Brasília, 24 de Março de 2015 À
CGU - Controladoria Geral da União
CGRL Coordenação Geral de Recursos Logísticos Comissão de Licitação
A/C Sr. Márcio David e Souza Nesta
REF.: RESPOSTA DILIGÊNCIA PREGÃO ELETRÔNICO Nº 02/2015 - CGU
Prezado Sr. Pregoeiro,
Conforme solicitado seguem nossos esclarecimentos.
Item 2.6 - O serviço deve permitir a criação de regras baseadas em tempo de conexão consumido, por usuário ou grupo de usuário, ou por volume de dados por usuário;
Conforme documentação apresentada, para o funcionamento de quota por usuários, será necessário que o usuário se autentique provendo seu login/senha para que o FortiGate o reconheça e determine a quota permitida para este usuário. Essa autenticação será realizada por meio de um prompt que será apresentado no primeiro acesso à URL:
Porém, no item 1.13 deste edital, requer-se que a autenticação do usuário seja realizada de forma transparente.
Assim, solicita-se responder o seguinte questionamento:
a) É possível realizar a utilização do sistema de quota com autenticação transparente via NTLM?
O Fortigate possui um mecanismo próprio para autenticação transparente, chamado FSSO (Fortinet Single Sign-on) que funciona da seguinte maneira:
1. O agente do FSSO (Collector) detecta o evento de login e registra o nome da estação de trabalho, domínio e usuário.
2. Resolve o nome da estação de trabalho para um endereço IP. 3. Determina a que grupos o usuário pertence.
4. Envia as informações de logon do usuário, incluindo o endereço IP e grupos para o Fortigate.
5. O Fortigate cria uma entrada em sua tabela de usuários autenticados. Então quando o usuário trafegar por uma regra que exige autenticação, o fortigate irá conferir o IP com a sua tabela, determinando assim os seus respectivos perfis de acesso.
As quotas se aplicam a todos os usuários autenticados no Fortigate, seja via NTLM, autenticação local ou FSSO.
Figura 2 - Figura de documento oficial (Handbook) página 2112.
Deste texto acima depreende-se que as quotas só funcionam para usuários autenticados. Não há exigências quanto ao tipo de autenticação, apenas que o usuário esteja autenticado.
Por tanto, a autenticação via NTLM é feita por meio da interação entre o Navegador e o controlador de domínio.
Para melhor entendimento seguem exemplos dos métodos de autenticação do FSSO. Seguem links de vídeos públicos disponíveis no site da Fortinet:
1) Método de Single Sign-On (FSSO) in Polling Mode
http://video.fortinet.com/video/88/setup-fortinet-single-sign-on-fsso-in-polling-mode-fortios-v5-0
2) Método de Single Sign-On (FSSO) usando controlador de domínio AD http://video.fortinet.com/video/130/fsso-polling-using-windows-ad
3) Método de Single Sign-On (FSSO) usando Collector Agent http://video.fortinet.com/video/79/fsso-windows-ad-5-0
Item 2.20 - O serviço deve permitir a liberação/bloqueio de canais específicos do site www.youtube.com;
Os canais do Youtube.com não podem ser liberados ou bloqueados apenas por meio do “URL filter”. Conquanto a página inicial possua parâmetros estáticos como “user” ou “channel”, cada vídeo do canal possui um identificador único em sua URL.
Exemplo:
Página do canal do STF: https://www.youtube.com/user/STF Exemplos de URL de vídeos do canal do STF:
o https://www.youtube.com/watch?v=XQl9wWzmXNs o https://www.youtube.com/watch?v=fTxP0tW_enM o https://www.youtube.com/watch?v=HNoQJ4f1mJY
Além disso, páginas que possuem vídeos embutidos de canais liberados também deverão ser liberados. Tais vídeos também possuem URLs diferentes da URL do canal. Assim, solicita-se:
a) comprovar a possibilidade de liberação/bloqueio de canais específicos do site www.youtube.com;
Inicialmente, o item 2.20 não especifica o método de liberação/bloqueio a ser utilizado. Os canais do Youtube.com não podem ser liberados ou bloqueados apenas por meio do “URL filter”. Conquanto a página inicial possua parâmetros estáticos como “user” ou “channel”, cada vídeo do canal possui um identificador único em sua URL.
A maneira mais simples de controlar o acesso ao canal do Youtube é liberando/bloqueando o canal usando o link diretamente ou expressões regulares conforme exemplificado anteriormente. Uma outra maneira é listar todos os vídeos que estão disponíveis em cada canal e fazer o controle individual. É possível controlar o acesso por liberação/bloqueio de categoria do tipo Streaming de vídeo.
O Google retirou qualquer informação do header dos vídeos do Youtube por motivo de licenciamento e não é possível identificar a qual canal o vídeo pertence, dessa maneira a liberação deve ser feita manualmente ou semi-automático. Essa é uma prática bem comum das principais ferramentas de mercado, que seria listar todos os vídeos com link no canal e usar um aplicativo/script/API Google para adicionar as regras de controle (bloquear/liberar) do "user" ou "Uploader", categoria, titulo e palavras chaves. Vide o link https://www.youtube.com/static?gl=BR&template=terms&hl=pt.
Uma das maneiras utilizadas pela Fortinet é, após a criação da regra (bloquear/liberar), adiciona-se sensores de controle, criando Filtros e Perfis WEB e adicionando um verificador do "Header" e o ID do canal. Usando essa "feature" é possível liberar o canal especifico no Youtube e bloquear o restante, além da possibilidade de trabalhar com expressões regulares para controlar o acesso a determinados canais.
Um exemplo pode ser visualizado quando somente canais de conteúdo educativo, podem ser exibidos quando utilizado a detecção pelo tipo de Header.
Quando usando uma conta oficial do Youtube é possível criar um Header nos links dos arquivos, como no exemplo: http://youtube.com/?edufilter=ABCD1234567890abcdef Para entender melhor o métodos segue link de vídeo público demonstrando essa ação. http://youtube.com/watch?v=gM95HHI4gLk&edufilter=ABCD1234567890afbcdef
Além dessa facilidade, a Fortinet ainda oferece o controle de acesso verificando de maneira mais profunda, usando o acesso direto aos pacotes criptografados via certificado SSL.
Devido a facilidade de burlar as regras de bloqueio utilizando o acesso diretamente via HTTPS o Fortigate utiliza um método chamado de Fortinet "Deep Scanning" (Conforme imagens abaixo), que faz a inspeção SSL e garante a inspeção segura dos dados trafegados em links usando HTTPS para burlar os filtros de conteúdo, e para garantir a segurança nas ferramentas de pesquisas é possível ainda habilitar a feature "Safe Search".
Mais informações sobre os métodos acima podem ser verificadas no documento online "Inside FortiOS 5" no link http://docs.fortinet.com/d/fortigate-web-filtering-fortios-5.0. Método de bloqueio por uso do método "SafeSearch" http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%205.0%20Help/web_filter_ch apter.154.25.html
Para melhorar o entendimento, é possível visualizar um vídeo explicativo no endereço http://video.fortinet.com/video/32/blocking-https-traffic-5-0
Figura 3 - Habilitar Deep Inspection of Cloud Applications e métodos de bloqueio
Figura 5 - Criação de Filtro para conteúdo educacional
Para melhorar o entendimento, segue um vídeo público da Fortinet que demonstra o bloqueio e a liberação de canais com o uso de reconhecimento por Header https://www.youtube.com/watch?v=_PV7JSCPqLA
De qualquer maneira, Independente de como vai ser feito o bloqueio de canais específicos do Youtube, será necessário a criação de uma regra/filtro de bloqueio por URL, e somente será liberado o canal e os vídeos disponibilizados a partir do endereço do canal https://www.youtube.com/user/STF, desde que o site tenha uma Header um cabeçalho especifico para cada tipo.
Item 4.2 O serviço deve disponibilizar ferramenta para geração de relatórios, fornecendo informações gerenciais a partir dos logs gerados pela solução, permitindo a extração de informações detalhadas sobre usuários, sites e categorias acessadas, rede de origem, IP de origem, grupos de usuários, protocolos e tempo de navegação;
Quanto a este item, a proponente informou que “O FortiAnalyser é capaz de gerar tais relatórios com as informações solicitadas. Os "Templates" serão fornecidos usando pesquisas customizadas através de "Queries" diretamente nas informações fornecidas nos LOG's...”.
Tendo em vista o conteúdo da transcrição acima, entendemos que serão fornecidos e implementados pela empresa tanto os "Templates" quanto as "Queries" por eles utilizadas.
Assim, solicita-se:
a) confirmar se o entendimento acima está correto.
Sim o entendimento esta correto, a NCT criará todas as "Queries" para criação dos "Templates". Os exemplos das "Queries" podem ser verificadas nas imagens de demonstração do item diligenciado 4.7
Item 4.4 - O serviço deve permitir a customização de relatórios fornecendo apenas informações restritas a grupos de usuários definidos previamente ou de grupos de usuários existentes no Serviço de Diretório da CONTRATANTE;
Quanto a este item, a proponente informou que “Como já foi informado, este relatório será criado por meio de datasets customizados. Um relatório é composto por datasets e layouts, então podem ser customizados diferentes datasets para atender várias necessidades em um mesmo relatório”.
Tendo em vista o conteúdo da transcrição acima, entendemos que serão fornecidos e implementados pela empresa tanto os "Templates" quanto os layouts citados.
Assim, solicita-se:
a) confirmar se o entendimento acima está correto;
Sim, o entendimento esta correto. Será implementado no modo de suporte, a criação dos relatórios customizados conforme solicitado no item.
b) encaminhar imagens exemplificativas dos layouts a serem utilizados. Seguem imagens demonstrativas
Item 4.7 - O serviço deve oferecer "Templates" pré-formatados de relatórios com, no mínimo, as seguintes opções:
Item 4.7.1 - Sites mais acessados;
Item 4.7.2 - Sites mais acessados por volume de dados; Item 4.7.3 - Usuários com maior volume de dados; Item 4.7.4 - Usuários com maior número de acessos;
Item 4.7.5 - Usuários com maior número de acessos por categoria de URL; Item 4.7.6 - Usuários com maior número de acessos por URL;
Item 4.7.7 - Grupos com maior volume de dados; Item 4.7.8 - Grupos com maior número de acessos;
Item 4.7.9 - Grupos com maior número de acessos por categoria de URL; Item 4.7.10 - Grupos com maior número de acessos por URL;
Item 4.7.11 - Endereço de rede com maior volume de dados; Item 4.7.12 - Endereço de rede com maior número de acessos;
Item 4.7.13 - Endereço de rede com maior número de acessos por categoria de URL;
Item 4.7.14 - Endereço de rede com maior número de acessos por URL; Item 4.7.15 - Categorias mais acessadas;
Item 4.7.16 - Sites maliciosos mais acessados; Item 4.7.17 - Volume de dados por Rede; Item 4.7.18 - Utilização de banda por site;
Item 4.7.19 - Utilização de banda por categoria de URL; Item 4.7.20 - Sites bloqueados por categoria de URL;
Quanto a este item, a proponente informou que “Os "Templates" serão fornecidos usando pesquisas customizadas através de "Queries" diretamente nas informações fornecidas nos LOG's, a base de pesquisa é exatamente como demonstrado no arquivo de índice "I" "Fortigate Log Message Reference" com esse documento é possível gerar consultas através de pesquisa em campos específicos e compilação de dados”.
Tendo em vista o conteúdo da transcrição acima, entendemos que serão fornecidos e implementados pela empresa tanto os "Templates" quanto as "Queries" citadas.
a) confirmar se o entendimento acima está correto, encaminhando imagens exemplificativas dos relatórios a serem fornecidos;
Sim o entendimento esta correto, a NCT criará todas as "Queries" para criação dos "Templates". Os exemplos das "Queries" podem ser verificadas nas imagens dos itens demonstradas abaixo.
b) Solicita-se confirmar o nome da ferramenta que será utilizada para gerar os relatórios.
A própria interface interna do produto FortiManager com função de FortiAnalyzer gerará os relatórios, sem a necessidade de ferramentas de terceiros.
Item 4.7.13 - Endereço de rede com maior número de acessos por categoria de URL;
