Secciones
Versión 5
Versión 6
Diferencias entre las versiones 5 y 6
Detalle de los productos con las respectivas especificaciones técnicas
Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:
ESPECIFICACIONES TÉCNICAS
Sistema Integrado Firewall en Alta disponibilidad para la Dirección Administrativa del MH
La función de esta solución será la de proteger toda la información alojada en el Data Center de la Dirección Administrativa. Para ello se necesita que el sistema cuente con operaciones de seguridad, análisis e inspección de contenido. Se deberá incorporar en un solo cluster (equipos en alta disponibilidad) las siguientes funcionalidades:
- Firewall tipo Stateful inspection
- VPN IPSec
- VPN SSL
- Antivirus y Antispyware de perímetro
- Sandboxing
- Sistema de Prevención de intrusos
- Sistema de filtrado de navegación Web
- Administración de ancho de banda
- Alta disponibilidad
Se deberá entregar con la oferta (Catálogo Técnico) del producto (o de los productos), indicando en la columna Cumple/No Cumple, como la solución cotizada cumple con lo exigido, debiendo indicar además el número de página del catálogo donde se especifique claramente esa característica. No se acepta por respuesta cumple, sin la debida justificación.
En la oferta también se deberá indicar el link oficial de donde se puede bajar el catalogo para corroborar.
A continuación los requerimientos técnicos necesarios:
|
SISTEMA INTEGRADO FIREWALL EN ALTA DISPONIBILIDAD |
|
|
|
|
REQUERIMIENTOS |
Requerido |
Cumple/No Cumple |
|
|
1. GENERALES |
|||
|
Marca, |
Indicar exactamente el modelo a fin de cotejar en la Web |
Exigido |
|
|
Modelo, |
Indicar exactamente el modelo a fin de cotejar en la Web |
Exigido |
|
|
Origen |
Indicar procedencia del equipo |
Exigido |
|
|
Presentación |
La solución deberá ser tipo appliance, una plataforma específica para hacer labores de Next Generation Firewall. |
Exigido |
|
|
Configuración |
La solución deberá incluir al menos dos equipos en configuración de alta disponibilidad (Activo/Activo) con sincronización de estados. |
Exigido |
|
|
Sistema Operativo |
La solución deberá tener sistema operativo propietario, sistemas operativos basados en Linux o Windows Tipo "Endurecido" no serán aceptadas. |
Exigido |
|
|
Tecnología
|
Deberá contar con Tecnología de procesamiento multinúcleo, con separación a nivel de procesamiento del Control Plane (tareas de control) y del Data Plane (tareas de procesamiento de datos) |
Exigido |
|
|
Forma de operación |
El sistema debe poder operar en su totalidad en modo flujo, sin necesidad de proxys para evitar limitaciones en tamaños de archivos y riesgos de latencia, en la configuración que ofrezca el mayor nivel de seguridad |
Exigido |
|
|
Arquitectura |
La arquitectura del sistema deberá ser de Single Pass sin necesidad de hacer procesamiento secuencial (modulo tras modulo). |
Exigido |
|
|
Recomenda-ciones |
El oferente deberá presentar reportes de pruebas de laboratorio de otras organizaciones independientes en donde se valide el rendimiento y la efectividad de seguridad del equipo ofertado. La tasa de bloqueo de CVE no deberá ser menor a 95%. La metodología utilizada deberá estar validada por organizaciones de estandarización de la industria de telecomunicaciones y/o tecnología de la información |
Exigido |
|
|
Redundancia |
Cada dispositivo deberá tener capacidad de manejar internamente fuente de poder y ventiladores redundantes |
Exigido |
|
|
Puertos |
10/100/1000 en cobre.
|
Mínimo 15 |
|
|
SFP+ 10 Gigabit Ethernet.
|
Mínimo 2 |
|
|
|
Gestión para consola 10/100/1000 en Cobre. |
Mínimo 1 |
|
|
|
Interfaces WAN para conexión a Internet. Cualquiera de las interfaces físicas o interfaces VLAN deberá poder configurarse como WAN.
|
Mínimo 4 |
|
|
|
VLAN |
Sub-interfaces VLAN |
Mínimo 400 |
|
|
Enrutamiento |
Debe soportar enrutamiento basado en políticas para que el tráfico sea enrutado a las diferentes interfaces basado en el servicio, la direcciones IP de origen o de destino. |
Exigido |
|
|
Debe soportar enrutamiento basado en la aplicación, por ejemplo, Office 365 se encaminan por una interface de salida a internet mientras que YouTube se encamina por otra. |
Exigido |
|
|
|
Debe soportar enrutamiento basado en políticas basado en el Full Qualified Domain Name FQDN |
Exigido |
|
|
|
Debe soportar soportar Equal Cost Multipath para balanceo de rutas a través de múltiples canales |
Exigido |
|
|
|
El sistema deberá Soportar enrutamiento: BGP, OSPF, RIPv1/v2, rutas estáticas y Multicast |
Exigido |
|
|
|
Capacidad |
Tener licenciado y soportar tecnología SD-WAN para interconectar sedes remotas usando enlaces de internet con alta calidad de conexión. |
Exigido |
|
|
Debe soportar link Aggregation tanto estático como dinámico. |
Exigido |
|
|
|
Debe soportal Redundancia de puertos |
Exigido |
|
|
|
Debe tener capacidad de soportar NAT 1:1, 1: muchos, muchos:1, muchos:muchos, flexible NAT, PAT, y modo transparente |
Exigido |
|
|
|
Debe ser capaz de sacar backups de la configuración automáticamente también respaldarlos en la nube |
Exigido |
|
|
|
Debe soportar Jumbo Frames |
Exigido |
|
|
|
Debe soportar hacer Port Mirroring |
Exigido |
|
|
|
2. CARACTERISTICAS DE FIREWALL |
|||
|
Modo de Operación |
Podrá ser implementado como bridge capa 2 transparente y también como router, también como un tap escuchando el tráfico, los modos de operación no serán excluyentes |
Exigido |
|
|
Rendimiento |
Inspección de firewall stateful |
Mínima 5.5 Gbps |
|
|
Usando la metodología de medición basada en IMIX.
|
Mínimo 1.25 Gbps |
|
|
|
Rendimiento de protección de amenazas.
|
Mínimo 2.2 Gbps |
|
|
|
Conexiones |
Cantidad de conexiones que el sistema debe soportar |
Mínima 2.900.000 |
|
|
Cantidad de nuevas conexiones por segundo |
Mínima 39.000 |
|
|
|
Administración |
Debe permitir administración por Zonas ( grupos lógicos de interfaces) |
Exigido |
|
|
Las reglas de firewall deben analizar las conexiones que atraviesen el equipo, entre interfaces, grupos de interfaces (o Zonas) |
Exigido |
|
|
|
Para granularidad y seguridad debe poder especificar políticas tomando en cuenta puerto fuente y destino (o zonas). |
Exigido |
|
|
|
Las reglas deben tomar en cuenta dirección IP fuente (que puede ser un grupo de direcciones IP), dirección IP destino (que puede ser un grupo de direcciones IP) y servicio (o grupo de servicios) de la comunicación que se está analizando. |
Exigido |
|
|
|
Las acciones de las reglas debe contener al menos aceptar, o rechazar la comunicación |
Exigido |
|
|
|
Las reglas se deben poder aplicar en un horario determinado. |
Exigido |
|
|
|
El sistema debe hacer manejo de ancho de banda, ancho de banda mínimo (Garantizado), ancho de banda máximo y control de ancho de banda por cada dirección IP |
Exigido |
|
|
|
Certificaciones |
Podrán ser aceptados certificaciones Europeas de Seguridad como Common Criteria ® Part 2 Conforman y Part 3 Extended EAL 4 augmented by ALC FLR.3 como alternativas a FIPS-140-2, así como también IPV6 ready (IPv6 forum) como alternativa a USGv6. Debido a que las certificaciones mencionadas se aplican únicamente a la versión del producto indicado en las pruebas, en todos los casos, las certificaciones necesariamente deberán estar emitidas para la última versión de software recomendada por el fabricante, deberá ser aplicable al modelo de equipo ofertado. Las certificaciones de seguridad mencionadas deberán tener como alcance la validación de los módulos criptográficos del dispositivo.
|
Exigido |
|
|
Las certificaciones y versiones de software recomendadas deberán ser verificables tanto en el sitio web oficial del fabricante como en los sitios oficiales de las entidades de certificación.
|
|||
|
2.1. CARACTERISTICAS DE VPN |
|||
|
Cantidad soportada |
Tuneles VPN Site to Site |
Mínimo 2000 |
|
|
Rendimiento |
VPNs 3DES/AES |
Mínimo 2.9 Gbps |
|
|
Cliente remoto |
Capacidad para acceso remoto IPSec.
|
Exigido |
|
|
Proveer licencia de acceso remoto VPN SSL
|
Mínimo 100 |
|
|
|
Intercambio de clave |
Debe soportar mínimo: IKE, IKEv2, clave manual, PKI (X.509), L2TP a través de IPSec |
Exigido |
|
|
Funcionalidades |
Debe soportar DHCP sobre VPNs. |
Exigido |
|
|
Debe descontaminar el tráfico en tiempo real antes de que llegue a la red corporativa y sin necesidad de que intervenga el usuario. De este modo se neutralizan a tiempo las vulnerabilidades y el código malicioso. |
Exigido |
|
|
|
Debe soportar VPN SSL |
Mínimo 600 |
|
|
|
El sistema permitirá autenticación biométrica para las conexiones VPN SSL |
Exigido |
|
|
|
2.2. FILTRADO DE URLS (URL FILTERING) |
|||
|
Administración y funcionalidad |
La solución debe incorporar control de sitios a los cuales naveguen los usuarios, mediante categorías. Por flexibilidad, el filtro de URLs debe tener por lo menos 55 categorías y debe actualizarse automáticamente. |
Exigido |
|
|
El Filtrado de contenido estará basado en categorías en tiempo real, integrado a la plataforma de seguridad appliance. Sin necesidad de instalar un servidor o appliance externo, licenciamiento de un producto externo o software adicional para realizar la categorización del contenido. |
Exigido |
|
|
|
El sistema debe permitir crear perfiles para filtro de contenido y que sean aplicados a usuarios locales o de LDAP/Active directory, Grupos o Direcciones IP |
Exigido |
|
|
|
El filtrado se podrá hacer por horarios |
Exigido |
|
|
|
El sistema deberá dar Soporte a Youtube en modo restringido |
Exigido |
|
|
|
El sistema debe ser capaz de forzar el uso del safe search en google y bing |
Exigido |
|
|
|
El sistema debe evitar el uso de URLs embebidas (por ejemplo Google Translate) para evadir el filtrado web |
Exigido |
|
|
|
La página de bloqueo se podrá personalizar por cada política aplicada mostrando información diferente de acuerdo al usuario |
Exigido |
|
|
|
El sistema puede permitir el acceso a páginas restringidas a través de uso de contraseñas |
Exigido |
|
|
|
El sistema puede permitir el acceso a páginas restringidas con advertencia sobre el contenido que se va a observar |
Exigido |
|
|
|
El sistema puede hacer restricciones de ancho de banda por categorías de páginas web |
Exigido |
|
|
|
El sistema debe soportar mecanismos de Autenticación: RADIUS, TACACS+, Active Directory, LDAP, base de datos interna, Reconocimiento transparente de usuario del LDAP, reconocimiento de usuarios presentes en Terminal services (Windows y Citrix) y usuarios locales |
Exigido |
|
|
|
El sistema puede hacer reconocimiento transparente (sin validación adicional) de los usuarios ya autenticados a través de un RADIUS server usando información de RADIUS accounting |
Exigido |
|
|
|
El sistema permitirá definición de cuota diaria, semanal o mensual de tiempo de conexión o de tráfico generado por cada usuario |
Exigido |
|
|
|
El sistema deberá contar con la capacidad para hacer filtrado de páginas web sobre usuarios que no estén dentro de la red a través de un cliente de filtrado web |
Exigido |
|
|
|
3. CARACTERISTICAS DE INSPECCION PROFUNDA DE PAQUETES |
|||
|
Funcionamiento |
El sistema de inspección profunda de paquetes debe funcionar bidireccionalmente |
Exigido |
|
|
El sistema de inspección profunda de paquetes debe operar sin proxies para evitar problemas de latencia |
Exigido |
|
|
|
3.1. SISTEMA DE PREVENCIÓN DE INTRUSOS IPS |
|||
|
Rendimiento |
Usando la metodología de medición basada en el RFC 2544 |
Mínimo 2.2 Gbps |
|
|
Protección |
Cantidad de firmas de ataques |
Mínimas 4800 |
|
|
Debe contar con protección de ataques de inundación (flood) a nivel de UDP, ICMP y el conocido SYN Flood |
Exigido |
|
|
|
Administración y Control |
Debe permitir al administrador ejecutar acciones sobre los eventos de IPS como bloquear el tráfico, registrar o capturar el tráfico generado por el ataque |
Exigido |
|
|
Debe permitir inspeccionar el tráfico entre las zonas internas de la red |
Exigido |
|
|
|
Las reglas de IPS debe definir respuestas independientes |
Exigido |
|
|
|
Debe detectar anomalías en los protocolos |
Exigido |
|
|
|
Prevención de ataques DoS, DDoS y de escaneo |
Exigido |
|
|
|
Compatibilidad y bloqueos |
Debe contar con mecanismos de antievasión |
Exigido |
|
|
Para VoIP debe contar con total compatibilidad con H.323v1-5, SIP, gestión de ancho de banda saliente, VoIP sobre WLAN, seguridad de inspección profunda, total Interoperabilidad con la mayoría de los dispositivos VoIP de pasarela y comunicaciones |
Exigido |
|
|
|
Debe contar con filtro de bloqueo hacia centros de comando y control de botnets |
Exigido |
|
|
|
Debe contar con filtro de bloqueo por localización geográfica granular por cada regla de firewall |
Exigido |
|
|
|
Debe soportar DNS Sinkhole |
Exigido |
|
|
|
3.2. SISTEMA DE CONTROL DE APLICACIONES |
|||
|
Rendimiento |
Usando la metodología de medición basada en el RFC 2544 |
Mínima 2.9 Gbps |
|
|
Administración y Control |
El sistema debe identificar, categorizar y controlar y visualizar tráfico de más de 4300 aplicaciones agrupadas en al menos 25 Categorías |
Exigido |
|
|
Las aplicaciones se deben identificar independientemente del Stack o del puerto (TCP, UDP, etc.) que usen |
Exigido |
|
|
|
Las políticas de control de aplicaciones se podrán hacer granular por dirección IP, usuario, grupos de usuarios locales o de LDAP/Active Directory y basado en horarios. |
Exigido |
|
|
|
El sistema deberá permitir la creación de reglas de control de ancho de banda de las aplicaciones soportadas |
Exigido |
|
|
|
El sistema deberá reportar en tiempo real cuales de las aplicaciones soportadas están siendo usadas, que usuario o dirección IP lo está haciendo y cuánto tráfico está cursando |
Exigido |
|
|
|
3.3. ANTIVIRUS DE PERÍMETRO |
|||
|
Rendimiento |
Gateway Antivirus en el modo de operación (Proxy o Flow) que brinda mayor seguridad. |
Mínima 1.2 Gbps |
|
|
Análisis |
Debe ser capaz de analizar, tráfico entrante y saliente mínimo de los siguientes protocolos aplicativos: HTTP, SMTP, IMAP, POP3, FTP, CIFS/NETBIOS, y esta debe estar completamente integrada a la administración del dispositivo appliance |
Exigido |
|
|
Debe permitir escaneo de virus o spyware sobre protocolos basados en stream TCP, como Mensajería Instantánea y P2P |
Exigido |
|
|
|
El sistema debe realizar análisis antivirus sin limitación del tamaño del archivo transferido y sin que esto afecte la efectividad de la detección de amenazas |
Exigido |
|
|
|
Controles y Actualizaciones |
Control granular de firmas de virus y spyware |
Exigido |
|
|
Actualizaciones automáticas con un intervalo mínimo de búsqueda de actualizaciones de 1 hora |
Exigido |
|
|
|
Certificado |
El sistema antivirus deberá contar con la certificación Antivirus ICSA labs |
Exigido |
|
|
3.4. INSPECCIÓN DE TRÁFICO CIFRADO |
|||
|
Rendimiento |
Inspección SSL |
Mínimo 450 Mbps |
|
|
Inspección |
El sistema debe hacer inspección de Aplicaciones, IPS, antivirus y filtrado de páginas web sobre comunicaciones cifradas por TLS (Transport Layer Security) tales como HTTPS sin importar si opera sobre el puerto 443 u otro |
Exigido |
|
|
El sistema igualmente debe hacer inspección de tráfico cifrado sobre SSH |
Exigido |
|
|
|
Conexiones |
Se debe manejar conexiones concurrentes de tráfico cifrado |
Mínimo 29.000 |
|
|
Administración |
Se debe poder definir excepciones al tráfico cifrado por dominios o por categorías de páginas web |
Exigido |
|
|
3.5. SERVICIOS DE SEGURIDAD EN LA NUBE |
|||
|
Funcionamiento y Control |
EL sistema debe contar con un servicio online de detección de virus en la nube con capacidad de reconocimiento de más de 70 millones de amenazas el cual se puedan enviar muestras resumidas del tráfico para detectar códigos maliciosos |
Exigido |
|
|
El sistema debe contar con filtrado de conexiones a centros de control de Botnets basado en reputación de direcciones IP |
Exigido |
|
|
|
El sistema debe contar con controles de localización geográfica basados en la dirección IP de origen para hacer reglas de conexión por país bien sea de manera general o por reglas de firewall |
Exigido |
|
|
|
4. SANBOXING |
|||
|
Funcionamiento |
El sistema debe contar con tecnología de análisis de malware de códigos desconocidos en un sistema aislado (Sandbox) donde se ejecutará e inspeccionará el comportamiento del código |
Exigido |
|
|
El sistema Sandbox debe operar como un servicio basado en la nube sin necesidad de hardware adicional |
Exigido |
|
|
|
El sistema debe usar al menos tres o más técnicas de detección de Sandbox con el fin de evitar posibles evasiones. |
Exigido |
|
|
|
El sistema debe hacer un bloqueo del código que se está descargando hasta que se defina un veredicto |
Exigido |
|
|
|
Análisis y reportes |
El sandbox debe permitir excepciones por tipo de archivos y por su resumen MD5 |
Exigido |
|
|
El sistema debe analizar archivos ejecutables (PE), DLLs, PDFs, Archivos de Office, Comprimidos, JAR, APKs para múltiples sistemas operativos (Windows, Android, MAC OSX) |
Exigido |
|
|
|
El sistema debe contar con reportes sobre los archivos enviados a análisis y su veredicto, el reporte debe incluir sistema operativo y detalles del archivo analizado |
Exigido |
|
|
|
5. SISTEMA DE GESTIÓN Y REPORTES |
|||
|
Funcionamiento |
El sistema debe incluir gestión y reportes basada en la nube sin necesidad de hardware adicional |
Exigido |
|
|
El sistema debe permitir el manejo de roles para gestión con permisos y privilegios de acceso |
Exigido |
|
|
|
El sistema de gestión debe permitir hacer control de cambios que permita comparar, validar, revisar, aprobar y auditar las modificaciones que se hagan sobre la plataforma |
Exigido |
|
|
|
El sistema de gestión debe contar con facilidades para desplegar y provisionar el firewall de manera remota con mínima intervención del usuario local de manera que al registrar, conectar, encender el firewall sea suficiente para gestionar remotamente el dispositivo |
Exigido |
|
|
|
Reportes |
El sistema de reportes debe contar con un Dashboard (Vista preliminar) con al menos la siguiente información: - Aplicaciones, categorías y riesgo - Usuarios - Virus - Intrusiones - Spyware - Botnets - Páginas web visitadas y categorías - Trafico por origen y destino - Manejo de ancho de banda - Tráfico bloqueado Indicando sobre cada uno de ellos cantidad de conexiones, bytes transferidos |
Exigido |
|
|
Plantillas predefinidas |
Mínima 100 |
|
|
|
Consolidación de logs para análisis forenses |
Exigido |
|
|
|
Generación de reportes agendados |
Exigido |
|
|
|
Persistencia de logs y reportes |
Mínimo 3 mes |
|
|
|
|
Visualización en tiempo real e histórica de las siguientes informaciones como mínima: - Aplicaciones empleadas - Ancho de banda de cada una de las interfaces - Tasa de paquetes por segundo - Tamaños de paquete - Tasa de conexiones - Cantidad de conexiones totales - Uso de la CPU |
Exigido |
|
|
Administración y Control |
La herramienta de gestión debe contar con roles para definir los accesos y privilegios que tendrán los usuarios que interactúan con la plataforma |
Exigido |
|
|
El sistema debe contar con mecanismos para identificar las aplicaciones en la nube que los usuarios emplean |
Exigido |
|
|
|
La solución debe permitir mostrar en tiempo real las aplicaciones usadas y el volumen de tráfico |
Exigido |
|
|
|
El sistema de gestión debe permitir hacer control sobre las aplicaciones permitidas o no aprobadas |
Exigido |
|
|
|
El sistema debe indicar los archivos que se han subido al Sandbox y reportar en cuales se han encontrado amenazas |
Exigido |
|
|
|
GARANTÍA, LICENCIAS Y SOPORTE DE FABRICA |
|||
|
Las licencias proveídas con los equipos que activen todos los servicios de alta disponibilidad (Activo-Activo), seguridad (Filtrado URL, Control de Aplicaciones, IDS/IPS, Antivirus, Sandboxing y SD- WAN), visibilidad y reportes solicitados deben ser por 3 años. |
Exigido |
|
|
|
El servicio de soporte 24x7 del fabricante debe ser por 3 años con reemplazo de partes. |
Exigido |
|
|
|
El servicio de actualización de las firmas de los servicios de seguridad que requieran actualizaciones periódicas debe ser licenciado por 3 años. |
Exigido |
|
|
|
AUTORIZACIÓN DEL FABRICANTE |
|||
|
Se debe incluir en la oferta una carta de autorización del fabricante, representante o distribuidor para presentar la oferta de los bienes solicitados. En los casos de Distribuidores o Representantes, estos deberán contar con la carta del Fabricante dirigida al Representante Regional o Distribuidor Autorizado que le extendió la carta, a fin de demostrar la cadena de autorizaciones que debe ser originada y partir necesariamente del Fabricante. |
Exigido |
|
|
|
CAPACIDAD TÉCNICA |
|||
|
El oferente debe contar en su staff técnico con al menos 2 técnicos certificados en la solución ofertada para la implementación de la solución, dichos certificados deben ser de carácter técnico y tener vigencia comprobable al momento de la presentación de la oferta. Los técnicos deben de residir en el territorio paraguayo, se solicitará que la constancia de residencia se adjunte a los certificados.
Los técnicos deberán contar con antigüedad mínima de 6 meses en la empresa oferente.
La Certificación de los técnicos deberá ser mínimamente del tipo Professional de Seguridad, Administrador o Administrador Avanzado de Seguridad de Red o del tipo Especialista de Seguridad de Red con experiencia mayor a un año según conste en el certificado, y deberá tener vigencia comprobable al momento de presentación de la oferta. En caso de que los certificados tengan fecha de expedición menor a un año, la experiencia podrá ser corroborada mediante constancias de participación de los técnicos en las cartas de prestación de servicios del objeto del llamado. (No serán aceptables Certificados técnicos del tipo Pre venta). |
Exigido |
|
|
|
TIEMPO DE ENTREGA |
|||
|
El oferente deberá entregar los equipos y las licencias en un plazo no mayor a los 60 días de haber recibido la orden de compra. |
Exigido |
|
|
|
IMPLEMENTACIÓN |
|||
|
El servicio contemplará todos los suministros, actividades de montaje, instalación en general, configuración y puesta en funcionamiento del equipo. El oferente adjudicado deberá incluir los accesorios, cables, drivers, interfaces, manuales y conectores para el óptimo funcionamiento del equipo, por más que estos no sean expresamente solicitados. Será un requisito indispensable que los técnicos certificados tengan competencia comprobable en la implementación de la marca ofertada. Para ello se deberán presentar constancias de tres implementaciones satisfactorias de clientes en el periodo comprendido del 2015 al 2020. El oferente se compromete a efectuar la implementación de la solución llave en mano encargándose de la interoperabilidad de esta solución con los equipos existentes en el cliente. |
Exigido |
|
|
|
CAPACITACIÓN |
|||
|
El oferente deberá realizar un entrenamiento presencial de 20 horas, a realizarse en las oficinas del oferente, para un grupo cerrado de hasta 5 asistentes, el instructor deberá ser un ingeniero certificado por el fabricante en la solución ofertada, y que incluya, los manuales, las guías de estudio del curso. Se deberá incluir certificado para los participantes. |
Exigido |
|
|
Forma de Pago.
|
% de Pago |
Plazo de entrega |
Documento Requerido |
|
100% del Contrato. |
A los 60 días de recepción de la Orden de Compra/servicio. |
Nota de Remisión de Equipos y Licencias, acompañado de informe de implementación. |
Detalle de los productos con las respectivas especificaciones técnicas
Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:
ESPECIFICACIONES TÉCNICAS
Sistema Integrado Firewall en Alta disponibilidad para la Dirección Administrativa del MH
La función de esta solución será la de proteger toda la información alojada en el Data Center de la Dirección Administrativa. Para ello se necesita que el sistema cuente con operaciones de seguridad, análisis e inspección de contenido. Se deberá incorporar en un solo cluster (equipos en alta disponibilidad) las siguientes funcionalidades:
- Firewall tipo Stateful inspection
- VPN IPSec
- VPN SSL
- Antivirus y Antispyware de perímetro
- Sandboxing
- Sistema de Prevención de intrusos
- Sistema de filtrado de navegación Web
- Administración de ancho de banda
- Alta disponibilidad
Se deberá entregar con la oferta (Catálogo Técnico) del producto (o de los productos), indicando en la columna Cumple/No Cumple, como la solución cotizada cumple con lo exigido, debiendo indicar además el número de página del catálogo donde se especifique claramente esa característica. No se acepta por respuesta cumple, sin la debida justificación.
En la oferta también se deberá indicar el link oficial de donde se puede bajar el catalogo para corroborar.
A continuación los requerimientos técnicos necesarios:
|
SISTEMA INTEGRADO FIREWALL EN ALTA DISPONIBILIDAD |
|
|
|
|
REQUERIMIENTOS |
Requerido |
Cumple/No Cumple |
|
|
1. GENERALES |
|||
|
Marca, |
Indicar exactamente el modelo a fin de cotejar en la Web |
Exigido |
|
|
Modelo, |
Indicar exactamente el modelo a fin de cotejar en la Web |
Exigido |
|
|
Origen |
Indicar procedencia del equipo |
Exigido |
|
|
Presentación |
La solución deberá ser tipo appliance, una plataforma específica para hacer labores de Next Generation Firewall. |
Exigido |
|
|
Configuración |
La solución deberá incluir al menos dos equipos en configuración de alta disponibilidad (Activo/Activo) con sincronización de estados. |
Exigido |
|
|
Sistema Operativo |
La solución deberá tener sistema operativo propietario, sistemas operativos basados en Linux o Windows Tipo "Endurecido" no serán aceptadas. |
Exigido |
|
|
Tecnología
|
Deberá contar con Tecnología de procesamiento multinúcleo, con separación a nivel de procesamiento del Control Plane (tareas de control) y del Data Plane (tareas de procesamiento de datos) |
Exigido |
|
|
Forma de operación |
El sistema debe poder operar en su totalidad en modo flujo, sin necesidad de proxys para evitar limitaciones en tamaños de archivos y riesgos de latencia, en la configuración que ofrezca el mayor nivel de seguridad |
Exigido |
|
|
Arquitectura |
La arquitectura del sistema deberá ser de Single Pass sin necesidad de hacer procesamiento secuencial (modulo tras modulo). |
Exigido |
|
|
Recomenda-ciones |
El oferente deberá presentar reportes de pruebas de laboratorio de otras organizaciones independientes en donde se valide el rendimiento y la efectividad de seguridad del equipo ofertado. La tasa de bloqueo de CVE no deberá ser menor a 95%. La metodología utilizada deberá estar validada por organizaciones de estandarización de la industria de telecomunicaciones y/o tecnología de la información |
Exigido |
|
|
Redundancia |
Cada dispositivo deberá tener capacidad de manejar internamente fuente de poder y ventiladores redundantes |
Exigido |
|
|
Puertos |
10/100/1000 en cobre.
|
Mínimo 15 |
|
|
SFP+ 10 Gigabit Ethernet.
|
Mínimo 2 |
|
|
|
Gestión para consola 10/100/1000 en Cobre. |
Mínimo 1 |
|
|
|
Interfaces WAN para conexión a Internet. Cualquiera de las interfaces físicas o interfaces VLAN deberá poder configurarse como WAN.
|
Mínimo 4 |
|
|
|
VLAN |
Sub-interfaces VLAN |
Mínimo 400 |
|
|
Enrutamiento |
Debe soportar enrutamiento basado en políticas para que el tráfico sea enrutado a las diferentes interfaces basado en el servicio, la direcciones IP de origen o de destino. |
Exigido |
|
|
Debe soportar enrutamiento basado en la aplicación, por ejemplo, Office 365 se encaminan por una interface de salida a internet mientras que YouTube se encamina por otra. |
Exigido |
|
|
|
Debe soportar enrutamiento basado en políticas basado en el Full Qualified Domain Name FQDN |
Exigido |
|
|
|
Debe soportar soportar Equal Cost Multipath para balanceo de rutas a través de múltiples canales |
Exigido |
|
|
|
El sistema deberá Soportar enrutamiento: BGP, OSPF, RIPv1/v2, rutas estáticas y Multicast |
Exigido |
|
|
|
Capacidad |
Tener licenciado y soportar tecnología SD-WAN para interconectar sedes remotas usando enlaces de internet con alta calidad de conexión. |
Exigido |
|
|
Debe soportar link Aggregation tanto estático como dinámico. |
Exigido |
|
|
|
Debe soportal Redundancia de puertos |
Exigido |
|
|
|
Debe tener capacidad de soportar NAT 1:1, 1: muchos, muchos:1, muchos:muchos, flexible NAT, PAT, y modo transparente |
Exigido |
|
|
|
Debe ser capaz de sacar backups de la configuración automáticamente también respaldarlos en la nube |
Exigido |
|
|
|
Debe soportar Jumbo Frames |
Exigido |
|
|
|
Debe soportar hacer Port Mirroring |
Exigido |
|
|
|
2. CARACTERISTICAS DE FIREWALL |
|||
|
Modo de Operación |
Podrá ser implementado como bridge capa 2 transparente y también como router, también como un tap escuchando el tráfico, los modos de operación no serán excluyentes |
Exigido |
|
|
Rendimiento |
Inspección de firewall stateful |
Mínima 5.5 Gbps |
|
|
Usando la metodología de medición basada en IMIX.
|
Mínimo 1.25 Gbps |
|
|
|
Rendimiento de protección de amenazas.
|
Mínimo 2.2 Gbps |
|
|
|
Conexiones |
Cantidad de conexiones que el sistema debe soportar |
Mínima 2.900.000 |
|
|
Cantidad de nuevas conexiones por segundo |
Mínima 39.000 |
|
|
|
Administración |
Debe permitir administración por Zonas ( grupos lógicos de interfaces) |
Exigido |
|
|
Las reglas de firewall deben analizar las conexiones que atraviesen el equipo, entre interfaces, grupos de interfaces (o Zonas) |
Exigido |
|
|
|
Para granularidad y seguridad debe poder especificar políticas tomando en cuenta puerto fuente y destino (o zonas). |
Exigido |
|
|
|
Las reglas deben tomar en cuenta dirección IP fuente (que puede ser un grupo de direcciones IP), dirección IP destino (que puede ser un grupo de direcciones IP) y servicio (o grupo de servicios) de la comunicación que se está analizando. |
Exigido |
|
|
|
Las acciones de las reglas debe contener al menos aceptar, o rechazar la comunicación |
Exigido |
|
|
|
Las reglas se deben poder aplicar en un horario determinado. |
Exigido |
|
|
|
El sistema debe hacer manejo de ancho de banda, ancho de banda mínimo (Garantizado), ancho de banda máximo y control de ancho de banda por cada dirección IP |
Exigido |
|
|
|
Certificaciones |
Podrán ser aceptados certificaciones Europeas de Seguridad como Common Criteria ® Part 2 Conforman y Part 3 Extended EAL 4 augmented by ALC FLR.3 como alternativas a FIPS-140-2, así como también IPV6 ready (IPv6 forum) como alternativa a USGv6. Debido a que las certificaciones mencionadas se aplican únicamente a la versión del producto indicado en las pruebas, en todos los casos, las certificaciones necesariamente deberán estar emitidas para la última versión de software recomendada por el fabricante, deberá ser aplicable al modelo de equipo ofertado. Las certificaciones de seguridad mencionadas deberán tener como alcance la validación de los módulos criptográficos del dispositivo.
|
Exigido |
|
|
Las certificaciones y versiones de software recomendadas deberán ser verificables tanto en el sitio web oficial del fabricante como en los sitios oficiales de las entidades de certificación.
|
|||
|
2.1. CARACTERISTICAS DE VPN |
|||
|
Cantidad soportada |
Tuneles VPN Site to Site |
Mínimo 2000 |
|
|
Rendimiento |
VPNs 3DES/AES |
Mínimo 2.9 Gbps |
|
|
Cliente remoto |
Capacidad para acceso remoto IPSec.
|
Exigido |
|
|
Proveer licencia de acceso remoto VPN SSL
|
Mínimo 100 |
|
|
|
Intercambio de clave |
Debe soportar mínimo: IKE, IKEv2, clave manual, PKI (X.509), L2TP a través de IPSec |
Exigido |
|
|
Funcionalidades |
Debe soportar DHCP sobre VPNs. |
Exigido |
|
|
Debe descontaminar el tráfico en tiempo real antes de que llegue a la red corporativa y sin necesidad de que intervenga el usuario. De este modo se neutralizan a tiempo las vulnerabilidades y el código malicioso. |
Exigido |
|
|
|
Debe soportar VPN SSL |
Mínimo 600 |
|
|
|
El sistema permitirá autenticación biométrica para las conexiones VPN SSL |
Exigido |
|
|
|
2.2. FILTRADO DE URLS (URL FILTERING) |
|||
|
Administración y funcionalidad |
La solución debe incorporar control de sitios a los cuales naveguen los usuarios, mediante categorías. Por flexibilidad, el filtro de URLs debe tener por lo menos 55 categorías y debe actualizarse automáticamente. |
Exigido |
|
|
El Filtrado de contenido estará basado en categorías en tiempo real, integrado a la plataforma de seguridad appliance. Sin necesidad de instalar un servidor o appliance externo, licenciamiento de un producto externo o software adicional para realizar la categorización del contenido. |
Exigido |
|
|
|
El sistema debe permitir crear perfiles para filtro de contenido y que sean aplicados a usuarios locales o de LDAP/Active directory, Grupos o Direcciones IP |
Exigido |
|
|
|
El filtrado se podrá hacer por horarios |
Exigido |
|
|
|
El sistema deberá dar Soporte a Youtube en modo restringido |
Exigido |
|
|
|
El sistema debe ser capaz de forzar el uso del safe search en google y bing |
Exigido |
|
|
|
El sistema debe evitar el uso de URLs embebidas (por ejemplo Google Translate) para evadir el filtrado web |
Exigido |
|
|
|
La página de bloqueo se podrá personalizar por cada política aplicada mostrando información diferente de acuerdo al usuario |
Exigido |
|
|
|
El sistema puede permitir el acceso a páginas restringidas a través de uso de contraseñas |
Exigido |
|
|
|
El sistema puede permitir el acceso a páginas restringidas con advertencia sobre el contenido que se va a observar |
Exigido |
|
|
|
El sistema puede hacer restricciones de ancho de banda por categorías de páginas web |
Exigido |
|
|
|
El sistema debe soportar mecanismos de Autenticación: RADIUS, TACACS+, Active Directory, LDAP, base de datos interna, Reconocimiento transparente de usuario del LDAP, reconocimiento de usuarios presentes en Terminal services (Windows y Citrix) y usuarios locales |
Exigido |
|
|
|
El sistema puede hacer reconocimiento transparente (sin validación adicional) de los usuarios ya autenticados a través de un RADIUS server usando información de RADIUS accounting |
Exigido |
|
|
|
El sistema permitirá definición de cuota diaria, semanal o mensual de tiempo de conexión o de tráfico generado por cada usuario |
Exigido |
|
|
|
El sistema deberá contar con la capacidad para hacer filtrado de páginas web sobre usuarios que no estén dentro de la red a través de un cliente de filtrado web |
Exigido |
|
|
|
3. CARACTERISTICAS DE INSPECCION PROFUNDA DE PAQUETES |
|||
|
Funcionamiento |
El sistema de inspección profunda de paquetes debe funcionar bidireccionalmente |
Exigido |
|
|
El sistema de inspección profunda de paquetes debe operar sin proxies para evitar problemas de latencia |
Exigido |
|
|
|
3.1. SISTEMA DE PREVENCIÓN DE INTRUSOS IPS |
|||
|
Rendimiento |
Usando la metodología de medición basada en el RFC 2544 |
Mínimo 2.2 Gbps |
|
|
Protección |
Cantidad de firmas de ataques |
Mínimas 4800 |
|
|
Debe contar con protección de ataques de inundación (flood) a nivel de UDP, ICMP y el conocido SYN Flood |
Exigido |
|
|
|
Administración y Control |
Debe permitir al administrador ejecutar acciones sobre los eventos de IPS como bloquear el tráfico, registrar o capturar el tráfico generado por el ataque |
Exigido |
|
|
Debe permitir inspeccionar el tráfico entre las zonas internas de la red |
Exigido |
|
|
|
Las reglas de IPS debe definir respuestas independientes |
Exigido |
|
|
|
Debe detectar anomalías en los protocolos |
Exigido |
|
|
|
Prevención de ataques DoS, DDoS y de escaneo |
Exigido |
|
|
|
Compatibilidad y bloqueos |
Debe contar con mecanismos de antievasión |
Exigido |
|
|
Para VoIP debe contar con total compatibilidad con H.323v1-5, SIP, gestión de ancho de banda saliente, VoIP sobre WLAN, seguridad de inspección profunda, total Interoperabilidad con la mayoría de los dispositivos VoIP de pasarela y comunicaciones |
Exigido |
|
|
|
Debe contar con filtro de bloqueo hacia centros de comando y control de botnets |
Exigido |
|
|
|
Debe contar con filtro de bloqueo por localización geográfica granular por cada regla de firewall |
Exigido |
|
|
|
Debe soportar DNS Sinkhole |
Exigido |
|
|
|
3.2. SISTEMA DE CONTROL DE APLICACIONES |
|||
|
Rendimiento |
Usando la metodología de medición basada en el RFC 2544 |
Mínima 2.9 Gbps |
|
|
Administración y Control |
El sistema debe identificar, categorizar y controlar y visualizar tráfico de más de 4300 aplicaciones agrupadas en al menos 25 Categorías |
Exigido |
|
|
Las aplicaciones se deben identificar independientemente del Stack o del puerto (TCP, UDP, etc.) que usen |
Exigido |
|
|
|
Las políticas de control de aplicaciones se podrán hacer granular por dirección IP, usuario, grupos de usuarios locales o de LDAP/Active Directory y basado en horarios. |
Exigido |
|
|
|
El sistema deberá permitir la creación de reglas de control de ancho de banda de las aplicaciones soportadas |
Exigido |
|
|
|
El sistema deberá reportar en tiempo real cuales de las aplicaciones soportadas están siendo usadas, que usuario o dirección IP lo está haciendo y cuánto tráfico está cursando |
Exigido |
|
|
|
3.3. ANTIVIRUS DE PERÍMETRO |
|||
|
Rendimiento |
Gateway Antivirus en el modo de operación (Proxy o Flow) que brinda mayor seguridad. |
Mínima 1.2 Gbps |
|
|
Análisis |
Debe ser capaz de analizar, tráfico entrante y saliente mínimo de los siguientes protocolos aplicativos: HTTP, SMTP, IMAP, POP3, FTP, CIFS/NETBIOS, y esta debe estar completamente integrada a la administración del dispositivo appliance |
Exigido |
|
|
Debe permitir escaneo de virus o spyware sobre protocolos basados en stream TCP, como Mensajería Instantánea y P2P |
Exigido |
|
|
|
El sistema debe realizar análisis antivirus sin limitación del tamaño del archivo transferido y sin que esto afecte la efectividad de la detección de amenazas |
Exigido |
|
|
|
Controles y Actualizaciones |
Control granular de firmas de virus y spyware |
Exigido |
|
|
Actualizaciones automáticas con un intervalo mínimo de búsqueda de actualizaciones de 1 hora |
Exigido |
|
|
|
Certificado |
El sistema antivirus deberá contar con la certificación Antivirus ICSA labs |
Exigido |
|
|
3.4. INSPECCIÓN DE TRÁFICO CIFRADO |
|||
|
Rendimiento |
Inspección SSL |
Mínimo 450 Mbps |
|
|
Inspección |
El sistema debe hacer inspección de Aplicaciones, IPS, antivirus y filtrado de páginas web sobre comunicaciones cifradas por TLS (Transport Layer Security) tales como HTTPS sin importar si opera sobre el puerto 443 u otro |
Exigido |
|
|
El sistema igualmente debe hacer inspección de tráfico cifrado sobre SSH |
Exigido |
|
|
|
Conexiones |
Se debe manejar conexiones concurrentes de tráfico cifrado |
Mínimo 29.000 |
|
|
Administración |
Se debe poder definir excepciones al tráfico cifrado por dominios o por categorías de páginas web |
Exigido |
|
|
3.5. SERVICIOS DE SEGURIDAD EN LA NUBE |
|||
|
Funcionamiento y Control |
EL sistema debe contar con un servicio online de detección de virus en la nube con capacidad de reconocimiento de más de 70 millones de amenazas el cual se puedan enviar muestras resumidas del tráfico para detectar códigos maliciosos |
Exigido |
|
|
El sistema debe contar con filtrado de conexiones a centros de control de Botnets basado en reputación de direcciones IP |
Exigido |
|
|
|
El sistema debe contar con controles de localización geográfica basados en la dirección IP de origen para hacer reglas de conexión por país bien sea de manera general o por reglas de firewall |
Exigido |
|
|
|
4. SANBOXING |
|||
|
Funcionamiento |
El sistema debe contar con tecnología de análisis de malware de códigos desconocidos en un sistema aislado (Sandbox) donde se ejecutará e inspeccionará el comportamiento del código |
Exigido |
|
|
El sistema Sandbox debe operar como un servicio basado en la nube sin necesidad de hardware adicional |
Exigido |
|
|
|
El sistema debe usar al menos tres o más técnicas de detección de Sandbox con el fin de evitar posibles evasiones. |
Exigido |
|
|
|
El sistema debe hacer un bloqueo del código que se está descargando hasta que se defina un veredicto |
Exigido |
|
|
|
Análisis y reportes |
El sandbox debe permitir excepciones por tipo de archivos y por su resumen MD5 |
Exigido |
|
|
El sistema debe analizar archivos ejecutables (PE), DLLs, PDFs, Archivos de Office, Comprimidos, JAR, APKs para múltiples sistemas operativos (Windows, Android, MAC OSX) |
Exigido |
|
|
|
El sistema debe contar con reportes sobre los archivos enviados a análisis y su veredicto, el reporte debe incluir sistema operativo y detalles del archivo analizado |
Exigido |
|
|
|
5. SISTEMA DE GESTIÓN Y REPORTES |
|||
|
Funcionamiento |
El sistema debe incluir gestión y reportes basada en la nube sin necesidad de hardware adicional |
Exigido |
|
|
El sistema debe permitir el manejo de roles para gestión con permisos y privilegios de acceso |
Exigido |
|
|
|
El sistema de gestión debe permitir hacer control de cambios que permita comparar, validar, revisar, aprobar y auditar las modificaciones que se hagan sobre la plataforma |
Exigido |
|
|
|
El sistema de gestión debe contar con facilidades para desplegar y provisionar el firewall de manera remota con mínima intervención del usuario local de manera que al registrar, conectar, encender el firewall sea suficiente para gestionar remotamente el dispositivo |
Exigido |
|
|
|
Reportes |
El sistema de reportes debe contar con un Dashboard (Vista preliminar) con al menos la siguiente información: - Aplicaciones, categorías y riesgo - Usuarios - Virus - Intrusiones - Spyware - Botnets - Páginas web visitadas y categorías - Trafico por origen y destino - Manejo de ancho de banda - Tráfico bloqueado Indicando sobre cada uno de ellos cantidad de conexiones, bytes transferidos |
Exigido |
|
|
Plantillas predefinidas |
Mínima 100 |
|
|
|
Consolidación de logs para análisis forenses |
Exigido |
|
|
|
Generación de reportes agendados |
Exigido |
|
|
|
Persistencia de logs y reportes |
Mínimo 3 mes |
|
|
|
|
Visualización en tiempo real e histórica de las siguientes informaciones como mínima: - Aplicaciones empleadas - Ancho de banda de cada una de las interfaces - Tasa de paquetes por segundo - Tamaños de paquete - Tasa de conexiones - Cantidad de conexiones totales - Uso de la CPU |
Exigido |
|
|
Administración y Control |
La herramienta de gestión debe contar con roles para definir los accesos y privilegios que tendrán los usuarios que interactúan con la plataforma |
Exigido |
|
|
El sistema debe contar con mecanismos para identificar las aplicaciones en la nube que los usuarios emplean |
Exigido |
|
|
|
La solución debe permitir mostrar en tiempo real las aplicaciones usadas y el volumen de tráfico |
Exigido |
|
|
|
El sistema de gestión debe permitir hacer control sobre las aplicaciones permitidas o no aprobadas |
Exigido |
|
|
|
El sistema debe indicar los archivos que se han subido al Sandbox y reportar en cuales se han encontrado amenazas |
Exigido |
|
|
|
GARANTÍA, LICENCIAS Y SOPORTE DE FABRICA |
|||
|
Las licencias proveídas con los equipos que activen todos los servicios de alta disponibilidad (Activo-Activo), seguridad (Filtrado URL, Control de Aplicaciones, IDS/IPS, Antivirus, Sandboxing y SD- WAN), visibilidad y reportes solicitados deben ser por 3 años. |
Exigido |
|
|
|
El servicio de soporte 24x7 del fabricante debe ser por 3 años con reemplazo de partes. |
Exigido |
|
|
|
El servicio de actualización de las firmas de los servicios de seguridad que requieran actualizaciones periódicas debe ser licenciado por 3 años. |
Exigido |
|
|
|
AUTORIZACIÓN DEL FABRICANTE |
|||
|
Se debe incluir en la oferta una carta de autorización del fabricante, representante o distribuidor para presentar la oferta de los bienes solicitados. En los casos de Distribuidores o Representantes, estos deberán contar con la carta del Fabricante dirigida al Representante Regional o Distribuidor Autorizado que le extendió la carta, a fin de demostrar la cadena de autorizaciones que debe ser originada y partir necesariamente del Fabricante. |
Exigido |
|
|
|
CAPACIDAD TÉCNICA |
|||
|
El oferente debe contar en su staff técnico con al menos 2 técnicos certificados en la solución ofertada para la implementación de la solución, dichos certificados deben ser de carácter técnico y tener vigencia comprobable al momento de la presentación de la oferta. Los técnicos deben de residir en el territorio paraguayo, se solicitará que la constancia de residencia se adjunte a los certificados. Los técnicos deberán contar con antigüedad mínima de 6 meses en la empresa oferente. La Certificación de los técnicos deberá ser mínimamente del tipo Professional de Seguridad, Administrador o Administrador Avanzado de Seguridad de Red, del tipo Especialista de Seguridad de Red o equivalentes con experiencia mayor a un año según conste en el certificado, y deberá tener vigencia comprobable al momento de presentación de la oferta. En caso de que los certificados tengan fecha de expedición menor a un año, la experiencia podrá ser corroborada mediante constancias de participación de los técnicos en las cartas de prestación de servicios del objeto del llamado. (No serán aceptables Certificados técnicos del tipo Pre venta o acreditaciones). El plan de estudios de la certificación presentada deberá habilitar de manera oficial a los técnicos para la implementación, configuración y operación de la solución ofertada y dicho plan de estudios y plan de certificación deberá poder ser comprobable en la web pública del fabricante. |
Exigido |
|
|
|
TIEMPO DE ENTREGA |
|||
|
El oferente deberá entregar los equipos y las licencias en un plazo no mayor a los 60 días de haber recibido la orden de compra. |
Exigido |
|
|
|
IMPLEMENTACIÓN |
|||
|
El servicio contemplará todos los suministros, actividades de montaje, instalación en general, configuración y puesta en funcionamiento del equipo. El oferente adjudicado deberá incluir los accesorios, cables, drivers, interfaces, manuales y conectores para el óptimo funcionamiento del equipo, por más que estos no sean expresamente solicitados. Será un requisito indispensable que los técnicos certificados tengan competencia comprobable en la implementación de la marca ofertada. Para ello se deberán presentar constancias de tres implementaciones satisfactorias de clientes en el periodo comprendido del 2015 al 2020. El oferente se compromete a efectuar la implementación de la solución llave en mano encargándose de la interoperabilidad de esta solución con los equipos existentes en el cliente. |
Exigido |
|
|
|
CAPACITACIÓN |
|||
|
El oferente deberá realizar un entrenamiento presencial de 20 horas, a realizarse en las oficinas del oferente, para un grupo cerrado de hasta 5 asistentes, el instructor deberá ser un ingeniero certificado por el fabricante en la solución ofertada, y que incluya, los manuales, las guías de estudio del curso. Se deberá incluir certificado para los participantes. |
Exigido |
|
|
Forma de Pago.
|
% de Pago |
Plazo de entrega |
Documento Requerido |
|
100% del Contrato. |
A los 60 días de recepción de la Orden de Compra/servicio. |
Nota de Remisión de Equipos y Licencias, acompañado de informe de implementación. |
Detalle de los productos con las respectivas especificaciones técnicas
Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:
ESPECIFICACIONES TÉCNICAS
Sistema Integrado Firewall en Alta disponibilidad para la Dirección Administrativa del MH
La función de esta solución será la de proteger toda la información alojada en el Data Center de la Dirección Administrativa. Para ello se necesita que el sistema cuente con operaciones de seguridad, análisis e inspección de contenido. Se deberá incorporar en un solo cluster (equipos en alta disponibilidad) las siguientes funcionalidades:
- Firewall tipo Stateful inspection
- VPN IPSec
- VPN SSL
- Antivirus y Antispyware de perímetro
- Sandboxing
- Sistema de Prevención de intrusos
- Sistema de filtrado de navegación Web
- Administración de ancho de banda
- Alta disponibilidad
Se deberá entregar con la oferta (Catálogo Técnico) del producto (o de los productos), indicando en la columna Cumple/No Cumple, como la solución cotizada cumple con lo exigido, debiendo indicar además el número de página del catálogo donde se especifique claramente esa característica. No se acepta por respuesta cumple, sin la debida justificación.
En la oferta también se deberá indicar el link oficial de donde se puede bajar el catalogo para corroborar.
A continuación los requerimientos técnicos necesarios:
SISTEMA INTEGRADO FIREWALL EN ALTA DISPONIBILIDAD |
|
| |
REQUERIMIENTOS | Requerido | Cumple/No Cumple | |
1. GENERALES | |||
Marca, | Indicar exactamente el modelo a fin de cotejar en la Web | Exigido |
|
Modelo, | Indicar exactamente el modelo a fin de cotejar en la Web | Exigido |
|
Origen | Indicar procedencia del equipo | Exigido |
|
Presentación | La solución deberá ser tipo appliance, una plataforma específica para hacer labores de Next Generation Firewall. | Exigido |
|
Configuración | La solución deberá incluir al menos dos equipos en configuración de alta disponibilidad (Activo/Activo) con sincronización de estados. | Exigido |
|
Sistema Operativo | La solución deberá tener sistema operativo propietario, sistemas operativos basados en Linux o Windows Tipo "Endurecido" no serán aceptadas. | Exigido |
|
Tecnología
| Deberá contar con Tecnología de procesamiento multinúcleo, con separación a nivel de procesamiento del Control Plane (tareas de control) y del Data Plane (tareas de procesamiento de datos) | Exigido |
|
Forma de operación | El sistema debe poder operar en su totalidad en modo flujo, sin necesidad de proxys para evitar limitaciones en tamaños de archivos y riesgos de latencia, en la configuración que ofrezca el mayor nivel de seguridad | Exigido |
|
Arquitectura | La arquitectura del sistema deberá ser de Single Pass sin necesidad de hacer procesamiento secuencial (modulo tras modulo). | Exigido |
|
Recomenda-ciones | El oferente deberá presentar reportes de pruebas de laboratorio de otras organizaciones independientes en donde se valide el rendimiento y la efectividad de seguridad del equipo ofertado. La tasa de bloqueo de CVE no deberá ser menor a 95%. La metodología utilizada deberá estar validada por organizaciones de estandarización de la industria de telecomunicaciones y/o tecnología de la información | Exigido |
|
Redundancia | Cada dispositivo deberá tener capacidad de manejar internamente fuente de poder y ventiladores redundantes | Exigido |
|
Puertos | 10/100/1000 en cobre.
| Mínimo 15 |
|
SFP+ 10 Gigabit Ethernet.
| Mínimo 2 |
| |
Gestión para consola 10/100/1000 en Cobre. | Mínimo 1 |
| |
Interfaces WAN para conexión a Internet. Cualquiera de las interfaces físicas o interfaces VLAN deberá poder configurarse como WAN.
| Mínimo 4 |
| |
VLAN | Sub-interfaces VLAN | Mínimo 400 |
|
Enrutamiento | Debe soportar enrutamiento basado en políticas para que el tráfico sea enrutado a las diferentes interfaces basado en el servicio, la direcciones IP de origen o de destino. | Exigido |
|
Debe soportar enrutamiento basado en la aplicación, por ejemplo, Office 365 se encaminan por una interface de salida a internet mientras que YouTube se encamina por otra. | Exigido |
| |
Debe soportar enrutamiento basado en políticas basado en el Full Qualified Domain Name FQDN | Exigido |
| |
Debe soportar soportar Equal Cost Multipath para balanceo de rutas a través de múltiples canales | Exigido |
| |
El sistema deberá Soportar enrutamiento: BGP, OSPF, RIPv1/v2, rutas estáticas y Multicast | Exigido |
| |
Capacidad | Tener licenciado y soportar tecnología SD-WAN para interconectar sedes remotas usando enlaces de internet con alta calidad de conexión. | Exigido |
|
Debe soportar link Aggregation tanto estático como dinámico. | Exigido |
| |
Debe soportal Redundancia de puertos | Exigido |
| |
Debe tener capacidad de soportar NAT 1:1, 1: muchos, muchos:1, muchos:muchos, flexible NAT, PAT, y modo transparente | Exigido |
| |
Debe ser capaz de sacar backups de la configuración automáticamente también respaldarlos en la nube | Exigido |
| |
Debe soportar Jumbo Frames | Exigido |
| |
Debe soportar hacer Port Mirroring | Exigido |
| |
2. CARACTERISTICAS DE FIREWALL | |||
Modo de Operación | Podrá ser implementado como bridge capa 2 transparente y también como router, también como un tap escuchando el tráfico, los modos de operación no serán excluyentes | Exigido |
|
Rendimiento | Inspección de firewall stateful | Mínima 5.5 Gbps |
|
Usando la metodología de medición basada en IMIX.
| Mínimo 1.25 Gbps |
| |
Rendimiento de protección de amenazas.
| Mínimo 2.2 Gbps |
| |
Conexiones | Cantidad de conexiones que el sistema debe soportar | Mínima 2.900.000 |
|
Cantidad de nuevas conexiones por segundo | Mínima 39.000 |
| |
Administración | Debe permitir administración por Zonas ( grupos lógicos de interfaces) | Exigido |
|
Las reglas de firewall deben analizar las conexiones que atraviesen el equipo, entre interfaces, grupos de interfaces (o Zonas) | Exigido |
| |
Para granularidad y seguridad debe poder especificar políticas tomando en cuenta puerto fuente y destino (o zonas). | Exigido |
| |
Las reglas deben tomar en cuenta dirección IP fuente (que puede ser un grupo de direcciones IP), dirección IP destino (que puede ser un grupo de direcciones IP) y servicio (o grupo de servicios) de la comunicación que se está analizando. | Exigido |
| |
Las acciones de las reglas debe contener al menos aceptar, o rechazar la comunicación | Exigido |
| |
Las reglas se deben poder aplicar en un horario determinado. | Exigido |
| |
El sistema debe hacer manejo de ancho de banda, ancho de banda mínimo (Garantizado), ancho de banda máximo y control de ancho de banda por cada dirección IP | Exigido |
| |
Certificaciones | Podrán ser aceptados certificaciones Europeas de Seguridad como Common Criteria ® Part 2 Conforman y Part 3 Extended EAL 4 augmented by ALC FLR.3 como alternativas a FIPS-140-2, así como también IPV6 ready (IPv6 forum) como alternativa a USGv6. Debido a que las certificaciones mencionadas se aplican únicamente a la versión del producto indicado en las pruebas, en todos los casos, las certificaciones necesariamente deberán estar emitidas para la última versión de software recomendada por el fabricante, deberá ser aplicable al modelo de equipo ofertado. Las certificaciones de seguridad mencionadas deberán tener como alcance la validación de los módulos criptográficos del dispositivo.
| Exigido |
|
Las certificaciones y versiones de software recomendadas deberán ser verificables tanto en el sitio web oficial del fabricante como en los sitios oficiales de las entidades de certificación.
| |||
2.1. CARACTERISTICAS DE VPN | |||
Cantidad soportada | Tuneles VPN Site to Site | Mínimo 2000 |
|
Rendimiento | VPNs 3DES/AES | Mínimo 2.9 Gbps |
|
Cliente remoto | Capacidad para acceso remoto IPSec.
| Exigido |
|
Proveer licencia de acceso remoto VPN SSL
| Mínimo 100 |
| |
Intercambio de clave | Debe soportar mínimo: IKE, IKEv2, clave manual, PKI (X.509), L2TP a través de IPSec | Exigido |
|
Funcionalidades | Debe soportar DHCP sobre VPNs. | Exigido |
|
Debe descontaminar el tráfico en tiempo real antes de que llegue a la red corporativa y sin necesidad de que intervenga el usuario. De este modo se neutralizan a tiempo las vulnerabilidades y el código malicioso. | Exigido |
| |
Debe soportar VPN SSL | Mínimo 600 |
| |
El sistema permitirá autenticación biométrica para las conexiones VPN SSL | Exigido |
| |
2.2. FILTRADO DE URLS (URL FILTERING) | |||
Administración y funcionalidad | La solución debe incorporar control de sitios a los cuales naveguen los usuarios, mediante categorías. Por flexibilidad, el filtro de URLs debe tener por lo menos 55 categorías y debe actualizarse automáticamente. | Exigido |
|
El Filtrado de contenido estará basado en categorías en tiempo real, integrado a la plataforma de seguridad appliance. Sin necesidad de instalar un servidor o appliance externo, licenciamiento de un producto externo o software adicional para realizar la categorización del contenido. | Exigido |
| |
El sistema debe permitir crear perfiles para filtro de contenido y que sean aplicados a usuarios locales o de LDAP/Active directory, Grupos o Direcciones IP | Exigido |
| |
El filtrado se podrá hacer por horarios | Exigido |
| |
El sistema deberá dar Soporte a Youtube en modo restringido | Exigido |
| |
El sistema debe ser capaz de forzar el uso del safe search en google y bing | Exigido |
| |
El sistema debe evitar el uso de URLs embebidas (por ejemplo Google Translate) para evadir el filtrado web | Exigido |
| |
La página de bloqueo se podrá personalizar por cada política aplicada mostrando información diferente de acuerdo al usuario | Exigido |
| |
El sistema puede permitir el acceso a páginas restringidas a través de uso de contraseñas | Exigido |
| |
El sistema puede permitir el acceso a páginas restringidas con advertencia sobre el contenido que se va a observar | Exigido |
| |
El sistema puede hacer restricciones de ancho de banda por categorías de páginas web | Exigido |
| |
El sistema debe soportar mecanismos de Autenticación: RADIUS, TACACS+, Active Directory, LDAP, base de datos interna, Reconocimiento transparente de usuario del LDAP, reconocimiento de usuarios presentes en Terminal services (Windows y Citrix) y usuarios locales | Exigido |
| |
El sistema puede hacer reconocimiento transparente (sin validación adicional) de los usuarios ya autenticados a través de un RADIUS server usando información de RADIUS accounting | Exigido |
| |
El sistema permitirá definición de cuota diaria, semanal o mensual de tiempo de conexión o de tráfico generado por cada usuario | Exigido |
| |
El sistema deberá contar con la capacidad para hacer filtrado de páginas web sobre usuarios que no estén dentro de la red a través de un cliente de filtrado web | Exigido |
| |
3. CARACTERISTICAS DE INSPECCION PROFUNDA DE PAQUETES | |||
Funcionamiento | El sistema de inspección profunda de paquetes debe funcionar bidireccionalmente | Exigido |
|
El sistema de inspección profunda de paquetes debe operar sin proxies para evitar problemas de latencia | Exigido |
| |
3.1. SISTEMA DE PREVENCIÓN DE INTRUSOS IPS | |||
Rendimiento | Usando la metodología de medición basada en el RFC 2544 | Mínimo 2.2 Gbps |
|
Protección | Cantidad de firmas de ataques | Mínimas 4800 |
|
Debe contar con protección de ataques de inundación (flood) a nivel de UDP, ICMP y el conocido SYN Flood | Exigido |
| |
Administración y Control | Debe permitir al administrador ejecutar acciones sobre los eventos de IPS como bloquear el tráfico, registrar o capturar el tráfico generado por el ataque | Exigido |
|
Debe permitir inspeccionar el tráfico entre las zonas internas de la red | Exigido |
| |
Las reglas de IPS debe definir respuestas independientes | Exigido |
| |
Debe detectar anomalías en los protocolos | Exigido |
| |
Prevención de ataques DoS, DDoS y de escaneo | Exigido |
| |
Compatibilidad y bloqueos | Debe contar con mecanismos de antievasión | Exigido |
|
Para VoIP debe contar con total compatibilidad con H.323v1-5, SIP, gestión de ancho de banda saliente, VoIP sobre WLAN, seguridad de inspección profunda, total Interoperabilidad con la mayoría de los dispositivos VoIP de pasarela y comunicaciones | Exigido |
| |
Debe contar con filtro de bloqueo hacia centros de comando y control de botnets | Exigido |
| |
Debe contar con filtro de bloqueo por localización geográfica granular por cada regla de firewall | Exigido |
| |
Debe soportar DNS Sinkhole | Exigido |
| |
3.2. SISTEMA DE CONTROL DE APLICACIONES | |||
Rendimiento | Usando la metodología de medición basada en el RFC 2544 | Mínima 2.9 Gbps |
|
Administración y Control | El sistema debe identificar, categorizar y controlar y visualizar tráfico de más de 4300 aplicaciones agrupadas en al menos 25 Categorías | Exigido |
|
Las aplicaciones se deben identificar independientemente del Stack o del puerto (TCP, UDP, etc.) que usen | Exigido |
| |
Las políticas de control de aplicaciones se podrán hacer granular por dirección IP, usuario, grupos de usuarios locales o de LDAP/Active Directory y basado en horarios. | Exigido |
| |
El sistema deberá permitir la creación de reglas de control de ancho de banda de las aplicaciones soportadas | Exigido |
| |
El sistema deberá reportar en tiempo real cuales de las aplicaciones soportadas están siendo usadas, que usuario o dirección IP lo está haciendo y cuánto tráfico está cursando | Exigido |
| |
3.3. ANTIVIRUS DE PERÍMETRO | |||
Rendimiento | Gateway Antivirus en el modo de operación (Proxy o Flow) que brinda mayor seguridad. | Mínima 1.2 Gbps |
|
Análisis | Debe ser capaz de analizar, tráfico entrante y saliente mínimo de los siguientes protocolos aplicativos: HTTP, SMTP, IMAP, POP3, FTP, CIFS/NETBIOS, y esta debe estar completamente integrada a la administración del dispositivo appliance | Exigido |
|
Debe permitir escaneo de virus o spyware sobre protocolos basados en stream TCP, como Mensajería Instantánea y P2P | Exigido |
| |
El sistema debe realizar análisis antivirus sin limitación del tamaño del archivo transferido y sin que esto afecte la efectividad de la detección de amenazas | Exigido |
| |
Controles y Actualizaciones | Control granular de firmas de virus y spyware | Exigido |
|
Actualizaciones automáticas con un intervalo mínimo de búsqueda de actualizaciones de 1 hora | Exigido |
| |
Certificado | El sistema antivirus deberá contar con la certificación Antivirus ICSA labs | Exigido |
|
3.4. INSPECCIÓN DE TRÁFICO CIFRADO | |||
Rendimiento | Inspección SSL | Mínimo 450 Mbps |
|
Inspección | El sistema debe hacer inspección de Aplicaciones, IPS, antivirus y filtrado de páginas web sobre comunicaciones cifradas por TLS (Transport Layer Security) tales como HTTPS sin importar si opera sobre el puerto 443 u otro | Exigido |
|
El sistema igualmente debe hacer inspección de tráfico cifrado sobre SSH | Exigido |
| |
Conexiones | Se debe manejar conexiones concurrentes de tráfico cifrado | Mínimo 29.000 |
|
Administración | Se debe poder definir excepciones al tráfico cifrado por dominios o por categorías de páginas web | Exigido |
|
3.5. SERVICIOS DE SEGURIDAD EN LA NUBE | |||
Funcionamiento y Control | EL sistema debe contar con un servicio online de detección de virus en la nube con capacidad de reconocimiento de más de 70 millones de amenazas el cual se puedan enviar muestras resumidas del tráfico para detectar códigos maliciosos | Exigido |
|
El sistema debe contar con filtrado de conexiones a centros de control de Botnets basado en reputación de direcciones IP | Exigido |
| |
El sistema debe contar con controles de localización geográfica basados en la dirección IP de origen para hacer reglas de conexión por país bien sea de manera general o por reglas de firewall | Exigido |
| |
4. SANBOXING | |||
Funcionamiento | El sistema debe contar con tecnología de análisis de malware de códigos desconocidos en un sistema aislado (Sandbox) donde se ejecutará e inspeccionará el comportamiento del código | Exigido |
|
El sistema Sandbox debe operar como un servicio basado en la nube sin necesidad de hardware adicional | Exigido |
| |
El sistema debe usar al menos tres o más técnicas de detección de Sandbox con el fin de evitar posibles evasiones. | Exigido |
| |
El sistema debe hacer un bloqueo del código que se está descargando hasta que se defina un veredicto | Exigido |
| |
Análisis y reportes | El sandbox debe permitir excepciones por tipo de archivos y por su resumen MD5 | Exigido |
|
El sistema debe analizar archivos ejecutables (PE), DLLs, PDFs, Archivos de Office, Comprimidos, JAR, APKs para múltiples sistemas operativos (Windows, Android, MAC OSX) | Exigido |
| |
El sistema debe contar con reportes sobre los archivos enviados a análisis y su veredicto, el reporte debe incluir sistema operativo y detalles del archivo analizado | Exigido |
| |
5. SISTEMA DE GESTIÓN Y REPORTES | |||
Funcionamiento | El sistema debe incluir gestión y reportes basada en la nube sin necesidad de hardware adicional | Exigido |
|
El sistema debe permitir el manejo de roles para gestión con permisos y privilegios de acceso | Exigido |
| |
El sistema de gestión debe permitir hacer control de cambios que permita comparar, validar, revisar, aprobar y auditar las modificaciones que se hagan sobre la plataforma | Exigido |
| |
El sistema de gestión debe contar con facilidades para desplegar y provisionar el firewall de manera remota con mínima intervención del usuario local de manera que al registrar, conectar, encender el firewall sea suficiente para gestionar remotamente el dispositivo | Exigido |
| |
Reportes | El sistema de reportes debe contar con un Dashboard (Vista preliminar) con al menos la siguiente información: - Aplicaciones, categorías y riesgo - Usuarios - Virus - Intrusiones - Spyware - Botnets - Páginas web visitadas y categorías - Trafico por origen y destino - Manejo de ancho de banda - Tráfico bloqueado Indicando sobre cada uno de ellos cantidad de conexiones, bytes transferidos | Exigido |
|
Plantillas predefinidas | Mínima 100 |
| |
Consolidación de logs para análisis forenses | Exigido |
| |
Generación de reportes agendados | Exigido |
| |
Persistencia de logs y reportes | Mínimo 3 mes |
| |
| Visualización en tiempo real e histórica de las siguientes informaciones como mínima: - Aplicaciones empleadas - Ancho de banda de cada una de las interfaces - Tasa de paquetes por segundo - Tamaños de paquete - Tasa de conexiones - Cantidad de conexiones totales - Uso de la CPU | Exigido |
|
Administración y Control | La herramienta de gestión debe contar con roles para definir los accesos y privilegios que tendrán los usuarios que interactúan con la plataforma | Exigido |
|
El sistema debe contar con mecanismos para identificar las aplicaciones en la nube que los usuarios emplean | Exigido |
| |
La solución debe permitir mostrar en tiempo real las aplicaciones usadas y el volumen de tráfico | Exigido |
| |
El sistema de gestión debe permitir hacer control sobre las aplicaciones permitidas o no aprobadas | Exigido |
| |
El sistema debe indicar los archivos que se han subido al Sandbox y reportar en cuales se han encontrado amenazas | Exigido |
| |
GARANTÍA, LICENCIAS Y SOPORTE DE FABRICA | |||
Las licencias proveídas con los equipos que activen todos los servicios de alta disponibilidad (Activo-Activo), seguridad (Filtrado URL, Control de Aplicaciones, IDS/IPS, Antivirus, Sandboxing y SD- WAN), visibilidad y reportes solicitados deben ser por 3 años. | Exigido |
| |
El servicio de soporte 24x7 del fabricante debe ser por 3 años con reemplazo de partes. | Exigido |
| |
El servicio de actualización de las firmas de los servicios de seguridad que requieran actualizaciones periódicas debe ser licenciado por 3 años. | Exigido |
| |
AUTORIZACIÓN DEL FABRICANTE | |||
Se debe incluir en la oferta una carta de autorización del fabricante, representante o distribuidor para presentar la oferta de los bienes solicitados. En los casos de Distribuidores o Representantes, estos deberán contar con la carta del Fabricante dirigida al Representante Regional o Distribuidor Autorizado que le extendió la carta, a fin de demostrar la cadena de autorizaciones que debe ser originada y partir necesariamente del Fabricante. | Exigido |
| |
CAPACIDAD TÉCNICA | |||
El oferente debe contar en su staff técnico con al menos 2 técnicos certificados en la solución ofertada para la implementación de la solución, dichos certificados deben ser de carácter técnico y tener vigencia comprobable al momento de la presentación de la oferta. Los técnicos deben de residir en el territorio paraguayo, se solicitará que la constancia de residencia se adjunte a los certificados.
Los técnicos deberán contar con antigüedad mínima de 6 meses en la empresa oferente.
La Certificación de los técnicos deberá ser mínimamente del tipo Professional de Seguridad, Administrador o Administrador Avanzado de Seguridad de Red | Exigido |
| |
TIEMPO DE ENTREGA | |||
El oferente deberá entregar los equipos y las licencias en un plazo no mayor a los 60 días de haber recibido la orden de compra. | Exigido |
| |
IMPLEMENTACIÓN | |||
El servicio contemplará todos los suministros, actividades de montaje, instalación en general, configuración y puesta en funcionamiento del equipo. El oferente adjudicado deberá incluir los accesorios, cables, drivers, interfaces, manuales y conectores para el óptimo funcionamiento del equipo, por más que estos no sean expresamente solicitados. Será un requisito indispensable que los técnicos certificados tengan competencia comprobable en la implementación de la marca ofertada. Para ello se deberán presentar constancias de tres implementaciones satisfactorias de clientes en el periodo comprendido del 2015 al 2020. El oferente se compromete a efectuar la implementación de la solución llave en mano encargándose de la interoperabilidad de esta solución con los equipos existentes en el cliente. | Exigido |
| |
CAPACITACIÓN | |||
El oferente deberá realizar un entrenamiento presencial de 20 horas, a realizarse en las oficinas del oferente, para un grupo cerrado de hasta 5 asistentes, el instructor deberá ser un ingeniero certificado por el fabricante en la solución ofertada, y que incluya, los manuales, las guías de estudio del curso. Se deberá incluir certificado para los participantes. | Exigido |
| |
Forma de Pago.
% de Pago | Plazo de entrega | Documento Requerido |
100% del Contrato. | A los 60 días de recepción de la Orden de Compra/servicio. | Nota de Remisión de Equipos y Licencias, acompañado de informe de implementación. |