínimo 300 Mbps Debe de contar con administración remota (interface gráfica) con cuentas para el acceso a dicha administración. Los componentes de la solución deberán poseer las configuraciones localmente, no dependiendo su funcionamiento de las consolas de administración, una falla en la consola de administración no debe dejar fuera de servicio a los equipos remotos Debe ser desde máquinas específicas.
9
Administración
Los administradores que acceden a los firewalls deben autenticarse mediante algún medio seguro. El equipo permitirá la vuelta atrás (roll-back) a la ultima configuración estable aplicada, luego de realizada una modificación en la m isma. Debe manejar calidad de servicio: priorización y limitación de ancho de banda por aplicación atravesando el firewall. Debe incluir manejo de NAT, PAT, y mapeo de múltiples hosts internos en una dirección global para servicios TCP y UDP. Las reglas permanecer en medio físico, no volátil. Debe permitir bloquear código Java, Active X y otros scripts y applets que puedan ser maliciosos. Debe poder hacer filtraje dentro de puertos TCP conocidos (por ejemplo el puerto 80 de http), aplicaciones potencialmente peligrosas como P2P (KaZaA, Gnutella, Morpheus) o Messengers (Yahoo!, MSN, ICQ).
10 Protección contra ataques
Debe permitir bloquear comandos HTTP no deseados y cadena de caracteres que indiquen la posibilidad de ser un gusano/troyano en general. Debe soportar la activación y desactivación de técnicas de detección y evasión de ataques de DOS (Denegación de servicio). Debe soportar la activación y desactivación de técnicas de anti-spoofing sobre cada zona de seguridad.
PDF created with pdfFactory Pro trial version www.pdffactory.com
Debe poseer técnicas que mitigan los ataques conocidos como : Ping Of Death , TearDrop Attack y WinNuke Debe incluir protección contra ataques ICMP para si mismo.
El equipo deberá tener la potencialidad de incorporación de las siguientes funcionalidades de procesamiento de contenidos en el mismo equipo y en forma simultánea: 11 Módulos Adicionales Antivirus. Detección y prevención de intrusos. Filtro de contenidos para tráfico Web. Debe soportar VPN mediante IPSec con calidad de servicio. VPN tipo site to site y client to site 12 Conexión VPN
Mínimo 25 VPN en simultáneo. Debe soportar digitales.
VPN
mediante
certificados
ATRIBUTOS DE USO
13 Reportes
14 Facilidad de uso
Debe permitir ver en tiempo real la actividad del firewall, ataques de red, eventos de seguridad, actividad de la red, túneles VPN y uso de recursos de memoria del firewall. El software Firewall debe incluir capacitación para el personal de Soporte Técnico en la administración del producto.
15 Soporte Técnico
Debe ser 24x7x365 con un tiempo de respuesta no mayor a 4 horas.
16 Instalación y Migración
Debe de incluir la instalación y la migraci ón de la solución actual hasta la puesta a punto.
PDF created with pdfFactory Pro trial version www.pdffactory.com
e. Niveles, escalas para las métricas ITEM
1 2 3 4 5 6 7 8
ATRIBUTOS
ESCALAS
ATRIBUTOS INTERNOS Sistema operativo Tipo de Solución Actualizaciones Interfaces Licenciamiento Servidor VPN Sesiones concurrentes Throughput del Firewall
9 9 8 5 5 5 5 5
ATRIBUTOS EXTERNOS 9
Administración
10 Protección contra ataques 11 Módulos Adicionales 12 Conexión VPN
6 10 5 5
ATRIBUTOS DE USO 13 14 15 16
Reportes Facilidad de uso Soporte Técnico Instalación y Migración
5 5 8 5
PUNTAJE TOTAL
100
8. Análisis Comparativo de Costo – Beneficio •
En el Anexo II se puede apreciar un cuadro comparativo de ventajas de los productos software que fueron analizados técnicamente y un análisis costo – beneficio teniendo como referencia la renovación para l os siguientes años.
9. Conclusiones •
•
•
Técnicamente es necesario hacer una adquisición de un nuevo Firewall que tenga interfaces suficientes para soportar todas las zonas actuales y las futuras debido a que los Firewall actuales solo tienen 3 interfaces de red cada uno, en tal sentido, no sería posible ponerlos como redundantes si es que se toma la decisión de instalarlos en paralelo para que sirva de redundancia, luego de realizar la actualización de los mismos.
En el análisis de costo beneficio, la renovación de los Firewall actuales frente a la adquisición de un nuevo Firewall no es conveniente.
Se determinó que es conveniente hacer una adquisición de un nuevo Firewall con otro que trabaje en redundancia (alta disponibilidad), dicho Firewall deberá de tener más interfaces para poder reemplazar a los 2 Firewall que tenemos actualmente atendiendo segmentos de red separados y adicionalmente se podrá segmentar otras redes que tengamos a futuro.
PDF created with pdfFactory Pro trial version www.pdffactory.com