Secciones
Versión 1
Versión 2
Diferencias entre las versiones 1 y 2
Adenda
Las modificaciones al presente procedimiento de contratación son los indicados a continuación:
La adenda es el documento emitido por la convocante, mediante la cual se modifican aspectos establecidos en las bases de la contratación. A los efectos legales, la adenda será considerada parte integrante del documento cuyo contenido modifique.
La convocante podrá introducir modificaciones cuando se ajuste a los parámetros establecidos en la Ley.
Las adendas serán difundidas en el SICP respetando los plazos establecidos en la resolución matriz de normas.
Obs: Cuando la convocante requiera prorrogar la fecha tope de presentación y apertura de ofertas, sin modificar los demás datos e información de las bases de la contratación, será difundida automáticamente a través del SICP y no se instrumentará a traves de adenda.
Adenda
Las modificaciones al presente procedimiento de contratación son los indicados a continuación:
San Lorenzo, 02 de octubre de 2025
REF.: LICITACIÓN POR MENOR CUANTIA NACIONAL N° 26/2025 PARA LA ADQUISICIÓN DE EQUIPO NEXT GENERATION FIREWALL PARA EL RECTORADO DE LA UNA ID 473.733
ADENDA N° 1
Se comunica a los potenciales oferentes del llamado de referencia cuanto sigue:
Los plazos para las consultas, la entrega de ofertas y apertura de sobres fueron modificados en el SICP.
Requisitos de participación y criterios de evaluación, en el punto Experiencia requerida, DEBE DECIR:
Experiencia requerida:
- Demostrar la experiencia en la provisión de soluciones de seguridad perimetral (Firewall) con copia de contratos y/o facturaciones de venta y/o recepciones finales por un monto equivalente al 50 % como mínimo del monto total ofertado en la presente licitación, dentro de los: 5 últimos años: (2021 y/o 2022 y/o 2023 y/o 2024 y/o 2025).
- Se deberá presentar como mínimo 3 (tres) certificados y/o constancias de experiencias satisfactorias en la provisión e implementación de firewall, emitidas por Instituciones Públicas y/o Privadas.
- El oferente deberá tener una antigüedad mínima en el mercado, de por lo menos 5 (Cinco) años en el rubro de los bienes provistos, contados desde la inscripción en el Registro Único del Contribuyente. Para la evaluación se tendrá en cuenta la Constancia de Inscripción en el RUC. (Registro Único de Contribuyentes) y/o Estatutos Sociales.
Requisitos documentales para la evaluación de la experiencia
- Copia de contratos y/o facturaciones y/o recepciones finales que avalen la experiencia requerida
- Al menos 3 (tres) copias de certificados y/o constancias de referencia satisfactoria.
- Copia de Constitución de Sociedad y/o Constancia de RUC.
Requisitos de participación y criterios de evaluación, en el punto Capacidad Técnica requerida, DEBE DECIR:
Capacidad Técnica:
- El oferente deberá poseer certificados de Gestión de Calidad (CSG) según la norma ISO 9001 y/o de Gestión de Servicios de TI (ITSM) según la norma 20000, para garantizar estándares internacionales de calidad y servicio para cumplimiento de garantía y servicio post venta.
- El oferente deberá presentar la Planilla de Cumplimiento de Especificaciones Técnicas en forma de Declaración Jurada, en la que el oferente deberá expresar de manera explícita si el bien y/o servicio ofertado CUMPLE o NO CUMPLE con las especificaciones técnicas.
- El oferente deberá contar con al menos 2 (dos) técnicos certificados en fábrica de la marca ofertada para la instalación y configuración de los equipos ofertados.
Estos técnicos deberán residir en el País y ser del staff permanente del oferente con antigüedad mínima de 12 meses, demostrable con planilla de IPS (Instituto de Previsión Social) y/o Contrato profesional vigente, en la cual se demuestre la dependencia laboral.
- El oferente deberá presentar una carta de la fabricante dirigida a la convocante en donde se haga mención del presente llamado, autorizando al oferente a presentar oferta según lo requerido en las Especificaciones Técnicas.
- Contar con catálogo de los bienes ofertados.
- El oferente deberá garantizar que todos los bienes ofertados a la convocante son nuevos y sin uso.
- Constancia de Visita e inspección técnica en el edificio del Centro Nacional de Computación del Rectorado de la UNA o Declaración Jurada.
Requisitos documentales para evaluar el criterio de capacidad técnica
- Copia de la Certificación ISO 9001:2015 o similar vigente
- Declaración Jurada de la Planilla de Especificaciones Técnicas
- Copia de certificado, planilla de IPS y/o contrato de trabajo de cada técnica requerido
- Carta de Autorización del Fabricante.
- Declaración jurada de cumplir con las especificaciones técnicas solicitadas.
- Catálogos en los cuales se detallan claramente todas las especificaciones técnicas de los bienes ofertados. Los catálogos deben coincidir con las especificaciones técnicas ofrecidas, y deberán ser presentados en idioma español o inglés.
- Declaración jurada en la cual el oferente garantiza que todos los bienes ofertados a la convocante son nuevos y sin uso.
- Constancia de visita e inspección a las instalaciones del Centro Nacional de Computación del Rectorado de la UNA o Declaración Jurada.
Suministros requeridos especificaciones técnicas, en el punto Detalle de los bienes y/o servicios requerida, DEBE DECIR:
|
Especificaciones Técnicas Next Generation Firewall - Centro Nacional de Computación |
||
|
Descripción: |
Next Generation Firewall (NGFW) |
|
|
Cantidad: |
1(un) equipo |
|
|
Marca: |
Especificar |
|
|
Modelo: |
Especificar |
|
|
Procedencia: |
Especificar |
|
|
Parámetro |
Mínimo Requerido |
Requisito |
|
1. Caracteristicas generales de Rendimiento y Capacidad |
Throughput Firewall ≥ 25 Gbps |
Exigido |
|
Throughput NGFW ≥= 10 Gbps |
Exigido |
|
|
Throughput IPS ≥ 8 Gbps |
Exigido |
|
|
Throughput VPN Ipsec ≥ 12 Gbps |
Exigido |
|
|
Sesiones Concurrentes ≥ 8 Millones |
Exigido |
|
|
Nuevas Sesiones/segundo ≥ 300000 |
Exigido |
|
|
2. Caracteristicas generales de Conectividad y Hardware |
Interfaces 10GbE (SFP+) ≥ 6 |
Exigido |
|
Interfaces 1GbE (RJ45/SFP) ≥ 16 RJ45 + 8 SFP |
Exigido |
|
|
Almacenamiento ≥ 960 GB SSD |
Exigido |
|
|
HA (Activo/Activo) |
Exigido |
|
|
Fuentes redundantes removibles y ventiladores removibles sin destapar el equipo |
Exigido |
|
|
Se deberan incluir todos los modulos de expansión necesarios para que el equipo ofertado funcione al 100% de rendimiento descripto en las documentaciones oficiales de la marca presentada en la oferta. |
Exigido |
|
|
Se deberán incluir al menos 4 módulos SFP+ de 10 GB Multimodo original de la marca y los cables de fibra óptica necesarios para la conexión al switch de core |
Exigido |
|
|
3. Caracteristicas Generales de Seguridad y NGFW |
Base de Datos de Aplicaciones ≥ 4,000 |
Exigido |
|
Inspección SSL/TLS 1.3 |
Exigido |
|
|
Sandbox Integrado/Cloud |
Exigido |
|
|
Filtrado URL ≥ 130M URLs |
Exigido |
|
|
ZTNA |
Exigido |
|
|
4. Certificaciones |
ISO 9001, ISO14001, ISO27001 o similares de la marca ofertada. IPv6 Ready, Cumplimiento CVE o equivalentes |
Exigido |
|
5. Carcteristicas especificas de Seguridad de datos |
La solución debe permitir gestionar la transferencia de archivos según su extensión, tamaño y denominación. |
Exigido |
|
La solución debe ser capaz de reconocer los protocolos utilizados para la transmisión de archivos, incluyendo HTTP, FTP, SMTP, POP3 y SMB. |
Exigido |
|
|
La solución debe identificar archivos mediante firmas digitales y extensiones, abarcando más de 100 tipos distintos. |
Exigido |
|
|
La solución debe disponer de capacidades de inspección de contenido aplicadas a los protocolos HTTP (métodos GET y POST), FTP y SMTP. |
Exigido |
|
|
La solución debe ser capaz de analizar y controlar archivos enviados a través de conexiones HTTPS mediante inspección SSL, así como a través del protocolo SMB. |
Exigido |
|
|
6. Caracteristicas Especificas de Firewall |
La solución debe ser compatible con múltiples modos operativos, incluyendo enrutamiento (NAT), modo transparente (bridge) y modo híbrido. |
Exigido |
|
Debe permitir la utilización de objetos de política, tanto preconfigurados como definidos por el usuario, así como agrupación y consolidación de políticas. |
Exigido |
|
|
Debe admitir políticas de seguridad basadas en criterios como tipo de aplicación, propósito funcional y ubicación geográfica. |
Exigido |
|
|
La solución debe integrar puertas de enlace a nivel de aplicación y gestionar sesiones para protocolos como MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, DNS (TCP y UDP), H.245 (versiones 0 y 1) y H.323. |
Exigido |
|
|
Debe ofrecer compatibilidad con funcionalidades de NAT y ALG, incluyendo NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT y soporte para STUN. |
Exigido |
|
|
Debe permitir configurar NAT tanto a través de políticas específicas como mediante una tabla centralizada. |
Exigido |
|
|
Debe ofrecer soporte para servicios de VoIP, incluyendo técnicas de NAT traversal para protocolos SIP, H.323 y SCCP, así como gestión de puertos dinámicos (RTP pin holing). |
Exigido |
|
|
La solución debe permitir una visualización centralizada de todas las políticas de seguridad implementadas. |
Exigido |
|
|
Debe contar con capacidades para detectar políticas redundantes, agrupar reglas, restaurar configuraciones anteriores y administrar políticas compuestas. |
Exigido |
|
|
Debe incorporar un asistente o guía para facilitar la creación y despliegue de políticas de seguridad detalladas. |
Exigido |
|
|
Debe incluir funciones de auditoría para revisar las políticas configuradas y eliminar aquellas que resulten inválidas o ineficaces. |
Exigido |
|
|
La solución debe admitir la aplicación de políticas DNS globales. |
Exigido |
|
|
Debe permitir la definición de horarios únicos o recurrentes para la aplicación de reglas y políticas. |
Exigido |
|
|
Debe contar con mecanismos para importar y exportar configuraciones de políticas de seguridad. |
Exigido |
|
|
Debe ser capaz de manejar un volumen igual o superior a 20.000 políticas de firewall. |
Exigido |
|
|
7. Caracteristicas Especificas de Conectividad y sistema de ruteo |
Debe ser compatible con protocolos de enrutamiento dinámico como OSPF, BGP y RIPv2. |
Exigido |
|
Debe admitir configuraciones de rutas estáticas y enrutamiento basado en políticas. |
Exigido |
|
|
Debe permitir el direccionamiento de tráfico en función del tipo de aplicación detectada. |
Exigido |
|
|
Debe contar con servicios integrados como DHCP, NTP, DNS y funcionalidad de proxy DNS. |
Exigido |
|
|
Debe ofrecer compatibilidad con modos de interfaz como sniffer, agregación de puertos, loopback y soporte para VLANs 802.1Q y trunking. |
Exigido |
|
|
Debe ser capaz de operar en funciones de switching y routing tanto en capa 2 como en capa 3. |
Exigido |
|
|
Debe ofrecer soporte para protocolos de multidifusión, incluyendo PIM-SSM. |
Exigido |
|
|
Debe permitir la implementación de enlaces virtuales en línea tipo capa 1 de forma transparente. |
Exigido |
|
|
8. Caracteristicas Especificas de VPN |
Debe ofrecer compatibilidad con VPN IPsec, incluyendo soporte completo para funciones avanzadas. |
Exigido |
|
Debe permitir la negociación de Fase 1 en modo agresivo y modo principal. |
Exigido |
|
|
Debe aceptar múltiples formas de identificación de pares: cualquier ID, ID específico o basado en grupos de acceso remoto. |
Exigido |
|
|
Debe ser compatible con los protocolos IKEv1 e IKEv2 conforme al RFC 4306. |
Exigido |
|
|
Debe admitir métodos de autenticación mediante certificados digitales y claves precompartidas. |
Exigido |
|
|
Debe permitir la configuración del modo IKE como cliente o como servidor. |
Exigido |
|
|
Debe proporcionar soporte para asignación dinámica de direcciones IP a través de DHCP sobre IPsec. |
Exigido |
|
|
Debe permitir configurar el tiempo de vida de las claves de IKE y los parámetros de mantenimiento de NAT. |
Exigido |
|
|
Debe admitir algoritmos de cifrado para Fase 1 y 2 como DES, 3DES, AES128, AES192 y AES256. |
Exigido |
|
|
Debe ofrecer opciones de autenticación para las propuestas de Fase 1 y Fase 2 como MD5, SHA1, SHA256, SHA384 y SHA512. |
Exigido |
|
|
IKEv1 debe soportar los grupos Diffie-Hellman 1, 2, 5, 19, 20, 21 y 24. |
Exigido |
|
|
IKEv2 debe soportar los grupos Diffie-Hellman 1, 2, 5, 14, 15, 16, 19, 20, 21 y 24. |
Exigido |
|
|
Debe permitir la autenticación extendida (XAuth) tanto como servidor como para usuarios remotos. |
Exigido |
|
|
Debe incluir mecanismos de detección de pares inactivos. |
Exigido |
|
|
Debe incorporar protección contra ataques por repetición. |
Exigido |
|
|
Debe soportar la función Autokey keep-alive para mantener viva la Fase 2 del túnel. |
Exigido |
|
|
Debe permitir sesiones múltiples personalizadas de VPN SSL asociadas a grupos de usuarios mediante rutas y diseños configurables. |
Exigido |
|
|
Debe soportar configuración de VPN IPsec basada en rutas o en políticas. |
Exigido |
|
|
Debe admitir los siguientes modos de despliegue: site-to-site, malla completa, hub-and-spoke, túneles redundantes y terminación transparente. |
Exigido |
|
|
Debe permitir inicio de sesión único (SSO) y evitar múltiples sesiones activas con el mismo usuario. |
Exigido |
|
|
Debe incluir una función para limitar la cantidad de usuarios concurrentes en el portal SSL VPN. |
Exigido |
|
|
Debe integrar un módulo de reenvío de puertos SSL que cifre el tráfico del cliente y lo dirija al servidor de aplicaciones. |
Exigido |
|
|
Debe ofrecer compatibilidad con clientes que operen en iOS, Android, Windows, macOS y Linux. |
Exigido |
|
|
Debe realizar comprobaciones de integridad del sistema operativo y del dispositivo antes de establecer el túnel SSL. |
Exigido |
|
|
Debe tener capacidad de verificación de la dirección MAC del host desde el portal SSL. |
Exigido |
|
|
Debe incluir la función de limpieza automática de caché del navegador al finalizar la sesión SSL VPN. |
Exigido |
|
|
Debe soportar los modos cliente y servidor para L2TP, así como L2TP sobre IPsec y GRE sobre IPsec. |
Exigido |
|
|
Debe permitir visualizar y administrar activamente las conexiones de IPsec y SSL VPN. |
Exigido |
|
|
Debe ser capaz de implementar VPN de tipo PnPVPN (Plug and Play VPN). |
Exigido |
|
|
Debe contar con soporte para VTEP a través de túneles unicast estáticos en VxLAN. |
Exigido |
|
|
9. Caracteristicas Especificas de Control de aplicaciones |
Debe incluir una base de datos de aplicaciones accesible desde la interfaz gráfica de modelos de la misma línea (iguales o inferiores al ofertado), con capacidad de filtrado por nombre, categoría, subcategoría, tecnología y nivel de riesgo, y actualizable vía web. |
Exigido |
|
Cada aplicación debe contener información detallada como descripción, nivel de riesgo, dependencias, puertos comunes y enlaces de referencia. |
Exigido |
|
|
Debe permitir aplicar acciones sobre las aplicaciones como bloqueo, reinicio de sesión, monitoreo y limitación del ancho de banda. |
Exigido |
|
|
Debe proporcionar monitoreo y estadísticas avanzadas sobre aplicaciones en la nube, incluyendo su nivel de riesgo y características clave. |
Exigido |
|
|
10. Caracteristicas Específicas de Traffic Shaping / QoS |
Debe permitir crear túneles con ancho de banda garantizado o máximo, asignables por IP o por usuario. |
Exigido |
|
Debe admitir la asignación de túneles según múltiples criterios como dominio de seguridad, interfaz de red, IP origen/destino, usuario o grupo, aplicación o grupo de aplicaciones, TOS o VLAN. |
Exigido |
|
|
Debe contar con políticas de asignación de ancho de banda basadas en prioridad, franja horaria o reparto equitativo. |
Exigido |
|
|
Debe ser compatible con los estándares de Tipo de Servicio (TOS) y DiffServ para control de tráfico. |
Exigido |
|
|
Debe permitir priorizar el uso del ancho de banda disponible no asignado previamente. |
Exigido |
|
|
Debe permitir limitar el número de conexiones simultáneas que puede establecer cada dirección IP. |
Exigido |
|
|
Debe ser capaz de asignar ancho de banda según la clasificación de la URL solicitada. |
Exigido |
|
|
Debe permitir aplicar limitaciones de tráfico retrasando el acceso de usuarios o IPs específicas. |
Exigido |
|
|
Debe permitir tanto la limpieza automática de sesiones caducadas como el borrado manual del tráfico consumido por usuarios. |
Exigido |
|
|
11. Caracteristicas Especificas de Carga del servidor |
Debe soportar algoritmos de balanceo como conexión mínima ponderada y round-robin ponderado. |
Exigido |
|
Debe incluir mecanismos de protección de sesión, persistencia y seguimiento del estado de las sesiones activas. |
Exigido |
|
|
Debe contar con funciones para verificar el estado de los servidores, monitorear sesiones y aplicar mecanismos de protección. |
Exigido |
|
|
12. Caracteristicas Especificas de Server load sharing |
Debe ofrecer capacidades para balancear el tráfico de enlaces en ambos sentidos. |
Exigido |
|
Debe contar con balanceo de carga para tráfico saliente, utilizando políticas de enrutamiento por ECMP, horario, peso, ISP, con evaluación activa/pasiva de calidad de enlace y selección dinámica de la mejor ruta. |
Exigido |
|
|
Debe admitir el balanceo de carga para enlaces entrantes. |
Exigido |
|
|
Debe ser capaz de realizar failover automático de enlaces según métricas como uso de ancho de banda, latencia, jitter, conectividad o tipo de aplicación. |
Exigido |
|
|
Debe permitir monitorear el estado de los enlaces mediante protocolos como ARP, PING y DNS. |
Exigido |
|
|
13. Caracteristicas Especificas de Descifrado SSL |
Debe ser capaz de identificar aplicaciones incluso cuando el tráfico está cifrado con SSL. |
Exigido |
|
Debe poder activar el sistema de prevención de intrusiones (IPS) para el tráfico cifrado SSL. |
Exigido |
|
|
Debe ofrecer análisis antivirus (AV) sobre el tráfico cifrado con SSL. |
Exigido |
|
|
Debe aplicar políticas de filtrado de URL también sobre conexiones SSL cifradas. |
Exigido |
|
|
Debe permitir establecer listas blancas de tráfico SSL cifrado. |
Exigido |
|
|
Debe admitir el modo de descarga para la inspección SSL a través del proxy. |
Exigido |
|
|
Debe permitir aplicar funciones como identificación de aplicaciones, prevención de pérdida de datos (DLP), sandbox, IPS y AV sobre tráfico descifrado de protocolos como SMTPS, POP3S e IMAPS mediante proxy SSL. |
Exigido |
|
|
14. Caracteristicas Especificas de Autenticación |
Debe contar con una base de datos local para la gestión de usuarios. |
Exigido |
|
Debe ser compatible con autenticación remota de usuarios mediante TACACS+, LDAP, RADIUS y Active Directory. |
Exigido |
|
|
Debe permitir el inicio de sesión único (SSO) a través de integración con Windows AD. |
Exigido |
|
|
Debe admitir autenticación de doble factor, incluyendo tokens físicos, envío de códigos por SMS y soporte de soluciones externas. |
Exigido |
|
|
Debe permitir definir políticas de seguridad basadas en usuarios específicos y tipos de dispositivos. |
Exigido |
|
|
Debe sincronizar automáticamente grupos de usuarios desde directorios LDAP o Active Directory. |
Exigido |
|
|
Debe incluir compatibilidad con autenticación 802.1X y proxy para SSO. |
Exigido |
|
|
Debe contar con autenticación web (WebAuth), con personalización de página, defensa contra ataques de fuerza bruta e interoperabilidad con IPv6. |
Exigido |
|
|
Debe admitir autenticación basada en la interfaz de red utilizada. |
Exigido |
|
|
Debe permitir autenticación transparente con Active Directory sin necesidad de instalar agentes (mediante sondeo). |
Exigido |
|
|
Debe soportar sincronización de autenticación utilizando monitores SSO. |
Exigido |
|
|
Debe permitir autenticación de usuarios basada en dirección IP o dirección MAC. |
Exigido |
|
|
Debe permitir que el servidor RADIUS aplique políticas de seguridad usando mensajes de cambio de autorización (CoA). |
Exigido |
|
|
15. Caracteristicas Especificas de Antivirus |
Debe admitir actualizaciones de firmas de forma manual, automática, y por métodos push o pull. |
Exigido |
|
Debe ofrecer un motor antivirus basado en análisis de flujo compatible con protocolos como HTTP, SMTP, POP3, IMAP, FTP/SFTP y SMB. |
Exigido |
|
|
Debe tener la capacidad de escanear archivos comprimidos en búsqueda de virus. |
Exigido |
|
|
16. Caracteristicas Especificas de Administración |
Debe permitir acceso de gestión por interfaces como HTTP/HTTPS, SSH, Telnet y consola serial. |
Exigido |
|
Debe ofrecer integración con sistemas externos mediante SNMP, Syslog y alianzas con terceros. |
Exigido |
|
|
Debe permitir una instalación rápida usando autoconfiguración desde USB o ejecución de scripts locales y remotos. |
Exigido |
|
|
Debe ofrecer un panel de control dinámico con visualización en tiempo real y widgets personalizables. |
Exigido |
|
|
Debe incluir soporte multilingüe, al menos en inglés y español. |
Exigido |
|
|
17. Caracteristicas Especificas de Registros e informes |
Debe ofrecer registros detallados del tráfico de red. |
Exigido |
|
Debe generar logs completos de eventos que incluyan auditoría del sistema, administración, tráfico de red, VPN, autenticación de usuarios y eventos de Wi-Fi. |
Exigido |
|
|
Debe ofrecer resolución de nombres para direcciones IP y números de puerto, facilitando su interpretación. |
Exigido |
|
|
Debe contar con la opción de registrar tráfico en un formato compacto o resumido. |
Exigido |
|
|
Debe incluir al menos tres tipos de reportes predefinidos: seguridad, tráfico (flujo) y red. |
Exigido |
|
|
Debe permitir la creación de reportes personalizados por el usuario. |
Exigido |
|
|
Debe admitir exportación de informes en formatos PDF, Word y HTML, con posibilidad de envío por correo electrónico o FTP. |
Exigido |
|
|
18. Caracteristicas especificas de Estadisticas y control |
Debe permitir estadísticas detalladas y monitoreo de aplicaciones, sitios web y eventos de amenazas. |
Exigido |
|
Debe incluir análisis y visualización en tiempo real del tráfico de red. |
Exigido |
|
|
Debe mostrar información del estado del sistema como número de sesiones activas, uso de CPU y memoria, y temperatura del dispositivo. |
Exigido |
|
|
19. Caracteristicas Especificas de Filtrado de URLs |
Debe contar con capacidades de filtrado web aplicadas mediante inspección de tráfico basada en flujo. |
Exigido |
|
Debe permitir definir manualmente políticas de filtrado web basadas en URLs, contenido de páginas y encabezados MIME. |
Exigido |
|
|
Debe incluir filtrado web dinámico apoyado en una base de datos de categorización en la nube, con actualización en tiempo real. |
Exigido |
|
|
Debe permitir al administrador reasignar temporalmente perfiles de filtrado web a usuarios, grupos o IPs. |
Exigido |
|
|
Debe admitir categorías locales de filtrado web, así como la posibilidad de modificar clasificaciones predefinidas. |
Exigido |
|
|
Debe permitir configurar listas blancas y listas negras de direcciones. |
Exigido |
|
|
20. Caracteristicas especificas de IPS |
Debe ofrecer detección de anomalías en protocolos mediante análisis de comportamiento, velocidad, firmas personalizadas y actualizaciones manuales o automáticas, complementadas con una base de conocimiento de amenazas. |
Exigido |
|
Debe incluir acciones configurables para eventos de IPS como supervisión, bloqueo y reinicio de sesiones según IP atacante, víctima o interfaz, con tiempos de expiración. |
Exigido |
|
|
Debe permitir la activación del registro detallado de paquetes para análisis forense. |
Exigido |
|
|
Debe contar con una base de datos de firmas IPS accesible desde la interfaz gráfica y actualizable vía web. |
Exigido |
|
|
Debe ofrecer filtros para búsquedas de firmas IPS por nivel de severidad, tipo de objetivo, sistema operativo, aplicación o protocolo. |
Exigido |
|
|
Debe admitir la exclusión de ciertas direcciones IP para firmas IPS específicas. |
Exigido |
|
|
Debe contar con un modo IDS tipo sniffer para análisis pasivo del tráfico. |
Exigido |
|
|
Debe ofrecer protección contra ataques DoS en entornos IPv4 e IPv6, con umbrales configurables para ataques como TCP Syn Flood, escaneo de puertos, barridos ICMP y otros tipos de inundaciones por sesión o protocolo. |
Exigido |
|
|
Debe incluir políticas de protección preconfiguradas para facilitar su implementación inmediata. |
Exigido |
|
|
Debe tener capacidad de capturar paquetes asociados a eventos IPS, con soporte para almacenamiento externo. |
Exigido |
|
|
21. Caracteristicas especificas de Alta disponibilidad |
El equipo debe ser compatible con entornos de Alta Disponibilidad (HA) y disponer de interfaces redundantes para sincronización Heartbeat. |
Exigido |
|
Debe soportar los modos de HA Activo/Pasivo y Activo/Activo. |
Exigido |
|
|
Debe contar con sincronización de sesiones de forma independiente para alta disponibilidad. |
Exigido |
|
|
Debe incluir una interfaz de gestión dedicada exclusivamente para funciones de HA. |
Exigido |
|
|
Debe soportar conmutación por error automática basada en monitoreo de puertos, enlaces locales o remotos, con recuperación en menos de un segundo y notificación inmediata ante fallas. |
Exigido |
|
|
Debe admitir diversos métodos de despliegue en alta disponibilidad, incluyendo agregación de enlaces, topología de malla completa y HA geográficamente distribuido. |
Exigido |
|
|
22. Caracteristicas especificas de Reputación IP |
Debe identificar y filtrar tráfico originado desde IPs maliciosas como botnets, spammers, nodos Tor, equipos comprometidos o intentos de fuerza bruta. |
Exigido |
|
Debe permitir registrar, descartar paquetes o bloquear tráfico IP considerado de riesgo. |
Exigido |
|
|
Debe actualizar automáticamente la base de datos de reputación IP con información reciente. |
Exigido |
|
|
23. Caracteristicas especificas de Sandbox |
Debe ofrecer la capacidad de enviar archivos sospechosos a una sandbox local o en la nube para análisis. |
Exigido |
|
Debe analizar archivos transmitidos a través de protocolos como HTTP/HTTPS, POP3, IMAP, SMTP, FTP y SMB. |
Exigido |
|
|
Debe admitir inspección de tipos de archivos como PE, ZIP, RAR, documentos de Office, PDF, APK, JAR, SWF y scripts. |
Exigido |
|
|
Debe ofrecer control sobre la dirección (entrada/salida) y tamaño de archivos transferidos. |
Exigido |
|
|
Debe generar reportes detallados del comportamiento de archivos maliciosos. |
Exigido |
|
|
Debe contar con intercambio global de información sobre amenazas y bloqueo en tiempo real. |
Exigido |
|
|
Debe soportar un modo de solo detección que no requiera el envío de archivos a sandbox. |
Exigido |
|
|
Debe permitir configurar listas blancas y listas negras de URLs. |
Exigido |
|
|
24. Caracteristicas especificas de Prevención de Command and Control de botnet |
Debe detectar equipos comprometidos dentro de la red interna mediante monitoreo de conexiones C&C y bloquear amenazas como ransomware o botnets. |
Exigido |
|
Debe actualizar periódicamente las direcciones de servidores de comando y control (C&C) de botnets. |
Exigido |
|
|
Debe incluir protección proactiva frente a direcciones IP y dominios asociados a infraestructura C&C. |
Exigido |
|
|
Debe ser capaz de detectar tráfico malicioso sobre protocolos como TCP, HTTP y DNS. |
Exigido |
|
|
Debe admitir listas de acceso basadas en direcciones IP o nombres de dominio. |
Exigido |
|
|
Debe detectar técnicas como DNS sinkhole y DNS tunneling. |
Exigido |
|
|
Debe detectar algoritmos generadores de dominios (DGA) usados por malware. |
Exigido |
|
|
25. Caracteristicas especificas de Endpoint Control |
Debe identificar información como IP de punto final, cantidad de dispositivos conectados, tiempo en línea y fuera de línea, y duración de conexión. |
Exigido |
|
Debe ser compatible con al menos 10 sistemas operativos, incluidos Windows, iOS y Android. |
Exigido |
|
|
Debe admitir consultas por IP, número de endpoints, políticas aplicadas y estado del dispositivo. |
Exigido |
|
|
Debe identificar el número de puntos finales accediendo mediante capa 3 y registrar o intervenir sobre IPs con exceso de tráfico. |
Exigido |
|
|
Debe permitir mostrar una página de redirección personalizada tras realizar una acción de control sobre el tráfico. |
Exigido |
|
|
Debe permitir el bloqueo específico de direcciones IP que excedan el umbral de uso definido. |
Exigido |
|
|
Debe ser capaz de identificar usuarios y gestionar el tráfico relacionado con sesiones de escritorio remoto en servidores Windows. |
Exigido |
|
|
26. Caracteristicas especificas de Defense Attack |
Debe contar con mecanismos de defensa contra ataques basados en protocolos anormales. |
Exigido |
|
Debe contar con mecanismos de defensa contra ataques de inundación, incluyendo ICMP, UDP, consultas DNS, consultas DNS recursivas, respuestas DNS y SYN. |
Exigido |
|
|
Debe contar con mecanismos de defensa contra la falsificación de ARP y la falsificación de ND (Neighbor Discovery). |
Exigido |
|
|
Debe contar con mecanismos de defensa contra el escaneo y la suplantación de identidad, incluyendo la suplantación de direcciones IP, el barrido de direcciones IP y el escaneo de puertos. |
Exigido |
|
|
Debe incluir protección contra ataques DoS/DDoS, con capacidad para mitigar: |
Exigido |
|
|
Debe contar con una lista de permisos (whitelist) para la dirección IP de destino. |
Exigido |
|
|
27. Caracteristicas especificas de ZTNA |
Debe permitir el acceso de usuarios bajo el modelo de confianza cero (Zero Trust Network Access, ZTNA). |
Exigido |
|
Debe ofrecer la posibilidad de definir políticas Zero Trust basadas en etiquetas ZTNA y recursos de aplicaciones, garantizando tanto la seguridad de acceso como la protección de los datos. |
Exigido |
|
|
Debe permitir la gestión y configuración de recursos de aplicaciones utilizando nombres de dominio como referencia. |
Exigido |
|
|
Debe soportar etiquetas ZTNA que incluyan contraseñas de cuentas y el estado del terminal. |
Exigido |
|
|
Debe contar con funciones para la publicación de aplicaciones y el despliegue controlado de apps autorizadas a través de un portal ZTNA para los usuarios finales. |
Exigido |
|
|
Debe permitir una migración fluida desde una VPN SSL tradicional hacia un entorno basado en ZTNA. |
Exigido |
|
|
Debe incluir una gestión centralizada del entorno ZTNA, con capacidades para monitorear y visualizar estadísticas del sistema. |
Exigido |
|
|
28. Caracteristicas especificas de Nube |
Debe tener una plataforma en la nube donde se registre el equipo, permita monitoreo remoto y muestre estadísticas de al menos los últimos 7 días. |
Exigido |
|
29. Licenciamiento y actualizaciones |
Debe contar con licenciamiento ilimitado para todas las funcionalidades, sin restricciones en la cantidad de usuarios, cuentas de correo, conexiones o equipos que utilicen la solución, estando limitado únicamente por el rendimiento del equipo. Las actualizaciones de todos los servicios deben estar disponibles por un período de 36 meses. |
Exigido |
|
30. Instalación, configuración, capacitación y garantía |
Debe incluir soporte técnico del oferente en modalidad presencial (onsite) 24/7, durante todo el período de garantía. |
Exigido |
|
Debe incluir una garantía 24/7 por un período de 3 años por parte del oferente. |
Exigido |
|
|
Debe contar con una garantía de fábrica de al menos 3 años, la cual incluya acceso a las actualizaciones de software del equipo durante todo el período de garantía. |
Exigido |
|
|
Debe incluir soporte para todo el licenciamiento necesario por un período mínimo de 3 años. |
Exigido |
|
|
Debe ser representante o distribuidor autorizado de los bienes ofertados. Se deberá presentar una autorización del fabricante para participar en la oferta. Esta autorización puede ser reemplazada por documentación vigente que demuestre de forma fehaciente que el oferente es representante, distribuidor y servicio técnico autorizado de la marca del bien ofertado. |
Exigido |
|
|
Trabajos a realizar por el oferente: |
Exigido |
|
|
- Montaje, instalación, configuración y puesta en producción en modo HA "Alta disponibilidad" |
Exigido |
|
|
- Migración de reglas y políticas de seguridad del firewall actual. |
Exigido |
|
|
- Conexión y configuración con los switches de core existentes. |
Exigido |
|
|
- Configuración de interfaces, zonas de seguridad, VLANs y rutas. |
Exigido |
|
|
- Implementación de servicios críticos: VPN, IPS/IDS, filtrado de contenido. |
Exigido |
|
|
- Pruebas de conectividad y seguridad. |
Exigido |
|
|
- Documentación de la configuración y capacitación al personal de TI. |
Exigido |
|
|
- Garantía de transición suave con mínimo tiempo de inactividad. |
Exigido |
|
|
El oferente adjudicado deberá contar con plataformas de soporte que permitan crear y seguir casos de soporte (sitio web, correo, teléfono). |
Exigido |
|
|
El oferente deberá contar con al menos 2 (dos) técnicos certificados en fábrica de la marca ofertada para la instalación y configuración de los equipos ofertados |
Exigido |
|
|
El oferente deberá contar al menos con 5 años de experiencia en el mercado de las Telecomunicaciones. |
Exigido |
|
|
El oferente deberá brindar un programa de capacitación y certificacion oficial de los productos ofertados para un mínimo de 3 funcionarios que estaran encargados de operar los equipos |
Exigido |
|
|
31. Documentaciones |
Catálogos y Especificaciones originales del Equipo Ofertado. Serán considerados como catálogos y especificaciones originales del equipo ofertado todo material que pueda ser descargado de la web del fabricante. |
Exigido |
|
El oferente deberá presentar documentación donde indique claramente el cumplimiento de las especificaciones solicitadas, referenciando en donde se encuentran en la documentación oficial del equipo ofertado, es obligatorio la entrega de esa documentación oficial en la oferta. |
Exigido |
|
|
32. Tiempos de entrega |
El oferente deberá presentar una declaración jurada de disponibilidad de entrega de los equipos en un tiempo no mayor a 30 días hábiles posterior a la emisión de la orden de compra |
Exigido |
|
El oferente deberá presentar un cronograma de implementación general al presentar la oferta. |
Exigido |
|
|
El adjudicado deberá presentar un cronograma detallado de la implementación en los siguientes 15 días posteriores a la adjudicación de la licitación. Este cronograma se cuenta como entregable de la licitación |
Exigido |
|
LOS DEMÁS PUNTOS NO MENCIONADOS EN LA PRESENTE ADENDA PERMANECEN INVARIABLES.
Abg. LETICIA PAOLA SALINAS F.
Directora
Dirección de Contrataciones
Se detectaron modificaciones en las siguientes cláusulas:
Sección: Requisitos de participación y criterios de evaluación
- Experiencia requerida
- Capacidad Técnica
- Requisitos documentales para evaluar el criterio de capacidad técnica
Sección: Suministros requeridos - especificaciones técnicas
- Detalle de los bienes y/o servicios
Se puede realizar una comparación de esta versión del pliego con la versión anterior en el siguiente enlace: https://www.contrataciones.gov.py/licitaciones/convocatoria/473733-adquisicion-equipo-next-generation-firewall-cnc-dependiente-rectorado-una/pliego/2/diferencias/1.html?seccion=adenda
La adenda es el documento emitido por la convocante, mediante la cual se modifican aspectos establecidos en las bases de la contratación. A los efectos legales, la adenda será considerada parte integrante del documento cuyo contenido modifique.
La convocante podrá introducir modificaciones cuando se ajuste a los parámetros establecidos en la Ley.
Las adendas serán difundidas en el SICP respetando los plazos establecidos en la resolución matriz de normas.
Obs: Cuando la convocante requiera prorrogar la fecha tope de presentación y apertura de ofertas, sin modificar los demás datos e información de las bases de la contratación, será difundida automáticamente a través del SICP y no se instrumentará a traves de adenda.
Adenda
Las modificaciones al presente procedimiento de contratación son los indicados a continuación:
San Lorenzo, 02 de octubre de 2025
REF.: LICITACIÓN POR MENOR CUANTIA NACIONAL N° 26/2025 PARA LA ADQUISICIÓN DE EQUIPO NEXT GENERATION FIREWALL PARA EL RECTORADO DE LA UNA ID 473.733
ADENDA N° 1
Se comunica a los potenciales oferentes del llamado de referencia cuanto sigue:
Los plazos para las consultas, la entrega de ofertas y apertura de sobres fueron modificados en el SICP.
Requisitos de participación y criterios de evaluación, en el punto Experiencia requerida, DEBE DECIR:
Experiencia requerida:
- Demostrar la experiencia en la provisión de soluciones de seguridad perimetral (Firewall) con copia de contratos y/o facturaciones de venta y/o recepciones finales por un monto equivalente al 50 % como mínimo del monto total ofertado en la presente licitación, dentro de los: 5 últimos años: (2021 y/o 2022 y/o 2023 y/o 2024 y/o 2025).
- Se deberá presentar como mínimo 3 (tres) certificados y/o constancias de experiencias satisfactorias en la provisión e implementación de firewall, emitidas por Instituciones Públicas y/o Privadas.
- El oferente deberá tener una antigüedad mínima en el mercado, de por lo menos 5 (Cinco) años en el rubro de los bienes provistos, contados desde la inscripción en el Registro Único del Contribuyente. Para la evaluación se tendrá en cuenta la Constancia de Inscripción en el RUC. (Registro Único de Contribuyentes) y/o Estatutos Sociales.
Requisitos documentales para la evaluación de la experiencia
- Copia de contratos y/o facturaciones y/o recepciones finales que avalen la experiencia requerida
- Al menos 3 (tres) copias de certificados y/o constancias de referencia satisfactoria.
- Copia de Constitución de Sociedad y/o Constancia de RUC.
Requisitos de participación y criterios de evaluación, en el punto Capacidad Técnica requerida, DEBE DECIR:
Capacidad Técnica:
- El oferente deberá poseer certificados de Gestión de Calidad (CSG) según la norma ISO 9001 y/o de Gestión de Servicios de TI (ITSM) según la norma 20000, para garantizar estándares internacionales de calidad y servicio para cumplimiento de garantía y servicio post venta.
- El oferente deberá presentar la Planilla de Cumplimiento de Especificaciones Técnicas en forma de Declaración Jurada, en la que el oferente deberá expresar de manera explícita si el bien y/o servicio ofertado CUMPLE o NO CUMPLE con las especificaciones técnicas.
- El oferente deberá contar con al menos 2 (dos) técnicos certificados en fábrica de la marca ofertada para la instalación y configuración de los equipos ofertados.
Estos técnicos deberán residir en el País y ser del staff permanente del oferente con antigüedad mínima de 12 meses, demostrable con planilla de IPS (Instituto de Previsión Social) y/o Contrato profesional vigente, en la cual se demuestre la dependencia laboral.
- El oferente deberá presentar una carta de la fabricante dirigida a la convocante en donde se haga mención del presente llamado, autorizando al oferente a presentar oferta según lo requerido en las Especificaciones Técnicas.
- Contar con catálogo de los bienes ofertados.
- El oferente deberá garantizar que todos los bienes ofertados a la convocante son nuevos y sin uso.
- Constancia de Visita e inspección técnica en el edificio del Centro Nacional de Computación del Rectorado de la UNA o Declaración Jurada.
Requisitos documentales para evaluar el criterio de capacidad técnica
- Copia de la Certificación ISO 9001:2015 o similar vigente
- Declaración Jurada de la Planilla de Especificaciones Técnicas
- Copia de certificado, planilla de IPS y/o contrato de trabajo de cada técnica requerido
- Carta de Autorización del Fabricante.
- Declaración jurada de cumplir con las especificaciones técnicas solicitadas.
- Catálogos en los cuales se detallan claramente todas las especificaciones técnicas de los bienes ofertados. Los catálogos deben coincidir con las especificaciones técnicas ofrecidas, y deberán ser presentados en idioma español o inglés.
- Declaración jurada en la cual el oferente garantiza que todos los bienes ofertados a la convocante son nuevos y sin uso.
- Constancia de visita e inspección a las instalaciones del Centro Nacional de Computación del Rectorado de la UNA o Declaración Jurada.
Suministros requeridos especificaciones técnicas, en el punto Detalle de los bienes y/o servicios requerida, DEBE DECIR:
| Especificaciones Técnicas Next Generation Firewall - Centro Nacional de Computación | ||
| Descripción: | Next Generation Firewall (NGFW) | |
| Cantidad: | 1(un) equipo | |
| Marca: | Especificar | |
| Modelo: | Especificar | |
| Procedencia: | Especificar | |
| Parámetro | Mínimo Requerido | Requisito |
| 1. Caracteristicas generales de Rendimiento y Capacidad | Throughput Firewall ≥ 25 Gbps | Exigido |
| Throughput NGFW ≥= 10 Gbps | Exigido | |
| Throughput IPS ≥ 8 Gbps | Exigido | |
| Throughput VPN Ipsec ≥ 12 Gbps | Exigido | |
| Sesiones Concurrentes ≥ 8 Millones | Exigido | |
| Nuevas Sesiones/segundo ≥ 300000 | Exigido | |
| 2. Caracteristicas generales de Conectividad y Hardware | Interfaces 10GbE (SFP+) ≥ 6 | Exigido |
| Interfaces 1GbE (RJ45/SFP) ≥ 16 RJ45 + 8 SFP | Exigido | |
| Almacenamiento ≥ 960 GB SSD | Exigido | |
| HA (Activo/Activo) | Exigido | |
| Fuentes redundantes removibles y ventiladores removibles sin destapar el equipo | Exigido | |
| Se deberan incluir todos los modulos de expansión necesarios para que el equipo ofertado funcione al 100% de rendimiento descripto en las documentaciones oficiales de la marca presentada en la oferta. | Exigido | |
| Se deberán incluir al menos 4 módulos SFP+ de 10 GB Multimodo original de la marca y los cables de fibra óptica necesarios para la conexión al switch de core | Exigido | |
| 3. Caracteristicas Generales de Seguridad y NGFW | Base de Datos de Aplicaciones ≥ 4,000 | Exigido |
| Inspección SSL/TLS 1.3 | Exigido | |
| Sandbox Integrado/Cloud | Exigido | |
| Filtrado URL ≥ 130M URLs | Exigido | |
| ZTNA | Exigido | |
| 4. Certificaciones | ISO 9001, ISO14001, ISO27001 o similares de la marca ofertada. IPv6 Ready, Cumplimiento CVE o equivalentes | Exigido |
| 5. Carcteristicas especificas de Seguridad de datos | La solución debe permitir gestionar la transferencia de archivos según su extensión, tamaño y denominación. | Exigido |
| La solución debe ser capaz de reconocer los protocolos utilizados para la transmisión de archivos, incluyendo HTTP, FTP, SMTP, POP3 y SMB. | Exigido | |
| La solución debe identificar archivos mediante firmas digitales y extensiones, abarcando más de 100 tipos distintos. | Exigido | |
| La solución debe disponer de capacidades de inspección de contenido aplicadas a los protocolos HTTP (métodos GET y POST), FTP y SMTP. | Exigido | |
| La solución debe ser capaz de analizar y controlar archivos enviados a través de conexiones HTTPS mediante inspección SSL, así como a través del protocolo SMB. | Exigido | |
| 6. Caracteristicas Especificas de Firewall | La solución debe ser compatible con múltiples modos operativos, incluyendo enrutamiento (NAT), modo transparente (bridge) y modo híbrido. | Exigido |
| Debe permitir la utilización de objetos de política, tanto preconfigurados como definidos por el usuario, así como agrupación y consolidación de políticas. | Exigido | |
| Debe admitir políticas de seguridad basadas en criterios como tipo de aplicación, propósito funcional y ubicación geográfica. | Exigido | |
| La solución debe integrar puertas de enlace a nivel de aplicación y gestionar sesiones para protocolos como MSRCP, PPTP, RAS, RSH, SIP, FTP, TFTP, HTTP, dcerpc, DNS (TCP y UDP), H.245 (versiones 0 y 1) y H.323. | Exigido | |
| Debe ofrecer compatibilidad con funcionalidades de NAT y ALG, incluyendo NAT46, NAT64, NAT444, SNAT, DNAT, PAT, Full Cone NAT y soporte para STUN. | Exigido | |
| Debe permitir configurar NAT tanto a través de políticas específicas como mediante una tabla centralizada. | Exigido | |
| Debe ofrecer soporte para servicios de VoIP, incluyendo técnicas de NAT traversal para protocolos SIP, H.323 y SCCP, así como gestión de puertos dinámicos (RTP pin holing). | Exigido | |
| La solución debe permitir una visualización centralizada de todas las políticas de seguridad implementadas. | Exigido | |
| Debe contar con capacidades para detectar políticas redundantes, agrupar reglas, restaurar configuraciones anteriores y administrar políticas compuestas. | Exigido | |
| Debe incorporar un asistente o guía para facilitar la creación y despliegue de políticas de seguridad detalladas. | Exigido | |
| Debe incluir funciones de auditoría para revisar las políticas configuradas y eliminar aquellas que resulten inválidas o ineficaces. | Exigido | |
| La solución debe admitir la aplicación de políticas DNS globales. | Exigido | |
| Debe permitir la definición de horarios únicos o recurrentes para la aplicación de reglas y políticas. | Exigido | |
| Debe contar con mecanismos para importar y exportar configuraciones de políticas de seguridad. | Exigido | |
| Debe ser capaz de manejar un volumen igual o superior a 20.000 políticas de firewall. | Exigido | |
| 7. Caracteristicas Especificas de Conectividad y sistema de ruteo | Debe ser compatible con protocolos de enrutamiento dinámico como OSPF, BGP y RIPv2. | Exigido |
| Debe admitir configuraciones de rutas estáticas y enrutamiento basado en políticas. | Exigido | |
| Debe permitir el direccionamiento de tráfico en función del tipo de aplicación detectada. | Exigido | |
| Debe contar con servicios integrados como DHCP, NTP, DNS y funcionalidad de proxy DNS. | Exigido | |
| Debe ofrecer compatibilidad con modos de interfaz como sniffer, agregación de puertos, loopback y soporte para VLANs 802.1Q y trunking. | Exigido | |
| Debe ser capaz de operar en funciones de switching y routing tanto en capa 2 como en capa 3. | Exigido | |
| Debe ofrecer soporte para protocolos de multidifusión, incluyendo PIM-SSM. | Exigido | |
| Debe permitir la implementación de enlaces virtuales en línea tipo capa 1 de forma transparente. | Exigido | |
| 8. Caracteristicas Especificas de VPN | Debe ofrecer compatibilidad con VPN IPsec, incluyendo soporte completo para funciones avanzadas. | Exigido |
| Debe permitir la negociación de Fase 1 en modo agresivo y modo principal. | Exigido | |
| Debe aceptar múltiples formas de identificación de pares: cualquier ID, ID específico o basado en grupos de acceso remoto. | Exigido | |
| Debe ser compatible con los protocolos IKEv1 e IKEv2 conforme al RFC 4306. | Exigido | |
| Debe admitir métodos de autenticación mediante certificados digitales y claves precompartidas. | Exigido | |
| Debe permitir la configuración del modo IKE como cliente o como servidor. | Exigido | |
| Debe proporcionar soporte para asignación dinámica de direcciones IP a través de DHCP sobre IPsec. | Exigido | |
| Debe permitir configurar el tiempo de vida de las claves de IKE y los parámetros de mantenimiento de NAT. | Exigido | |
| Debe admitir algoritmos de cifrado para Fase 1 y 2 como DES, 3DES, AES128, AES192 y AES256. | Exigido | |
| Debe ofrecer opciones de autenticación para las propuestas de Fase 1 y Fase 2 como MD5, SHA1, SHA256, SHA384 y SHA512. | Exigido | |
| IKEv1 debe soportar los grupos Diffie-Hellman 1, 2, 5, 19, 20, 21 y 24. | Exigido | |
| IKEv2 debe soportar los grupos Diffie-Hellman 1, 2, 5, 14, 15, 16, 19, 20, 21 y 24. | Exigido | |
| Debe permitir la autenticación extendida (XAuth) tanto como servidor como para usuarios remotos. | Exigido | |
| Debe incluir mecanismos de detección de pares inactivos. | Exigido | |
| Debe incorporar protección contra ataques por repetición. | Exigido | |
| Debe soportar la función Autokey keep-alive para mantener viva la Fase 2 del túnel. | Exigido | |
| Debe permitir sesiones múltiples personalizadas de VPN SSL asociadas a grupos de usuarios mediante rutas y diseños configurables. | Exigido | |
| Debe soportar configuración de VPN IPsec basada en rutas o en políticas. | Exigido | |
| Debe admitir los siguientes modos de despliegue: site-to-site, malla completa, hub-and-spoke, túneles redundantes y terminación transparente. | Exigido | |
| Debe permitir inicio de sesión único (SSO) y evitar múltiples sesiones activas con el mismo usuario. | Exigido | |
| Debe incluir una función para limitar la cantidad de usuarios concurrentes en el portal SSL VPN. | Exigido | |
| Debe integrar un módulo de reenvío de puertos SSL que cifre el tráfico del cliente y lo dirija al servidor de aplicaciones. | Exigido | |
| Debe ofrecer compatibilidad con clientes que operen en iOS, Android, Windows, macOS y Linux. | Exigido | |
| Debe realizar comprobaciones de integridad del sistema operativo y del dispositivo antes de establecer el túnel SSL. | Exigido | |
| Debe tener capacidad de verificación de la dirección MAC del host desde el portal SSL. | Exigido | |
| Debe incluir la función de limpieza automática de caché del navegador al finalizar la sesión SSL VPN. | Exigido | |
| Debe soportar los modos cliente y servidor para L2TP, así como L2TP sobre IPsec y GRE sobre IPsec. | Exigido | |
| Debe permitir visualizar y administrar activamente las conexiones de IPsec y SSL VPN. | Exigido | |
| Debe ser capaz de implementar VPN de tipo PnPVPN (Plug and Play VPN). | Exigido | |
| Debe contar con soporte para VTEP a través de túneles unicast estáticos en VxLAN. | Exigido | |
| 9. Caracteristicas Especificas de Control de aplicaciones | Debe incluir una base de datos de aplicaciones accesible desde la interfaz gráfica de modelos de la misma línea (iguales o inferiores al ofertado), con capacidad de filtrado por nombre, categoría, subcategoría, tecnología y nivel de riesgo, y actualizable vía web. | Exigido |
| Cada aplicación debe contener información detallada como descripción, nivel de riesgo, dependencias, puertos comunes y enlaces de referencia. | Exigido | |
| Debe permitir aplicar acciones sobre las aplicaciones como bloqueo, reinicio de sesión, monitoreo y limitación del ancho de banda. | Exigido | |
| Debe proporcionar monitoreo y estadísticas avanzadas sobre aplicaciones en la nube, incluyendo su nivel de riesgo y características clave. | Exigido | |
| 10. Caracteristicas Específicas de Traffic Shaping / QoS | Debe permitir crear túneles con ancho de banda garantizado o máximo, asignables por IP o por usuario. | Exigido |
| Debe admitir la asignación de túneles según múltiples criterios como dominio de seguridad, interfaz de red, IP origen/destino, usuario o grupo, aplicación o grupo de aplicaciones, TOS o VLAN. | Exigido | |
| Debe contar con políticas de asignación de ancho de banda basadas en prioridad, franja horaria o reparto equitativo. | Exigido | |
| Debe ser compatible con los estándares de Tipo de Servicio (TOS) y DiffServ para control de tráfico. | Exigido | |
| Debe permitir priorizar el uso del ancho de banda disponible no asignado previamente. | Exigido | |
| Debe permitir limitar el número de conexiones simultáneas que puede establecer cada dirección IP. | Exigido | |
| Debe ser capaz de asignar ancho de banda según la clasificación de la URL solicitada. | Exigido | |
| Debe permitir aplicar limitaciones de tráfico retrasando el acceso de usuarios o IPs específicas. | Exigido | |
| Debe permitir tanto la limpieza automática de sesiones caducadas como el borrado manual del tráfico consumido por usuarios. | Exigido | |
| 11. Caracteristicas Especificas de Carga del servidor | Debe soportar algoritmos de balanceo como conexión mínima ponderada y round-robin ponderado. | Exigido |
| Debe incluir mecanismos de protección de sesión, persistencia y seguimiento del estado de las sesiones activas. | Exigido | |
| Debe contar con funciones para verificar el estado de los servidores, monitorear sesiones y aplicar mecanismos de protección. | Exigido | |
| 12. Caracteristicas Especificas de Server load sharing | Debe ofrecer capacidades para balancear el tráfico de enlaces en ambos sentidos. | Exigido |
| Debe contar con balanceo de carga para tráfico saliente, utilizando políticas de enrutamiento por ECMP, horario, peso, ISP, con evaluación activa/pasiva de calidad de enlace y selección dinámica de la mejor ruta. | Exigido | |
| Debe admitir el balanceo de carga para enlaces entrantes. | Exigido | |
| Debe ser capaz de realizar failover automático de enlaces según métricas como uso de ancho de banda, latencia, jitter, conectividad o tipo de aplicación. | Exigido | |
| Debe permitir monitorear el estado de los enlaces mediante protocolos como ARP, PING y DNS. | Exigido | |
| 13. Caracteristicas Especificas de Descifrado SSL | Debe ser capaz de identificar aplicaciones incluso cuando el tráfico está cifrado con SSL. | Exigido |
| Debe poder activar el sistema de prevención de intrusiones (IPS) para el tráfico cifrado SSL. | Exigido | |
| Debe ofrecer análisis antivirus (AV) sobre el tráfico cifrado con SSL. | Exigido | |
| Debe aplicar políticas de filtrado de URL también sobre conexiones SSL cifradas. | Exigido | |
| Debe permitir establecer listas blancas de tráfico SSL cifrado. | Exigido | |
| Debe admitir el modo de descarga para la inspección SSL a través del proxy. | Exigido | |
| Debe permitir aplicar funciones como identificación de aplicaciones, prevención de pérdida de datos (DLP), sandbox, IPS y AV sobre tráfico descifrado de protocolos como SMTPS, POP3S e IMAPS mediante proxy SSL. | Exigido | |
| 14. Caracteristicas Especificas de Autenticación | Debe contar con una base de datos local para la gestión de usuarios. | Exigido |
| Debe ser compatible con autenticación remota de usuarios mediante TACACS+, LDAP, RADIUS y Active Directory. | Exigido | |
| Debe permitir el inicio de sesión único (SSO) a través de integración con Windows AD. | Exigido | |
| Debe admitir autenticación de doble factor, incluyendo tokens físicos, envío de códigos por SMS y soporte de soluciones externas. | Exigido | |
| Debe permitir definir políticas de seguridad basadas en usuarios específicos y tipos de dispositivos. | Exigido | |
| Debe sincronizar automáticamente grupos de usuarios desde directorios LDAP o Active Directory. | Exigido | |
| Debe incluir compatibilidad con autenticación 802.1X y proxy para SSO. | Exigido | |
| Debe contar con autenticación web (WebAuth), con personalización de página, defensa contra ataques de fuerza bruta e interoperabilidad con IPv6. | Exigido | |
| Debe admitir autenticación basada en la interfaz de red utilizada. | Exigido | |
| Debe permitir autenticación transparente con Active Directory sin necesidad de instalar agentes (mediante sondeo). | Exigido | |
| Debe soportar sincronización de autenticación utilizando monitores SSO. | Exigido | |
| Debe permitir autenticación de usuarios basada en dirección IP o dirección MAC. | Exigido | |
| Debe permitir que el servidor RADIUS aplique políticas de seguridad usando mensajes de cambio de autorización (CoA). | Exigido | |
| 15. Caracteristicas Especificas de Antivirus | Debe admitir actualizaciones de firmas de forma manual, automática, y por métodos push o pull. | Exigido |
| Debe ofrecer un motor antivirus basado en análisis de flujo compatible con protocolos como HTTP, SMTP, POP3, IMAP, FTP/SFTP y SMB. | Exigido | |
| Debe tener la capacidad de escanear archivos comprimidos en búsqueda de virus. | Exigido | |
| 16. Caracteristicas Especificas de Administración | Debe permitir acceso de gestión por interfaces como HTTP/HTTPS, SSH, Telnet y consola serial. | Exigido |
| Debe ofrecer integración con sistemas externos mediante SNMP, Syslog y alianzas con terceros. | Exigido | |
| Debe permitir una instalación rápida usando autoconfiguración desde USB o ejecución de scripts locales y remotos. | Exigido | |
| Debe ofrecer un panel de control dinámico con visualización en tiempo real y widgets personalizables. | Exigido | |
| Debe incluir soporte multilingüe, al menos en inglés y español. | Exigido | |
| 17. Caracteristicas Especificas de Registros e informes | Debe ofrecer registros detallados del tráfico de red. | Exigido |
| Debe generar logs completos de eventos que incluyan auditoría del sistema, administración, tráfico de red, VPN, autenticación de usuarios y eventos de Wi-Fi. | Exigido | |
| Debe ofrecer resolución de nombres para direcciones IP y números de puerto, facilitando su interpretación. | Exigido | |
| Debe contar con la opción de registrar tráfico en un formato compacto o resumido. | Exigido | |
| Debe incluir al menos tres tipos de reportes predefinidos: seguridad, tráfico (flujo) y red. | Exigido | |
| Debe permitir la creación de reportes personalizados por el usuario. | Exigido | |
| Debe admitir exportación de informes en formatos PDF, Word y HTML, con posibilidad de envío por correo electrónico o FTP. | Exigido | |
| 18. Caracteristicas especificas de Estadisticas y control | Debe permitir estadísticas detalladas y monitoreo de aplicaciones, sitios web y eventos de amenazas. | Exigido |
| Debe incluir análisis y visualización en tiempo real del tráfico de red. | Exigido | |
| Debe mostrar información del estado del sistema como número de sesiones activas, uso de CPU y memoria, y temperatura del dispositivo. | Exigido | |
| 19. Caracteristicas Especificas de Filtrado de URLs | Debe contar con capacidades de filtrado web aplicadas mediante inspección de tráfico basada en flujo. | Exigido |
| Debe permitir definir manualmente políticas de filtrado web basadas en URLs, contenido de páginas y encabezados MIME. | Exigido | |
| Debe incluir filtrado web dinámico apoyado en una base de datos de categorización en la nube, con actualización en tiempo real. | Exigido | |
| Debe permitir al administrador reasignar temporalmente perfiles de filtrado web a usuarios, grupos o IPs. | Exigido | |
| Debe admitir categorías locales de filtrado web, así como la posibilidad de modificar clasificaciones predefinidas. | Exigido | |
| Debe permitir configurar listas blancas y listas negras de direcciones. | Exigido | |
| 20. Caracteristicas especificas de IPS | Debe ofrecer detección de anomalías en protocolos mediante análisis de comportamiento, velocidad, firmas personalizadas y actualizaciones manuales o automáticas, complementadas con una base de conocimiento de amenazas. | Exigido |
| Debe incluir acciones configurables para eventos de IPS como supervisión, bloqueo y reinicio de sesiones según IP atacante, víctima o interfaz, con tiempos de expiración. | Exigido | |
| Debe permitir la activación del registro detallado de paquetes para análisis forense. | Exigido | |
| Debe contar con una base de datos de firmas IPS accesible desde la interfaz gráfica y actualizable vía web. | Exigido | |
| Debe ofrecer filtros para búsquedas de firmas IPS por nivel de severidad, tipo de objetivo, sistema operativo, aplicación o protocolo. | Exigido | |
| Debe admitir la exclusión de ciertas direcciones IP para firmas IPS específicas. | Exigido | |
| Debe contar con un modo IDS tipo sniffer para análisis pasivo del tráfico. | Exigido | |
| Debe ofrecer protección contra ataques DoS en entornos IPv4 e IPv6, con umbrales configurables para ataques como TCP Syn Flood, escaneo de puertos, barridos ICMP y otros tipos de inundaciones por sesión o protocolo. | Exigido | |
| Debe incluir políticas de protección preconfiguradas para facilitar su implementación inmediata. | Exigido | |
| Debe tener capacidad de capturar paquetes asociados a eventos IPS, con soporte para almacenamiento externo. | Exigido | |
| 21. Caracteristicas especificas de Alta disponibilidad | El equipo debe ser compatible con entornos de Alta Disponibilidad (HA) y disponer de interfaces redundantes para sincronización Heartbeat. | Exigido |
| Debe soportar los modos de HA Activo/Pasivo y Activo/Activo. | Exigido | |
| Debe contar con sincronización de sesiones de forma independiente para alta disponibilidad. | Exigido | |
| Debe incluir una interfaz de gestión dedicada exclusivamente para funciones de HA. | Exigido | |
| Debe soportar conmutación por error automática basada en monitoreo de puertos, enlaces locales o remotos, con recuperación en menos de un segundo y notificación inmediata ante fallas. | Exigido | |
| Debe admitir diversos métodos de despliegue en alta disponibilidad, incluyendo agregación de enlaces, topología de malla completa y HA geográficamente distribuido. | Exigido | |
| 22. Caracteristicas especificas de Reputación IP | Debe identificar y filtrar tráfico originado desde IPs maliciosas como botnets, spammers, nodos Tor, equipos comprometidos o intentos de fuerza bruta. | Exigido |
| Debe permitir registrar, descartar paquetes o bloquear tráfico IP considerado de riesgo. | Exigido | |
| Debe actualizar automáticamente la base de datos de reputación IP con información reciente. | Exigido | |
| 23. Caracteristicas especificas de Sandbox | Debe ofrecer la capacidad de enviar archivos sospechosos a una sandbox local o en la nube para análisis. | Exigido |
| Debe analizar archivos transmitidos a través de protocolos como HTTP/HTTPS, POP3, IMAP, SMTP, FTP y SMB. | Exigido | |
| Debe admitir inspección de tipos de archivos como PE, ZIP, RAR, documentos de Office, PDF, APK, JAR, SWF y scripts. | Exigido | |
| Debe ofrecer control sobre la dirección (entrada/salida) y tamaño de archivos transferidos. | Exigido | |
| Debe generar reportes detallados del comportamiento de archivos maliciosos. | Exigido | |
| Debe contar con intercambio global de información sobre amenazas y bloqueo en tiempo real. | Exigido | |
| Debe soportar un modo de solo detección que no requiera el envío de archivos a sandbox. | Exigido | |
| Debe permitir configurar listas blancas y listas negras de URLs. | Exigido | |
| 24. Caracteristicas especificas de Prevención de Command and Control de botnet | Debe detectar equipos comprometidos dentro de la red interna mediante monitoreo de conexiones C&C y bloquear amenazas como ransomware o botnets. | Exigido |
| Debe actualizar periódicamente las direcciones de servidores de comando y control (C&C) de botnets. | Exigido | |
| Debe incluir protección proactiva frente a direcciones IP y dominios asociados a infraestructura C&C. | Exigido | |
| Debe ser capaz de detectar tráfico malicioso sobre protocolos como TCP, HTTP y DNS. | Exigido | |
| Debe admitir listas de acceso basadas en direcciones IP o nombres de dominio. | Exigido | |
| Debe detectar técnicas como DNS sinkhole y DNS tunneling. | Exigido | |
| Debe detectar algoritmos generadores de dominios (DGA) usados por malware. | Exigido | |
| 25. Caracteristicas especificas de Endpoint Control | Debe identificar información como IP de punto final, cantidad de dispositivos conectados, tiempo en línea y fuera de línea, y duración de conexión. | Exigido |
| Debe ser compatible con al menos 10 sistemas operativos, incluidos Windows, iOS y Android. | Exigido | |
| Debe admitir consultas por IP, número de endpoints, políticas aplicadas y estado del dispositivo. | Exigido | |
| Debe identificar el número de puntos finales accediendo mediante capa 3 y registrar o intervenir sobre IPs con exceso de tráfico. | Exigido | |
| Debe permitir mostrar una página de redirección personalizada tras realizar una acción de control sobre el tráfico. | Exigido | |
| Debe permitir el bloqueo específico de direcciones IP que excedan el umbral de uso definido. | Exigido | |
| Debe ser capaz de identificar usuarios y gestionar el tráfico relacionado con sesiones de escritorio remoto en servidores Windows. | Exigido | |
| 26. Caracteristicas especificas de Defense Attack | Debe contar con mecanismos de defensa contra ataques basados en protocolos anormales. | Exigido |
| Debe contar con mecanismos de defensa contra ataques de inundación, incluyendo ICMP, UDP, consultas DNS, consultas DNS recursivas, respuestas DNS y SYN. | Exigido | |
| Debe contar con mecanismos de defensa contra la falsificación de ARP y la falsificación de ND (Neighbor Discovery). | Exigido | |
| Debe contar con mecanismos de defensa contra el escaneo y la suplantación de identidad, incluyendo la suplantación de direcciones IP, el barrido de direcciones IP y el escaneo de puertos. | Exigido | |
| Debe incluir protección contra ataques DoS/DDoS, con capacidad para mitigar: | Exigido | |
| Debe contar con una lista de permisos (whitelist) para la dirección IP de destino. | Exigido | |
| 27. Caracteristicas especificas de ZTNA | Debe permitir el acceso de usuarios bajo el modelo de confianza cero (Zero Trust Network Access, ZTNA). | Exigido |
| Debe ofrecer la posibilidad de definir políticas Zero Trust basadas en etiquetas ZTNA y recursos de aplicaciones, garantizando tanto la seguridad de acceso como la protección de los datos. | Exigido | |
| Debe permitir la gestión y configuración de recursos de aplicaciones utilizando nombres de dominio como referencia. | Exigido | |
| Debe soportar etiquetas ZTNA que incluyan contraseñas de cuentas y el estado del terminal. | Exigido | |
| Debe contar con funciones para la publicación de aplicaciones y el despliegue controlado de apps autorizadas a través de un portal ZTNA para los usuarios finales. | Exigido | |
| Debe permitir una migración fluida desde una VPN SSL tradicional hacia un entorno basado en ZTNA. | Exigido | |
| Debe incluir una gestión centralizada del entorno ZTNA, con capacidades para monitorear y visualizar estadísticas del sistema. | Exigido | |
| 28. Caracteristicas especificas de Nube | Debe tener una plataforma en la nube donde se registre el equipo, permita monitoreo remoto y muestre estadísticas de al menos los últimos 7 días. | Exigido |
| 29. Licenciamiento y actualizaciones | Debe contar con licenciamiento ilimitado para todas las funcionalidades, sin restricciones en la cantidad de usuarios, cuentas de correo, conexiones o equipos que utilicen la solución, estando limitado únicamente por el rendimiento del equipo. Las actualizaciones de todos los servicios deben estar disponibles por un período de 36 meses. | Exigido |
| 30. Instalación, configuración, capacitación y garantía | Debe incluir soporte técnico del oferente en modalidad presencial (onsite) 24/7, durante todo el período de garantía. | Exigido |
| Debe incluir una garantía 24/7 por un período de 3 años por parte del oferente. | Exigido | |
| Debe contar con una garantía de fábrica de al menos 3 años, la cual incluya acceso a las actualizaciones de software del equipo durante todo el período de garantía. | Exigido | |
| Debe incluir soporte para todo el licenciamiento necesario por un período mínimo de 3 años. | Exigido | |
| Debe ser representante o distribuidor autorizado de los bienes ofertados. Se deberá presentar una autorización del fabricante para participar en la oferta. Esta autorización puede ser reemplazada por documentación vigente que demuestre de forma fehaciente que el oferente es representante, distribuidor y servicio técnico autorizado de la marca del bien ofertado. | Exigido | |
| Trabajos a realizar por el oferente: | Exigido | |
| - Montaje, instalación, configuración y puesta en producción en modo HA "Alta disponibilidad" | Exigido | |
| - Migración de reglas y políticas de seguridad del firewall actual. | Exigido | |
| - Conexión y configuración con los switches de core existentes. | Exigido | |
| - Configuración de interfaces, zonas de seguridad, VLANs y rutas. | Exigido | |
| - Implementación de servicios críticos: VPN, IPS/IDS, filtrado de contenido. | Exigido | |
| - Pruebas de conectividad y seguridad. | Exigido | |
| - Documentación de la configuración y capacitación al personal de TI. | Exigido | |
| - Garantía de transición suave con mínimo tiempo de inactividad. | Exigido | |
| El oferente adjudicado deberá contar con plataformas de soporte que permitan crear y seguir casos de soporte (sitio web, correo, teléfono). | Exigido | |
| El oferente deberá contar con al menos 2 (dos) técnicos certificados en fábrica de la marca ofertada para la instalación y configuración de los equipos ofertados | Exigido | |
| El oferente deberá contar al menos con 5 años de experiencia en el mercado de las Telecomunicaciones. | Exigido | |
| El oferente deberá brindar un programa de capacitación y certificacion oficial de los productos ofertados para un mínimo de 3 funcionarios que estaran encargados de operar los equipos | Exigido | |
| 31. Documentaciones | Catálogos y Especificaciones originales del Equipo Ofertado. Serán considerados como catálogos y especificaciones originales del equipo ofertado todo material que pueda ser descargado de la web del fabricante. | Exigido |
| El oferente deberá presentar documentación donde indique claramente el cumplimiento de las especificaciones solicitadas, referenciando en donde se encuentran en la documentación oficial del equipo ofertado, es obligatorio la entrega de esa documentación oficial en la oferta. | Exigido | |
| 32. Tiempos de entrega | El oferente deberá presentar una declaración jurada de disponibilidad de entrega de los equipos en un tiempo no mayor a 30 días hábiles posterior a la emisión de la orden de compra | Exigido |
| El oferente deberá presentar un cronograma de implementación general al presentar la oferta. | Exigido | |
| El adjudicado deberá presentar un cronograma detallado de la implementación en los siguientes 15 días posteriores a la adjudicación de la licitación. Este cronograma se cuenta como entregable de la licitación | Exigido | |
LOS DEMÁS PUNTOS NO MENCIONADOS EN LA PRESENTE ADENDA PERMANECEN INVARIABLES.
Abg. LETICIA PAOLA SALINAS F.
Directora
Dirección de Contrataciones
Se detectaron modificaciones en las siguientes cláusulas:
Sección: Requisitos de participación y criterios de evaluación
- Experiencia requerida
- Capacidad Técnica
- Requisitos documentales para evaluar el criterio de capacidad técnica
Sección: Suministros requeridos - especificaciones técnicas
- Detalle de los bienes y/o servicios
Se puede realizar una comparación de esta versión del pliego con la versión anterior en el siguiente enlace: https://www.contrataciones.gov.py/licitaciones/convocatoria/473733-adquisicion-equipo-next-generation-firewall-cnc-dependiente-rectorado-una/pliego/2/diferencias/1.html?seccion=adenda
La adenda es el documento emitido por la convocante, mediante la cual se modifican aspectos establecidos en las bases de la contratación. A los efectos legales, la adenda será considerada parte integrante del documento cuyo contenido modifique.
La convocante podrá introducir modificaciones cuando se ajuste a los parámetros establecidos en la Ley.
Las adendas serán difundidas en el SICP respetando los plazos establecidos en la resolución matriz de normas.
Obs: Cuando la convocante requiera prorrogar la fecha tope de presentación y apertura de ofertas, sin modificar los demás datos e información de las bases de la contratación, será difundida automáticamente a través del SICP y no se instrumentará a traves de adenda.