Item 2.6 - O serviço deve permitir a criação de regras

Propaganda
Brasília, 24 de Março de 2015
À
CGU - Controladoria Geral da União
CGRL Coordenação Geral de Recursos Logísticos
Comissão de Licitação
A/C Sr. Márcio David e Souza
Nesta
REF.: RESPOSTA DILIGÊNCIA PREGÃO ELETRÔNICO Nº 02/2015 - CGU
Prezado Sr. Pregoeiro,
Conforme solicitado seguem nossos esclarecimentos.
Item 2.6 - O serviço deve permitir a criação de regras baseadas em tempo de
conexão consumido, por usuário ou grupo de usuário, ou por volume de dados
por usuário;
Conforme documentação apresentada, para o funcionamento de quota por usuários,
será necessário que o usuário se autentique provendo seu login/senha para que o
FortiGate o reconheça e determine a quota permitida para este usuário. Essa
autenticação será realizada por meio de um prompt que será apresentado no primeiro
acesso à URL:
Porém, no item 1.13 deste edital, requer-se que a autenticação do usuário seja
realizada de forma transparente.
Assim, solicita-se responder o seguinte questionamento:
a) É possível realizar a utilização do sistema de quota com autenticação
transparente via NTLM?
SIM, é possivel.
O Fortigate possui um mecanismo próprio para autenticação transparente, chamado
FSSO (Fortinet Single Sign-on) que funciona da seguinte maneira:
1. O agente do FSSO (Collector) detecta o evento de login e registra o nome da
estação de trabalho, domínio e usuário.
2. Resolve o nome da estação de trabalho para um endereço IP.
3. Determina a que grupos o usuário pertence.
4. Envia as informações de logon do usuário, incluindo o endereço IP e grupos para
o Fortigate.
5. O Fortigate cria uma entrada em sua tabela de usuários autenticados. Então
quando o usuário trafegar por uma regra que exige autenticação, o fortigate irá
conferir o IP com a sua tabela, determinando assim os seus respectivos perfis de
acesso.
As quotas se aplicam a todos os usuários autenticados no Fortigate, seja via NTLM,
autenticação local ou FSSO.
Figura 1 - Figura retirada de documento oficial (Handbook) página 563 e 564.
Figura 2 - Figura de documento oficial (Handbook) página 2112.
Deste texto acima depreende-se que as quotas só funcionam para usuários
autenticados. Não há exigências quanto ao tipo de autenticação, apenas que o usuário
esteja autenticado.
Por tanto, a autenticação via NTLM é feita por meio da interação entre o Navegador e o
controlador de domínio.
Para melhor entendimento seguem exemplos dos métodos de autenticação do FSSO.
Seguem links de vídeos públicos disponíveis no site da Fortinet:
1) Método de Single Sign-On (FSSO) in Polling Mode
http://video.fortinet.com/video/88/setup-fortinet-single-sign-on-fsso-in-polling-modefortios-v5-0
2) Método de Single Sign-On (FSSO) usando controlador de domínio AD
http://video.fortinet.com/video/130/fsso-polling-using-windows-ad
3) Método de Single Sign-On (FSSO) usando Collector Agent
http://video.fortinet.com/video/79/fsso-windows-ad-5-0
Item 2.20 - O serviço deve permitir a liberação/bloqueio de canais específicos do
site www.youtube.com;
Os canais do Youtube.com não podem ser liberados ou bloqueados apenas por meio
do “URL filter”. Conquanto a página inicial possua parâmetros estáticos como “user” ou
“channel”, cada vídeo do canal possui um identificador único em sua URL.
Exemplo:


Página do canal do STF: https://www.youtube.com/user/STF
Exemplos de URL de vídeos do canal do STF:
o https://www.youtube.com/watch?v=XQl9wWzmXNs
o https://www.youtube.com/watch?v=fTxP0tW_enM
o https://www.youtube.com/watch?v=HNoQJ4f1mJY
Além disso, páginas que possuem vídeos embutidos de canais liberados também
deverão ser liberados. Tais vídeos também possuem URLs diferentes da URL do canal.
Assim, solicita-se:
a) comprovar a possibilidade de liberação/bloqueio de canais específicos do site
www.youtube.com;
Inicialmente, o item 2.20 não especifica o método de liberação/bloqueio a ser utilizado.
Os canais do Youtube.com não podem ser liberados ou bloqueados apenas por meio
do “URL filter”. Conquanto a página inicial possua parâmetros estáticos como “user” ou
“channel”, cada vídeo do canal possui um identificador único em sua URL.
A maneira mais simples de controlar o acesso ao canal do Youtube é
liberando/bloqueando o canal usando o link diretamente ou expressões regulares
conforme exemplificado anteriormente. Uma outra maneira é listar todos os vídeos que
estão disponíveis em cada canal e fazer o controle individual. É possível controlar o
acesso por liberação/bloqueio de categoria do tipo Streaming de vídeo.
O Google retirou qualquer informação do header dos vídeos do Youtube por motivo de
licenciamento e não é possível identificar a qual canal o vídeo pertence, dessa maneira
a liberação deve ser feita manualmente ou semi-automático. Essa é uma prática bem
comum das principais ferramentas de mercado, que seria listar todos os vídeos com
link no canal e usar um aplicativo/script/API Google para adicionar as regras de
controle (bloquear/liberar) do "user" ou "Uploader", categoria, titulo e palavras chaves.
Vide o link https://www.youtube.com/static?gl=BR&template=terms&hl=pt.
Uma das maneiras utilizadas pela Fortinet é, após a criação da regra (bloquear/liberar),
adiciona-se sensores de controle, criando Filtros e Perfis WEB e adicionando um
verificador do "Header" e o ID do canal. Usando essa "feature" é possível liberar o
canal especifico no Youtube e bloquear o restante, além da possibilidade de trabalhar
com expressões regulares para controlar o acesso a determinados canais.
Um exemplo pode ser visualizado quando somente canais de conteúdo educativo,
podem ser exibidos quando utilizado a detecção pelo tipo de Header.
Quando usando uma conta oficial do Youtube é possível criar um Header nos links dos
arquivos, como no exemplo: http://youtube.com/?edufilter=ABCD1234567890abcdef
Para entender melhor o métodos segue link de vídeo público demonstrando essa ação.
http://youtube.com/watch?v=gM95HHI4gLk&edufilter=ABCD1234567890afbcdef
Além dessa facilidade, a Fortinet ainda oferece o controle de acesso verificando de
maneira mais profunda, usando o acesso direto aos pacotes criptografados via
certificado SSL.
Devido a facilidade de burlar as regras de bloqueio utilizando o acesso diretamente via
HTTPS o Fortigate utiliza um método chamado de Fortinet "Deep Scanning" (Conforme
imagens abaixo), que faz a inspeção SSL e garante a inspeção segura dos dados
trafegados em links usando HTTPS para burlar os filtros de conteúdo, e para garantir a
segurança nas ferramentas de pesquisas é possível ainda habilitar a feature "Safe
Search".
Mais informações sobre os métodos acima podem ser verificadas no documento online
"Inside FortiOS 5" no link http://docs.fortinet.com/d/fortigate-web-filtering-fortios-5.0.
Método
de
bloqueio
por
uso
do
método
"SafeSearch"
http://docslegacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%205.0%20Help/web_filter_ch
apter.154.25.html
Para melhorar o entendimento, é possível visualizar um vídeo explicativo no endereço
http://video.fortinet.com/video/32/blocking-https-traffic-5-0
Figura 3 - Habilitar Deep Inspection of Cloud Applications e métodos de bloqueio
Figura 4 - Criação de regra para SSL Inspection
Figura 5 - Criação de Filtro para conteúdo educacional
Para melhorar o entendimento, segue um vídeo público da Fortinet que demonstra o
bloqueio e a liberação de canais com o uso de reconhecimento por Header
https://www.youtube.com/watch?v=_PV7JSCPqLA
De qualquer maneira, Independente de como vai ser feito o bloqueio de canais
específicos do Youtube, será necessário a criação de uma regra/filtro de bloqueio por
URL, e somente será liberado o canal e os vídeos disponibilizados a partir do endereço
do canal https://www.youtube.com/user/STF, desde que o site tenha uma Header um
cabeçalho especifico para cada tipo.
Item 4.2 O serviço deve disponibilizar ferramenta para geração de relatórios,
fornecendo informações gerenciais a partir dos logs gerados pela solução,
permitindo a extração de informações detalhadas sobre usuários, sites e
categorias acessadas, rede de origem, IP de origem, grupos de usuários,
protocolos e tempo de navegação;
Quanto a este item, a proponente informou que “O FortiAnalyser é capaz de gerar tais
relatórios com as informações solicitadas. Os "Templates" serão fornecidos usando
pesquisas customizadas através de "Queries" diretamente nas informações fornecidas
nos LOG's...”.
Tendo em vista o conteúdo da transcrição acima, entendemos que serão fornecidos e
implementados pela empresa tanto os "Templates" quanto as "Queries" por eles
utilizadas.
Assim, solicita-se:
a) confirmar se o entendimento acima está correto.
Sim o entendimento esta correto, a NCT criará todas as "Queries" para criação dos
"Templates". Os exemplos das "Queries" podem ser verificadas nas imagens de
demonstração do item diligenciado 4.7
Item 4.4 - O serviço deve permitir a customização de relatórios fornecendo
apenas informações restritas a grupos de usuários definidos previamente ou de
grupos de usuários existentes no Serviço de Diretório da CONTRATANTE;
Quanto a este item, a proponente informou que “Como já foi informado, este relatório
será criado por meio de datasets customizados. Um relatório é composto por datasets
e layouts, então podem ser customizados diferentes datasets para atender várias
necessidades em um mesmo relatório”.
Tendo em vista o conteúdo da transcrição acima, entendemos que serão fornecidos e
implementados pela empresa tanto os "Templates" quanto os layouts citados.
Assim, solicita-se:
a) confirmar se o entendimento acima está correto;
Sim, o entendimento esta correto. Será implementado no modo de suporte, a criação
dos relatórios customizados conforme solicitado no item.
b) encaminhar imagens exemplificativas dos layouts a serem utilizados.
Seguem imagens demonstrativas
Figura 6 - Exemplo de DataSets já definidas
Figura 7 - Imagem exemplificativa de modelo de relatório
Figura 8 - Imagem exemplificativa de modelo de relatório
Figura 9 - Imagem exemplificativa de modelo de relatório
Item 4.7 - O serviço deve oferecer "Templates" pré-formatados de relatórios com,
no mínimo, as seguintes opções:
Item 4.7.1 - Sites mais acessados;
Item 4.7.2 - Sites mais acessados por volume de dados;
Item 4.7.3 - Usuários com maior volume de dados;
Item 4.7.4 - Usuários com maior número de acessos;
Item 4.7.5 - Usuários com maior número de acessos por categoria de URL;
Item 4.7.6 - Usuários com maior número de acessos por URL;
Item 4.7.7 - Grupos com maior volume de dados;
Item 4.7.8 - Grupos com maior número de acessos;
Item 4.7.9 - Grupos com maior número de acessos por categoria de URL;
Item 4.7.10 - Grupos com maior número de acessos por URL;
Item 4.7.11 - Endereço de rede com maior volume de dados;
Item 4.7.12 - Endereço de rede com maior número de acessos;
Item 4.7.13 - Endereço de rede com maior número de acessos por categoria de
URL;
Item 4.7.14 - Endereço de rede com maior número de acessos por URL;
Item 4.7.15 - Categorias mais acessadas;
Item 4.7.16 - Sites maliciosos mais acessados;
Item 4.7.17 - Volume de dados por Rede;
Item 4.7.18 - Utilização de banda por site;
Item 4.7.19 - Utilização de banda por categoria de URL;
Item 4.7.20 - Sites bloqueados por categoria de URL;
Quanto a este item, a proponente informou que “Os "Templates" serão fornecidos
usando pesquisas customizadas através de "Queries" diretamente nas informações
fornecidas nos LOG's, a base de pesquisa é exatamente como demonstrado no arquivo
de índice "I" "Fortigate Log Message Reference" com esse documento é possível gerar
consultas através de pesquisa em campos específicos e compilação de dados”.
Tendo em vista o conteúdo da transcrição acima, entendemos que serão fornecidos e
implementados pela empresa tanto os "Templates" quanto as "Queries" citadas.
Assim, solicita-se:
a) confirmar se o entendimento acima está correto, encaminhando imagens
exemplificativas dos relatórios a serem fornecidos;
Sim o entendimento esta correto, a NCT criará todas as "Queries" para criação dos
"Templates". Os exemplos das "Queries" podem ser verificadas nas imagens dos itens
demonstradas abaixo.
b) Solicita-se confirmar o nome da ferramenta que será utilizada para gerar os
relatórios.
A própria interface interna do produto FortiManager com função de FortiAnalyzer
gerará os relatórios, sem a necessidade de ferramentas de terceiros.
Figura 10 - Interface básica de relatórios do FortiAnalyzer
Item 4.7.1 - Sites mais acessados;
Item 4.7.2 - Sites mais acessados por volume de dados;
Item 4.7.3 - Usuários com maior volume de dados;
Item 4.7.4 - Usuários com maior número de acessos;
Item 4.7.5 - Usuários com maior número de acessos por categoria de URL;
Item 4.7.6 - Usuários com maior número de acessos por URL;
Item 4.7.7 - Grupos com maior volume de dados;
Item 4.7.8 - Grupos com maior número de acessos;
Item 4.7.9 - Grupos com maior número de acessos por categoria de URL;
Item 4.7.10 - Grupos com maior número de acessos por URL;
Item 4.7.11 - Endereço de rede com maior volume de dados;
Item 4.7.12 - Endereço de rede com maior número de acessos;
Item 4.7.13 - Endereço de rede com maior número de acessos por categoria de
URL;
Item 4.7.14 - Endereço de rede com maior número de acessos por URL;
Item 4.7.15 - Categorias mais acessadas;
Item 4.7.16 - Sites maliciosos mais acessados;
Item 4.7.17 - Volume de dados por Rede;
Item 4.7.18 - Utilização de banda por site;
Item 4.7.19 - Utilização de banda por categoria de URL;
Item 4.7.20 - Sites bloqueados por categoria de URL;
Download