Item 2.6 - O serviço deve permitir a criação de regras
Propaganda
Brasília, 24 de Março de 2015 À CGU - Controladoria Geral da União CGRL Coordenação Geral de Recursos Logísticos Comissão de Licitação A/C Sr. Márcio David e Souza Nesta REF.: RESPOSTA DILIGÊNCIA PREGÃO ELETRÔNICO Nº 02/2015 - CGU Prezado Sr. Pregoeiro, Conforme solicitado seguem nossos esclarecimentos. Item 2.6 - O serviço deve permitir a criação de regras baseadas em tempo de conexão consumido, por usuário ou grupo de usuário, ou por volume de dados por usuário; Conforme documentação apresentada, para o funcionamento de quota por usuários, será necessário que o usuário se autentique provendo seu login/senha para que o FortiGate o reconheça e determine a quota permitida para este usuário. Essa autenticação será realizada por meio de um prompt que será apresentado no primeiro acesso à URL: Porém, no item 1.13 deste edital, requer-se que a autenticação do usuário seja realizada de forma transparente. Assim, solicita-se responder o seguinte questionamento: a) É possível realizar a utilização do sistema de quota com autenticação transparente via NTLM? SIM, é possivel. O Fortigate possui um mecanismo próprio para autenticação transparente, chamado FSSO (Fortinet Single Sign-on) que funciona da seguinte maneira: 1. O agente do FSSO (Collector) detecta o evento de login e registra o nome da estação de trabalho, domínio e usuário. 2. Resolve o nome da estação de trabalho para um endereço IP. 3. Determina a que grupos o usuário pertence. 4. Envia as informações de logon do usuário, incluindo o endereço IP e grupos para o Fortigate. 5. O Fortigate cria uma entrada em sua tabela de usuários autenticados. Então quando o usuário trafegar por uma regra que exige autenticação, o fortigate irá conferir o IP com a sua tabela, determinando assim os seus respectivos perfis de acesso. As quotas se aplicam a todos os usuários autenticados no Fortigate, seja via NTLM, autenticação local ou FSSO. Figura 1 - Figura retirada de documento oficial (Handbook) página 563 e 564. Figura 2 - Figura de documento oficial (Handbook) página 2112. Deste texto acima depreende-se que as quotas só funcionam para usuários autenticados. Não há exigências quanto ao tipo de autenticação, apenas que o usuário esteja autenticado. Por tanto, a autenticação via NTLM é feita por meio da interação entre o Navegador e o controlador de domínio. Para melhor entendimento seguem exemplos dos métodos de autenticação do FSSO. Seguem links de vídeos públicos disponíveis no site da Fortinet: 1) Método de Single Sign-On (FSSO) in Polling Mode http://video.fortinet.com/video/88/setup-fortinet-single-sign-on-fsso-in-polling-modefortios-v5-0 2) Método de Single Sign-On (FSSO) usando controlador de domínio AD http://video.fortinet.com/video/130/fsso-polling-using-windows-ad 3) Método de Single Sign-On (FSSO) usando Collector Agent http://video.fortinet.com/video/79/fsso-windows-ad-5-0 Item 2.20 - O serviço deve permitir a liberação/bloqueio de canais específicos do site www.youtube.com; Os canais do Youtube.com não podem ser liberados ou bloqueados apenas por meio do “URL filter”. Conquanto a página inicial possua parâmetros estáticos como “user” ou “channel”, cada vídeo do canal possui um identificador único em sua URL. Exemplo: Página do canal do STF: https://www.youtube.com/user/STF Exemplos de URL de vídeos do canal do STF: o https://www.youtube.com/watch?v=XQl9wWzmXNs o https://www.youtube.com/watch?v=fTxP0tW_enM o https://www.youtube.com/watch?v=HNoQJ4f1mJY Além disso, páginas que possuem vídeos embutidos de canais liberados também deverão ser liberados. Tais vídeos também possuem URLs diferentes da URL do canal. Assim, solicita-se: a) comprovar a possibilidade de liberação/bloqueio de canais específicos do site www.youtube.com; Inicialmente, o item 2.20 não especifica o método de liberação/bloqueio a ser utilizado. Os canais do Youtube.com não podem ser liberados ou bloqueados apenas por meio do “URL filter”. Conquanto a página inicial possua parâmetros estáticos como “user” ou “channel”, cada vídeo do canal possui um identificador único em sua URL. A maneira mais simples de controlar o acesso ao canal do Youtube é liberando/bloqueando o canal usando o link diretamente ou expressões regulares conforme exemplificado anteriormente. Uma outra maneira é listar todos os vídeos que estão disponíveis em cada canal e fazer o controle individual. É possível controlar o acesso por liberação/bloqueio de categoria do tipo Streaming de vídeo. O Google retirou qualquer informação do header dos vídeos do Youtube por motivo de licenciamento e não é possível identificar a qual canal o vídeo pertence, dessa maneira a liberação deve ser feita manualmente ou semi-automático. Essa é uma prática bem comum das principais ferramentas de mercado, que seria listar todos os vídeos com link no canal e usar um aplicativo/script/API Google para adicionar as regras de controle (bloquear/liberar) do "user" ou "Uploader", categoria, titulo e palavras chaves. Vide o link https://www.youtube.com/static?gl=BR&template=terms&hl=pt. Uma das maneiras utilizadas pela Fortinet é, após a criação da regra (bloquear/liberar), adiciona-se sensores de controle, criando Filtros e Perfis WEB e adicionando um verificador do "Header" e o ID do canal. Usando essa "feature" é possível liberar o canal especifico no Youtube e bloquear o restante, além da possibilidade de trabalhar com expressões regulares para controlar o acesso a determinados canais. Um exemplo pode ser visualizado quando somente canais de conteúdo educativo, podem ser exibidos quando utilizado a detecção pelo tipo de Header. Quando usando uma conta oficial do Youtube é possível criar um Header nos links dos arquivos, como no exemplo: http://youtube.com/?edufilter=ABCD1234567890abcdef Para entender melhor o métodos segue link de vídeo público demonstrando essa ação. http://youtube.com/watch?v=gM95HHI4gLk&edufilter=ABCD1234567890afbcdef Além dessa facilidade, a Fortinet ainda oferece o controle de acesso verificando de maneira mais profunda, usando o acesso direto aos pacotes criptografados via certificado SSL. Devido a facilidade de burlar as regras de bloqueio utilizando o acesso diretamente via HTTPS o Fortigate utiliza um método chamado de Fortinet "Deep Scanning" (Conforme imagens abaixo), que faz a inspeção SSL e garante a inspeção segura dos dados trafegados em links usando HTTPS para burlar os filtros de conteúdo, e para garantir a segurança nas ferramentas de pesquisas é possível ainda habilitar a feature "Safe Search". Mais informações sobre os métodos acima podem ser verificadas no documento online "Inside FortiOS 5" no link http://docs.fortinet.com/d/fortigate-web-filtering-fortios-5.0. Método de bloqueio por uso do método "SafeSearch" http://docslegacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%205.0%20Help/web_filter_ch apter.154.25.html Para melhorar o entendimento, é possível visualizar um vídeo explicativo no endereço http://video.fortinet.com/video/32/blocking-https-traffic-5-0 Figura 3 - Habilitar Deep Inspection of Cloud Applications e métodos de bloqueio Figura 4 - Criação de regra para SSL Inspection Figura 5 - Criação de Filtro para conteúdo educacional Para melhorar o entendimento, segue um vídeo público da Fortinet que demonstra o bloqueio e a liberação de canais com o uso de reconhecimento por Header https://www.youtube.com/watch?v=_PV7JSCPqLA De qualquer maneira, Independente de como vai ser feito o bloqueio de canais específicos do Youtube, será necessário a criação de uma regra/filtro de bloqueio por URL, e somente será liberado o canal e os vídeos disponibilizados a partir do endereço do canal https://www.youtube.com/user/STF, desde que o site tenha uma Header um cabeçalho especifico para cada tipo. Item 4.2 O serviço deve disponibilizar ferramenta para geração de relatórios, fornecendo informações gerenciais a partir dos logs gerados pela solução, permitindo a extração de informações detalhadas sobre usuários, sites e categorias acessadas, rede de origem, IP de origem, grupos de usuários, protocolos e tempo de navegação; Quanto a este item, a proponente informou que “O FortiAnalyser é capaz de gerar tais relatórios com as informações solicitadas. Os "Templates" serão fornecidos usando pesquisas customizadas através de "Queries" diretamente nas informações fornecidas nos LOG's...”. Tendo em vista o conteúdo da transcrição acima, entendemos que serão fornecidos e implementados pela empresa tanto os "Templates" quanto as "Queries" por eles utilizadas. Assim, solicita-se: a) confirmar se o entendimento acima está correto. Sim o entendimento esta correto, a NCT criará todas as "Queries" para criação dos "Templates". Os exemplos das "Queries" podem ser verificadas nas imagens de demonstração do item diligenciado 4.7 Item 4.4 - O serviço deve permitir a customização de relatórios fornecendo apenas informações restritas a grupos de usuários definidos previamente ou de grupos de usuários existentes no Serviço de Diretório da CONTRATANTE; Quanto a este item, a proponente informou que “Como já foi informado, este relatório será criado por meio de datasets customizados. Um relatório é composto por datasets e layouts, então podem ser customizados diferentes datasets para atender várias necessidades em um mesmo relatório”. Tendo em vista o conteúdo da transcrição acima, entendemos que serão fornecidos e implementados pela empresa tanto os "Templates" quanto os layouts citados. Assim, solicita-se: a) confirmar se o entendimento acima está correto; Sim, o entendimento esta correto. Será implementado no modo de suporte, a criação dos relatórios customizados conforme solicitado no item. b) encaminhar imagens exemplificativas dos layouts a serem utilizados. Seguem imagens demonstrativas Figura 6 - Exemplo de DataSets já definidas Figura 7 - Imagem exemplificativa de modelo de relatório Figura 8 - Imagem exemplificativa de modelo de relatório Figura 9 - Imagem exemplificativa de modelo de relatório Item 4.7 - O serviço deve oferecer "Templates" pré-formatados de relatórios com, no mínimo, as seguintes opções: Item 4.7.1 - Sites mais acessados; Item 4.7.2 - Sites mais acessados por volume de dados; Item 4.7.3 - Usuários com maior volume de dados; Item 4.7.4 - Usuários com maior número de acessos; Item 4.7.5 - Usuários com maior número de acessos por categoria de URL; Item 4.7.6 - Usuários com maior número de acessos por URL; Item 4.7.7 - Grupos com maior volume de dados; Item 4.7.8 - Grupos com maior número de acessos; Item 4.7.9 - Grupos com maior número de acessos por categoria de URL; Item 4.7.10 - Grupos com maior número de acessos por URL; Item 4.7.11 - Endereço de rede com maior volume de dados; Item 4.7.12 - Endereço de rede com maior número de acessos; Item 4.7.13 - Endereço de rede com maior número de acessos por categoria de URL; Item 4.7.14 - Endereço de rede com maior número de acessos por URL; Item 4.7.15 - Categorias mais acessadas; Item 4.7.16 - Sites maliciosos mais acessados; Item 4.7.17 - Volume de dados por Rede; Item 4.7.18 - Utilização de banda por site; Item 4.7.19 - Utilização de banda por categoria de URL; Item 4.7.20 - Sites bloqueados por categoria de URL; Quanto a este item, a proponente informou que “Os "Templates" serão fornecidos usando pesquisas customizadas através de "Queries" diretamente nas informações fornecidas nos LOG's, a base de pesquisa é exatamente como demonstrado no arquivo de índice "I" "Fortigate Log Message Reference" com esse documento é possível gerar consultas através de pesquisa em campos específicos e compilação de dados”. Tendo em vista o conteúdo da transcrição acima, entendemos que serão fornecidos e implementados pela empresa tanto os "Templates" quanto as "Queries" citadas. Assim, solicita-se: a) confirmar se o entendimento acima está correto, encaminhando imagens exemplificativas dos relatórios a serem fornecidos; Sim o entendimento esta correto, a NCT criará todas as "Queries" para criação dos "Templates". Os exemplos das "Queries" podem ser verificadas nas imagens dos itens demonstradas abaixo. b) Solicita-se confirmar o nome da ferramenta que será utilizada para gerar os relatórios. A própria interface interna do produto FortiManager com função de FortiAnalyzer gerará os relatórios, sem a necessidade de ferramentas de terceiros. Figura 10 - Interface básica de relatórios do FortiAnalyzer Item 4.7.1 - Sites mais acessados; Item 4.7.2 - Sites mais acessados por volume de dados; Item 4.7.3 - Usuários com maior volume de dados; Item 4.7.4 - Usuários com maior número de acessos; Item 4.7.5 - Usuários com maior número de acessos por categoria de URL; Item 4.7.6 - Usuários com maior número de acessos por URL; Item 4.7.7 - Grupos com maior volume de dados; Item 4.7.8 - Grupos com maior número de acessos; Item 4.7.9 - Grupos com maior número de acessos por categoria de URL; Item 4.7.10 - Grupos com maior número de acessos por URL; Item 4.7.11 - Endereço de rede com maior volume de dados; Item 4.7.12 - Endereço de rede com maior número de acessos; Item 4.7.13 - Endereço de rede com maior número de acessos por categoria de URL; Item 4.7.14 - Endereço de rede com maior número de acessos por URL; Item 4.7.15 - Categorias mais acessadas; Item 4.7.16 - Sites maliciosos mais acessados; Item 4.7.17 - Volume de dados por Rede; Item 4.7.18 - Utilização de banda por site; Item 4.7.19 - Utilização de banda por categoria de URL; Item 4.7.20 - Sites bloqueados por categoria de URL;
