Pliego NAC Orange_Exclusive

Document Sample
Pliego NAC Orange_Exclusive Powered By Docstoc
					1.1 Requerimientos básicos sobre la nueva solución
Los siguientes requerimientos serán aplicables a la nueva solución que se implemente. Con independencia
de los requisitos que se listan a continuación, el ofertante deberá adecuarse a la política de explotación y a
los requisitos y procedimientos de explotación de France Telecom vigentes en cada momento.


[REQ-NPR-1] Arquitectura
Este apartado no aplica para este pliego técnico


[REQ-NPR-2] Procesos
Este apartado no aplica para este pliego técnico


[REQ-NPR-3]       Explotación
        La gestión de los diferentes componentes de servicio se realiza actualmente con IBM Tivoli
         Monitoring 5.1.2
        Como herramienta de estudios de capacidad y rendimiento de los diferentes sistemas /
         aplicativos, se utiliza la herramienta de IBM Tivoli
        Los desarrollos realizados por posibles integraciones tendrán en cuenta que la herramienta de
         backup corporativa es IBM Tivoli Storage Manager 5.3.2.4
        El ofertante deberá detallar los procedimientos para archivado de la información como parte de
         la solución propuesta.
        El ofertante desarrollará los procedimientos y mecanismos automáticos que faciliten la correcta
         operación de la solución a implantar.
        El ofertante deberá detallar los procedimientos de monitorización de procesos como parte de la
         solución propuesta. También deberá detallar los procedimientos de monitorización de
         filesystems y directorios como parte de la solución propuesta.
        El ofertante deberá detallar los procedimientos de purgado y limpieza de la información como
         parte de la solución propuesta.
        El ofertante deberá detallar los procedimientos de planificación de procesos como parte de la
         solución propuesta.
        El ofertante dará soporte SNMP estándar a través de MIBs privadas habilitando una integración
         total con IBM Tivoli y otras soluciones de monitorización. La consola (Consentry Insight)
         provee un rango de incidencias, alertas y herramientas de mantenimiento dirigidas a la
         simplificación de la gestión y administración de la solución.


[REQ-NPR-4] Bases de Datos
    Los gestores de bases de datos estándares en France Telecom son Oracle versión 10(i).
        Los objetos de base de datos deben tener su estimación de espacio y los scripts productos del
         desarrollo deben incluir esta información adecuada a todos los entornos de France Telecom
         implicados en las distintas fases del desarrollo (Integración, Aceptación, Preproducción y
         Producción).
        En caso de que se necesiten, se deberán especificar las opciones de configuración o software
         adicional a instalar (particionamiento, pro*c).
        El optimizador de Oracle será definido por defecto con la modalidad de costes, estimándose
         todas las tablas, salvo que se defina expresamente lo contrario y asegurando el correcto
         mantenimiento de las mismas según las necesidades del sistema.
        No se admite la utilización de database-link.
        Los procesos contra la base de datos, deben ser relanzables y deben presentar control de errores.
        La solución no debe ser dependiente del nombre de la base de datos o instancia Oracle ni del
         nombre del propietario del esquema Oracle.
       Deberá garantizarse que los usuarios de acceso a la solución no tengan el rol de DBA, a
        excepción de los administradores de bases de datos. Los usuarios de acceso a la solución tendrán
        como grant el create session y acceso/modificación a las tablas y objetos de la BD.
       Deberá justificarse si es necesario tener usuarios con privilegios de sistema del tipo any como
        drop any table, update any table, execute any procedure, etc.
       Almacenará toda la información en una base de datos estándar dentro del dispositivo. Esta
        información podrá ser fácilmente exportada a Oracle, habilitando un DBA para tener un control
        completo de la seguridad, gestión y administración. Además, proporcionará una serie de
        herramientas usadas para exportar datos a un Backend de Oracle.


[REQ-NPR-5] Usuarios
    Las cuentas asignadas son personales e intransferibles, de modo que cada usuario dispondrá de
      una cuenta y una contraseña propia y no las compartirá con ningún otro usuario, siendo cada
      identificador utilizado por un único usuario.
       El ofertante se compromete a que los usuarios no utilicen cuentas que no les corresponden o
        cuentas comodín.
       La gestión de usuarios de cuales quiera de las aplicaciones facilitadas, será realizada
        íntegramente por France Telecom.
       Deberán poder definirse diferentes perfiles de seguridad en función del uso del sistema:
           o Usuarios finales (lectura, escritura, lectura y/o escritura)
           o Usuarios técnicos (administrador, mantenimiento, auditor, desarrollador)
       Se dispondrá de un mecanismo de accounting que registre todos los accesos bien en un fichero
        de log generado por el activo, bien con un time stamp (sellado de tiempos) en una base de datos
        de accesos.

Esos requerimientos no deberán suponer un incremento en la carga de trabajo del ofertante, ya que lo
único que hace es regular un trabajo que debe hacerse para garantizar la calidad del servicio ofertado.
1.2 Requerimientos Técnicos
[REQ-TEC-1] La solución debe cubrir todos los ámbitos de la red corporativa:
       Red corporativa central (sedes principales)
       Red corporativa remota (sedes remotas)
       Red perimetral (VPN SSL e IPSEC)
       Wireless
       Se propondrá una arquitectura de seguridad para la red ORANGE S.A. cumpliendo los
        requerimientos de control de acceso a la red. Esta arquitectura le dará a ORANGE S.A. una
        completa seguridad dentro de la infrestructura de la LAN sin necesidad de hacer upgrades de
        switches o cambios dentro de la propia infraestructura de la red.
       ConSentry LANShield Controller proporcionará un alto rendimiento hardware en modo in-line,
        llegando a un troughtput de 10 Gbps con un procesador de 128 core.
       ConSentry InSight Command Center proporcionará una gestión y auditoria centralizada de la
        red.
       A su vez, proporcionará la posibilidad de controlar e identificar, en tiempo real, a los usuarios
        que se conecten a la infraestrucutra de red de ORANGE S.A.
       Autenticación: Se identificará al usuario y se determinará si el usuario tiene acceso a la red
        coporativa de ORANGE S.A. El dispositivo se conectará a los servidores de autenticación
        existentes y almacenará las identidades para dar autenticación activa o pasiva usando Active
        Directory, RADIUS o Captive Portal.
       Validación: Se validará la salud o seguridad de las máquinas de los usuarios finales,
        comprobando sitema operativo, software de antivirus, presencia de malware, troyanos, así como
        cualquier otro tipo de software maligno. Todos los hosts que no cumplan con estas condiciones
        de seguridad serán redireccionados a un site de descarga de parches y fixes antes de acceder a la
        red.
       Control Basado en Identidad: el dispositivo aprenderá los roles de cada usuario durante la
        autenticación y aplicará los filtros de política basados en esos propios roles. Los filtros de las
        políticas de seguridad podrán ser definidos a nivel de capa 2, 3, 4 y 7 a nivel de usuario
        individual, sin la necesidad de actualizar ningún ACL, routers ni switches. Esta posibilidad es
        especialmente usada en los controles de post-admisión, por ejemplo separando el tráfico de
        usuario (empleados vs. Subcontratados vs. invitados) sin importar los puntos de entrada (cable,
        wireless, local o VPN) o VLAN.
       Control de amenazas: Detectará y bloqueará tráfico malicioso. Se aplicarán algoritmos que
        monitorizarán las conexiones que realizan las aplicaciones para controlar el comportamiento de
        código malicioso.
       Auditoria: Se recogerá información sobre usuarios y aplicaciones así como la manera en la que
        impactarán sobre la red de ORANGE S.A. El dispositivo auditará todas las actividades de la red
        por usuario, aplicación o por recursos propios de la red a nivel de capa 7.
       Con la arquitectura planteada por Consentry, tanto el ConSentry LANShield como el Insight
        Command Center dará a ORANGE S.A. la posibilidad de :
           o Protección y asistencia de la información critica
           o Reducción del riesgo de amenazas
           o Auditoria de la red.
           o Mejora y mantenimiento de la infraestructura de la red.
           o Reducción de gastos operativos.



[REQ-TEC-2] Posibilidad de modo de despliegue:
       In-band
       Out-band.
       El dispositivo será colocado inline entre los switches de acceso y el core. Se mantendrán
        vigentes todos los recursos y ventajas que estén detrás de los productos LANShield. En base a
    los roles que tengan los usuarios y dispositivos de la red los productos LANShield determinirán
    a qué recursos o aplicaciones pueden acceder, así como los contenidos dentro de la red de
    ORANGE S.A. Se garantiza el perfomance de las aplicaciones dentro de la red de ORANGE
    S.A. gracias al procesador de 128-core, ofreciendo por ello un alto rendimiento.
   El ConSentry Insight se colocará en el data center para realizar una gestión centralizada,
    monitorización de usuarios y actividades de la red a nivel de capa 7.




                                                                             Remote
                                                                             Sites

                                                                              Datacente
                                           LAN Core                           r



               Aggregation or Core                                                    ConSentry
               Layer                                                                   Insight
                                                                                      Command
                                                                                       Center
                                                                         LANShield
                                                                         Controller
                                                                         CS2400 or CS1000




Access
Layer




           Partners                             Partners               Customer
                                                                          s
                      Contracto                            Contracto
                         rs                                   rs

   La solucion de red de Consentry dará una solución combinada de software y hardware:
        o Hardware: LANShield Controller, será totalmente transparente. Dará visibilidad de red
             y reforzamiento de la política a nivel de capa 7. El hardware de este Controller está
             diseñado con un core de 128 nucleos y FPGAs. La arquitectura flexible de estos
             dispositivos es el backbone para el LANShield Controller. Este Controller está
             disponible en dos modelos:
                  CS2400, soporta hasta 2000 usuarios autenticados (con la licencia oportuna)
                      con 1Gbps de throughtput por uplink con 10 Gbps de deep packet inspection.
                  CS1000, soporta hasta 800 usuarios autenticados (con la licencia oportuna) con
                      1Gbps de throughtput por uplink con 4 Gbps de deep packet inspection.
                                                        10/100 out-of-band              LANShield Controller
         Dual built-in power supplies                   management port
                                                                                                   CS-2400
                                                   RS-232 Console
                                         Compact Flash slot

                                                                                  10 Gbps secured throughput
                                                                                  Up to 2,000 users


                            20 SFP connectors (Fiber or Copper)     4 SFP ports (Fiber or Copper)
                            10 Gig in / 10 Gig out                  Port mirroring / HA synchronization


                                                        10/100 out-of-band              LANShield Controller
         Dual built-in power supplies                   management port
                                                                                                   CS-1000
                                                   RS-232 Console
                                         Compact Flash slot

                                                                                  4 Gbps Secured Throughput
                                                                                  Up to 800 users


                            8 SFP connectors (Fiber or Copper)      2 SFP ports (Fiber or Copper)
                            4 Gig in / 4 Gig out                    Port mirroring / HA synch




            o   Software: InSight Command Center, es un servidor de políticas y gestor de
                configuración del LanShield Controller y dará una visibilidad total de todas las
                actividades de la red a nivel de usuario en tiempo real (viendo todo el tráfico generado e
                incorporando detalladamente toda la información a nivel 7 tales como el nombre de
                fichero de un FTP o en una carpeta compartida de Windows).



Insight Command Center (Auditoria y Consola de Gestion de amenazas Centralizada)
[REQ-TEC-3] Autenticación:
   Soporte a perfiles de acceso en base a:
        por tipo de usuario
        por tipo de acceso (LAN, WLAN, WAN, VPN)
        por tipo de dispositivo
        por estado del software del dispositivo (parches no actualizados…)
        Se indentificará un nuevo dispositivo cuando el ConSentry LANShield Controller aprenda la
         nueva MAC o dirección IP. Una vez que el LANShield queda configurado in-Line en modo
         transparente, se garantiza que todos los dispositivos serán localizados tan pronto como ellos
         intenten acceder a la red. Una vez aprendida la MAC o IP, el ConSentry LANShield coloca este
         nuevo dispositivo o usuario (host) dentro del “role no autenticado”. Dentro de este role, el
         administrador de la red podrá crear políticas para restringir todos los accesos a la red (o permitir
         accesos limitados) hasta que el dispositivo o host sea autenticado. Por ejemplo, un administrador
         debería permitir a los usuarios no autenticados a correr determinados protocolos como DHCP o
         Kerberos así podrá autenticarse pero podrá tener un acceso limitado a la red corporativa de
         ORANGE S.A. Una vez autenticado, el/los usuario/s serán colocados dentro de un role
         especifico (subcontratado, cliente, empleado) en los cuales los filtros de políticas serán aplicados
         al user ID.

[REQ-TEC-4] Autenticación:
   Integración con:
        Radius
        Directorio Activo de Microsoft
        Windows NT Domain
        LDAP
        Certificados Digitales/PKI
        Posibilidad de autenticación local
        Control periódico configurable, una vez ya autorizado.
        El Sistema Operativo de LANShield soporta dos formas de autenticación:
             o Autenticación activa:
                      Kerberos / Active Directory
                      RADIUS
                      DHCP
             o Autenticación pasiva:
                      Captive Portal basado en HTTP ( Base de datos local o backend a RADIUS y
                          servidor Active Directory)
                      MAC-based RADIUS
        Consentry es el único que soporta Active Directory y autenticación RADIUS de manera
         transparente a través de Kerberos o decodificación RADIUS. Esta autenticación transparente
         permite a un administrador colocar a un usuario de un Windows AD o 802.1X dentro de un role
         específico sin la necesidad de instalar agentes o cambiar el comportamiento de este usuario.
         Tambien se pueden snoop los atributos del DHCP y garantizar o denegar los accesos a la red.

[REQ-TEC-5] Autenticación:
        Soporte a Single Sign On para usuarios autenticados mediante Windows Active Directory
Consentry da posibilidades SSO a través de la autenticación pasiva. Ver [REQ-TEC-4]

[REQ-TEC-6] Control de acceso:
Sistemas y acciones utilizados para aplicar el control de acceso:
        Control a nivel 2: 802.1x (integración con entornos heterogéneos: Cisco, 3Com, Nortel)
        Control a nivel 2: filtrado por dirección MAC
    Control a Nivel 3 a 7: mediante control de Firewalls y DHCP
    Dará la posibilidad de filtrar tráfico de usuario (en tiempo real) usando filtros tradicionales a
     nivel de capa 2, 3 y 4 o mediante los filtros de políticas propios de Consentry que controlan las
     aplicaciones “port cloaking”, los contenidos a los que se pueden acceder y el control de tráfico
     asociado a nombres de usuario.
    Políticas basadas en identidad que darán un estricto nivel de seguridad porque los mismos filtros
     de políticas son aplicados a los usuarios incluso si el usuario cambia su dirección IP, dirección
     MAC o VLAN. En contraste con otras soluciones y la infraestructura de switching tradicional,
     los filtros de políticas son mapeados contra una dirección IP, dirección MAC o VLAN.
    Soportará el concepto de “network zones” para usuarios y control de acceso a recursos sin tener
     que sin tener que hacer gestión avanzada de VLAN o segmentación física. Estas zonas serán
     definidas para contener recursos críticos o de gran valor de la red.
    Las “network zones” serán aplicadas a los filtros de políticas las cuales dictarán la acción a
     tomar (permitir, denegar, log, mirror). La siguiente tabla muestra un ejemplo de las “network
     zones” y como se podrá asignar acceso basado en la identidad y/o role de cada usuario
     autenticado en la red.


                         SMTP         IBM                     AD      SAP          PCI
                                                  Unix                                       Internet
                         Server                             Server               Server
                                      Zone        Zone                Zone                     Zone
                          Zone                               Zone                 Zone
    SAP Contractor        Deny        Deny       Deny       Deny      Allow      Deny         Allow

    IBM Contractor        Deny       Allow       Deny       Deny      Deny       Deny         Deny

    Client Ops            Allow       Deny       Deny       Allow     Deny       Deny         Allow

    Administrator         Allow      Allow       Allow      Allow     Allow      Allow        Allow

    Se soportará acceso de políticas/Filtros a nivel de:
         o Capa 2
         o Capa 3
         o Capa 4
         o Capa 7
    Posibilidad de comprobación de valores para tráfico generado entre:
         o MAC origen-destino
         o IP origen-destino
         o Máscara de MAC
         o Range de IP
         o Subnet de Red
         o Network Zone
         o Puertos
         o Nombre de usuario
         o Rol de Usario
    El ConSentry LANShield Controller no necesitará hardware de red nuevo. Además los
     dispositivos de LANShield no requerirán por parte de ORANGE S.A. la reconfiguración de
     protocolos de red ni de VLANs.
    La instalación del ConSentry LANShield Controller no requerirá cambios sobre los dispositivos
     del usuario final.
    No requerirá sobre el usuario final que desactive el firewall, abra puertos específicos en el
     firewall o solicite permisos de administrador, etc.
    El ConSentry LANShield Controller no necesitará un software especial o un sistema operativo
     concreto.
[REQ-TEC-7] Control de puesto Usuario:
    Soporte de los siguientes Sistemas Operativos:
       Microsoft (Windows 98, Windows XP, Windows 2000, Windows NT, Windows Vista, ME).
       Linux.
       Apple.
       Macintosh OS X

[REQ-TEC-8] Control de puesto Usuario:
Control de parches de:
       Sistema Operativo (lista detallada de los soportados)
       Antivirus (lista detallada de los soportados)
     Firewalls Personales (lista detallada de los soportados)
Validación del puesto de usuario (EPV):
       Agente que comprueba la máquina del usuario la primera vez que abre un explorador web, a
        través de un Active X o applet de Java (desde el LANShield Controller).
      Puntos que se examinan:
           o Archivos de virus Out-of-date.
           o Sistemas operativos (service packs y hot fixes) Out-of-date.
           o Falta o desactivación de un software de antivirus.
           o Falta o desactivación del firewall.
           o Key loggers malignos.
           o Motores de escaneo de antivirus Out-of-date.
           o Valores del registro de Windows.
           o Archivos y procesos de Windows.
Dependiendo de este escaneo se podrán realizar las siguientes acciones:
       Restrict: Impedir a un usuario acceder a la red.
       Warn: No impedir a los usuarios loguearse, pero informarles de las acciones necesarias a tomar.
       Observe: Envío de información al administrador de la red pero permitir acceder al usuario.
       Allow: No realizar comprobación de spyware, pero reforzamiento de las políticas de red de post-
        admision (control de acceso basado en Identidad de usuario)




                                    Captura de pantalla de EPV
Captura de pantalla de EPV - Restrict




 Captura de pantalla de EPV - Warn
[REQ-TEC-10] Control de puesto Usuario:
La lista de parches del diferente software a actualizar en PC de usuario estará actualizada de forma
automática en una BBDD local del sistema. También se requiere la posibilidad de integración con Tivoli
para este tema.
Explicar detalladamente como gestiona y almacena los parches actualizados




[REQ-TEC-11] Control de puesto Usuario:
Posibilidad de uso e instalación de agente SW en el PC de forma totalmente transparente para el usuario
y automática, sin que afecten firewalls personales ni niveles de derechos de instalación.
Posibilidad de instalación de dicho agente en SO Windows, Linux y Apple.
Posibilidad de instalación automática del agente.
If a customer chooses to have ConSentry enforce posture compliance, the ConSentry
LANShield devices issue a dissolvable agent to designated end user machines as part of the
admission process. Users who have not undergone a posture check may be given restricted
access to the LAN until posture check is completed, depending on IT’s policy. For example, IT
may decide that users whose machines have not been checked can access only the
Internet or remediation servers.
To gain full LAN privileges, a user launches a browser window to initiate the posture check. The
ConSentry platform sends down the dissolvable agent as a Java applet or Active X, and the
agent scans the end station for a range of software compliance metrics as well as security
vulnerabilities and malicious code – all within a matter of seconds. Furthermore, IT can create a
policy to rescan users on a periodic basis throughout the day. It uses both signatures and
heuristics to scan for:
     adware
     browser plug-in
     dialers
     hacker tools
     keystroke loggers
     remote administration tools
     screen loggers
     tracking cookies
     Trojans
     worms
These signatures are regularly enhanced and can be updated automatically on the ConSentry
system.
[REQ-TEC-12] Control de puesto Usuario:
Auditoria de vulnerabilidades, puertos, sistema de ficheros, registro de Windows, procesos, aplicaciones;
detección de actualización de parches de S.O, antivirus, firewalls personales, otras aplicaciones
configurables.
THIRD-PART Y SOFTWARE SUPPORTED
Anti-virus software
The ConSentry dissolvable agent tracks these anti-virus products and enforces LAN admission
based on whether the endpoint is running the appropriate version, as defined by IT policy:
     Symantec – Symantec Antivirus Corporate Edition, Norton Antivirus
     Sophos – Sophos Antivirus
     TrendMicro – OfficeScan Corporate Edition, PC-cillin Internet Security
     CA Security Center 2007, eTrust, eTrust EZ, Vet
     McAfee Internet Security Suite 2007, Virus Scan
     BitDefender Internet Security v10
     Kaspersky Antivirus for Linux and Windows
     avast! Windows and Linux Home Edition for Linux
       F-Secure Antivirus for Windows
      Panda Anti-Virus for Windows
      SOFTWIN BitDefender Antivirus for Windows
      Zone Labs ZoneAlarm with Antivirus for Windows
      AVG Antivirus Free Edition for Windows and Linux
      NOD32 Antivirus for Windows
Additional anti-virus scanners can be added through the Registry and Custom File Rule
capabilities.
Personal Firewalls
The ConSentry dissolvable agent can follow IT policy to allow or deny admission based on
firewall settings for the following firewalls.
      Windows Vista built-in firewall
      Symantec Norton Personal Firewall (Symantec Norton
      Internet Security 2007)
      Check Point Integrity Linux Agent for Linux
      Redhat Linux built-in firewall for Linux
      Mac OSX/Tiger built-in firewall for Macintosh
      McAfee Personal Firewall for Windows
      Computer Associates EZ Firewall for Windows
      Windows XP Firewall for Windows
      BlackICE PC Protection (BlackICE Defender) for Windows
      Kerio Firewall for Windows
      Outpost Personal Firewall for Windows
      Norton Personal Firewall for Windows
Additional firewalls can be added

[REQ-TEC-13] Control de puesto usuario:
Una vez detectado alguna anomalía (falta de parches, detección de virus, vulnerabilidades) en el PC de
usuario, actuar en base a unos criterios preestablecidos en las políticas de acceso: bloqueo del PC,
actualización de SW necesario, eliminación de SW sospechoso, aviso al usuario, aislamiento en una red
estanco.
ENFORCEMENT ACTIONS AND REPORTS
The ConSentry dissolvable agent can check for malicious code and software from several
vendors. ConSentry can then take a range of actions following the endpoint scan:
       restrict – ConSentry will not allow the user onto the LAN until the software is removed
        (alerts users and displays removal instructions)
       warn – ConSentry alerts user to the software’s presence (user chooses to remove or
        enter the LAN)
       observe – ConSentry logs for IT but does not alert user
       allow – ConSentry does not search for that software

CUSTOM RULES
The ConSentry dissolvable agent supports customized scans for specific registry keys,
applications, or other files.
ConSentry can then allow or deny users LAN admission based on the presence or absence of
these custom software or settings.

REPORTS
IT can pull any of the following reports to learn the results of endpoint scans:
access statistics – compliant, cautioned, and restricted users
security scans – the rules or spyware violations, per user
spyware – the types of spyware found
rules – the enforcement rules broken
keyloggers – the keyloggers found, per user

POST-ADMISSION CONTROL
Once users complete posture check and are allowed on the LAN, the ConSentry platform then
applies post-admission policies to control where they can go on the LAN and what transactions
they can complete. LANShield devices learn users’ roles during authentication and apply the
appropriate controls.

[REQ-TEC-14] Control de puesto usuario:
Control de acceso de usuarios visitantes. Aislamiento (en red estanco) o acceso restringido según política
aplicada. Solución ante usuarios sin cliente 802.1x.
See [REQ-TEC-11]. You can define different policies for guest users

[REQ-TEC-15] Control y detección de dispositivos:
Detectará y controlará el acceso de todo tipo de dispositivo que pueda conectarse a la red vía LAN,
WLAN o VPN. Lista de dispositivos controlados y su versión de SW.
With ConSentry’s solution, ORANGE S.A. administrators have the ability to audit user and
network activity up to Layer 7 (e.g., from MAC/IP address, to user names, to application type –
regardless of Layer 4 port, URL locations, and filenames). Since the ConSentry LANShield
solution is an inline solution, it can enforce and audit network traffic in real-time, without
affecting overall network performance, thanks to the purpose built custom 128-core processor
and FPGAs. The LANShield devices send the audit data to the ConSentry Insight Command
Center where ORANGE S.A. administrators can centrally view and monitor the network.




                                                                                   Internet


                                                                                              Datacenter
The following is a snapshot of some auditing tools which can be viewed by the IT administrator:
                                            LAN Core


               Aggregation or Core Layer
                                                                                  AD Server            Insight
                                                                                RADIUS Server         Command
                                                                             Database Server, etc..    Center


                                                  HA Link
        LANShield Controller
        or Switch
Global Awareness and User Identification




           Incident Reporting




      Layer 7 Event Details
ORANGE S.A. will also have the ability to retrieve historical data and generate reports. The
reports can contain data that is displayed by the GUI, including custom queries and customized
dashboard data. Generally, reports are created on a scheduled, cyclic basis, but ORANGE S.A.
can also generate a report on demand.

Depending on the purpose of a report, it can contain overview data, such as how many non-
compliant users were quarantined on the network today, and detailed data, such as the list of
URLs and files accessed.

The generated reports are stored as files on InSight. If configured to do so, InSight can send e-
mails of these reports out to different administrators.




                                       Report Generation



[REQ-TEC-16] Operación y Mantenimiento:
Gestión centralizada de la solución. Integración con las plataformas de SNMP (HP-Openview) y gestión
de logs actuales (Arcsight)
Yes. The ConSentry InSight command center provides centralized and easy-to-use
management of one or more ConSentry devices, enabling network administrators to perform
basic configuration, management, and monitoring of several devices in a single interface. It also
enables global policy configuration with the ability to take real-time action from the control panel
in InSight.

InSight also provides the foundation for gaining usage awareness and flagging network security
incidents by users. Powerful predefined reports provide clear views on enterprise network
usage and health like the top users by bandwidth, top policy violators, top policy incidents, top
destinations, top URLs, and top FTP file transfers. Unlike traditional network management
systems that report at the MAC or IP level, InSight maps events to the network users. A user is
identified by a LANShield device during authentication. This user ID (i.e., user name) is then
bound to the MAC and IP addresses of the user’s computer, so all communications from the
machine is then linked to that user ID. This architecture allows an administrator to identify any
user incidents or identify the location of a violating machine.

User-based traffic information combined with data navigation for drill down enables InSight to
communicate business information simply at a top level while providing far more detail with just
a click of the mouse. The real-time correlation of network events to username saves hours of
manual association and custom scripting. InSight also provides the capability to generate formal
reports. These reports can be customized to include statistical charts and tabular data of
interest to management as well as IT staff.



[REQ-TEC-17] Operación y Mantenimiento:
El ofertante explicará en detalle como resuelve su solución el requerimiento de alta disponibilidad que se
pide.
In addition to having dual internal power supplies, the LANShield Controller supports high
availability and resiliency modes. Enterprises that have dual-homed wiring closet switches can
deploy two LANShield Controllers as peers—the two platforms share state and preserve user
authentications in case of failover.

The LANShield products can operate in fail pass-through mode in the event of software failure,
where all LAN traffic will traverse the Controller untouched, or protect mode, where all traffic is
stopped (IT chooses which mode to set the device to).




TRANSPARENCY AND HIGH AVAILABILITY
The LANShield Controller sits between access switches and the distribution or core layer,
aggregating uplinks from wiring closets and enforcing access policies on all traffic. A
transparent device, the LANShield Controller requires no changes to network design or user
behavior, simplifying deployment and reducing operational costs.




                                                                 The LANShield
                                                                 Controllers deploy
                                                                 transparently between
                                                                 existing switches,
                                                                 providing intelligent
                                                                 switching to control users
                                                                 and applications.




The Controller supports high-availability and resiliency modes. Enterprises that have dual-
homed wiring closet switches can deploy two ConSentry LANShield Controllers as peers — the
two platforms share authentication state and preserve user authentications in case of failover. In
addition, the Controller itself supports two failure modes. IT can set the device to fail to pass-
through, where all LAN traffic will traverse the Controller untouched, or fail to block, where all
traffic is stopped. The Controller also includes redundant power supplies and fans.


[REQ-TEC-17] Operación y Mantenimiento:
El ofertante pasará una lista detallada de clientes en que esté instalado el producto ofertado; esta lista
contendrá aquellos clientes cuyo NAC instalado gestione 1000 usuarios o más.
http://www.consentry.com/solutions_customers.html




Profile
An arm of the University of North Carolina, Fayetteville State University (FSU) is the second-
oldest public institution of higher education in the state. Founded in 1867, FSU today serves
some 6,300 students with 2,000 faculty and staff. .

Challenge
Segmenting students, staff and faculty and controlling malware

Solution
ConSentry LANShield Controllers in the adminstrative building and LANShield Switches with the
dissolvable agent in the dorms for full network access control and user visibility.
Profile
Mineola Union Free School District is a K-12 school system located in Nassau County, New
York on Long Island. The district consists of five elementary schools, a middle school and a
high school. www.mineola.k12.ny.us

Challenge
Mineola School District needed to protect confidentiality of internal resources from unauthorized
access and block specific websites campus-wide. In addition compliance with new regulations
such as FERPA (Family and Educational Rights and Privacy Act) and CALEA (Communications
Assistance for Law Enforcement Act) called for more internal controls.

Solution
The Alcatel-Lucent OmniAccess Safeguard (powered by ConSentry Networks technology)
enabled network admission control (NAC), guest access, identity based network access and
malware control, and since it is an overlay solution, OmniAccess SafeGuard causes minimal
disruption and modification of existing infrastructure.




Profile
The Mount Pleasant Independent School District is a K-12 school system located in Titus
County, Texas that encompasses about 5,000 students and 900 employees spread across eight
sites. www.mpisd.net

Challenge
Wanted to network access control to separate student and teacher access on the LAN and to
monitor and control how network resources were used.

Solution
The ConSentry LANShield platform enabled identity-based control of applications, users and
threats in a single platform.




Profile
The Council of the public schools of the East of Ontario (CEPEO) serves more than 11 000
pupils in 36 elementary schools, secondary and centers of education for adults.
www.cepeo.on.ca

Challenge
Differentiated network access control for students versus faculty.

Solution
The ConSentry LANShield Controller enabled role-based provisioning so CEPEO could provide
different network access controls for faculty versus students.
Profile
As the second largest electric cooperative in Texas, CoServ Electric provides services to more
than 100,000 residential, commercial and industrial members in parts of Denton, Collin, Tarrant,
Wise, Cooke and Grayson counties. www.coserv.com

Challenge
Preventing unauthorized access to the LAN

Solution
The ConSentry LANShield Controller enabled network access control and secure guest access
without requiring CoServ to upgrade its switching infrastructure.




Profile
The United Illuminating Company was formed in 1899 when the Bridgeport Electric Company
merged with the New Haven Electric Company. UI is a regional distribution utility providing
electricity and energy-related services to more than 320,000 customers in the Greater New
Haven and Greater Bridgeport areas. www.uinet.com

Challenge
Provide guests access to the Internet without jeopardizing company information systems

Solution
ConSentry network access control enabled role-based provisioning so UI could provide
differentiated access controls for employees versus guests. Guests would have access to the
Internet only.




Profile
Alliance Imaging is the nation’s leading provider of diagnostic medical imaging services.
Alliance partners with hospitals and healthcare providers for Fixed Site Imaging Centers,
Shared Mobile Services, and cancer services with a focus on Radiation Therapy.
www.allianceimaging.com

Challenge
A need to maintain security across disparate hospital networks, with full tracking and logging for
auditing purposes.

Solution
ConSentry LANShield Controller in main facilities and LANShield Switch in remote locations for
full network access control.
Profile
Bosley Medical Group is a world leader in hair loss and medical hair restoration having
performed almost 200,000 hair transplant procedures on men and women from 60 different
nations who suffered from hair loss and progressive baldness. www.bosley.com

Challenge
Anyone on the LAN could reach any and all servers on the company’s wide open network.

Solution
The LANShield Controller provides role-based network access control and works transparently
in this heterogeneous switch environment.




Profile
Mercy Medical Center is a thriving hospital in Baltimore MD, recognized nationally for its quality
patient care, state-of-the-art facilities, and outstanding medical staff. www.mdmercy.com

Challenge
Separate doctors, nurses, administrative staff, and visitors and network access control for each
user group.

Solution
ConSentry LANShield provides enables identity-based control in a single platform, with
admission control, full user visibility, and complete tracking.




Profile
Omneon Video Networks is the leading provider of cost-effective and flexible networked media
servers for broadcast and video. www.omneon.com

Challenge
Preventing unauthorized access to the LAN.

Solution
The ConSentry LANShield Controller enabled network access control without requiring Omneon
to upgrade its switching infrastructure or install desktop agents.




Profile
Telefónica is a world leader in the telecommunication sector, with presence in Europe, Africa
and Latin America. www.telefonica.com
Challenge
Network Admission Control plus differentiated user access controls to resources and
applications

Solution
The ConSentry LANShield Controller enabled network access control without requiring
Telefonica to upgrade its switching infrastructure. In addition, Telefonica will enable role-based
provisioning differentiating what their employees and contractors will have access to by role.




Profile
Santander is the largest bank in the Euro Zone by market capitalization and one of the largest
worldwide. Founded in 1857, Santander has 809,000 million euros in assets and 961,000
million euros in managed funds, over 66 million customers, 129,000 employees, 10,200 offices
and a presence in 40 countries. www.gruposantander.com

Challenges
Granular control of user access to resources and applications

Solution
ConSentry’s LANShield Controlller delivered through a managed LAN service by Telefonica
provides granular network access control tied to users, providing employees, contractors, and
guests with access to only required resources and applications.




Profile
Texas Credit Union League is the official state trade association serving credit unions in Texas.
www.tcul.coop

Challenges
No way to control access on the LAN. A need to match ―external‖ security by ―securing the LAN
itself."

Solution
ConSentry provided a simple, cost-effective way to implement network access control and limit
who can come onto the LAN and what users could do on the LAN.




Profile
Established in 1972,Town North Bank is one of the largest independent banks in North Dallas
Texas. www.tnboline.com
Challenges
Needed a cost effective way to limit user access to customer records in support of PCI
compliance

Solution
ConSentry provided a simple, cost-effective way to implement NAC and role-based LAN
segmentation without the complexity of VLANs and ACLs.




Profile
Continental Airlines is the world's sixth-largest airline. Continental, together with Continental
Express and Continental Connection, has more than 3,100 daily departures throughout the
Americas, Europe and Asia, serving 151 domestic and 133 international destinations, more than
any other carrier in the world. www.continental.com

Challenges
Massive roaming user community, thousands of employees that don't have a PC but access the
LAN through shared kiosk terminals.

Solution
ConSentry’s LANShield Controller enabled Continental to deliver location-independent, roaming
network access control profiles for employees and contractors. With ConSentry, users can
access only their required applications and resources, no matter which kiosk or computer they
use.




Profile
The Las Vegas Review-Journal is the largest daily newspaper in the state of Nevada with a
daily circulation of more than 160,000 and a Sunday circulation of more than 224,000.
www.lvrj.com

Challenges
Roaming user community, differentiated access rights for employee groups

Solution
ConSentry’s LANShield Controller enabled LVRJ to deliver network access control profiles that
follow the reporters and sales reps. A subsequent deployment of LANShield Switches has
extended the network access control deployment, so users can reach only the applications and
resources needed for their job responsibilities, regardless of location.




 [REQ-TEC-18] Operación y Mantenimiento:
Lista detallada de clientes en que el ofertante haya instalado la solución. Diferenciar entre implantaciones
en producción e instalaciones piloto.
Customers in Spain:
       OMEL
       Jazztel
       LycoLeasing
       El Corte Inglés
       Banco Santander
       Telefonica

Pilots running in Spain:
       AENA
       Banco de España
       Junta Castilla Y León
       BBVA
       MAHOU
       La Caixa
       Servicio Riojano de Salud



[REQ-TEC-19] Operación y Mantenimiento:
Explicar detalladamente el soporte ofrecido para la solución por parte del ofertante (nivel 1, nivel 2,
Premium..)
See attached support document.

[REQ-TEC-19] Instalación, configuración y puesta en funcionamiento de un piloto en sede del cliente.
Los requerimientos son los siguientes:
       Se realizará en la Red Corporativa de La Finca, Edificio 8 planta 0, donde se ubica la Dirección
        de Sistemas de Información/Operaciones.
       El piloto no debe afectar en ningún momento al normal funcionamiento de la red.
       Habrá un soporte del suministrador en sede del cliente para realizar labores de mantenimiento y
        enseñanza al cliente.
       El piloto debe cumplir con los requerimientos pedidos por el cliente. Se establecerá una reunión
        para fijar el ámbito concreto y la extensión del mismo
    El cliente dará toda la información necesaria al proveedor para la correcta instalación del piloto.
The ConSentry Networks’ solution is a combined hardware and software solution:

    1. Hardware: LANShield Controller
          a. The LANShield Controller sits inline as a transparent bridge between the wiring
             closet switches and the core. The LANShield Controller provides network
             visualization and policy enforcement up to Layer 7. The hardware is designed
             with purpose built security silicon consisting of a custom 128-core processor
             and FPGAs. The flexible architecture of these devices is the backbone for the
             LANShield Controller.

             b. The LANShield Controller is available in two models:
                     i. The large network sites, CS2400 supports up to 2000 authenticated
                        users (with appropriate licensing) across ten 1 Gbps uplinks, with 10
                        Gbps of deep packet inspection.
                    ii. For medium to small network sites, the CS1000 supports up to 800
                        authenticated users (with appropriate licensing) across four 1 Gbps
                        uplinks, with deep packet inspection at 4 Gbps performance.
    2. Software: Insight Command Center
           a. The ConSentry Insight Command Center is a policy server and configuration
              manager of LANShield Controllers and provides the full visibility of all user
              activity on the LAN (resolving all traffic flows back to the user identity and
              incorporating full L7 details such as the file name involved in an FTP or in a
              Windows file share operation). A single Insight Command Center has the ability
              to manage and audit up to 10,000 users.




LANShield Controller:
Large network sites:
                                              10/100 out-of-band              LANShield Controller
 Dual built-in power supplies                 management port
                                                                                         CS-2400
                                          RS-232 Console
                                Compact Flash slot

                                                                       10 Gbps secured throughput
                                                                       Up to 2,000 users



                    20 SFP connectors (Fiber or Copper)   4 SFP ports (Fiber or Copper)
                    10 Gig in / 10 Gig out                Port mirroring / HA synchronization

Medium to small network sites:
                                              10/100 out-of-band              LANShield Controller
 Dual built-in power supplies                 management port
                                                                                         CS-1000
                                          RS-232 Console
                                Compact Flash slot

                                                                        4 Gbps Secured Throughput
                                                                        Up to 800 users



                    8 SFP connectors (Fiber or Copper)    2 SFP ports (Fiber or Copper)
                    4 Gig in / 4 Gig out                  Port mirroring / HA synch


Insight Command Center (Centralized Auditing and Threat Management Console)
Technical Advantages                                Business Value for ORANGE S.A.
Passive authentication detection of users           o   Protect Critical Information / Assets
(requires no agents)                                o   Reduce Risk Exposure
                                                    o   Address Compliance and Auditing
User community are not required to change           o   Improve and Maintain Network Availability
login behavior                                      o   Lower OPEX
Clientless host posture checking for managed
and unmanaged systems
(requires no ―hard‖ or persistent agent and
does not require system admin privileges)
Seamless       integration  into   existing
infrastructure without any network change
requirements
Audit and compliance reporting at Layer 7 (per
user, per application, per resource, including
filename, hostname, etc…)
User-based identity control (Policies map to
user role, not just IP or MAC address)
Malware control
All key features delivered in a single platform
solution, with centralized management and
reporting




                      Audit                       Track and monitor user activity up to Layer 7
                  Threat Control                  Protect the LAN against zero-day worms
            Identity-Based Control                Control Access to Resource from Layer 2 - Layer 7
               Posture Check                      Only compliant systems enter the LAN
                  Authenticate                    Only valid users get on the LAN




                          Employees, Partners, Contractors, Customers

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:2
posted:1/21/2011
language:Spanish
pages:24