ficha tÉcnica de bienes, productos o servicios. codigo: …

de 24

FICHA TÉCNICA DE BIENES, PRODUCTOS O SERVICIOS. (Para MCP) o FICHA TÉCNICA DE PRODUCTO (Para

MERCOP).

CODIGO: OP-RO-FT-26

VIGENCIA DESDE: 02/07/2021

VERSIÓN: 2

Nombre del Producto/Servicio

(SIBOL)

Licenciamiento de Software DISPOSITIVO DE SEGURIDAD PERIMETRAL PARA REDES DE DATOS

Código SIBOL 43007 43314

Nombre Comercial del

Producto/Servicio (Opcional)

Adquisición, instalación, configuración y soporte de plataforma de seguridad (Firewalls de próxima generación) para alta disponibilidad y adquisición licenciamiento de soporte y garantía para el equipo Palo Alto 3220 instalado en el Data Center Ministerio del Interior).

Calidad

El producto deberá cumplir con todas las condiciones establecidas en el presente documento de condiciones.

Requisitos Específicos

(Adquisición, instalación, configuración y soporte de plataforma de seguridad (Firewalls de próxima generación) para alta disponibilidad en el Data Center Ministerio del Interior). Ítem 1

1. REQUERIMIENTOS GENERALES DE LA SOLUCIÓN FIREWALL DE PRÓXIMA GENERACIÓN.

1. SOLUCIÓN (Firewalls de próxima generación)

Denominación del Servicio:

Adquisición, instalación, configuración y soporte de plataforma de seguridad (Firewalls de próxima generación) para el Data Center Ministerio del Interior

Denominación Técnica:

Firewalls de próxima generación

ITEM DESCRIPCIÓN REQUERIMIENTO MINIMO

3 Cantidad 1

4 Tipo Rack

La solución ofrecida debe soportar y garantizar los siguientes requerimientos:

El appliance (Por definición los appliances de seguridad son dispositivos de hardware dedicados, encargados de efectuar un número determinado de funciones, habitualmente diseñados para instalarse en un

de 24

5

rack, y que operan con software específicamente diseñado para ellos.) de protección de redes con características de Next Generation Firewall (NGFW) para la seguridad del perímetro del Data center de la entidad debe incluir Firewall, VPN IPSec y SSL, IPS, Control de Aplicaciones, prevención contra amenazas de virus, spyware y malware de día cero. Todas en la misma unidad, es decir un solo hardware y software integrados de tipo appliance y con la posibilidad de ejecutar todas las funcionalidades al mismo tiempo. El fabricante debe estar en el cuadrante de líderes de Gartner en su última edición publicada para “Network Firewall” o Firewall de Red empresariales en su edición más reciente. El modelo del equipo ofertado debe estar certificado para IPv6 en Firewall e IPS. El equipo debe ser administrable a través de SSH y de interfaz Web usando SSL. El equipo debe ser capaz de realizar backup y/o restore de la configuración, permitiendo al administrador programar la realización de los backups en el tiempo deseado. Los Backups pueden ser almacenados localmente, y el administrador puede transferirlos a un almacenamiento externo. El equipo ofrecido debe soportar instalación en rack de 19” y debe ocupar máximo 3 unidades de Rack. El equipo debe tener doce (12) interfaces de 1 Gbps en cobre (Ethernet base-TX 10/100/1000). El equipo debe tener cuatro (4) Interfaces 1G SFP de tráfico de red El equipo debe tener cuatro (4) Interfaces 10G SFP+ de tráfico de red Puerto para conexión de consola serial o similar. El equipo debe contar con un (1) puerto de conexión dedicado para

de 24

la implementación del esquema de alta disponibilidad, el cual debe ser a 10 Gbps SFP+. El equipo debe contar con un (1) puerto de gestión dedicado 10/100/1000Base-T RJ45 Throughput de al menos 2 Gbps efectivos con las siguientes funcionalidades habilitadas de forma simultánea para todas las firmas que la plataforma de seguridad posea debidamente activadas y actuando (Firewall, control de aplicaciones, IPS, filtrado de contenido web, antivirus y antispyware).

6 Sesiones concurrentes Debe soportar 1´000.000 sesiones

concurrentes.

7 Nuevas conexiones por segundo

Debe soportar 57.000 sesiones por segundo.

8 Discos Duros Sata de 500 Gb, o de estado

sólido de 240 Gb.

9

Cables y demás elementos

La solución se debe entregar con todos elementos necesarios (cables de red, módulos y alimentación eléctrica, tornillos, bastidores, elementos que permitan su perfecta instalación en rack, etc.).

10

Fuente de poder El equipo ofertado debe tener directamente de fábrica fuente de poder redundante.

NOTA: El oferente debe tener en cuenta que este equipo se pretende adquirir para implementar alta disponibilidad con el equipo firewall que tenemos actualmente en funcionamiento. Por lo anterior el oferente debe tener en cuenta las características técnicas del equipo firewall que tenemos en funcionamiento para así poder presentar el equipo idóneo para poder realizar ll configuración de los 2 equipos.

2. FIREWALL


1 Tipo de hardware

La solución de seguridad propuesta debe ser entregada a través de un dispositivo (Hardware) de propósito especificó.

2 Tecnología de los

Dispositivos

Next Generation Firewall (NGFW) para la seguridad de la información perimetral que incluye, control de aplicaciones, administración de ancho de banda (QoS), VPN IPSec y SSL,

de 24

IPS, prevención contra amenazas de virus, spyware y malware “Zero Day”, además de controles de transmisión de datos y acceso a internet a través de una plataforma de seguridad integrada y robusta.

3

La solución ofrecida debe soportar y garantizar los

siguientes requerimientos:

Soportar la implementación de reglas aplicadas a intervalos de tiempo específicos. El equipo debe incluir una consola de administración interna o soportar una consola de administración externa, en caso de ser externa, la comunicación entre el firewall y dicha consola debe ser cifrada y autenticada. Soportar DHCP en modos server y relay. Incluir la creación de NATs dinámicos (N-1 o Hide) y estáticos, permitiendo trasladar direcciones IP y puertos origen y destino, en un mismo paquete y en una sola regla. El equipo ofrecido debe incluir Policy based routing o policy based forwarding. Soporte a creación de objetos de red que puedan ser utilizados como dirección IP de interfaces L3 Soportar sub-interfaces Ethernet lógicas o interfaces Vlan Permitir almacenar una base de usuarios local que permita realizar autenticación, sin depender de un dispositivo externo. Soportar las siguientes funcionalidades en IPv6: NAT64, Identificación de usuarios a partir de LDAP/AD, Captive Portal, IPv6 over IPv4 IPSec, Reglas de seguridad contra DoS (Denial of Service), Desencripción SSL y PBF (Policy Based Forwarding), QoS, DHCPv6 Relay, Activo/Activo, Activo/Pasivo, SNMP, NTP, NTP autenticado, SYSLOG, DNS y control de aplicaciones. El dispositivo de seguridad debe tener la capacidad de operar de forma simultánea mediante el uso de sus interfaces físicas en los

de 24

siguientes modos: modo sniffer (monitoreo y análisis de red), Capa 2 (L2) y Capa 3 (L3) Las funcionalidades de control de aplicaciones, VPN IPSec y SSL, QoS, SSL y SSH Decryption y protocolos de enrutamiento dinámico deben operar en carácter permanente, pudiendo ser utilizadas por tiempo indeterminado, incluso si no existe derecho de recibir actualizaciones o que no haya contrato de garantía de software con el fabricante. Incluir aplicaciones de Políticas de Firewall, NAT, QoS y objetos de red.

5.

La solución ofrecida debe contar con los

siguientes sistemas de protección contra

amenazas:

El dispositivo de seguridad debe poseer módulo de IPS, Antivirus y Anti-Spyware integrados en el propio dispositivo de Firewall

Incluir firmas de prevención de intrusos (IPS) y bloqueo de archivos maliciosos (Antivirus y Anti-Spyware)

Cuando se utilicen las funciones de IPS, Antivirus y Anti-spyware, el equipamiento debe entregar el mismo performance (no degradar) entre tener 1 única firma de IPS habilitada o tener todas las firmas de IPS, Anti-Virus y Antispyware habilitadas simultáneamente.

Debe soportar granularidad en las políticas de IPS Antivirus y Anti-Spyware, permitiendo la creación de diferentes políticas por zona de seguridad, dirección de origen, dirección de destino, servicio y la combinación de todos esos ítems.

Poseer los siguientes mecanismos de inspección de IPS:

Análisis de patrones de estado de conexiones;

Análisis de decodificación de protocolo;

Análisis para detección de anomalías de protocolo;

Análisis heurístico;

IP Desfragmentación;

Reensamblado de

de 24

paquetes de TCP

Bloqueo de paquetes malformados.

Ser inmune y capaz de impedir ataques básicos como: Synflood, ICMPflood, UDPflood.

Registrar en la consola de monitoreo las siguientes informaciones sobre amenazas identificadas:

Permitir que en la captura de paquetes por firmas de IPS y Antispyware sea definido el número de paquetes a ser capturados. Esta captura debe permitir seleccionar, como mínimo, 50 paquetes

Poseer la función “resolución de direcciones” vía DNS, para que conexiones como destino a dominios maliciosos sean resueltas por el Firewall como direcciones (IPv4 e IPv6), previamente definidos

Los eventos deben identificar el país de donde partió la amenaza.

3. CONTROL DE APLICACIONES

ITEM DESCRIPCION REQUERIMIENTO MINIMO

1

La solución ofrecida de red debe poseer la capacidad de reconocer aplicaciones, independiente del

Liberar y bloquear solamente aplicaciones sin la necesidad de liberación de puertos y protocolos Permitir la creación de firmas personalizadas mediante el uso de expresiones regulares, contexto (sesiones o transacciones), usando la posición en el payload de los paquetes TCP y UDP y usando decoders de por lo menos los siguientes protocolos: HTTP, FTP, SMB, SMTP, Telnet, SSH, MS-SQL, IMAP, IMAP, MS-RPC, RTSP y File body Permitir nativamente la creación de firmas personalizadas para reconocimiento de aplicaciones

de 24

puerto y protocolo, con las siguientes funcionalidades:

propietarias en la propia interface gráfica de la solución, sin la necesidad de acción por parte del fabricante, manteniendo la confidencialidad de las aplicaciones de la entidad. Identificar, clasificar y controlar al menos 2000 aplicaciones diferentes, incluyendo, más no limitado: el tráfico relacionado a peer-to-peer, redes sociales, acceso remoto, update de software, protocolos de red, voip, audio, vídeo, proxy, mensajería instantánea, archivos compartidos, e-mail. Reconocer las siguientes aplicaciones: bittorrent, Skype, Facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, YouTube, http-proxy, http-tunnel, Facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, Oracle, active directory, kerberos, ldap, radius, iTunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, googledocs, etc. Inspeccionar el payload del paquete de datos con el objetivo de detectar a través de expresiones regulares firmas de aplicaciones conocidas por los fabricantes independiente del puerto y protocolo. El chequeo de firmas también debe determinar si una aplicación está utilizando su puerto default o no. Aplicar análisis heurístico a fin de detectar aplicaciones a través de análisis comportamental del tráfico observado. Identificar el uso de tácticas evasivas, o sea, debe tener la capacidad de visualizar y controlar las aplicaciones y los ataques que utilizan tácticas evasivas vía comunicaciones cifradas, tales como Skype y ataques mediante el puerto 443 funcionalidades específicas dentro de una aplicación, incluyendo, mas no limitado a archivos compartidos dentro de

de 24

Webex. También debe detectar el archivo y otros contenidos que deben ser inspeccionados de acuerdo a las Reglas de seguridad implementadas. Inspeccionar el tráfico HTTPS, con el fin de prevenir riesgos de seguridad relacionados con el protocolo SSL. El Gateway de Filtrado de URL debe hacer dicha inspección como si fuera texto plano. Tener un servicio de clasificación que permita categorizar dinámicamente el tráfico Web. Permitir la integración de la solución con Directorio Activo u Open LDAP para crear reglas de control de aplicaciones y filtrado URL basadas en: usuarios, grupos de Usuarios, maquinas, dirección IP, redes y todas las opciones combinadas El dispositivo de seguridad de red debe poseer la capacidad de identificar al usuario de red con integración al Microsoft Active Directory, sin la necesidad de instalación de agente en el Domain Controller, ni en las estaciones de los usuarios. Controlar el ancho de banda de las aplicaciones por regla. Permitir la creación de objetos de tiempo por aplicación o grupo de aplicaciones en las reglas, para que una acción definida se cumpla sólo durante tiempos especificados. Incluir la diferenciación de tráficos Peer2Peer (Bittorrent, emule, neonet, etc.) proveyendo granularidad de control/políticas para los mismos. Incluir la diferenciación de tráficos de Instant Messaging (AIM, Gtalk, Facebook Chat, etc.) proveyendo granularidad de control/políticas para los mismos. Incluir a diferenciación de aplicaciones Proxies (ghostsurf, freegate, etc.) proveyendo granularidad de control/políticas para los mismos Incluir la creación de grupos estáticos de aplicaciones y grupos

de 24

dinámicos de aplicaciones basados en características de las aplicaciones como: •Tecnología utilizada en las aplicaciones (Client-Server, Browse Based, Network Protocol, etc.) •Nivel de riesgo de las aplicaciones •Categoría y sub-categoría de aplicaciones •Aplicaciones que usen técnicas evasivas, utilizadas por malwares, como transferencia de archivos y/o uso excesivo de ancho de banda, etc.

4. IDENTIFICACIÓN DE USUARIOS


1

La solución ofrecida soportar y garantizar los siguientes requerimientos:

Incluir la capacidad de creación de políticas basadas en la visibilidad y control de quien está utilizando cuales aplicaciones a través de la integración como servicios de directorio, autenticación vía Ldap, Active Directory, E-directory y base de datos local Proteger a los clientes de ataques IP-Spoofing y Identiity-Spoofing. Proveer una forma de autentificación para los usuarios que no utilicen plataforma de Windows. Disponer de configuración de acceso basado en tiempo para que los usuarios puedan entrar a los recursos de la red. Proveer tres métodos para obtener las identidades de los usuarios: Sin agente haciendo búsquedas al directorio activo, agente instalado en los equipos del usuario final o portal cautivo. Soportar el uso del protocolo WMI (Windows Management Instrumentation). Proveer un portal cautivo, para autentificar a los usuarios que no están dentro del directorio activo, los usuarios que no tienen plataforma Windows y los usuarios invitados.

de 24

Permitir el control, sin instalación de cliente de software, en equipos que soliciten salida a internet para que antes de iniciar la navegación, se muestre un portal de autenticación residente en el firewall (Portal cautivo). Poseer integración con Radius o LDAP para identificación de usuarios y grupos permitiendo la granularidad de control/políticas basadas en usuarios y grupos de usuarios. El portal cautivo debe estar disponible desde cualquier zona de la red (Interna, Externa o DMZ). La solución debe retener la identidad de los usuarios aun cuando estos cambien la dirección IP. Poseer Soporte a identificación de múltiples usuarios conectados en una misma dirección IP en ambientes Citrix y Microsoft Terminal Server, permitiendo visibilidad y control granular por usuario sobre el uso de las aplicaciones que tiene estos servicios. La solución debe poder integrarse con el directorio activo sin la necesidad de instalar un agente en el servidor de dominio o en los equipos de los usuarios finales. Con la finalidad de crear reglas de acceso por usuario o grupos de usuarios, debe poder integrase con las otras funcionalidades como: firewall, control de aplicaciones y filtrado de URL. Debe poseer Soporte a identificación de múltiples usuarios conectados en una misma dirección IP en servidores accedidos remotamente, incluso que no sean servidores Windows

5. IPSEC VPN


Soportar VPN Site-to-Site y Cliente-To-Site Soportar IPSec VPN Soportar SSL VPN VPN IPSec debe soportar:

de 24

1


•3DES •Autenticación MD5 e SHA-1 •Diffie-Hellman Group 1, Group 2, Group 5 y Group 14 •Algoritmo Internet Key Exchange (IKEv1 y IKEv2) •AES 128, 192, 256 (Advanced Encryption Standard) •Autenticación via certificado IKE PKI. •Debe ser compatible con la Suite B de protocolos de NSA. Soportar 100 VPNs SSL para acceso remoto, sin necesidad de instalar un cliente. El administrador debe poder aplicar reglas de control de tráfico, al interior de la VPN. Permitir la aplicación de políticas de seguridad y visibilidad para las aplicaciones que circulan dentro de los túneles SSL. Establecer VPNs con Gateway con direcciones IP dinámicas públicas. Soportar compresión IP para VPNs client-to-site y siteto-site. Ofrecer VPN’s sitio a sitio con IP dinámicas. Soportar autenticación vía AD/LDAP, Secure id, certificado y base de usuarios local. El agente deberá comunicarse con el portal para determinar las políticas de seguridad del usuario. Mantener una conexión segura con el portal durante la sesión Permitir que las conexiones como VPN SSL sean establecidas de las siguientes formas: •Antes de la autenticación del usuario en la estación; •Después de la autenticación del usuario en la estación; •Bajo demanda del usuario Las funcionalidades de control de aplicaciones, VPN IPSEC y SSL, QoS y SSL Decryption y protocolos de enrutamiento dinámico deben operar en carácter permanente, pudiendo ser utilizadas por el tiempo indeterminado, incluso si no hay

de 24

control de licenciamiento o soporte con el fabricante.

6. IPS – SISTEMA DE PREVENCION DE INTRUSOS


1


Incluir la habilidad de detener temporalmente la inspección y bloqueo en los dispositivos, para efectos de resolución de problemas o (troubleshooting por sus siglas en inglés).

Cuando se utilicen las funciones de IPS, Antivirus y Anti-spyware, la solución debe entregar el mismo desempeño (no degradar) al tener todas las firmas de IPS, Anti-Virus y Antispyware habilitadas simultánea y permanentemente.

Detectar y bloquear ataques de red y de aplicación, protegiendo al menos los siguientes servicios: Email, DNS, FTP, servicios de Windows (Microsoft Networking) y SNMP.

Deberá poseer los siguientes mecanismos de inspección de IPS:

Análisis de patrones de estado de conexiones

Análisis de decodificación de protocolo

Análisis para detección de anomalías de protocolo

Análisis heurístico

IP Desfragmentación

Reensamblado de paquetes de TCP

Bloqueo de paquetes malformados.

Ser inmune y capaz de impedir ataques básicos como: Synflood, ICMPflood, UDPflood.

Incluir firmas de prevención de intrusos (IPS) y bloqueo de archivos maliciosos (Antivirus y Anti-Spyware);

Los módulos de IPS, Antivirus y Anti-Spyware deben estar integrados en el propio equipo de seguridad.

Estar en capacidad de detectar y

de 24

bloquear tráfico peer to peer (P2P), incluso si la aplicación utiliza cambio de puertos. El administrador debe poder definir objetos de red y servicios a excluir.

Detectar y bloquear los siguientes tipos de amenazas:

o Comunicaciones Outbound con malware.

o Intentos de Tunneling Detectar y bloquear aplicaciones que realizan control remoto, incluyendo aquellas que son capaces de hacer tunneling en tráfico HTTP y HTTPS.

Soportar y proteger protocolos de VoIP (H.323, SIP, MGCP y SCCP), asegurando que todos los paquetes de VoIP son estructuralmente válidos.

Permitir por cada protección o por todas las protecciones soportadas, adicionar excepciones basadas en origen, destino, servicio o la combinación de los 3 factores.

Permitir la inspección en archivos comprimidos que utilizan o algoritmo deflate (zip, gzip, etc.)

Rastreo de virus en pdf.

Proteger contra ataques de tipo DNS tunneling

Incorporar seguridad contra downloads involuntarios usando HTTP de archivos ejecutables. maliciosos

Incluir protecciones para los protocolos POP3 e IMAP.

Debe permitir el bloqueo de vulnerabilidades.

Debe permitir el bloqueo de exploits conocidos.

Debe permitir el bloqueo por Signatures.

Poseer firmas para bloqueo de ataques de buffer overflow

Debe soportar varias técnicas de prevención, incluyendo Drop y tcp-rst (Cliente, Servidor y ambos)

Poseer firmas específicas para la mitigación de ataques DoS

Posibilitar la configuración de diferentes políticas de control de amenazas y ataques basados en políticas del firewall considerando Usuarios, Grupos de usuarios,

de 24

origen, destino, zonas de seguridad, etc., o sea, cada política de firewall podrá tener una configuración diferente de IPS, siendo esas políticas por Usuarios, Grupos de usuario, origen, destino, zonas de seguridad.

7. ANALISIS DE MALWARES MODERNOS


1

La solución ofrecida debe soportar y garantizar los siguientes requerimientos: La solución ofrecida debe soportar y garantizar los siguientes requerimientos:

Poseer funcionalidades para análisis de Malwares no conocidos incluidas en la propia herramienta.

Enviar archivos transferidos de

forma automática para análisis "In Cloud" o local, donde el archivo será ejecutado y simulado en un ambiente controlado.

El sistema de análisis “In Cloud” o local debe proveer informaciones sobre las acciones del Malware en la máquina infectada, informaciones sobre cuales aplicaciones son utilizadas para causar/propagar la infección, detectar aplicaciones no confiables utilizadas por el Malware, generar firmas de Antivirus y Anti-spyware automáticamente, definir URLs no confiables utilizadas por el nuevo Malware y proveer informaciones sobre el usuario infectado (su dirección ip y su login de red)

Seleccionar a través de la política de Firewall que tipos de archivos sufrirán este análisis

Soportar el análisis de por lo menos 60 (sesenta) tipos de comportamientos maliciosos para el análisis de la amenaza no conocida

Soportar el análisis de archivos maliciosos en ambiente controlado como mínimo, sistema operacional Windows 7, Windows 8.0 y Windows 10.

Soportar el monitoreo de archivos transferidos por internet (HTTP, HTTPS, SMTP) como también archivos transferidos internamente en los servidores de archivos usando SMB

de 24

Permitir exportar el resultado de los análisis de malwares de día Zero en PDF y CSV a partir de la propia interfaz de administración.

Debe permitir la descarga de los malwares identificados a partir de la propia interfaz de administración

Debe permitir visualizar los resultados de los análisis de malware de día Zero en los diferentes sistemas operacionales soportados;

Debe permitir parametrizar el dispositivo de seguridad para analizar el tráfico y clasificar por parte de administrador de seguridad los falso-positivo y falso-negativo en el análisis de malwares de día Zero a partir de la propia interfaz de administración

Soportar el análisis de archivos del paquete office (.doc, .docx, .xls, .xlsx, .ppt, .pptx), archivos java (.jar e class), email en el ambiente controlado

Poseer SLA de, como máximo, 20 minutos para actualización de la base de vacunas contra malwares desconocidos identificados en el ambiente controlado;

Permitir él envió de archivos para análisis en el ambiente controlado vía web y de forma automática vía API

8. FUNCIONES AVANZADAS DE RED


1 La solución debe soportar al menos los siguientes protocolos de routing:

OSPF y RIPv2.

2 La solución debe soportar al menos los siguientes protocolos de multicast:

IGMP, PIM-DM.

9. ANTIVIRUS – ANTIBOT


1 Escaneo de virus Realizar escaneo de virus y bloquearlos en al menos los

de 24

siguientes protocolos: POP3, FTP, SMTP, HTTP y HTTPS.

2 Anti-spyware Basado en patrones.

Soportar el escaneo por dirección, es decir que el dispositivo de seguridad sea capaz de detectar y escanear archivos que se mueven en una dirección particular, por ejemplo, de redes externas o cuando cruza una DMZ.

10. ADMINISTRACION CENTRALIZADA


1

La Solución ofrecida debe contemplar las siguientes funcionalidades incluidas en un único appliance físico o virtual:

Administración de la política de seguridad

Repositorio de logs de seguridad

Integración con el directorio activo.

Monitoreo de tráfico y estadísticas de Firewall.

Correlacionador de eventos de seguridad de las características ofrecidas.

Módulo de reportes histórico.

En el caso de que sea necesaria la instalación de cliente para administración de la solución, el mismo debe ser compatible con sistema operacional Windows

Incluir una entidad certificadora interna que permita generar certificados a los Gateways administrados y a usuarios finales, para permitir autenticación sencilla vía VPN.

Incluir una función de búsqueda que permita identificar un objeto de red que tenga una IP específica o parte de ella.

La consola de administración debe contar con un contador de hits en la política de seguridad.

Permitir segmentar las políticas de seguridad usando etiquetas y títulos para mejorar la organización del set de reglas.

de 24

Incluir la funcionalidad de manejar todo el licenciamiento, management y Gateway de forma centralizada.

Poseer un método de verificación de la política de seguridad antes de la instalación.

La solución GUI debe tener un mecanismo para excluir IPs de la política de IPS definida.

La solución de visualización de eventos debe tener la funcionalidad de ir a la firma de IPS que detectó el evento reportado.

Para agilizar la verificación de fallas, la solución debe tener la funcionalidad de ver todos los eventos/logs: Firewall, VPN, Filtrado de contenido, Control de aplicaciones, IPS y antivirus en una sola vista.

Tener la capacidad de recibir los logs de todas las funcionalidades de seguridad configuradas.

Incluir capacidades de captura automática de paquetes para eventos reportados por el IPS, para así facilitar el análisis forense.

Estar en capacidad de tener eventos distintos para los logs de red y los logs de tipo administrativos (auditoria).

Proveer la funcionalidad de pasar del log a la política de seguridad de forma sencilla.

Para cada evento o match sobre una regla, la solución debe proveer al menos las siguientes respuestas: Log, alert, SNMP trap, email.

La transmisión de los eventos debe ser segura y cifrada para evitar la escucha prohibida.

Permitir la creación de un nuevo archivo de log y salvar automáticamente el antiguo, a través de un evento calendarizado o con base en el tamaño del archivo.

La solución podrá exportar los

de 24

eventos en formato de base de datos.

Incluir una interfaz gráfica que permita un modo simple de monitorear el estado de los gateways.

Permitir monitorear vía SNMP fallas en el hardware, inserción o remoción de fuentes, discos y ventiladores, uso de recursos por número elevado de sesiones, número de túneles establecidos de VPN cliente-to-site, porcentaje de utilización en referencia al número total soportado/licenciado y número de sesiones establecidas

La solución debe poder configurar umbrales/disparadores y tomar acciones cuando dichos umbrales/disparadores sean alcanzados.

Ejemplo: Uso de CPU 90%.

Las acciones deben incluir: Log, alert, SNMP trap, email.

Presentar gráficos en tiempo real pre-configurados, para monitorear tráfico y contadores de sistema. Debe incluir al menos: Top de servicios, Top de direcciones, Top reglas de seguridad, tráfico de red.

Proveer acceso a la solución a aplicar configuraciones durante momentos donde el tráfico sea muy alto y la CPU y memoria del equipamiento este siendo totalmente utilizada

Tener la capacidad de generar un gráfico que permita visualizar los cambios en la utilización de aplicaciones en la red en lo que se refiere a un período de tiempo anterior, para permitir comparar los diferentes consumos realizados por las aplicaciones en el tiempo

de 24

presente con relación al pasado

Debe permitir la definición de perfiles de acceso a la consola con permisos granulares como: acceso de escritura, acceso de lectura, creación de usuarios, alteración de configuraciones

Debe permitir la generación de mapas geográficos en tiempo real para la visualización de orígenes y destinos del tráfico generado en la institución.

Todas las aplicaciones de seguridad requeridas, deben ser administradas desde una consola centralizada.

Debe poder realizar un backup de las configuraciones y rollback de configuración para la última configuración salvada

Debe permitir la creación de Reglas que estén activas en un horario definido

Permitir la creación de Reglas con fecha de expiración

Desplegar el número de sesiones simultaneas

Mostrar el estado de las interfaces

Mostrar el uso de CPU.

Generación de reportes. Como mínimo los siguientes reportes deben poder ser generados:

Resumen gráfico de las aplicaciones utilizadas

Principales aplicaciones por utilización de ancho de banda de entrada y salida

Debe mostrar la situación del dispositivo

Debe mostrar la situación del dispositivo

Principales aplicaciones por tasa de transferencia en

de 24

bytes

Debe permitir la creación de reportes personalizados

11. CORRELACION DE EVENTOS Y REPORTES


1 Integración Estar completamente integrada a la administración.

2

La solución ofrecida debe cumplir con los siguientes aspectos:

Permitir la creación de filtros con base en cualquier característica del evento: Funcionalidad de seguridad, IP origen, IP Destino, tipo de evento, severidad del evento, nombre del ataque, país de origen y destino.

Poseer mecanismos para asignar los filtros a gráficos actualizados periódicamente, los cuales muestran los eventos que hacen match con dichos filtros. Esto permitirá a los administradores focalizarse en estos eventos.

Proveer una vista gráfica de eventos con relación al tiempo.

Permitir la agrupación de eventos por cualquiera de sus características y expórtalos a PDF.

Ofrecer búsquedas dentro de un evento y ver los detalles del evento con el fin de obtener mayor información y análisis forense.

Incluir un mapa en donde se muestre la distribución de los eventos por país.

Incluir gráficos y tablas de visualización de eventos predefinidas que contengan los eventos, y distribución de origen y destinos.

Detectar intentos de ataques de fuerza bruta sobre contraseñas.

Incluir reportes predefinidos por hora, día, semana y mes, incluyendo al menos: Top eventos, orígenes, destinos, servicios.

Reportar todos los intentos de instalación de políticas.

Poseer al menos 25 filtros que

de 24

permitan la personalización de los eventos.

Soportar la configuración de reportes programados

Soportar la subida automática de los reportes a través de: e-mail, ftp, web service.

Incluir en los reportes información consolidada de:

Número total de conexiones que fueron bloqueadas por una política de seguridad.

Top de orígenes bloqueados, sus destinos y servicios.

Top de reglas usadas por la política de seguridad.

Top de ataques encontrados por el Gateway.

Políticas instaladas y desinstaladas en el Gateway.

Top de servicios en la red.

Actividad web por usuario, sitios web más usados, y los usuarios con más consumo.

Detectar ataques de denegación de servicios, correlacionando los eventos de distintos orígenes.

Incluir Herramienta que permita análisis de logs exportados diferente al utilizado por el dispositivo con capacidad de correlación de eventos y reportes.

12. OTROS

DESCRIPCIÓN REQUERIMIENTO MINIMO

Elementos

El oferente debe entregar todos los cables, rieles, tornillos, soportes, tarjetas, módulos, licencias y demás elementos que se requieran para que la solución funcione satisfactoriamente.

Soporte y Garantía

El proponente deberá incluir la garantía de reemplazo de unidades completas, componentes, tarjetas, cables, accesorios o partes en la

de 24

modalidad 7x24x365 durante un periodo de dieciocho (18) meses para toda la solución networking ofertada y el Ministerio del Interior tendrá derecho a todas las actualizaciones que en materia de software libere el fabricante durante el tiempo que dure la garantía.

Direccionamiento IPV6

El oferente debe solicitar a LACNIC renovación de suscripción del direccionamiento ipv6 del direccionamiento que tiene actualmente el Ministerio de Interior por dos años

Ítem 2 Actualización de licenciamiento del Equipo de seguridad perimetral

1. SOLUCIÓN (Firewalls de próxima generación)

Denominación del Servicio:

Licenciamiento del soporte de fábrica

Denominación Técnica:

HARDWARE: Soporte de fábrica por un (1) año

dispositivo appliance de seguridad perimetral

Ítem Requerimiento Numero de parte Cantidad

Solución de protección perimetral

1 Threat prevention subscription renewal, PA-3220

PAN-PA-3220-TP-R 1

2 PANDB URL filtering subscription renewal, PA-3220

PAN-PA-3220-URL4-R 1

3 Premium support renewal, PA-3220 PAN-SVC-PREM-3220-R

1

4 WildFire subscription renewal, PA-3220 PAN-PA-3220-WF-R 1

Ítem 3 (Plugins Portales WEB( 1 año))

Item Requerimiento Numero de parte Cantidad

Plugins Portales WEB

1 Elementor Pro

Plugin de creación de páginas que reemplaza el editor básico de WordPress como gestor principal de los contenidos a crear y permite la interacción los demas Add-ons instalados

1 año

de 24

2 PowerPack Pro for Elementor

Selección de complementos y widgets que cumplan con necesidades de diseño, tales como migas de pan, mapas, botones, uso de menús de acordeón, etc.

1

3 JetTabs For Elementor

Esta serie de Add-ons, son complementos esenciales en la publicación de componentes específicos, del entorno de desarrollo de Elementor, con los cuales esta diseñados sliders, grilla de noticias, reproductores de video, Acordeones con contenidos dinámicos, tipos de entradas personalizadas, consultas, indexaciones y filtros, etc.

1

4 JetSmartFilters 1

JetSearch For Elementor 1

JetEngine 1

JetElements For Elementor 1

JetBlocks For Elementor 1

Essential Addons for Elementor - Pro

Pluging utilizado para la creación de eventos de calendario, tooltips para accesibilidad, etc.

1

Max Mega Menu Pro Plugin usado para dar caracteristicas específicas al menu principal.

1

Blogmentor

Este pluging permite la presentación de entradas, en este caso notas de prensa, con la apariencia deseada entre una variedad de presentaciones personalizadas.

1

GeneratePress Premium

Utilizado para permitor una gran personalización de la plantilla principal en varuos aspectos, como colores, tipografías, menús sticky, barras de navegación, secciones,, desabilitar

1

de 24

elemntos temporalmente, etc.

El equipo debe estar en las condiciones que se solicitan en la ficha técnica y presentar los elementos de hardware y software según requerimientos del fabricante y la entidad, asimismo se debe entregar el documento de licenciamiento por número de unidades y tiempo de vigencia de esta.

Empaque y rotulado (Aplica para productos)

Los equipos deben ser entregados en su empaque correspondiente para la protección de estos según requerimientos de fabricante, estos deben estar con todos lo elementos solicitados en la ficha técnica. Se debe entregar un documento donde se especifique por parte del fabricante el tipo de licencia, así como el tiempo de vigencia de esta.

Presentación (Aplica para productos)

Unidades

ficha tÉcnica de bienes, productos o servicios. codigo: …

Documents