Logo DNCP
¿Qué estás buscando?

Versión 3

Versión 4

Diferencias entre las versiones 3 y 4

Detalle de los productos con las respectivas especificaciones técnicas

Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:

ESPECIFICACIONES TÉCNICAS

 

Sistema Integrado Firewall en Alta disponibilidad para la Dirección Administrativa del MH

 

La función de esta solución será la de proteger toda la información alojada en el Data Center de la Dirección Administrativa.  Para ello se necesita que el sistema cuente con operaciones de seguridad, análisis e inspección de contenido.  Se deberá incorporar en un solo cluster (equipos en alta disponibilidad) las siguientes funcionalidades:

  • Firewall tipo Stateful inspection
  • VPN IPSec
  • VPN SSL
  • Antivirus y Antispyware de perímetro
  • Sandboxing
  • Sistema de Prevención de intrusos
  • Sistema de filtrado de navegación Web
  • Administración de ancho de banda
  • Alta disponibilidad

 

Se deberá entregar con la oferta (Catálogo Técnico) del producto (o de los productos), indicando en la columna Cumple/No Cumple, como la solución cotizada cumple con lo exigido, debiendo indicar además el número de página del catálogo donde se especifique claramente esa característica.  No se acepta por respuesta cumple, sin la debida justificación.

En la oferta también se deberá indicar el link oficial de donde se puede bajar el catalogo para corroborar.

A continuación los requerimientos técnicos necesarios:

SISTEMA INTEGRADO FIREWALL EN ALTA DISPONIBILIDAD

 

 

REQUERIMIENTOS

Requerido

Cumple/No Cumple

1. GENERALES

 Marca,

Indicar exactamente el modelo a fin de cotejar en la Web

Exigido

 

Modelo,

Indicar exactamente el modelo a fin de cotejar en la Web

Exigido

 

Origen

Indicar procedencia del equipo

Exigido

 

Presentación

La solución deberá ser tipo appliance, una plataforma específica para hacer labores de Next Generation Firewall.

Exigido

 

Configuración

La solución deberá incluir al menos dos equipos en configuración de alta disponibilidad con sincronización de estados.

Exigido

 

Sistema Operativo

La solución deberá tener sistema operativo propietario, sistemas operativos basados en Linux o Windows Tipo "Endurecido" no serán aceptadas.

Exigido

 

Tecnología

 

 

 

 

Deberá contar con Tecnología de procesamiento multinúcleo, con separación a nivel de procesamiento del Control Plane (tareas de control) y del Data Plane (tareas de procesamiento de datos)

Exigido

 

Forma de operación

El sistema debe poder operar en su totalidad en modo flujo, sin necesidad de proxys para evitar limitaciones en tamaños de archivos y riesgos de latencia, en la configuración que ofrezca el mayor nivel de seguridad

Exigido

 

Arquitectura

La arquitectura del sistema deberá ser de Single Pass sin necesidad de hacer procesamiento secuencial (modulo tras modulo).

Exigido

 

Recomenda-ciones

El fabricante deberá ser recomendado por NSS Labs en los últimos 5 años

Exigido

 

Redundancia

Cada dispositivo deberá tener capacidad de manejar internamente fuente de poder y ventiladores redundantes

Exigido

 

Puertos

10/100/1000 en cobre

Mínimo 15

 

SFP+ 10 Gigabit Ethernet

Mínimo 2

 

Gestión para consola 10/100/1000 en cobre

Mínimo 1

 

Interfaces WAN para conexión a Internet

Mínimo 4

 

VLAN

Sub-interfaces VLAN

Mínimo 400

 

Enrutamiento

Debe soportar enrutamiento basado en políticas para que el tráfico sea enrutado a las diferentes interfaces basado en el servicio, la direcciones IP de origen o de destino.

Exigido

 

Debe soportar enrutamiento basado en la aplicación, por ejemplo, Office 365 se encaminan por una interface de salida a internet mientras que YouTube se encamina por otra.

Exigido

 

Debe soportar enrutamiento basado en políticas basado en el Full Qualified Domain Name FQDN

Exigido

 

Debe soportar soportar Equal Cost Multipath para balanceo de rutas a través de múltiples canales

Exigido

 

El sistema deberá Soportar enrutamiento: BGP, OSPF, RIPv1/v2, rutas estáticas y Multicast

Exigido

 

Capacidad

Tener licenciado y soportar tecnología SD-WAN para interconectar sedes remotas usando enlaces de internet con alta calidad de conexión.

Exigido

 

Debe soportar link Aggregation tanto estático como dinámico.

Exigido

 

Debe soportal Redundancia de puertos

Exigido

 

Debe tener capacidad de soportar NAT 1:1, 1: muchos, muchos:1, muchos:muchos, flexible NAT, PAT, y modo transparente

Exigido

 

Debe ser capaz de sacar backups de la configuración automáticamente también respaldarlos en la nube

Exigido

 

Debe soportar Jumbo Frames

Exigido

 

Debe soportar hacer Port Mirroring

Exigido

 

2. CARACTERISTICAS DE FIREWALL

Modo de Operación

Podrá ser implementado como bridge capa 2 transparente y también como router, también como un tap escuchando el tráfico, los modos de operación no serán excluyentes

Exigido

 

Rendimiento

Usando la metodología de medición basada en el RFC 2544

Mínimo  5.5 Gbps

 

Usando la metodología de medición basada en IMIX.

Mínimo 1.25 Gbps

 

Conexiones

Cantidad de conexiones que el sistema debe soportar

Mínima 2.900.000

 

Cantidad de nuevas conexiones por segundo

Mínima 39.000

 

Administración

Debe permitir administración por Zonas ( grupos lógicos de interfaces)

Exigido

 

Las reglas de firewall deben analizar las conexiones que atraviesen el equipo, entre interfaces, grupos de interfaces (o Zonas)

Exigido

 

Para granularidad y seguridad debe poder especificar políticas tomando en cuenta puerto fuente y destino (o zonas).

Exigido

 

Las reglas deben tomar en cuenta dirección IP fuente (que puede ser un grupo de direcciones IP), dirección IP destino (que puede ser un grupo de direcciones IP) y servicio (o grupo de servicios) de la comunicación que se está analizando.

Exigido

 

Las acciones de las reglas debe contener al menos aceptar, o rechazar la comunicación

Exigido

 

Las reglas se deben poder aplicar en un horario determinado.

Exigido

 

El sistema debe hacer manejo de ancho de banda, ancho de banda mínimo (Garantizado), ancho de banda máximo y control de ancho de banda por cada dirección IP

Exigido

 

Certificaciones

La solución debe contar con las siguientes certificaciones: CE, RoHS, UL, VCCI Class A, CB, ICSA  Labs Anti-virus, ICSA Labs Firewall, FCC Class A , FIPS 140-2, USGv6.

Exigido

 

2.1. CARACTERISTICAS DE VPN

Cantidad soportada

Tuneles VPN Site to Site

Mínimo 3500

 

Rendimiento

Usando la metodología de medición basada en el RFC 2544, para VPNs 3DES/AES

Mínimo 2.9 Gbps

 

Cliente remoto

Capacidad de licencias para acceso remoto.

Mínimo 1.500

 

Proveer licencia de acceso remoto

Mínimo 100

 

Intercambio de clave

Debe soportar mínimo: IKE, IKEv2, clave manual, PKI (X.509), L2TP a través de IPSec

Exigido

 

Funcionalidades

Debe soportar DHCP sobre VPNs.

Exigido

 

Debe descontaminar el tráfico en tiempo real antes de que llegue a la red corporativa y sin necesidad de que intervenga el usuario. De este modo se neutralizan a tiempo las vulnerabilidades y el código malicioso.

Exigido

 

Debe soportar VPN SSL

Mínimo 600

 

El sistema permitirá autenticación biométrica para las conexiones VPN SSL

Exigido

 

2.2. FILTRADO DE URLS (URL FILTERING)

Administración y funcionalidad

La solución debe incorporar control de sitios a los cuales naveguen los usuarios, mediante categorías. Por flexibilidad, el filtro de URLs debe tener por lo menos 55 categorías y debe actualizarse automáticamente.

Exigido

 

El Filtrado de contenido estará basado en categorías en tiempo real, integrado a la plataforma de seguridad appliance. Sin necesidad de instalar un servidor o appliance externo, licenciamiento de un producto externo o software adicional para realizar la categorización del contenido.

Exigido

 

El sistema debe permitir crear perfiles para filtro de contenido y que sean aplicados a usuarios locales o de LDAP/Active directory, Grupos o Direcciones IP

Exigido

 

El filtrado se podrá hacer por horarios

Exigido

 

El sistema deberá dar Soporte a Youtube en modo restringido

Exigido

 

El sistema debe ser capaz de forzar el uso del safe search en google y bing

Exigido

 

El sistema debe evitar el uso de URLs embebidas (por ejemplo Google Translate) para evadir el filtrado web

Exigido

 

La página de bloqueo se podrá personalizar por cada política aplicada mostrando información diferente de acuerdo al usuario

Exigido

 

El sistema puede permitir el acceso a páginas restringidas a través de uso de contraseñas

Exigido

 

El sistema puede permitir el acceso a páginas restringidas con advertencia sobre el contenido que se va a observar

Exigido

 

El sistema puede hacer restricciones de ancho de banda por categorías de páginas web

Exigido

 

El sistema debe soportar mecanismos de Autenticación: RADIUS, TACACS+, Active Directory, LDAP, base de datos interna, Reconocimiento transparente de usuario del LDAP, reconocimiento de usuarios presentes en Terminal services (Windows y Citrix) y usuarios locales

Exigido

 

El sistema puede hacer reconocimiento transparente (sin validación adicional) de los usuarios ya autenticados a través de un RADIUS server usando información de RADIUS accounting

Exigido

 

El sistema permitirá definición de cuota diaria, semanal o mensual de tiempo de conexión o de tráfico generado por cada usuario

Exigido

 

El sistema deberá contar con la capacidad para hacer filtrado de páginas web sobre usuarios que no estén dentro de la red a través de un cliente de filtrado web

Exigido

 

3. CARACTERISTICAS DE INSPECCION PROFUNDA DE PAQUETES

Funcionamiento

El sistema de inspección profunda de paquetes debe funcionar bidireccionalmente

Exigido

 

El sistema de inspección profunda de paquetes debe operar sin proxies para evitar problemas de latencia

Exigido

 

3.1. SISTEMA DE PREVENCIÓN DE INTRUSOS IPS

Rendimiento

Usando la metodología de medición basada en el RFC 2544

Mínimo 2.2 Gbps

 

Protección

Cantidad de firmas de ataques

Mínimas 4800

 

Debe contar con protección de ataques de inundación (flood) a nivel de UDP, ICMP y el conocido SYN Flood

Exigido

 

Administración y Control

Debe permitir al administrador ejecutar acciones sobre los eventos de IPS como bloquear el tráfico, registrar o capturar el tráfico generado por el ataque

Exigido

 

Debe permitir inspeccionar el tráfico entre las zonas internas de la red

Exigido

 

Las reglas de IPS debe definir respuestas independientes

Exigido

 

Debe detectar anomalías en los protocolos

Exigido

 

Prevención de ataques DoS, DDoS y de escaneo

Exigido

 

Compatibilidad y bloqueos

Debe contar con mecanismos de antievasión

Exigido

 

Para VoIP debe contar con total compatibilidad con H.323v1-5, SIP, gestión de ancho de banda saliente, VoIP sobre WLAN, seguridad de inspección profunda, total  Interoperabilidad con la mayoría de los dispositivos VoIP de pasarela y comunicaciones

Exigido

 

Debe contar con filtro de bloqueo hacia centros de comando y control de botnets

Exigido

 

Debe contar con filtro de bloqueo por localización geográfica granular por cada regla de firewall

Exigido

 

Debe soportar DNS Sinkhole

Exigido

 

3.2. SISTEMA DE CONTROL DE APLICACIONES

Rendimiento

Usando la metodología de medición basada en el RFC 2544

Mínima 2.9 Gbps

 

Administración y Control

El sistema debe identificar, categorizar y controlar y visualizar tráfico de más de 4300 aplicaciones agrupadas en al menos 25 Categorías

Exigido

 

Las aplicaciones se deben identificar independientemente del Stack o del puerto (TCP, UDP, etc.) que usen

Exigido

 

Las políticas de control de aplicaciones se podrán hacer granular por dirección IP, usuario, grupos de usuarios locales o de LDAP/Active Directory y  basado en horarios.

Exigido

 

El sistema deberá permitir la creación de reglas de control de ancho de banda de las aplicaciones soportadas

Exigido

 

El sistema deberá reportar en tiempo real cuales de las aplicaciones soportadas están siendo usadas, que usuario o dirección IP lo está haciendo y cuánto tráfico está cursando

Exigido

 

3.3. ANTIVIRUS DE PERÍMETRO

Rendimiento

Gateway Antivirus en el modo de operación (Proxy o Flow)  que brinda mayor seguridad.

Mínima 1.2 Gbps

 

Análisis

Debe ser capaz de analizar, tráfico entrante y saliente mínimo de los siguientes protocolos aplicativos: HTTP, SMTP, IMAP, POP3, FTP, CIFS/NETBIOS, y esta debe estar completamente integrada a la administración del dispositivo appliance

Exigido

 

Debe permitir escaneo de virus o spyware sobre protocolos basados en stream TCP, como Mensajería Instantánea y P2P

Exigido

 

El sistema debe realizar análisis antivirus sin limitación del tamaño del archivo transferido y sin que esto afecte la efectividad de la detección de amenazas

Exigido

 

Controles y Actualizaciones

Control granular de firmas de virus y spyware

Exigido

 

Actualizaciones automáticas con un intervalo mínimo de búsqueda de actualizaciones de 1 hora

Exigido

 

Certificado

El sistema antivirus deberá contar con la certificación Antivirus ICSA labs

Exigido

 

3.4. INSPECCIÓN DE TRÁFICO CIFRADO

Rendimiento

Inspección SSL

Mínimo 450 Mbps

 

Inspección

El sistema debe hacer inspección de Aplicaciones, IPS, antivirus y filtrado de páginas web sobre comunicaciones cifradas por TLS (Transport Layer Security) tales como HTTPS sin importar si opera sobre el puerto 443 u otro

Exigido

 

El sistema igualmente debe hacer inspección de tráfico cifrado sobre SSH

Exigido

 

Conexiones

Se debe manejar conexiones concurrentes de tráfico cifrado

Mínimo 29.000

 

Administración

Se debe poder definir excepciones al tráfico cifrado por dominios o por categorías de páginas web

Exigido

 

3.5. SERVICIOS DE SEGURIDAD EN LA NUBE

Funcionamiento y Control

EL sistema debe contar con un servicio online de detección de virus en la nube con capacidad de reconocimiento de más de 70 millones de amenazas el cual se puedan enviar muestras resumidas del tráfico para detectar códigos maliciosos

Exigido

 

El sistema debe contar con filtrado de conexiones a centros de control de Botnets basado en reputación de direcciones IP

Exigido

 

El sistema debe contar con controles de localización geográfica basados en la dirección IP de origen para hacer reglas de conexión por país bien sea de manera general o por reglas de firewall

Exigido

 

4. SANBOXING

Funcionamiento

El sistema debe contar con tecnología de análisis de malware de códigos desconocidos en un sistema aislado (Sandbox) donde se ejecutará e inspeccionará el comportamiento del código

Exigido

 

El sistema Sandbox debe operar como un servicio basado en la nube sin necesidad de hardware adicional

Exigido

 

El sistema debe usar al menos tres motores de Sandbox

Exigido

 

El sistema debe hacer un bloqueo del código que se está descargando hasta que se defina un veredicto

Exigido

 

Análisis y reportes

El sandbox debe permitir excepciones por tipo de archivos y por su resumen MD5

Exigido

 

El sistema debe analizar archivos ejecutables (PE), DLLs, PDFs, Archivos de Office, Comprimidos, JAR, APKs  para múltiples sistemas operativos (Windows, Android, MAC OSX)

Exigido

 

El sistema debe contar con reportes sobre los archivos enviados a análisis y su veredicto, el reporte debe incluir sistema operativo y detalles del archivo analizado

Exigido

 

5. SISTEMA DE GESTIÓN Y REPORTES

Funcionamiento

El sistema debe incluir gestión y reportes basada en la nube sin necesidad de hardware adicional

Exigido

 

El sistema debe permitir el manejo de roles para gestión con permisos y privilegios de acceso

Exigido

 

El sistema de gestión debe permitir hacer control de cambios que permita comparar, validar, revisar, aprobar y auditar las modificaciones que se hagan sobre la plataforma

Exigido

 

El sistema de gestión debe contar con facilidades para desplegar y provisionar el firewall de manera remota con mínima intervención del usuario local de manera que al registrar, conectar, encender el firewall sea suficiente para gestionar remotamente el dispositivo

Exigido

 

Reportes

El sistema de reportes debe contar con un Dashboard (Vista preliminar) con al menos la siguiente información:

- Aplicaciones, categorías y riesgo

- Usuarios

- Virus

- Intrusiones

- Spyware

- Botnets

- Páginas web visitadas y categorías

- Trafico por origen y destino

- Manejo de ancho de banda

- Tráfico bloqueado

Indicando sobre cada uno de ellos cantidad de conexiones, bytes transferidos

Exigido

 

Plantillas predefinidas

Mínima 100

 

Consolidación de logs para análisis forenses

Exigido

 

Generación de reportes agendados

Exigido

 

Persistencia de logs y reportes

Mínimo 3 mes

 

 

Visualización en tiempo real e histórica de las siguientes informaciones como mínima:

- Aplicaciones empleadas

- Ancho de banda de cada una de las interfaces

- Tasa de paquetes por segundo

- Tamaños de paquete

- Tasa de conexiones

- Cantidad de conexiones totales

- Uso de la CPU

Exigido

 

Administración y Control

La herramienta de gestión debe contar con roles para definir los accesos y privilegios que tendrán los usuarios que interactúan con la plataforma

Exigido

 

El sistema debe contar con mecanismos para identificar las aplicaciones en la nube que los usuarios emplean

Exigido

 

La solución debe permitir mostrar en tiempo real las aplicaciones usadas y el volumen de tráfico

Exigido

 

El sistema de gestión debe permitir hacer control sobre las aplicaciones permitidas o no aprobadas

Exigido

 

El sistema debe indicar los archivos que se han subido al Sandbox y reportar en cuales se han encontrado amenazas

Exigido

 

GARANTÍA, LICENCIAS Y SOPORTE DE FABRICA

Las licencias proveídas con los equipos que activen todos los servicios de alta disponibilidad, seguridad (Filtrado URL, Control de Aplicaciones, IDS/IPS, Antivirus, Sandboxing y SD-WAN), visibilidad y reportes solicitados deben ser por 3 años.

Exigido

 

El servicio de soporte 24x7 del fabricante debe ser por 3 años con reemplazo de partes.

Exigido

 

El servicio de actualización de las firmas de los servicios de seguridad que requieran actualizaciones periódicas debe ser licenciado por 3 años.

Exigido

 

AUTORIZACIÓN DEL FABRICANTE

Se debe incluir en la oferta una carta de autorización del fabricante, representante o distribuidor para presentar la oferta de los bienes solicitados. En los casos de Distribuidores o Representantes, estos deberán contar con la carta del Fabricante dirigida al Representante Regional o Distribuidor Autorizado que le extendió la carta, a fin de demostrar la cadena de autorizaciones que debe ser originada y partir necesariamente del Fabricante.

Exigido

 

CAPACIDAD TÉCNICA

El oferente debe contar en su staff técnico con al menos 3 técnicos certificados en la solución ofertada para la implementación de la solución, dichos certificados deben ser de carácter técnico y tener vigencia comprobable al momento de la presentación de la oferta. Los técnicos deben de residir en el territorio paraguayo, se solicitará que la constancia de residencia se adjunte a los certificados.

Los técnicos deberán contar con antigüedad mínima de 6 meses en la empresa oferente.

La Certificación de los técnicos deberá ser mínimamente del tipo Professional de Seguridad o Administrador Avanzado de Seguridad de Red o del tipo Especialista de Seguridad de Red con experiencia mayor a un año según conste en el certificado. (No serán aceptables Certificados técnicos del tipo Pre venta).

Exigido

 

TIEMPO DE ENTREGA

El oferente deberá entregar los equipos y las licencias en un plazo no mayor a los 60 días de haber recibido la orden de compra.

Exigido

 

IMPLEMENTACIÓN

El servicio contemplará todos los suministros, actividades de montaje, instalación en general, configuración y puesta en funcionamiento del equipo.

El oferente adjudicado deberá incluir los accesorios, cables, drivers, interfaces, manuales y conectores para el óptimo funcionamiento del equipo, por más que estos no sean expresamente solicitados.

Será un requisito indispensable que los técnicos certificados tengan competencia comprobable en la implementación de la marca ofertada. Para ello se deberán presentar constancias de tres implementaciones satisfactorias de clientes en el periodo comprendido del 2015 al 2020.

El oferente se compromete a efectuar la implementación de la solución llave en mano encargándose de la interoperabilidad de esta solución con los equipos existentes en el cliente.

Exigido

 

CAPACITACIÓN

El oferente deberá realizar un entrenamiento presencial de 20 horas, a realizarse en las oficinas del oferente, para un grupo cerrado de hasta 5 asistentes, el instructor deberá ser un ingeniero certificado por el fabricante en la solución ofertada, y que incluya, los manuales, las guías de estudio del curso.  Se deberá incluir certificado para los participantes.

Exigido

 

 

Forma de Pago.

% de Pago

Plazo de entrega

Documento Requerido

100% del Contrato.

A los 60 días de recepción de la Orden de Compra/servicio.

Nota de Remisión de Equipos y Licencias, acompañado de informe de implementación.

 

Detalle de los productos con las respectivas especificaciones técnicas

Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:

ESPECIFICACIONES TÉCNICAS

 

Sistema Integrado Firewall en Alta disponibilidad para la Dirección Administrativa del MH

 

La función de esta solución será la de proteger toda la información alojada en el Data Center de la Dirección Administrativa.  Para ello se necesita que el sistema cuente con operaciones de seguridad, análisis e inspección de contenido.  Se deberá incorporar en un solo cluster (equipos en alta disponibilidad) las siguientes funcionalidades:

  • Firewall tipo Stateful inspection
  • VPN IPSec
  • VPN SSL
  • Antivirus y Antispyware de perímetro
  • Sandboxing
  • Sistema de Prevención de intrusos
  • Sistema de filtrado de navegación Web
  • Administración de ancho de banda
  • Alta disponibilidad

 

Se deberá entregar con la oferta (Catálogo Técnico) del producto (o de los productos), indicando en la columna Cumple/No Cumple, como la solución cotizada cumple con lo exigido, debiendo indicar además el número de página del catálogo donde se especifique claramente esa característica.  No se acepta por respuesta cumple, sin la debida justificación.

En la oferta también se deberá indicar el link oficial de donde se puede bajar el catalogo para corroborar.

A continuación los requerimientos técnicos necesarios:

SISTEMA INTEGRADO FIREWALL EN ALTA DISPONIBILIDAD

 

 

REQUERIMIENTOS

Requerido

Cumple/No Cumple

1. GENERALES

 Marca,

Indicar exactamente el modelo a fin de cotejar en la Web

Exigido

 

Modelo,

Indicar exactamente el modelo a fin de cotejar en la Web

Exigido

 

Origen

Indicar procedencia del equipo

Exigido

 

Presentación

La solución deberá ser tipo appliance, una plataforma específica para hacer labores de Next Generation Firewall.

Exigido

 

Configuración

La solución deberá incluir al menos dos equipos en configuración de alta disponibilidad (Activo/Activo) con sincronización de estados.

Exigido

 

Sistema Operativo

La solución deberá tener sistema operativo propietario, sistemas operativos basados en Linux o Windows Tipo "Endurecido" no serán aceptadas.

Exigido

 

Tecnología

 

 

 

 

Deberá contar con Tecnología de procesamiento multinúcleo, con separación a nivel de procesamiento del Control Plane (tareas de control) y del Data Plane (tareas de procesamiento de datos)

Exigido

 

Forma de operación

El sistema debe poder operar en su totalidad en modo flujo, sin necesidad de proxys para evitar limitaciones en tamaños de archivos y riesgos de latencia, en la configuración que ofrezca el mayor nivel de seguridad

Exigido

 

Arquitectura

La arquitectura del sistema deberá ser de Single Pass sin necesidad de hacer procesamiento secuencial (modulo tras modulo).

Exigido

 

Recomenda-ciones

El oferente deberá presentar reportes de pruebas de laboratorio de otras organizaciones independientes en donde se valide el rendimiento y la efectividad de seguridad del equipo ofertado. La tasa de bloqueo de CVE no deberá ser menor a 95%. La metodología utilizada deberá estar validada por organizaciones de estandarización de la industria de telecomunicaciones y/o tecnología de la información

Exigido

 

Redundancia

Cada dispositivo deberá tener capacidad de manejar internamente fuente de poder y ventiladores redundantes

Exigido

 

Puertos

10/100/1000 en cobre.

 

Mínimo 15

 

SFP+ 10 Gigabit Ethernet.

 

Mínimo 2

 

Gestión para consola 10/100/1000 en

Cobre.

Mínimo 1

 

Interfaces WAN para conexión a Internet. Cualquiera de las interfaces físicas o interfaces VLAN deberá poder configurarse como WAN.

 

Mínimo 4

 

VLAN

Sub-interfaces VLAN

Mínimo 400

 

Enrutamiento

Debe soportar enrutamiento basado en políticas para que el tráfico sea enrutado a las diferentes interfaces basado en el servicio, la direcciones IP de origen o de destino.

Exigido

 

Debe soportar enrutamiento basado en la aplicación, por ejemplo, Office 365 se encaminan por una interface de salida a internet mientras que YouTube se encamina por otra.

Exigido

 

Debe soportar enrutamiento basado en políticas basado en el Full Qualified Domain Name FQDN

Exigido

 

Debe soportar soportar Equal Cost Multipath para balanceo de rutas a través de múltiples canales

Exigido

 

El sistema deberá Soportar enrutamiento: BGP, OSPF, RIPv1/v2, rutas estáticas y Multicast

Exigido

 

Capacidad

Tener licenciado y soportar tecnología SD-WAN para interconectar sedes remotas usando enlaces de internet con alta calidad de conexión.

Exigido

 

Debe soportar link Aggregation tanto estático como dinámico.

Exigido

 

Debe soportal Redundancia de puertos

Exigido

 

Debe tener capacidad de soportar NAT 1:1, 1: muchos, muchos:1, muchos:muchos, flexible NAT, PAT, y modo transparente

Exigido

 

Debe ser capaz de sacar backups de la configuración automáticamente también respaldarlos en la nube

Exigido

 

Debe soportar Jumbo Frames

Exigido

 

Debe soportar hacer Port Mirroring

Exigido

 

2. CARACTERISTICAS DE FIREWALL

Modo de Operación

Podrá ser implementado como bridge capa 2 transparente y también como router, también como un tap escuchando el tráfico, los modos de operación no serán excluyentes

Exigido

 

Rendimiento

Inspección de firewall stateful

Mínima 5.5

Gbps

 

Usando la metodología de medición basada en IMIX.

 

Mínimo 1.25

Gbps

 

Rendimiento de protección de amenazas.

 

Mínimo 2.2 Gbps

 

Conexiones

Cantidad de conexiones que el sistema debe soportar

Mínima 2.900.000

 

Cantidad de nuevas conexiones por segundo

Mínima 39.000

 

Administración

Debe permitir administración por Zonas ( grupos lógicos de interfaces)

Exigido

 

Las reglas de firewall deben analizar las conexiones que atraviesen el equipo, entre interfaces, grupos de interfaces (o Zonas)

Exigido

 

Para granularidad y seguridad debe poder especificar políticas tomando en cuenta puerto fuente y destino (o zonas).

Exigido

 

Las reglas deben tomar en cuenta dirección IP fuente (que puede ser un grupo de direcciones IP), dirección IP destino (que puede ser un grupo de direcciones IP) y servicio (o grupo de servicios) de la comunicación que se está analizando.

Exigido

 

Las acciones de las reglas debe contener al menos aceptar, o rechazar la comunicación

Exigido

 

Las reglas se deben poder aplicar en un horario determinado.

Exigido

 

El sistema debe hacer manejo de ancho de banda, ancho de banda mínimo (Garantizado), ancho de banda máximo y control de ancho de banda por cada dirección IP

Exigido

 

Certificaciones

Podrán ser aceptados certificaciones Europeas de Seguridad como Common Criteria ® Part 2 Conforman y Part 3

Extended EAL 4 augmented by ALC FLR.3 como alternativas a FIPS-140-2, así como también IPV6 ready (IPv6 forum) como alternativa a USGv6. Debido a que las certificaciones mencionadas se aplican únicamente a la versión del producto indicado en las pruebas, en todos los casos, las certificaciones necesariamente deberán estar emitidas para la última versión de software recomendada por el fabricante, deberá ser aplicable al modelo de equipo ofertado. Las certificaciones de seguridad mencionadas deberán tener como alcance la validación de los módulos criptográficos del dispositivo.

 

Exigido

 

Las certificaciones y versiones de software recomendadas deberán ser verificables tanto en el sitio web oficial del fabricante como en los sitios oficiales de las entidades de certificación.

 

2.1. CARACTERISTICAS DE VPN

Cantidad

soportada

Tuneles VPN Site to Site

Mínimo 2000

 

Rendimiento

VPNs 3DES/AES

Mínimo 2.9

Gbps

 

Cliente remoto

Capacidad para acceso remoto IPSec.

 

Exigido

 

Proveer licencia de acceso remoto VPN SSL

 

Mínimo 100

 

Intercambio de clave

Debe soportar mínimo: IKE, IKEv2, clave manual, PKI (X.509), L2TP a través de IPSec

Exigido

 

Funcionalidades

Debe soportar DHCP sobre VPNs.

Exigido

 

Debe descontaminar el tráfico en tiempo real antes de que llegue a la red corporativa y sin necesidad de que intervenga el usuario. De este modo se neutralizan a tiempo las vulnerabilidades y el código malicioso.

Exigido

 

Debe soportar VPN SSL

Mínimo 600

 

El sistema permitirá autenticación biométrica para las conexiones VPN SSL

Exigido

 

2.2. FILTRADO DE URLS (URL FILTERING)

Administración y funcionalidad

La solución debe incorporar control de sitios a los cuales naveguen los usuarios, mediante categorías. Por flexibilidad, el filtro de URLs debe tener por lo menos 55 categorías y debe actualizarse automáticamente.

Exigido

 

El Filtrado de contenido estará basado en categorías en tiempo real, integrado a la plataforma de seguridad appliance. Sin necesidad de instalar un servidor o appliance externo, licenciamiento de un producto externo o software adicional para realizar la categorización del contenido.

Exigido

 

El sistema debe permitir crear perfiles para filtro de contenido y que sean aplicados a usuarios locales o de LDAP/Active directory, Grupos o Direcciones IP

Exigido

 

El filtrado se podrá hacer por horarios

Exigido

 

El sistema deberá dar Soporte a Youtube en modo restringido

Exigido

 

El sistema debe ser capaz de forzar el uso del safe search en google y bing

Exigido

 

El sistema debe evitar el uso de URLs embebidas (por ejemplo Google Translate) para evadir el filtrado web

Exigido

 

La página de bloqueo se podrá personalizar por cada política aplicada mostrando información diferente de acuerdo al usuario

Exigido

 

El sistema puede permitir el acceso a páginas restringidas a través de uso de contraseñas

Exigido

 

El sistema puede permitir el acceso a páginas restringidas con advertencia sobre el contenido que se va a observar

Exigido

 

El sistema puede hacer restricciones de ancho de banda por categorías de páginas web

Exigido

 

El sistema debe soportar mecanismos de Autenticación: RADIUS, TACACS+, Active Directory, LDAP, base de datos interna, Reconocimiento transparente de usuario del LDAP, reconocimiento de usuarios presentes en Terminal services (Windows y Citrix) y usuarios locales

Exigido

 

El sistema puede hacer reconocimiento transparente (sin validación adicional) de los usuarios ya autenticados a través de un RADIUS server usando información de RADIUS accounting

Exigido

 

El sistema permitirá definición de cuota diaria, semanal o mensual de tiempo de conexión o de tráfico generado por cada usuario

Exigido

 

El sistema deberá contar con la capacidad para hacer filtrado de páginas web sobre usuarios que no estén dentro de la red a través de un cliente de filtrado web

Exigido

 

3. CARACTERISTICAS DE INSPECCION PROFUNDA DE PAQUETES

Funcionamiento

El sistema de inspección profunda de paquetes debe funcionar bidireccionalmente

Exigido

 

El sistema de inspección profunda de paquetes debe operar sin proxies para evitar problemas de latencia

Exigido

 

3.1. SISTEMA DE PREVENCIÓN DE INTRUSOS IPS

Rendimiento

Usando la metodología de medición basada en el RFC 2544

Mínimo 2.2 Gbps

 

Protección

Cantidad de firmas de ataques

Mínimas 4800

 

Debe contar con protección de ataques de inundación (flood) a nivel de UDP, ICMP y el conocido SYN Flood

Exigido

 

Administración y Control

Debe permitir al administrador ejecutar acciones sobre los eventos de IPS como bloquear el tráfico, registrar o capturar el tráfico generado por el ataque

Exigido

 

Debe permitir inspeccionar el tráfico entre las zonas internas de la red

Exigido

 

Las reglas de IPS debe definir respuestas independientes

Exigido

 

Debe detectar anomalías en los protocolos

Exigido

 

Prevención de ataques DoS, DDoS y de escaneo

Exigido

 

Compatibilidad y bloqueos

Debe contar con mecanismos de antievasión

Exigido

 

Para VoIP debe contar con total compatibilidad con H.323v1-5, SIP, gestión de ancho de banda saliente, VoIP sobre WLAN, seguridad de inspección profunda, total  Interoperabilidad con la mayoría de los dispositivos VoIP de pasarela y comunicaciones

Exigido

 

Debe contar con filtro de bloqueo hacia centros de comando y control de botnets

Exigido

 

Debe contar con filtro de bloqueo por localización geográfica granular por cada regla de firewall

Exigido

 

Debe soportar DNS Sinkhole

Exigido

 

3.2. SISTEMA DE CONTROL DE APLICACIONES

Rendimiento

Usando la metodología de medición basada en el RFC 2544

Mínima 2.9 Gbps

 

Administración y Control

El sistema debe identificar, categorizar y controlar y visualizar tráfico de más de 4300 aplicaciones agrupadas en al menos 25 Categorías

Exigido

 

Las aplicaciones se deben identificar independientemente del Stack o del puerto (TCP, UDP, etc.) que usen

Exigido

 

Las políticas de control de aplicaciones se podrán hacer granular por dirección IP, usuario, grupos de usuarios locales o de LDAP/Active Directory y  basado en horarios.

Exigido

 

El sistema deberá permitir la creación de reglas de control de ancho de banda de las aplicaciones soportadas

Exigido

 

El sistema deberá reportar en tiempo real cuales de las aplicaciones soportadas están siendo usadas, que usuario o dirección IP lo está haciendo y cuánto tráfico está cursando

Exigido

 

3.3. ANTIVIRUS DE PERÍMETRO

Rendimiento

Gateway Antivirus en el modo de operación (Proxy o Flow)  que brinda mayor seguridad.

Mínima 1.2 Gbps

 

Análisis

Debe ser capaz de analizar, tráfico entrante y saliente mínimo de los siguientes protocolos aplicativos: HTTP, SMTP, IMAP, POP3, FTP, CIFS/NETBIOS, y esta debe estar completamente integrada a la administración del dispositivo appliance

Exigido

 

Debe permitir escaneo de virus o spyware sobre protocolos basados en stream TCP, como Mensajería Instantánea y P2P

Exigido

 

El sistema debe realizar análisis antivirus sin limitación del tamaño del archivo transferido y sin que esto afecte la efectividad de la detección de amenazas

Exigido

 

Controles y Actualizaciones

Control granular de firmas de virus y spyware

Exigido

 

Actualizaciones automáticas con un intervalo mínimo de búsqueda de actualizaciones de 1 hora

Exigido

 

Certificado

El sistema antivirus deberá contar con la certificación Antivirus ICSA labs

Exigido

 

3.4. INSPECCIÓN DE TRÁFICO CIFRADO

Rendimiento

Inspección SSL

Mínimo 450 Mbps

 

Inspección

El sistema debe hacer inspección de Aplicaciones, IPS, antivirus y filtrado de páginas web sobre comunicaciones cifradas por TLS (Transport Layer Security) tales como HTTPS sin importar si opera sobre el puerto 443 u otro

Exigido

 

El sistema igualmente debe hacer inspección de tráfico cifrado sobre SSH

Exigido

 

Conexiones

Se debe manejar conexiones concurrentes de tráfico cifrado

Mínimo 29.000

 

Administración

Se debe poder definir excepciones al tráfico cifrado por dominios o por categorías de páginas web

Exigido

 

3.5. SERVICIOS DE SEGURIDAD EN LA NUBE

Funcionamiento y Control

EL sistema debe contar con un servicio online de detección de virus en la nube con capacidad de reconocimiento de más de 70 millones de amenazas el cual se puedan enviar muestras resumidas del tráfico para detectar códigos maliciosos

Exigido

 

El sistema debe contar con filtrado de conexiones a centros de control de Botnets basado en reputación de direcciones IP

Exigido

 

El sistema debe contar con controles de localización geográfica basados en la dirección IP de origen para hacer reglas de conexión por país bien sea de manera general o por reglas de firewall

Exigido

 

4. SANBOXING

Funcionamiento

El sistema debe contar con tecnología de análisis de malware de códigos desconocidos en un sistema aislado (Sandbox) donde se ejecutará e inspeccionará el comportamiento del código

Exigido

 

El sistema Sandbox debe operar como un servicio basado en la nube sin necesidad de hardware adicional

Exigido

 

El sistema debe usar al menos tres o más técnicas de detección de Sandbox con el fin de evitar posibles evasiones.

Exigido

 

El sistema debe hacer un bloqueo del código que se está descargando hasta que se defina un veredicto

Exigido

 

Análisis y reportes

El sandbox debe permitir excepciones por tipo de archivos y por su resumen MD5

Exigido

 

El sistema debe analizar archivos ejecutables (PE), DLLs, PDFs, Archivos de Office, Comprimidos, JAR, APKs  para múltiples sistemas operativos (Windows, Android, MAC OSX)

Exigido

 

El sistema debe contar con reportes sobre los archivos enviados a análisis y su veredicto, el reporte debe incluir sistema operativo y detalles del archivo analizado

Exigido

 

5. SISTEMA DE GESTIÓN Y REPORTES

Funcionamiento

El sistema debe incluir gestión y reportes basada en la nube sin necesidad de hardware adicional

Exigido

 

El sistema debe permitir el manejo de roles para gestión con permisos y privilegios de acceso

Exigido

 

El sistema de gestión debe permitir hacer control de cambios que permita comparar, validar, revisar, aprobar y auditar las modificaciones que se hagan sobre la plataforma

Exigido

 

El sistema de gestión debe contar con facilidades para desplegar y provisionar el firewall de manera remota con mínima intervención del usuario local de manera que al registrar, conectar, encender el firewall sea suficiente para gestionar remotamente el dispositivo

Exigido

 

Reportes

El sistema de reportes debe contar con un Dashboard (Vista preliminar) con al menos la siguiente información:

- Aplicaciones, categorías y riesgo

- Usuarios

- Virus

- Intrusiones

- Spyware

- Botnets

- Páginas web visitadas y categorías

- Trafico por origen y destino

- Manejo de ancho de banda

- Tráfico bloqueado

Indicando sobre cada uno de ellos cantidad de conexiones, bytes transferidos

Exigido

 

Plantillas predefinidas

Mínima 100

 

Consolidación de logs para análisis forenses

Exigido

 

Generación de reportes agendados

Exigido

 

Persistencia de logs y reportes

Mínimo 3 mes

 

 

Visualización en tiempo real e histórica de las siguientes informaciones como mínima:

- Aplicaciones empleadas

- Ancho de banda de cada una de las interfaces

- Tasa de paquetes por segundo

- Tamaños de paquete

- Tasa de conexiones

- Cantidad de conexiones totales

- Uso de la CPU

Exigido

 

Administración y Control

La herramienta de gestión debe contar con roles para definir los accesos y privilegios que tendrán los usuarios que interactúan con la plataforma

Exigido

 

El sistema debe contar con mecanismos para identificar las aplicaciones en la nube que los usuarios emplean

Exigido

 

La solución debe permitir mostrar en tiempo real las aplicaciones usadas y el volumen de tráfico

Exigido

 

El sistema de gestión debe permitir hacer control sobre las aplicaciones permitidas o no aprobadas

Exigido

 

El sistema debe indicar los archivos que se han subido al Sandbox y reportar en cuales se han encontrado amenazas

Exigido

 

GARANTÍA, LICENCIAS Y SOPORTE DE FABRICA

Las licencias proveídas con los equipos que activen todos los servicios de alta disponibilidad (Activo-Activo), seguridad (Filtrado URL, Control de Aplicaciones, IDS/IPS, Antivirus, Sandboxing y SD- WAN), visibilidad y reportes solicitados deben ser por 3 años.

Exigido

 

El servicio de soporte 24x7 del fabricante debe ser por 3 años con reemplazo de partes.

Exigido

 

El servicio de actualización de las firmas de los servicios de seguridad que requieran actualizaciones periódicas debe ser licenciado por 3 años.

Exigido

 

AUTORIZACIÓN DEL FABRICANTE

Se debe incluir en la oferta una carta de autorización del fabricante, representante o distribuidor para presentar la oferta de los bienes solicitados. En los casos de Distribuidores o Representantes, estos deberán contar con la carta del Fabricante dirigida al Representante Regional o Distribuidor Autorizado que le extendió la carta, a fin de demostrar la cadena de autorizaciones que debe ser originada y partir necesariamente del Fabricante.

Exigido

 

CAPACIDAD TÉCNICA

El oferente debe contar en su staff técnico con al menos 2 técnicos certificados en la solución ofertada para la implementación de la solución, dichos certificados deben ser de carácter técnico y tener vigencia comprobable al momento de la presentación de la oferta. Los técnicos deben de residir en el territorio paraguayo, se solicitará que la constancia de residencia se adjunte a los certificados.

 

Los técnicos deberán contar con antigüedad mínima de 6 meses en la empresa oferente.

 

La Certificación de los técnicos deberá ser mínimamente del tipo Professional de Seguridad, Administrador o Administrador Avanzado de Seguridad de Red o del tipo Especialista de Seguridad de Red con experiencia mayor a un año según conste en el certificado, y deberá tener vigencia comprobable al momento de presentación de la oferta. En caso de que los certificados tengan fecha de expedición menor a un año, la experiencia podrá ser corroborada mediante constancias de participación de los técnicos en las cartas de prestación de servicios del objeto del llamado. (No serán aceptables Certificados técnicos del tipo Pre venta).

Exigido

 

TIEMPO DE ENTREGA

El oferente deberá entregar los equipos y las licencias en un plazo no mayor a los 60 días de haber recibido la orden de compra.

Exigido

 

IMPLEMENTACIÓN

El servicio contemplará todos los suministros, actividades de montaje, instalación en general, configuración y puesta en funcionamiento del equipo.

El oferente adjudicado deberá incluir los accesorios, cables, drivers, interfaces, manuales y conectores para el óptimo funcionamiento del equipo, por más que estos no sean expresamente solicitados.

Será un requisito indispensable que los técnicos certificados tengan competencia comprobable en la implementación de la marca ofertada. Para ello se deberán presentar constancias de tres implementaciones satisfactorias de clientes en el periodo comprendido del 2015 al 2020.

El oferente se compromete a efectuar la implementación de la solución llave en mano encargándose de la interoperabilidad de esta solución con los equipos existentes en el cliente.

Exigido

 

CAPACITACIÓN

El oferente deberá realizar un entrenamiento presencial de 20 horas, a realizarse en las oficinas del oferente, para un grupo cerrado de hasta 5 asistentes, el instructor deberá ser un ingeniero certificado por el fabricante en la solución ofertada, y que incluya, los manuales, las guías de estudio del curso.  Se deberá incluir certificado para los participantes.

Exigido

 

 

Forma de Pago.

% de Pago

Plazo de entrega

Documento Requerido

100% del Contrato.

A los 60 días de recepción de la Orden de Compra/servicio.

Nota de Remisión de Equipos y Licencias, acompañado de informe de implementación.

 

Detalle de los productos con las respectivas especificaciones técnicas

Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:

ESPECIFICACIONES TÉCNICAS

Sistema Integrado Firewall en Alta disponibilidad para la Dirección Administrativa del MH

La función de esta solución será la de proteger toda la información alojada en el Data Center de la Dirección Administrativa. Para ello se necesita que el sistema cuente con operaciones de seguridad, análisis e inspección de contenido. Se deberá incorporar en un solo cluster (equipos en alta disponibilidad) las siguientes funcionalidades:

  • Firewall tipo Stateful inspection
  • VPN IPSec
  • VPN SSL
  • Antivirus y Antispyware de perímetro
  • Sandboxing
  • Sistema de Prevención de intrusos
  • Sistema de filtrado de navegación Web
  • Administración de ancho de banda
  • Alta disponibilidad

Se deberá entregar con la oferta (Catálogo Técnico) del producto (o de los productos), indicando en la columna Cumple/No Cumple, como la solución cotizada cumple con lo exigido, debiendo indicar además el número de página del catálogo donde se especifique claramente esa característica. No se acepta por respuesta cumple, sin la debida justificación.

En la oferta también se deberá indicar el link oficial de donde se puede bajar el catalogo para corroborar.

A continuación los requerimientos técnicos necesarios:

SISTEMA INTEGRADO FIREWALL EN ALTA DISPONIBILIDAD

REQUERIMIENTOS

Requerido

Cumple/No Cumple

1. GENERALES

Marca,

Indicar exactamente el modelo a fin de cotejar en la Web

Exigido

Modelo,

Indicar exactamente el modelo a fin de cotejar en la Web

Exigido

Origen

Indicar procedencia del equipo

Exigido

Presentación

La solución deberá ser tipo appliance, una plataforma específica para hacer labores de Next Generation Firewall.

Exigido

Configuración

La solución deberá incluir al menos dos equipos en configuración de alta disponibilidad (Activo/Activo) con sincronización de estados.

Exigido

Sistema Operativo

La solución deberá tener sistema operativo propietario, sistemas operativos basados en Linux o Windows Tipo "Endurecido" no serán aceptadas.

Exigido

Tecnología

Deberá contar con Tecnología de procesamiento multinúcleo, con separación a nivel de procesamiento del Control Plane (tareas de control) y del Data Plane (tareas de procesamiento de datos)

Exigido

Forma de operación

El sistema debe poder operar en su totalidad en modo flujo, sin necesidad de proxys para evitar limitaciones en tamaños de archivos y riesgos de latencia, en la configuración que ofrezca el mayor nivel de seguridad

Exigido

Arquitectura

La arquitectura del sistema deberá ser de Single Pass sin necesidad de hacer procesamiento secuencial (modulo tras modulo).

Exigido

Recomenda-ciones

El fabricanteoferente deberá presentar reportes de pruebas de laboratorio de otras organizaciones independientes en donde se valide el rendimiento y la efectividad de seguridad del equipo ofertado. La tasa de bloqueo de CVE no deberá ser recomendadomenor a 95%. La metodología utilizada deberá estar validada por NSS Labs en los últimos 5 años

organizaciones de estandarización de la industria de telecomunicaciones y/o tecnología de la información

Exigido

Redundancia

Cada dispositivo deberá tener capacidad de manejar internamente fuente de poder y ventiladores redundantes

Exigido

Puertos

10/100/1000 en cobre.

Mínimo 15

SFP+ 10 Gigabit Ethernet.

Mínimo 2

Gestión para consola 10/100/1000 en cobre

Cobre.

Mínimo 1

Interfaces WAN para conexión a Internet. Cualquiera de las interfaces físicas o interfaces VLAN deberá poder configurarse como WAN.

Mínimo 4

VLAN

Sub-interfaces VLAN

Mínimo 400

Enrutamiento

Debe soportar enrutamiento basado en políticas para que el tráfico sea enrutado a las diferentes interfaces basado en el servicio, la direcciones IP de origen o de destino.

Exigido

Debe soportar enrutamiento basado en la aplicación, por ejemplo, Office 365 se encaminan por una interface de salida a internet mientras que YouTube se encamina por otra.

Exigido

Debe soportar enrutamiento basado en políticas basado en el Full Qualified Domain Name FQDN

Exigido

Debe soportar soportar Equal Cost Multipath para balanceo de rutas a través de múltiples canales

Exigido

El sistema deberá Soportar enrutamiento: BGP, OSPF, RIPv1/v2, rutas estáticas y Multicast

Exigido

Capacidad

Tener licenciado y soportar tecnología SD-WAN para interconectar sedes remotas usando enlaces de internet con alta calidad de conexión.

Exigido

Debe soportar link Aggregation tanto estático como dinámico.

Exigido

Debe soportal Redundancia de puertos

Exigido

Debe tener capacidad de soportar NAT 1:1, 1: muchos, muchos:1, muchos:muchos, flexible NAT, PAT, y modo transparente

Exigido

Debe ser capaz de sacar backups de la configuración automáticamente también respaldarlos en la nube

Exigido

Debe soportar Jumbo Frames

Exigido

Debe soportar hacer Port Mirroring

Exigido

2. CARACTERISTICAS DE FIREWALL

Modo de Operación

Podrá ser implementado como bridge capa 2 transparente y también como router, también como un tap escuchando el tráfico, los modos de operación no serán excluyentes

Exigido

Rendimiento

Usando la metodologíaInspección de medición basada en el RFC 2544firewall stateful

MínimoMínima 5.5

Gbps

Usando la metodología de medición basada en IMIX.

Mínimo 1.25

Gbps

Rendimiento de protección de amenazas.

Mínimo 2.2 Gbps

Conexiones

Cantidad de conexiones que el sistema debe soportar

Mínima 2.900.000

Cantidad de nuevas conexiones por segundo

Mínima 39.000

Administración

Debe permitir administración por Zonas ( grupos lógicos de interfaces)

Exigido

Las reglas de firewall deben analizar las conexiones que atraviesen el equipo, entre interfaces, grupos de interfaces (o Zonas)

Exigido

Para granularidad y seguridad debe poder especificar políticas tomando en cuenta puerto fuente y destino (o zonas).

Exigido

Las reglas deben tomar en cuenta dirección IP fuente (que puede ser un grupo de direcciones IP), dirección IP destino (que puede ser un grupo de direcciones IP) y servicio (o grupo de servicios) de la comunicación que se está analizando.

Exigido

Las acciones de las reglas debe contener al menos aceptar, o rechazar la comunicación

Exigido

Las reglas se deben poder aplicar en un horario determinado.

Exigido

El sistema debe hacer manejo de ancho de banda, ancho de banda mínimo (Garantizado), ancho de banda máximo y control de ancho de banda por cada dirección IP

Exigido

Certificaciones

La solución debe contar con las siguientesPodrán ser aceptados certificaciones: CE, RoHS, UL, VCCI Class A, CB, ICSA Labs Anti-virus, ICSA Labs Firewall, FCC Class A , Europeas de Seguridad como Common Criteria ® Part 2 Conforman y Part 3

Extended EAL 4 augmented by ALC FLR.3 como alternativas a FIPS -140-2, así como también IPV6 ready (IPv6 forum) como alternativa a USGv6. Debido a que las certificaciones mencionadas se aplican únicamente a la versión del producto indicado en las pruebas, en todos los casos, las certificaciones necesariamente deberán estar emitidas para la última versión de software recomendada por el fabricante, deberá ser aplicable al modelo de equipo ofertado. Las certificaciones de seguridad mencionadas deberán tener como alcance la validación de los módulos criptográficos del dispositivo.

Exigido

Las certificaciones y versiones de software recomendadas deberán ser verificables tanto en el sitio web oficial del fabricante como en los sitios oficiales de las entidades de certificación.

2.1. CARACTERISTICAS DE VPN

Cantidad

soportada

Tuneles VPN Site to Site

Mínimo 35002000

Rendimiento

Usando la metodología de medición basada en el RFC 2544, para VPNs 3DES/AES

Mínimo 2.9

Gbps

Cliente remoto

Capacidad de licencias para acceso remoto IPSec.

Mínimo 1.500Exigido

Proveer licencia de acceso remoto VPN SSL

Mínimo 100

Intercambio de clave

Debe soportar mínimo: IKE, IKEv2, clave manual, PKI (X.509), L2TP a través de IPSec

Exigido

Funcionalidades

Debe soportar DHCP sobre VPNs.

Exigido

Debe descontaminar el tráfico en tiempo real antes de que llegue a la red corporativa y sin necesidad de que intervenga el usuario. De este modo se neutralizan a tiempo las vulnerabilidades y el código malicioso.

Exigido

Debe soportar VPN SSL

Mínimo 600

El sistema permitirá autenticación biométrica para las conexiones VPN SSL

Exigido

2.2. FILTRADO DE URLS (URL FILTERING)

Administración y funcionalidad

La solución debe incorporar control de sitios a los cuales naveguen los usuarios, mediante categorías. Por flexibilidad, el filtro de URLs debe tener por lo menos 55 categorías y debe actualizarse automáticamente.

Exigido

El Filtrado de contenido estará basado en categorías en tiempo real, integrado a la plataforma de seguridad appliance. Sin necesidad de instalar un servidor o appliance externo, licenciamiento de un producto externo o software adicional para realizar la categorización del contenido.

Exigido

El sistema debe permitir crear perfiles para filtro de contenido y que sean aplicados a usuarios locales o de LDAP/Active directory, Grupos o Direcciones IP

Exigido

El filtrado se podrá hacer por horarios

Exigido

El sistema deberá dar Soporte a Youtube en modo restringido

Exigido

El sistema debe ser capaz de forzar el uso del safe search en google y bing

Exigido

El sistema debe evitar el uso de URLs embebidas (por ejemplo Google Translate) para evadir el filtrado web

Exigido

La página de bloqueo se podrá personalizar por cada política aplicada mostrando información diferente de acuerdo al usuario

Exigido

El sistema puede permitir el acceso a páginas restringidas a través de uso de contraseñas

Exigido

El sistema puede permitir el acceso a páginas restringidas con advertencia sobre el contenido que se va a observar

Exigido

El sistema puede hacer restricciones de ancho de banda por categorías de páginas web

Exigido

El sistema debe soportar mecanismos de Autenticación: RADIUS, TACACS+, Active Directory, LDAP, base de datos interna, Reconocimiento transparente de usuario del LDAP, reconocimiento de usuarios presentes en Terminal services (Windows y Citrix) y usuarios locales

Exigido

El sistema puede hacer reconocimiento transparente (sin validación adicional) de los usuarios ya autenticados a través de un RADIUS server usando información de RADIUS accounting

Exigido

El sistema permitirá definición de cuota diaria, semanal o mensual de tiempo de conexión o de tráfico generado por cada usuario

Exigido

El sistema deberá contar con la capacidad para hacer filtrado de páginas web sobre usuarios que no estén dentro de la red a través de un cliente de filtrado web

Exigido

3. CARACTERISTICAS DE INSPECCION PROFUNDA DE PAQUETES

Funcionamiento

El sistema de inspección profunda de paquetes debe funcionar bidireccionalmente

Exigido

El sistema de inspección profunda de paquetes debe operar sin proxies para evitar problemas de latencia

Exigido

3.1. SISTEMA DE PREVENCIÓN DE INTRUSOS IPS

Rendimiento

Usando la metodología de medición basada en el RFC 2544

Mínimo 2.2 Gbps

Protección

Cantidad de firmas de ataques

Mínimas 4800

Debe contar con protección de ataques de inundación (flood) a nivel de UDP, ICMP y el conocido SYN Flood

Exigido

Administración y Control

Debe permitir al administrador ejecutar acciones sobre los eventos de IPS como bloquear el tráfico, registrar o capturar el tráfico generado por el ataque

Exigido

Debe permitir inspeccionar el tráfico entre las zonas internas de la red

Exigido

Las reglas de IPS debe definir respuestas independientes

Exigido

Debe detectar anomalías en los protocolos

Exigido

Prevención de ataques DoS, DDoS y de escaneo

Exigido

Compatibilidad y bloqueos

Debe contar con mecanismos de antievasión

Exigido

Para VoIP debe contar con total compatibilidad con H.323v1-5, SIP, gestión de ancho de banda saliente, VoIP sobre WLAN, seguridad de inspección profunda, total Interoperabilidad con la mayoría de los dispositivos VoIP de pasarela y comunicaciones

Exigido

Debe contar con filtro de bloqueo hacia centros de comando y control de botnets

Exigido

Debe contar con filtro de bloqueo por localización geográfica granular por cada regla de firewall

Exigido

Debe soportar DNS Sinkhole

Exigido

3.2. SISTEMA DE CONTROL DE APLICACIONES

Rendimiento

Usando la metodología de medición basada en el RFC 2544

Mínima 2.9 Gbps

Administración y Control

El sistema debe identificar, categorizar y controlar y visualizar tráfico de más de 4300 aplicaciones agrupadas en al menos 25 Categorías

Exigido

Las aplicaciones se deben identificar independientemente del Stack o del puerto (TCP, UDP, etc.) que usen

Exigido

Las políticas de control de aplicaciones se podrán hacer granular por dirección IP, usuario, grupos de usuarios locales o de LDAP/Active Directory y basado en horarios.

Exigido

El sistema deberá permitir la creación de reglas de control de ancho de banda de las aplicaciones soportadas

Exigido

El sistema deberá reportar en tiempo real cuales de las aplicaciones soportadas están siendo usadas, que usuario o dirección IP lo está haciendo y cuánto tráfico está cursando

Exigido

3.3. ANTIVIRUS DE PERÍMETRO

Rendimiento

Gateway Antivirus en el modo de operación (Proxy o Flow) que brinda mayor seguridad.

Mínima 1.2 Gbps

Análisis

Debe ser capaz de analizar, tráfico entrante y saliente mínimo de los siguientes protocolos aplicativos: HTTP, SMTP, IMAP, POP3, FTP, CIFS/NETBIOS, y esta debe estar completamente integrada a la administración del dispositivo appliance

Exigido

Debe permitir escaneo de virus o spyware sobre protocolos basados en stream TCP, como Mensajería Instantánea y P2P

Exigido

El sistema debe realizar análisis antivirus sin limitación del tamaño del archivo transferido y sin que esto afecte la efectividad de la detección de amenazas

Exigido

Controles y Actualizaciones

Control granular de firmas de virus y spyware

Exigido

Actualizaciones automáticas con un intervalo mínimo de búsqueda de actualizaciones de 1 hora

Exigido

Certificado

El sistema antivirus deberá contar con la certificación Antivirus ICSA labs

Exigido

3.4. INSPECCIÓN DE TRÁFICO CIFRADO

Rendimiento

Inspección SSL

Mínimo 450 Mbps

Inspección

El sistema debe hacer inspección de Aplicaciones, IPS, antivirus y filtrado de páginas web sobre comunicaciones cifradas por TLS (Transport Layer Security) tales como HTTPS sin importar si opera sobre el puerto 443 u otro

Exigido

El sistema igualmente debe hacer inspección de tráfico cifrado sobre SSH

Exigido

Conexiones

Se debe manejar conexiones concurrentes de tráfico cifrado

Mínimo 29.000

Administración

Se debe poder definir excepciones al tráfico cifrado por dominios o por categorías de páginas web

Exigido

3.5. SERVICIOS DE SEGURIDAD EN LA NUBE

Funcionamiento y Control

EL sistema debe contar con un servicio online de detección de virus en la nube con capacidad de reconocimiento de más de 70 millones de amenazas el cual se puedan enviar muestras resumidas del tráfico para detectar códigos maliciosos

Exigido

El sistema debe contar con filtrado de conexiones a centros de control de Botnets basado en reputación de direcciones IP

Exigido

El sistema debe contar con controles de localización geográfica basados en la dirección IP de origen para hacer reglas de conexión por país bien sea de manera general o por reglas de firewall

Exigido

4. SANBOXING

Funcionamiento

El sistema debe contar con tecnología de análisis de malware de códigos desconocidos en un sistema aislado (Sandbox) donde se ejecutará e inspeccionará el comportamiento del código

Exigido

El sistema Sandbox debe operar como un servicio basado en la nube sin necesidad de hardware adicional

Exigido

El sistema debe usar al menos tres motoreso más técnicas de detección de Sandbox con el fin de evitar posibles evasiones.

Exigido

El sistema debe hacer un bloqueo del código que se está descargando hasta que se defina un veredicto

Exigido

Análisis y reportes

El sandbox debe permitir excepciones por tipo de archivos y por su resumen MD5

Exigido

El sistema debe analizar archivos ejecutables (PE), DLLs, PDFs, Archivos de Office, Comprimidos, JAR, APKs para múltiples sistemas operativos (Windows, Android, MAC OSX)

Exigido

El sistema debe contar con reportes sobre los archivos enviados a análisis y su veredicto, el reporte debe incluir sistema operativo y detalles del archivo analizado

Exigido

5. SISTEMA DE GESTIÓN Y REPORTES

Funcionamiento

El sistema debe incluir gestión y reportes basada en la nube sin necesidad de hardware adicional

Exigido

El sistema debe permitir el manejo de roles para gestión con permisos y privilegios de acceso

Exigido

El sistema de gestión debe permitir hacer control de cambios que permita comparar, validar, revisar, aprobar y auditar las modificaciones que se hagan sobre la plataforma

Exigido

El sistema de gestión debe contar con facilidades para desplegar y provisionar el firewall de manera remota con mínima intervención del usuario local de manera que al registrar, conectar, encender el firewall sea suficiente para gestionar remotamente el dispositivo

Exigido

Reportes

El sistema de reportes debe contar con un Dashboard (Vista preliminar) con al menos la siguiente información:

- Aplicaciones, categorías y riesgo

- Usuarios

- Virus

- Intrusiones

- Spyware

- Botnets

- Páginas web visitadas y categorías

- Trafico por origen y destino

- Manejo de ancho de banda

- Tráfico bloqueado

Indicando sobre cada uno de ellos cantidad de conexiones, bytes transferidos

Exigido

Plantillas predefinidas

Mínima 100

Consolidación de logs para análisis forenses

Exigido

Generación de reportes agendados

Exigido

Persistencia de logs y reportes

Mínimo 3 mes

Visualización en tiempo real e histórica de las siguientes informaciones como mínima:

- Aplicaciones empleadas

- Ancho de banda de cada una de las interfaces

- Tasa de paquetes por segundo

- Tamaños de paquete

- Tasa de conexiones

- Cantidad de conexiones totales

- Uso de la CPU

Exigido

Administración y Control

La herramienta de gestión debe contar con roles para definir los accesos y privilegios que tendrán los usuarios que interactúan con la plataforma

Exigido

El sistema debe contar con mecanismos para identificar las aplicaciones en la nube que los usuarios emplean

Exigido

La solución debe permitir mostrar en tiempo real las aplicaciones usadas y el volumen de tráfico

Exigido

El sistema de gestión debe permitir hacer control sobre las aplicaciones permitidas o no aprobadas

Exigido

El sistema debe indicar los archivos que se han subido al Sandbox y reportar en cuales se han encontrado amenazas

Exigido

GARANTÍA, LICENCIAS Y SOPORTE DE FABRICA

Las licencias proveídas con los equipos que activen todos los servicios de alta disponibilidad (Activo-Activo), seguridad (Filtrado URL, Control de Aplicaciones, IDS/IPS, Antivirus, Sandboxing y SD- WAN), visibilidad y reportes solicitados deben ser por 3 años.

Exigido

El servicio de soporte 24x7 del fabricante debe ser por 3 años con reemplazo de partes.

Exigido

El servicio de actualización de las firmas de los servicios de seguridad que requieran actualizaciones periódicas debe ser licenciado por 3 años.

Exigido

AUTORIZACIÓN DEL FABRICANTE

Se debe incluir en la oferta una carta de autorización del fabricante, representante o distribuidor para presentar la oferta de los bienes solicitados. En los casos de Distribuidores o Representantes, estos deberán contar con la carta del Fabricante dirigida al Representante Regional o Distribuidor Autorizado que le extendió la carta, a fin de demostrar la cadena de autorizaciones que debe ser originada y partir necesariamente del Fabricante.

Exigido

CAPACIDAD TÉCNICA

El oferente debe contar en su staff técnico con al menos 32 técnicos certificados en la solución ofertada para la implementación de la solución, dichos certificados deben ser de carácter técnico y tener vigencia comprobable al momento de la presentación de la oferta. Los técnicos deben de residir en el territorio paraguayo, se solicitará que la constancia de residencia se adjunte a los certificados.

Los técnicos deberán contar con antigüedad mínima de 6 meses en la empresa oferente.

La Certificación de los técnicos deberá ser mínimamente del tipo Professional de Seguridad, Administrador o Administrador Avanzado de Seguridad de Red o del tipo Especialista de Seguridad de Red con experiencia mayor a un año según conste en el certificado, y deberá tener vigencia comprobable al momento de presentación de la oferta. En caso de que los certificados tengan fecha de expedición menor a un año, la experiencia podrá ser corroborada mediante constancias de participación de los técnicos en las cartas de prestación de servicios del objeto del llamado. (No serán aceptables Certificados técnicos del tipo Pre venta).

Exigido

TIEMPO DE ENTREGA

El oferente deberá entregar los equipos y las licencias en un plazo no mayor a los 60 días de haber recibido la orden de compra.

Exigido

IMPLEMENTACIÓN

El servicio contemplará todos los suministros, actividades de montaje, instalación en general, configuración y puesta en funcionamiento del equipo.

El oferente adjudicado deberá incluir los accesorios, cables, drivers, interfaces, manuales y conectores para el óptimo funcionamiento del equipo, por más que estos no sean expresamente solicitados.

Será un requisito indispensable que los técnicos certificados tengan competencia comprobable en la implementación de la marca ofertada. Para ello se deberán presentar constancias de tres implementaciones satisfactorias de clientes en el periodo comprendido del 2015 al 2020.

El oferente se compromete a efectuar la implementación de la solución llave en mano encargándose de la interoperabilidad de esta solución con los equipos existentes en el cliente.

Exigido

CAPACITACIÓN

El oferente deberá realizar un entrenamiento presencial de 20 horas, a realizarse en las oficinas del oferente, para un grupo cerrado de hasta 5 asistentes, el instructor deberá ser un ingeniero certificado por el fabricante en la solución ofertada, y que incluya, los manuales, las guías de estudio del curso. Se deberá incluir certificado para los participantes.

Exigido

Forma de Pago.

% de Pago

Plazo de entrega

Documento Requerido

100% del Contrato.

A los 60 días de recepción de la Orden de Compra/servicio.

Nota de Remisión de Equipos y Licencias, acompañado de informe de implementación.