Suministro, instalación, configuración y puesta en marcha de un Sistema de Filtrado Web y Protocolos

11  Descargar (0)

Texto completo

(1)

www.anam.gob.pa Edificio 804, Albrook Apartado 0843-00793 República de Panamá

   

    

  

E S P E C I F I C A C I O N E S T É C N I C A S

Suministro, instalación, configuración y puesta en marcha de un Sistema de Filtrado Web y Protocolos



La Autoridad Nacional del Ambiente tiene alrededor de 1400 usuarios y actualmen- te no cuenta con un sistema de seguridad de filtrado que permita evitar el ingreso a sitios maliciosos o no deseados y el uso de programas no aprobados por la Direc- ción de Administración de Sistemas de Información Ambiental lo que repercute en el bajo rendimiento de la red de datos e internet y en el ocio de los colaboradores.

 

Solucionar el problema de degradación de rendimiento que sufre la red de datos a nivel nacional y evitar posibles amenazas por el uso incorrecto del internet por parte de los colaboradores.

   

1. Debe cumplir con las exigencias de la Autoridad Nacional del Ambiente y lo recomendado por el fabricante del producto. Esto incluye control de calidad de la instalación final del producto en cuanto a funcionalidad.

2. Se configurará el filtrado para que se cumplan las políticas con los distintos grupos del Directorio Activo de Microso Windows Server, según lo solicite la institución para los usuarios de distintas categorías que deben cumplir con políticas desde las más leves hasta las más estrictas.

3. Deberán aplicarse las políticas definidas por defecto por el fabricante para que luego el personal de la institución pueda afinar más en detalle dichas políticas luego de la capacitación.

4. El filtrado deberá quedar configurado para bloquear mediante filtrado web las más conocidas páginas de entretenimiento y redes sociales como son Facebook, Twier, Badoo, programas de chat, entre otros, permitiendo el acceso a los sitios sociales antes mencionados que tienen relación con la institución.

(2)

5. El filtrado deberá quedar configurado para bloquear mediante protocolo las aplicaciones más conocidas de mayor consumo de ancho de banda y posi- bles amenazas como son programas Peer to Peer (P2P) de cualquier tipo como Ares, BitTorrent, eDonkey, Vuze, uTorrent y servicios como YouTu- be, señales en vivo de Audio y Video de distintos proveedores y televisoras, emisoras de radio, entre otros, con excepción a los sitios multimedia antes mencionados (YouTube) que tienen relación con la institución, por lo que la solución debe tener la capacidad de filtrar a nivel granular los sitios de redes sociales (Facebook, Twier, YouTube, Instagram) permitiendo decidir a nivel de cuentas de dominio que usuarios tienen acceso a qué sitios y a que parte de esos sitios específicamente.

6. El sistema de filtrado deberá quedar configurado para bloquear mediante protocolo las principales aplicaciones de servidor proxy, VPN y conectivi- dad anónima conocidas hasta el momento tanto en ambiente web como ins- taladas localmente en equipos o de manera portable como Tor, Ultrasurf, TunnelBear, Tails, PureVPN y cualquier programa que permita conexiones no autorizadas a localidades remotas con el fin enmascarar ubicación y so- brepasar los sistemas de seguridad y filtrado inclusive de la institución.

7. El sistema deberá trabajar de forma transparente sin necesidad de instalar agentes o programas en las máquinas para validar la autenticación, además deberá permitir autenticar a través de un portal captivo a los usuarios no validados en el dominio.

8. El esquema de licenciamiento inicial y posterior actualización (renovación) del producto deberá ser capaz de aceptar usuarios ilimitados enfocado a ren- dimiento del producto y no a cantidad de usuarios, lo que permitirá que los costos no se incrementen al transcurrir el tiempo o la cantidad de usuarios que accesan la red. Además el producto deberá seguir funcional y activo al 100% una vez caduque la licencia de actualización de la base de datos.

9. El sistema deberá permitir personalizar las pantallas de presentación de men- sajes, alertas y avisos a los usuarios con los logos de la institución y en idioma español e inglés.

10. Realizar y documentar las pruebas de aceptación de los sistemas y equipos involucrados con la solución.

11. El Fabricante debe estar posicionado como Líder en el Cuadrante mágico de Gartner para la solución ofertada.

12. Capacitación y entrenamiento para el personal de la ANAM que manejará la solución de filtrado.

   

1. El Contratista es responsable de entregar a la ANAM en tiempo y en forma establecida los productos y servicios definidos. La forma o criterio de acepta- ción se definen al principio de cada una de las fases del proyecto. Cualquier

(3)

modificación en los tiempos o entregables debe ser acordada entre los dos gerentes de proyectos (la ANAM y El Contratista).

2. El Contratista es responsable de implantar y adecuar la solución que abar- que todos y cada uno de los requerimientos que se definen en este documen- to.

3. El Contratista proveerá el recurso humano técnico para el desarrollo de la aplicación, de acuerdo a las competencias solicitadas en este documento.

4. El Contratista es responsable de coordinar todos los recursos que se utili- cen para la solución de la aplicación, reportando a la ANAM cualquier pro- blema, que interfiera en el normal desarrollo, relacionado con recursos de la ANAM.

5. El Contratista es responsable de proveer a la ANAM recurso humano con conocimientos de la herramienta acordes a las necesidades de implantación.

6. El Contratista se compromete a reemplazar cualquier técnico a criterio de la ANAM, con previo acuerdo de las partes, que se crea no cumple con los conocimientos técnicos necesarios para la ejecución de la solución.

7. El Contratista es responsable por el desempeño y conducta de todos sus técnicos durante la ejecución del proyecto.

8. El Contratista hará entrega en medio digital de un informe final con el diseño y configuración de la solución.

9. Durante los 12 meses de garantía y servicio de soporte, El Contratista con- figurará cuantas veces sea necesario, la solución, sin costo adicional.

          



1. La empresa debe contar con oficinas registradas en Panamá cuyo domicilio físico sea en el territorio nacional, preferiblemente en la ciudad de Panamá.

2. Anexar informació́n con el domicilio, los telé́fonos, fax, direcciones de correo electró́nico.

3. El Contratista presentará carta de distribuidor autorizado emitida por el fabricante, que certifique la trayectoria de distribución y que cuente con los derechos de comercializar la solución a implementar. La carta deberá indicar que el proponente tiene más de 5 años de representar la marca.

4. El Contratista presentará carta del fabricante que certifique que es un Ca- nal Autorizado (Authorized Reseller) en Panamá, y que es un distribuidor con el nivel de socio más alto (Platino por ejemplo) que ofrezca la marca.

(4)

La carta deberá indicar la dirección de correo electrónico o número de telé- fono de la casa fabricante donde se pueda validar y certificar los niveles que ofrece y el nivel de socio correspondiente.

5. El Contratista presentará garantía por escrito del servicio por un tiempo no menor a 12 meses tanto para los equipos (si aplica) como para la mano de obra y el soporte. Presentar nota de certificación firmada por el represen- tante legal de la empresa. (No subsanable).

6. El Contratista deberá presentar copia de las certificaciones de al menos 3 ingenieros que los acredite cómo idóneos para realizar los trabajos de ins- talación y configuración y atender los incidentes de soporte reportados del producto.

7. El Contratista presentará a la ANAM carta del proveedor avalada por Re- cursos Humanos, indicando que el personal forma parte de la planilla. Debe presentar copia de la ficha de Seguro Social vigente de cada uno de los téc- nicos certificados.

8. El Contratista presentará al menos (2) cartas de referencias de entidades gubernamentales en las cuales se haya ejecutado esta solución y donde al menos una de las referencias cuente con más de 1200 usuarios en la imple- mentación.

9. El Contratista presentará al menos una carta de referencia de empresa pri- vada en la cual se haya ejecutado esta solución para más de 300 usuarios.

10. Las personas autorizadas a realizar los trabajos deberán hacerlo de forma presencial en las instalaciones de la Autoridad Nacional del Ambiente. No podrán realizarse de manera remota. El Contratista debe presentar un lista- do de las personas calificadas que van a realizar los trabajos para la emisión de permisos.

      

1. EL CONTRATISTA deberá facilitar los catálogos u hojas de especificaciones de la solución que pretende ofrecer para que sean evaluados y aprobados.

Debe incluir referencia de los documentos del Proyecto que está tratando de cumplir. Cuando se someta literatura que cubra una serie de equipos y especificaciones juntas al que específicamente se desea suministrar, esta será claramente marcada de tal forma que resalte de entre los otros que no se desea suministrar.

2. Las hojas de especificaciones o catálogos deben ser emitidas por el fabricante de la solución ofrecida, demostrando que cumple con todas las características solicitadas en las especificaciones técnicas y el contratista deberá imprimir y marcar en el modelo de cuadro adjunto la página y renglón específico donde sustenta dicha característica dentro de las hojas suministradas.

(5)

        

Requisito Cumple

(Sí/No)

Comentario/Página

Especificaciones de Hardware Rendimiento de hasta 9 Gbps de Throughput

Debe soportar mínimo 1.2 millón de conexiones concu- rrentes

Debe soportar mínimo 50,000 conexiones por segundo Debe soportar IPv4 e IPv6

Debe soportar Link Aggregation (802.3ad) en modo pa- sivo y activo

Debe Soportar implementación en modo transparente (Layer 2) o en modo ruteo (Layer 3)

Debe soportar creación de 1024 vlans en el equipo Debe tener al menos (4) interfaces Ethernet 10/100/1000 RJ45

Debe tener disco duro interno de al menos 250GB El equipo debe ser para montaje en rack e incluir acce- sorios de montaje

El equipo debe soportar Alta disponibilidad en modo activo/activo y activo/pasivo. Debe soportar sincroniza- ción de sesiones para el tráfico cifrado y no cifrado. Con- tar con mecanismos de detección de fallas y detección de pérdida de enlaces

Especificaciones de Soware y funcionalidades básicas necesarias Control de mensajería y aplicaciones a nivel de puerto

80, incluyendo el bloqueo selectivo de Chat, Envió de Ar- chivo, Voz y Asistencia Remota

Network Address Translation (NAT), automático y ma- nual, y granular para diferentes orígenes, destinos y ser- vicios

Capacidad de hacer Alta Redundancia de proveedor de servicio

Debe soportar exportar la configuración del sistema, ya sea de forma manual o programada

Debe soportar túneles VPN punto a punto Debe soportar túneles de acceso remoto

Debe permitir VPN para el acceso remoto de usuarios tipo móviles mediante IPSec

Debe permitir VPN para el acceso remoto de usuarios tipo móviles mediante SSL, sin necesidad de instalar un cliente previo

(6)

Pueda validar VPN por medio de certificados digitales o llaves secretas

Soportar VPN con IKEv1 y IKEv2

Posibilidad de cifrado por medio de DES, 3DES, AES-128 y AES-256. Y revisión de integridad con MD5 y SHA-1 Debe incluir soporte para topologías Sitio a Sitio todos contra todos (Full Mesh), Oficinas remotas hacia oficina central (Topología Estrella), Hub y Spoke (Sitio remoto a través del sitio central hacia otros sitios)

Capacidad de realizar SSL VPN a dispositivos móviles iPhones/iPad/Android

La solución debe soportar redundancia de proveedor de Internet, en modos activo/pasivo y activo/activo

Requerimientos de administración de la plataforma Soportar Gestión de Políticas de forma centralizada para

los productos de seguridad

Debe tener interfaz gráfica basada en objetos, donde la creación de reglas pueda ser creada mediante objetos La consola de administración debe hacer verificación de errores en las políticas creadas antes de aplicarlas La solución debe permitir revertir la política de seguri- dad a una versión anterior

Debe soportar drag and drop de objetos y deben poder ser reutilizados entre varias políticas

Debe soportar administración basada en roles, donde a los administradores se les otorgue perfiles personaliza- bles de administración

Debe poder auditar los cambios realizados por los admi- nistradores

Todos los productos de seguridad deben soportar ser configurados desde una única consola gráfica

Debe incluir una Autoridad Certificadora interna X.509, que genere certificados para los gateways y a los usua- rios para fácil autenticación en los VPNs

Debe poder soportar una Autoridad emisora de Certifi- cados Externa, provista por un tercero

Debe soportar agrupación de reglas en secciones etique- tadas para una administración intuitiva y ordenada Debe soportar definición de tiempo de expiración a las reglas de seguridad, de modo que estén activas en inter- valos específicos de tiempo

La consola de administración debe soportar búsqueda de objetos y reglas

(7)

Debe tener contador de utilización en las reglas de se- guridad, para saber que tanto se utilizan las reglas. Éste contador debe ser visible en la misma lista de reglas de seguridad

La solución debe soportar creación de múltiples versio- nes de la política de seguridad de modo que puedan ser consultadas en caso de necesitar revertir algún cambio.

Estas versiones deben poder ser creadas manual o auto- máticamente

La solución debe realizar una verificación de las políticas de seguridad creadas de modo que no existan conflicto de reglas

Debe soportar integración con terceros mediante algún lenguaje de código abierto

Debe soportar autenticación por una base de datos local, LDAP, TACACS, RADIUS o SecureID

Debe soportar administración basada en roles Debe soportar IPv6

Requerimientos de gestión de logs Herramienta capaz de ser utilizada para realizar análisis

de auditoría en tiempo real de los eventos de seguridad Búsqueda intuitiva, semejante al sistema de búsqueda de google

Debe permitir realizar búsquedas granulares para cual- quier comunicación o de patrón de tráfico

Debe ser una herramienta sin límite de registros, debe estar limitada solo por el tamaño del espacio en disco Reducir el tiempo de troubleshooting al poder mostrar resultados en tiempo real

Debe tener filtros predefinidos de búsqueda y permitir crear y salvar filtros personalizados

Requerimientos para Sistema de Prevención de Intrusos La solución debe proveer un sistema de prevención de

intrusos (IPS) integrado a la solución de seguridad Debe proveer miles de protecciones preventivas y proac- tivas out-of-the-box

Debe proveer cobertura de protecciones para amenazas de clientes, servidores, sistemas operativos, infecciones de malware y gusanos

Debe soportar protección basada en ubicación geográfi- ca

Debe inspeccionar el tráfico SSL

Debe soportar aceleración de inspección IPS

(8)

Debe soportar soware configurable para realizar by- pass en caso de alta carga, para garantizar rendimiento de red

Debe tener protección contra ataques DoS

Debe permitir creación de grupos de protecciones o per- files

Debe traer perfiles de protecciones predefinidos out-of- the-box

La solución debe tener las siguientes características cla- ve: resistencia a evasiones, control granular, confianza y precisión en sus protecciones

Debe soportar distribución de inspección de IPS para co- rrer en paralelo entre múltiples cores del procesador Debe tener tecnología de inspección del orden de llega- da de los paquetes, de modo que ayude contra ataques relacionados al orden de los paquetes

Debe proteger contra ataques complejos y elusivos. Ésta inspección debe soportar aceleración

Debe soportar inspección de firmas en múltiples partes de los paquetes como lo son URL, encabezados de HTTP;

y análisis de protocolos de múltiples conexiones como tráfico de voz sobre IP

Contar con mecanismo de detección de amenazas de múltiples niveles o métodos: detección por firmas en vulnerabilidades, validación de protocolos, detección de anomalías, detección basada en comportamiento y co- rrelación de múltiples elementos

Debe poder aplicar nuevas protecciones al mismo tiem- po que protege la red de ataques. Con protección en tiempo real y actualizaciones de protecciones para: vul- nerabilidades, malware, tunneling, control de aplicacio- nes y ataques genéricos

Debe soportar creación de firmas personalizadas basado en lenguaje de código abierto

Debe soportar un ambiente de pruebas aislado -sandbox- para probar las nuevas protecciones sin impactar la red Debe soportar activación de protecciones basado en su nivel de severidad, confianza y nivel de impacto en ren- dimiento

Debe poder realizar captura de tráfico para análisis fo- rense

Debe soportar marcar protecciones como seguimiento para análisis posterior

Debe proveer información detallada de cada protección, que incluya descripción de la amenaza, severidad, nivel de impacto en rendimiento y confianza de la protección

(9)

Debe soportar realizar excepciones a las protecciones

Requerimientos para control de acceso remoto desde dispositivos móvil Solución de acceso remoto a aplicaciones corporativas

para dispositivos smartphones, tablets o PCs

Debe soportar conexión segura mediante tecnología SSL VPN SSL, y tecnología de conexión VPN de Capa 3 Verificación de usuarios con autenticación de dos (2) fac- tores

Proveer conectividad VPN basada en cliente y vía web Para dispositivos móviles debe proteger ante robo de dis- positivo mediante bloqueo de dispositivo o borrado re- moto de datos coorporativos (remote-wipe)

Verificación de cumplimiento de requerimientos mínimo de portátiles

Solución de Prevención de Intrusos Integrada que prote- ja de código malicioso y ataques como SQL injection y Cross site scripting

Portal web integrado para acceder a las aplicaciones web, archivos compartidos e email

El Portal web debe soportar múltiples lenguajes El Portal web debe ser personalizable

Requerimientos de identificación de identidades Administración centralizada del acceso de usuarios a re-

cursos de la empresa y aplicaciones de internet

Visibilidad y control granular basada en usuarios, gru- pos de usuarios, máquinas

Debe permitir agregar usuarios, grupo de usuarios y ma- quinas a las defensas de seguridad

Identificación de usuario integrado a Microso Active Directory sin la necesidad de instalar un agente en el controlador de dominio o en las máquinas de los usua- rios

Identificación de usuarios y máquinas externas median- te portal captivo

Identificación de usuarios mediante agentes tanto para estaciones de trabajo como para servidores de aplicacio- nes como Citrix y Terminal Services

Identificación de los usuarios que se conectan por medio de VPN de acceso remoto, para clientes SSL VPN y IPSec VPN

Requerimientos de control de aplicaciones

(10)

Capacidad para identificar, permitir, bloquear o limitar el uso de las aplicaciones por usuario o grupos limitan- do de esta forma la web 2.0, redes sociales, independien- temente del puerto o protocolo o técnica evasiva para atravesar la red

Le debe permitir a los administradores crear definiciones de políticas muy granulares

Contar con aplicación clasificadora de biblioteca la cual le permite escaneo y detección de más de 4,800 aplica- ciones diferentes y más de 300.000 widgets web 2.0 como mensajería instantánea, redes sociales video streaming, VoIP, jugos entre otros

Debe contar con más de 150 categorías basadas en crite- rios como tipos de aplicaciones, nivel de riesgo de segu- ridad, uso de recursos e implicaciones de productividad Debe permitir bloquear mediante protocolo las aplica- ciones más conocidas de mayor consumo de ancho de banda y posibles amenazas como son programas Peer to Peer (P2P) de cualquier tipo y servicios multimedia Debe permitir bloquear mediante protocolo las principa- les aplicaciones de servidor proxy, VPN y conectividad anónima conocidas hasta el momento tanto en ambiente web como instaladas localmente en equipos o de manera portable y cualquier programa que permita conexiones de adentro hacia afuera, no autorizadas a localidades re- motas con el fin enmascarar ubicación y sobrepasar los sistemas de seguridad

Debe contar con un identificador de usuario el cual le permite enviar alertas a los empleados en tiempo real acerca de sus limitaciones de acceso a aplicaciones Debe prevenir infecciones de malware provenientes de aplicaciones y widgets de redes sociales

Requerimientos de filtrado de navegación Solución integrada para prevención de virus y amenazas

Prevenir infecciones de malwares a nivel de gateway Sistema de inspección debe contener más de 4 millones de firmas de virus y más de 250,000 sitios conocidos co- mo fuentes de infección

Protección en tiempo real en la nube Eliminar virus en los archivos descargados

Motor de inspección basado en firmas y análisis de com- portamiento

Debe poder evitar que se visiten sitios conocidos con in- fecciones

Brindar protección en los protocolos HTTP, HTTPS, FTP, POP3 y SMTP



(11)

Requerimientos para protección contra bots Detección de máquinas infectadas con BOT

Seguridad en tiempo real en la nube

Bloqueo de comunicaciones bot desde maquinas infec- tadas

Detección de ataques APT

Prevenir daños de robo de información

Administración centralizada por una sola consola 4.5 millones de firmas de malware

Controles basados en reputación de IP, URL o dirección DNS

Elaborado por:

Ing. Rafael Cano Jefe de Soporte Técnico Rev. 1.3 (

13144a0

)



Figure

Actualización...

Referencias