Alcance Prueba de Concepto

Administracin de Usuarios Privilegiados preparado para EL

CLIENTE
Alberto Chvez
Sales Engineer
achavez@netiq.com
04/2014
2012 NetIQ Corporation. All rights reserved. 2
Contenido
Antecedentes
Introduccin
Alcance de la prueba de concepto
Arquitectura propuesta
Requerimientos y premisas
Plan de trabajo
Pruebas a realizar
Entregables
Antecedentes
2012 NetIQ Corporation. All rights reserved. 4
Antecedentes
EL CLIENTE empresa lder en la industria qumica y
petroqumica se encuentra en la bsqueda de optimizar sus
procesos de seguridad de la informacin por medio de la
integracin de nuevas tecnologas a su centro de datos.
Por lo anterior, EL CLIENTE solicit una Prueba de Concepto
(PoC) en la que se demuestren las siguientes funcionalidades,
con el fin de evaluar opciones que permitan satisfacer de una
mejor manera las necesidades del negocio, siendo las ms
importantes:
Auditora de usuarios privilegiados.
Control de usuarios privilegiados.
Ayuda al cumplimiento regulatorio y mejores prcticas de seguridad.

Introduccin
2012 NetIQ Corporation. All rights reserved. 6
Introduccin
Este documento contiene el alcance y
requerimientos para realizar en EL CLIENTE la
prueba de concepto del siguiente producto:
NetIQ Privileged User Manager: Es una solucin de
monitoreo de usuarios privilegiados para ambientes operativos
UNIX / Linux y Windows, que permite auditar los comandos y
aplicaciones ejecutadas por los usuarios, as como escalar
privilegios segn las polticas deseadas.
El equipo de NetIQ participante en sta prueba, se
basar en el contenido y alcance de ste
documento para lograr los objetivos planteados en
el tiempo disponible para las pruebas.
2012 NetIQ Corporation. All rights reserved. 7
NetIQ Privileged User Manager
Delegacin de privilegios
root/administrator.
Auditar la actividad de todos los
usuarios.
Anlisis de amenazas potenciales,
basada en calificaciones de riesgo.
Gestin de forma centralizada las
polticas de seguridad.
Soporte para plataformas Unix,
Linux y Windows.
Apoyo continuo al cumplimiento de
polticas internas y regulaciones
externas.
2012 NetIQ Corporation. All rights reserved. 8
PUM y la administracin centralizada
Bases de datos de
Auditora de
Cumplimiento
Puntos de
Administracin de
Privilegios
Auditora Centralizada
Administracin Centralizada
JSON API /
Mdulos Perl Script
Personalizados
Administracin heterognea
Windows Linux
Windows
Server
Mainframe
OS/390, Linux
Windows
Linux
Solaris
AS/400
OS/400, AIX
Linux
SUSE AIX HP-UX
2012 NetIQ Corporation. All rights reserved. 9
Arquitectura Modular con PUM
Grupos de agentes pueden
aadirse a dominios lgicos para
balanceo de cargas, redundancia y
segregacin de trfico.
Las bases de datos de auditora pueden
colocarse en mltiples localidades para
obtener redundancia y seguridad.
Administradores mltiples brindan
capacidades fail-over y balanceo de
cargas.
Internet
Manager
Admin Interface
Audit DB
Puerto
443
Navegador
Web
(Acceso
Administrativo)
Port 80
(Optional)
Agente
Puerto
29120
Manager
Audit DB
Comunicaciones host-to-host
Agente
Puerto
29120
Puerto
29120
Puerto
29120
Puerto
29120
Puerto
29120
Manager
Comunicaciones host-to-host
Puerto
29120
Agente Agente Agente Agente
Puerto
29120
Puerto
29120
Puerto
29120
Agente Agente Agente Agente
Alcance
2012 NetIQ Corporation. All rights reserved. 11
Alcance
El alcance definido para esta prueba de concepto est basado en la premisa
de lograr mostrar la funcionalidad de los productos involucrados en el
ambiente controlado que EL CLIENTE designe y en los tiempos disponibles
para la misma. Con base en lo anterior, el alcance se delimita en lo siguiente:
Instalacin de NetIQ Privileged User Manager y Control de cambios.
Configuracin inicial de la solucin.
Instalacin y registro de los agentes dentro de la consola.
Revisin de polticas a asignar dentro de la solucin.
Configuracin de acceso para usuarios:
1 x RHEL
1 x HP-UX
2 x Windows (TBD)
Generacin de reportes de auditora.
Pruebas finales de funcionalidad y presentacin de resultados.
Arquitectura Propuesta
2012 NetIQ Corporation. All rights reserved. 13
Arquitectura Propuesta
Host Agents Windows
NetIQ Privileged
User Manager for
Windows
(master)
Host Agents Unix/Linux
Administrador / Auditor
PUM
Consola Central
Nota: La arquitectura mostrada es ilustrativa y no cuenta con el nmero
total de dispositivos del cliente.
NetIQ Privileged
User Manager for
Linux
(Slave)
2012 NetIQ Corporation. All rights reserved. 14
Caractersticas del equipo Manager
1 x Procesador Intel Dual Core @ 3 GHz o similar.
4 GB de memoria RAM.
80 GB de Disco Duro.
Sistema operativo
Windows Server 2003 SP3 o 2008 R2 (64 bits)
Suse Linux Enterprise Server 11 SP2 ( 64 bits)
2012 NetIQ Corporation. All rights reserved. 15
Caractersticas del equipo Agente
CPU - 300 MHz (RISC), 1GHz (CISC)
Memoria - 50 MB de memoria adicional.
Disco Duro - 100 MB de disco duro adicional.
Requerimientos y Premisas
2012 NetIQ Corporation. All rights reserved. 17
Requerimientos y Premisas
Para esta prueba de concepto est considerado nicamente el monitoreo y/o
control de 4 servidores.
La Prueba de Concepto se montar en dos servidores (virtual o fsico)
proporcionado por EL CLIENTE segn las siguientes caractersticas mnimas:
1 x Procesador Intel Dual Core @ 3 GHz o similar.
4 GB de memoria RAM.
80 GB de Disco Duro.
Sistema operativo.
Windows Server 2003 SP3 o 2008 R2 (64 bits)
Suse Linux Enterprise Server 11 (64 bits)
EL CLIENTE debe contar con una persona que apoye en la obtencin de los
requerimientos tcnicos del especialista de NetIQ, para cumplir con los
objetivos planteados.
2012 NetIQ Corporation. All rights reserved. 18
Requerimientos y Premisas
Debe existir una comunicacin entre el servidor donde estar instalado el Framework Manager y
los Hosts, habilitando el puerto 29120 bidireccional entre los mismos.
Para la conexin a la consola ser necesario habilitar los puertos 80 y 443 (HTTP y HTTPS)
EL CLIENTE debe proporcionar la informacin correspondiente a las cuentas de los usuarios
que van a tener privilegios, as como las cuentas de sper usuario (Administrator/root/dbadmin)
en el ambiente a probar antes de iniciar la prueba de concepto.
EL CLIENTE debe ofrecer las facilidades a NetIQ para instalar y configurar los agentes a
integrar en la herramienta, segn el alcance, es decir, deber permitir tener acceso a los
equipos a gestionar con las cuentas de administrador (root/Administrator) para instalar los
agentes.
EL CLIENTE debe ofrecer a NetIQ un lugar de trabajo con conexin a la red local, con acceso a
los hosts a monitorear y los servidores de la prueba a instalar, as como, garantizar que antes de
la prueba se deber proporcionar las IPs asignadas al equipo de NetIQ.
Para la funcionalidad RDP y/o SSH Relay se requieren los servicios SSH o Remote Desktop
activados en los servidores agente y comunicacin entre la consola y el Host en los puertos 22
3389 segn sea el caso.
Es mandatorio cumplir los puntos anteriores antes de dar comienzo con la prueba de concepto,
por tanto es requisito que EL CLIENTE ponga por escrito (correo electrnico, documento, etc)
que dichos requerimientos fueron cubiertos.
Plan de trabajo
2012 NetIQ Corporation. All rights reserved. 20
Plan de trabajo
Nota: Este plan de trabajo asume que EL CLIENTE habr facilitado los recursos
necesarios, y cumplido con las premisas establecidas en ste documento para poder
cumplir con dichos tiempos.
Actividad
Da 1 Da 2 Da 3
2 4 6 8 2 4 6 8 2 4 6 8
Revisin de las polticas a asignar a la solucin.
Instalacin de NetIQ Privileged User Manager.
Configuracin inicial de la solucin.
Descarga de los paquetes en el Package Manager.
Instalacin y registro del Host Agent dentro del Framework.
Creacin de usuarios de administracin en distintos roles
(auditora, cumplimiento, ejecucin)
Creacin de reglas SSH y/o RDP relay.
Creacin de reglas de auditora de archivos crticos.
Generacin de reportes de auditora.
Pruebas finales de funcionalidad y presentacin de resultados.
Criterios de aceptacin
2012 NetIQ Corporation. All rights reserved. 22
Pruebas a realizar
EL CLIENTE dar como terminada correctamente la prueba de
concepto, al cumplirse los siguientes casos:

Criterios de aceptacin Cumple? Comentarios
Instalacin exitosa de agentes y consola en el
entorno de EL CLIENTE.
Monitoreo en tiempo real de los comandos
ejecutados por usuarios privilegiados,
establecidos para la prueba.
Almacenamiento en bitcora de todos los
eventos monitoreados en la solucin NetIQ
Privileged User Manager.
Creacin y despliegue de reglas de control entre
los componentes integrados, en tiempo real.
Mostrar el funcionamiento de la herramienta
RDP Relay para auditora de entornos Windows.
Fcil creacin de usuarios de administracin y
acceso a los mismos con diferentes roles y
accesos.
Generacin exitosa de reportes con toda la
informacin genrica de los hosts integrados.
Entregables
2012 NetIQ Corporation. All rights reserved. 24
Entregables
Como parte de los entregables de la Prueba de
Concepto, NetIQ mostrar la solucin solicitada por
EL CLIENTE con las funcionalidades listadas en
este documento para su evaluacin y realizar la
presentacin formal de resultados.
As como un periodo de evaluacin de la
herramienta no posterior a 60 das.
This document could include technical inaccuracies or typographical errors. Changes are
periodically made to the information herein. These changes may be incorporated in new
editions of this document. NetIQ Corporation may make improvements in or changes to the
software described in this document at any time.

Copyright 2012 NetIQ Corporation. All rights reserved.

ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the
cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration
Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy
Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit,
PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite,
Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ
Corporation or its subsidiaries in the United States and other countries.