Secciones
Versión 2
Versión 3
Diferencias entre las versiones 2 y 3
Detalle de los productos con las respectivas especificaciones técnicas
Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:
ADMINISTRADOR DEL CONTRATO: Asesoría Técnica de la DNCP, en conjunto con el Departamento de Redes dependiente de la Dirección de Tecnología de la Información de la DNCP.
Firewall de Core |
Características |
Mínimo Exigido |
Propósito General |
Como la DNCP ya cuenta con Firewalls de la Marca Fortinet y se pretende establecer un mecanismo de doble seguridad, en este llamado no se aceptarán equipos de la marca con la que ya se cuenta actualmente. El proposito general es proteger servidores Microsoft,Linux, RedHat, Servidores telefonía, Servidores correo, Servidores de base de datos, servidores de aplicaciones, etc. |
Exigido |
Marca |
Indicar |
Exigido |
Modelo |
Indicar |
Exigido |
Numero de Parte del Fabricante |
Indicar |
Exigido |
Cantidad |
2 (DOS) |
Exigido |
Densidad de Interfaces |
La solución deberá contar mínimamente con 3 (tres) interfaces de fibra de 1/10Gbps con sus respectivos módulos SFP y una interfaz dedicada para administración del equipo, por cada equipo que componga la solución. Deberán ser provistos 8 SFP+ SR. |
Exigido |
La solución deberá ser rackeable en racks estándar de 19, con los que ya cuenta la DNCP. |
Exigido |
|
Los procesadores de los equipos componentes de la solución deben ser de la última generación disponible según la web del fabricante del mismo. |
Exigido |
|
Fuente de Poder |
Voltaje 220V AC, 50/60 Hz. La solución deberá poseer fuentes redundantes internas hot swap con cables que se conecten a PDUs con conectores IEC-60320 C14 que deberán ser provistos |
Exigido |
Ventilación |
El equipo debe poseer mecanismos de ventilación redundantes que funcionen en un esquema front to back. |
Exigido |
Deberá soportar el intercambio de estos mecanismos de ventilación en caliente, sin necesidad de bajar el equipo. |
Opcional |
|
Administración de Equipo |
Interfaz CLI, GUI a través de https además debe soportar conexiones ssh |
Exigido |
El sistema operativo de la solución ofertada debe ser de propósito específico y no uno de uso genérico, es decir un SO desarrollado por el fabricante de la solución. |
Exigido |
|
La solución debe permitir la configuración de perfiles de administración, los cuales permitirán la limitación de funciones que pueden ser gerenciados. |
Exigido |
|
Debe soportar snmp v2, syslog remoto |
Exigido |
|
Redundancia |
La solución deberá contemplar redundancia en todos sus componentes (Firewall, IDS, IPS). |
Exigido |
Almacenamiento |
La solución deberá prever la capacidad de Almacenamiento de al menos 50GB |
Exigido |
Administración de la Solución |
Interfaz CLI, GUI a través de https además debe soportar conexiones ssh |
Exigido |
El sistema operativo de la solución ofertada debe ser de propósito específico y no uno de uso genérico, es decir un SO desarrollado por el fabricante de la solución. |
Exigido |
|
La solución debe permitir la configuración de perfiles de administración, los cuales permitirán la limitación de funciones que pueden ser gerenciados. |
Exigido |
|
Debe soportar snmp v2, syslog remoto |
Exigido |
|
Alta Disponibilidad de los componentes de la solución |
Deberá soportar Alta Disponibilidad sin pérdida de conexiones en caso del fallo de uno los nodos, soporte de Modo Activo-Activo, Activo-Pasivo. |
Exigido |
Sincronización de sesiones |
Exigido |
|
Next Generation Firewall |
Firewall de capa 7,4,3 y 2 |
Exigido |
Rendimiento contra amenazas 2.5 gbps |
Exigido |
|
Debe soportar al menos 100.000 mac address |
Opcional |
|
IEEE 802.1Q VLAN, IEEE 802.ad LACP, |
Exigido |
|
Soporte de ECMP (Equal Cost Multi-Path) |
Opcional |
|
La solución debe permitir la integración con analizadores de tráfico mediante el protocolo sFlow o netflow en su última versión |
Exigido |
|
Soporte de al menos 10.000 rutas IPv4 |
Opcional |
|
Ruteo Estático |
Exigido |
|
Funcionamiento en modo Routed y Transparent |
Exigido |
|
NAT, PAT, NAT con PAT, DHCP Server |
Exigido |
|
La solución podrá habilitar políticas de ruteo en IPv6, RIPng, OSPFv2 y 3 |
Exigido |
|
La solución deberá poder comunicar direccionamiento IPv6 a servicios con IPv4 y viceversa |
Exigido |
|
Las reglas de firewall deben analizar las conexiones que atraviesen en el equipo, entre interfaces, grupos de interfaces o vlans. |
Exigido |
|
Deberá ser posible definir políticas de firewall para puertos tcp y udp independientes en cada interfaz ya sea tráfico entrante o saliente. |
Exigido |
|
Las reglas del firewall deberán poder aplicarse a dirección IP origen (que puede ser un grupo de direcciones IP), dirección IP destino (que puede ser un grupo de direcciones IP) y servicio (o grupo de servicios). |
Exigido |
|
Soporte a reglas de firewall para tráfico de multicast, pudiendo especificar interfaz física origen, interfaz física destino, direcciones IP origen, dirección IP destino. |
Exigido |
|
Debe soportar la capacidad de definir nuevos servicios TCP y UDP que no estén contemplados en los predefinidos. |
Exigido |
|
Las reglas de firewall deberán poder tener limitantes y/o vigencia en base a tiempo y fechas (incluyendo día, mes y año). |
Exigido |
|
Capacidad de poder asignar parámetros de traffic shaping diferenciadas para el tráfico en distintos sentidos de una misma sesión. |
Exigido |
|
Debe poder definirse el tiempo de vida de una sesión inactiva de forma independiente por puerto y protocolo (TCP y UDP) |
Opcional |
|
Deberá soportar reglas de firewall en IPv6 |
Exigido |
|
Deberá será capaz de crear e integrar políticas contra ataques DoS las cuales se deben poder aplicar por interfaces, El dispositivo debe generar logs de cada una de las políticas aplicadas para evitar los ataques de DoS |
Exigido |
|
Capacidad de poder asignar parámetros de traffic shapping sobre reglas de firewall. |
Exigido |
|
BOTNET |
La solución ofertada debe incorporar protección contra botnets, debe poder bloquear intentos de conexión a servidores de Botnets, para ello se debe contar con una lista de los servidores de Botnet más utilizado. Dicha lista debe actualizarse de forma periódica por el fabricante, y deberá estar previsto en la oferta la suscripción al servicio durante el periodo de garantía. |
Exigido |
Sistema de Prevención de Intrusiones |
El oferente en su oferta deberá contemplar la suscripción al servicio de actualización de firmas por la duración del periodo de garantía |
Exigido |
Protección Antimalware |
El sistema de prevención de Intrusos deberá estar orientado a la protección de redes y servidores. |
Exigido |
Deberá soportar la detección de distintos tipos de ataques basándose en firmas actualizables. |
Exigido |
|
Deberá poder mitigar los efectos de ataques de denegación de servicios. |
Exigido |
|
Debe contar con mecanismos de detección de ataques basados en reconocimiento de patrones y análisis de protocolos. |
Exigido |
|
Debe poseer mecanismos de protección contra ataques de RPC (Remote Procedure Call). |
Exigido |
|
Debe permitir bloquear tráfico entrante, saliente o ambos correspondiente a determinados países, sin necesidad de actualizar manualmente los rangos IP correspondientes a cada país. |
Exigido |
|
El ips debe poseer configuraciones o firmas predefinidas para servidores que actúen ya sea como webserver, servidor de dns, servidor de correo o Servidor de Base de Datos |
Exigido |
|
Deberá prevenir amenazas del tipo día 0, A través de sandboxes como un entorno aislado y separado, donde los archivos son monitoreados y ejecutados para determinar si son seguros o maliciosos. La detección puede ser de forma Local o en la Nube |
Exigido |
|
Deberá ser posible definir políticas de detección y prevención de intrusiones para tráfico IPv6. |
Exigido |
|
Debe poseer mecanismos de protección contra ataques de Windows o Netbios. |
Exigido |
|
Debe poseer mecanismos de protección contra ataques de SMTP IMAP o POP. |
Exigido |
|
Debe poseer mecanismos de protección contra ataques DNS. |
Exigido |
|
El dispositivo debe poder filtrar el tráfico de posibles amenazas con requerimientos inusuales a aplicaciones conocidas o a la arquitectura de red. |
Exigido |
|
Debe ser capaz de reconocer las vulnerabilidades en la red para determinar si puede afectar o no el funcionamiento de esta y sugerir las acciones para protegerla. |
Exigido |
|
Debe proveer información detallada de cada tipo de ataque, Capacidad para manejar perfiles de configuración, Detección de vulnerabilidades, exploits, validación de protocolos, detección de anormalidades ,detección de ataques basado en conductas, por ej.: múltiples intentos de logueo ssh en pocos segundos, Capacidad de crear Excepciones. |
Exigido |
|
La solución deberá poder interceptar la comunicación SSL, desencriptar el trafico inspeccionar el tráfico y aplicar políticas según sea el caso. |
Exigido |
|
La solución deberá permitir instalar un agente para la detección de Malware en los clientes y soportar los siguientes SO: MS Windows 7, 8, MS Windows Server 2008 R2, MS Windows Server 2012, Mac OS X 10.X O superior. |
Exigido |
|
El software instalado en los clientes deberá permitir el bloqueo de archivos maliciosos directamente en la maquina victima sin necesidad de involucrar a otros equipos |
Exigido |
|
La solución deberá de permitir una visibilidad retrospectiva de modo a visualizar y hacer un trazado de los archivos maliciosos una vez ingresado a la red. |
Exigido |
|
La solución deberá ser capaz de integrarse a Directorio Activo Windows para detectar y aplicar políticas basados en usuarios , si la estación de trabajo de un usuario cambia de ip la solución deberá de detectar y aplicar las políticas asociadas a ese usuario. |
Exigido |
|
Reportes |
Deberá ser provista una herramienta para correlacionar eventos de todas las funcionalidades de la solución. |
Exigido |
Debe poder generar automáticamente gráficos o tablas de distribución de eventos, orígenes y destinos, en la vista del listado de eventos. |
Exigido |
|
La herramienta de reportes debe soportar la creación de reportes que permita personalizar los reportes predefinidos a las necesidades del administrador |
Exigido |
|
Debe ser capaz de hacer búsquedas por username o dirección IP, para que toda la información almacenada de dicho username o dirección IP sea mostrada en un reporte donde pueda darse seguimiento a su actividad |
Exigido |
|
Debe proveer un reportador basado en una línea de tiempo, para reportes predefinidos o a la medida, permitiendo al administrador realizar análisis de contenido en tiempo real |
Exigido |
|
Dichos reportes deben incluir una explicación acerca de las políticas que fueron violadas y que parte del contenido causó dicha violación. |
Exigido |
|
Debe permitir agrupar los eventos en base a cualquier característica de los mismos, pudiendo agrupar en varios niveles. |
Exigido |
|
Debe permitir la creación de reportes personalizables. |
Exigido |
|
Debe detectar ataques de denegación de servicio, correlacionando eventos de todas las fuentes. |
Exigido |
|
Experiencia |
La empresa oferente deberá presentar documentos que acrediten la experiencia propia o de la marca ofertada dentro del territorio nacional en al menos 2 implementaciones de soluciones iguales a las licitadas. Los documentos deberán contener como mínimo el nombre del cliente donde se ha implementado la solución, el número telefónico de contacto y se deberá contar con la posibilidad de poder realizar una visita técnica a dicho cliente. |
Exigido |
|
IEEE 802.3ae (10Gbps, 10GBASE-SR) |
Exigido |
IEEE 802.3z (1000BASE-X sobre fibra) |
Exigido |
|
IEEE 802.3x (Full dúplex) |
Exigido |
|
IEEE 802.1q VLAN tagging (La cantidad de VLANs IDs no podrá ser inferior a 4.000). |
Exigido |
|
IEEE 802.1s Per-VLAN Group Spanning Tree Protocol. |
OPCIONAL |
|
IEEE 802.1w RSTP. |
Exigido |
|
IEEE 802.3ad Link aggregation control protocol. |
Exigido |
|
IEEE 802.1x Radius |
Exigido |
|
MTBF |
El equipo deberá contar con un MTBF especificado superior a 43.800 horas. |
Exigido |
Fabricación |
Todos los equipos y sus accesorios deben ser nuevos de reciente fabricación y encontrarse en comercialización (Módulos, software, patch cords, power cord, rackmount kit, etc.) |
Exigido |
Licenciamiento |
En el caso de que las funcionalidades solicitadas en estas EETT requieran de licenciamiento las mismas deberán estar activas y utilizables al momento de entregar el equipo. Cada equipo ofertado debe incluir todas las licencias indispensables para el completo funcionamiento de las características exigidas. |
Exigido |
Garantía y Soporte Técnico |
Los equipos deberán tener un nivel de garantía del tipo 8x5NBD durante el periodo de 3 años |
Exigido |
El proveedor deberá contar con un sistema de atención para la recepción de reclamos o soporte técnico el cual el tiempo de respuesta no debe sobrepasar 3 horas una vez realizado el reclamo. |
Exigido |
|
Implementación |
El Oferente deberá contemplar el correspondiente intercambio de opiniones con el personal técnico de la DNCP a los efectos de realizar una reingeniería de la infraestructura del DATA CENTER de la DNCP que permita optimizar los recursos de la misma y obtener el mayor beneficio del nuevo equipamiento a instalar. |
Exigido |
El periodo de duración de este intercambio de opiniones con el personal técnico de la DNCP será establecido de mutuo acuerdo entre el oferente y el personal de la DNCP y será de una duración tal que permita al personal de la DNCP entender claramente el proyecto del oferente por lo que además deberá contemplar las correspondientes explicaciones y argumentaciones en detalle del proyecto que propone el oferente las cuales serán documentadas mediante actas de reunión y formaran parte del proyecto. |
Exigido |
|
Capacitación |
Se deberá proveer un curso de capacitación de al menos 20 horas para 3 funcionarios de la DNCP, el contenido del curso deberá contemplar desde la instalación, configuración y puesta a punto de los componentes de la solución. |
Exigido |
Detalle de las Especificaciones Técnicas y de las Normas: No aplica.
Detalle de los productos con las respectivas especificaciones técnicas
Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:
ADMINISTRADOR DEL CONTRATO: Asesoría Técnica de la DNCP, en conjunto con el Departamento de Redes dependiente de la Dirección de Tecnología de la Información de la DNCP.
Firewall de Core |
Características |
Mínimo Exigido |
Propósito General |
Como la DNCP ya cuenta con Firewalls de la Marca Fortinet y se pretende establecer un mecanismo de doble seguridad, en este llamado no se aceptarán equipos de la marca con la que ya se cuenta actualmente. El proposito general es proteger servidores Microsoft,Linux, RedHat, Servidores telefonía, Servidores correo, Servidores de base de datos, servidores de aplicaciones, etc. |
Exigido |
Marca |
Indicar |
Exigido |
Modelo |
Indicar |
Exigido |
Numero de Parte del Fabricante |
Indicar |
Exigido |
Cantidad |
2 (DOS) |
Exigido |
Densidad de Interfaces |
La solución deberá contar mínimamente con 3 (tres) interfaces de fibra de 1/10Gbps con sus respectivos módulos SFP y una interfaz de cobre dedicada para administración del equipo, por cada equipo que componga la solución. Deberán ser provistos 8 SFP+ SR. |
Exigido |
La solución deberá ser rackeable en racks estándar de 19, con los que ya cuenta la DNCP. |
Exigido |
|
Los procesadores de los equipos componentes de la solución deben ser de la última generación disponible según la web del fabricante del mismo. |
Opcional |
|
Fuente de Poder |
Voltaje 220V AC, 50/60 Hz. La solución deberá poseer fuentes redundantes internas hot swap con cables que se conecten a PDUs con conectores IEC-60320 C14 que deberán ser provistos |
Exigido |
Ventilación |
El equipo debe poseer mecanismos de ventilación redundantes que funcionen en un esquema front to back. |
Exigido |
Deberá soportar el intercambio de estos mecanismos de ventilación en caliente, sin necesidad de bajar el equipo. |
Opcional |
|
Administración de Equipo |
Interfaz CLI, GUI a través de https además debe soportar conexiones ssh |
Exigido |
El sistema operativo de la solución ofertada debe ser de propósito específico y no uno de uso genérico, es decir un SO desarrollado por el fabricante de la solución. |
Exigido |
|
La solución debe permitir la configuración de perfiles de administración, los cuales permitirán la limitación de funciones que pueden ser gerenciados. |
Exigido |
|
Debe soportar snmp v2, syslog remoto |
Exigido |
|
Redundancia |
La solución deberá contemplar redundancia en todos sus componentes (Firewall, IDS, IPS). |
Exigido |
Almacenamiento |
La solución deberá prever la capacidad de Almacenamiento de al menos 50GB |
Exigido |
Administración de la Solución |
Interfaz CLI, GUI a través de https además debe soportar conexiones ssh |
Exigido |
El sistema operativo de la solución ofertada debe ser de propósito específico y no uno de uso genérico, es decir un SO desarrollado por el fabricante de la solución. |
Exigido |
|
La solución debe permitir la configuración de perfiles de administración, los cuales permitirán la limitación de funciones que pueden ser gerenciados. |
Exigido |
|
Debe soportar snmp v2, syslog remoto |
Exigido |
|
Alta Disponibilidad de los componentes de la solución |
Deberá soportar Alta Disponibilidad sin pérdida de conexiones en caso del fallo de uno los nodos, soporte de Modo Activo-Activo, Activo-Pasivo. |
Exigido |
Sincronización de sesiones |
Exigido |
|
Next Generation Firewall |
Firewall de capa 7,4,3 y 2 |
Exigido |
Rendimiento contra amenazas 2.5 gbps |
Exigido |
|
Debe soportar al menos 100.000 mac address |
Opcional |
|
IEEE 802.1Q VLAN, IEEE 802.ad LACP, |
Exigido |
|
Soporte de ECMP (Equal Cost Multi-Path) |
Opcional |
|
La solución debe permitir la integración con analizadores de tráfico mediante el protocolo sFlow o netflow en su última versión |
Exigido |
|
Soporte de al menos 10.000 rutas IPv4 |
Opcional |
|
Ruteo Estático |
Exigido |
|
Funcionamiento en modo Routed y/o Gateway o similares, Transparent y/o Bridge o similares. |
Exigido |
|
NAT, PAT, NAT con PAT, DHCP Server |
Exigido |
|
La solución podrá habilitar políticas de ruteo en IPv6, RIPng, OSPFv2 y 3 |
Exigido |
|
La solución deberá poder comunicar direccionamiento IPv6 a servicios con IPv4 y viceversa |
Exigido |
|
Las reglas de firewall deben analizar las conexiones que atraviesen en el equipo, entre interfaces, grupos de interfaces o vlans. |
Exigido |
|
Deberá ser posible definir políticas de firewall para puertos tcp y udp independientes en cada interfaz ya sea tráfico entrante o saliente. |
Exigido |
|
Las reglas del firewall deberán poder aplicarse a dirección IP origen (que puede ser un grupo de direcciones IP), dirección IP destino (que puede ser un grupo de direcciones IP) y servicio (o grupo de servicios). |
Exigido |
|
Soporte a reglas de firewall para tráfico de multicast, pudiendo especificar interfaz física origen, interfaz física destino, direcciones IP origen, dirección IP destino. |
Exigido |
|
Debe soportar la capacidad de definir nuevos servicios TCP y UDP que no estén contemplados en los predefinidos. |
Exigido |
|
Las reglas de firewall deberán poder tener limitantes y/o vigencia en base a tiempo y fechas (incluyendo día, mes y año). |
Exigido |
|
Capacidad de poder asignar parámetros de traffic shaping diferenciadas para el tráfico en distintos sentidos de una misma sesión. |
Exigido |
|
Debe poder definirse el tiempo de vida de una sesión inactiva de forma independiente por puerto y protocolo (TCP y UDP) |
Opcional |
|
Deberá soportar reglas de firewall en IPv6 |
Exigido |
|
Deberá será capaz de crear e integrar políticas contra ataques DoS las cuales se deben poder aplicar por interfaces, El dispositivo debe generar logs de cada una de las políticas aplicadas para evitar los ataques de DoS |
Exigido |
|
Capacidad de poder asignar parámetros de traffic shapping sobre reglas de firewall. |
Exigido |
|
BOTNET |
La solución ofertada debe incorporar protección contra botnets, debe poder bloquear intentos de conexión a servidores de Botnets, para ello se debe contar con una lista de los servidores de Botnet más utilizado. Dicha lista debe actualizarse de forma periódica por el fabricante, y deberá estar previsto en la oferta la suscripción al servicio durante el periodo de garantía. |
Exigido |
Sistema de Prevención de Intrusiones |
El oferente en su oferta deberá contemplar la suscripción al servicio de actualización de firmas por la duración del periodo de garantía |
Exigido |
Protección Antimalware |
El sistema de prevención de Intrusos deberá estar orientado a la protección de redes y servidores. |
Exigido |
Deberá soportar la detección de distintos tipos de ataques basándose en firmas actualizables. |
Exigido |
|
Deberá poder mitigar los efectos de ataques de denegación de servicios. |
Exigido |
|
Debe contar con mecanismos de detección de ataques basados en reconocimiento de patrones y análisis de protocolos. |
Exigido |
|
Debe poseer mecanismos de protección contra ataques de RPC (Remote Procedure Call). |
Exigido |
|
Debe permitir bloquear tráfico entrante, saliente o ambos correspondiente a determinados países, sin necesidad de actualizar manualmente los rangos IP correspondientes a cada país. |
Exigido |
|
El ips debe poseer configuraciones o firmas predefinidas para servidores que actúen ya sea como webserver, servidor de dns, servidor de correo o Servidor de Base de Datos |
Exigido |
|
Deberá prevenir amenazas del tipo día 0, A través de sandboxes como un entorno aislado y separado, donde los archivos son monitoreados y ejecutados para determinar si son seguros o maliciosos. La detección puede ser de forma Local o en la Nube |
Exigido |
|
Deberá ser posible definir políticas de detección y prevención de intrusiones para tráfico IPv6. |
Exigido |
|
Debe poseer mecanismos de protección contra ataques de Windows o Netbios. |
Exigido |
|
Debe poseer mecanismos de protección contra ataques de SMTP IMAP o POP. |
Exigido |
|
Debe poseer mecanismos de protección contra ataques DNS. |
Exigido |
|
El dispositivo debe poder filtrar el tráfico de posibles amenazas con requerimientos inusuales a aplicaciones conocidas o a la arquitectura de red. |
Exigido |
|
Debe ser capaz de reconocer las vulnerabilidades en la red para determinar si puede afectar o no el funcionamiento de esta y sugerir las acciones para protegerla. |
Opcional |
|
Debe proveer información detallada de cada tipo de ataque, Capacidad para manejar perfiles de configuración, Detección de vulnerabilidades, exploits, validación de protocolos, detección de anormalidades ,detección de ataques basado en conductas, por ej.: múltiples intentos de logueo ssh en pocos segundos, Capacidad de crear Excepciones. |
Exigido |
|
La solución deberá poder interceptar la comunicación SSL, desencriptar el trafico inspeccionar el tráfico y aplicar políticas según sea el caso. |
Exigido |
|
La solución deberá permitir instalar 10 agentes para la detección de Malware y debe soportar los siguientes Sistemas Operativos MS Windows Server 2016 y MS Windows 2019. |
Exigido |
|
El software instalado debe permitir el bloqueo de archivos maliciosos directamente en la maquina victima sin necesidad de involucrar a otros equipos |
Exigido |
|
La solución deberá de permitir una visibilidad retrospectiva de modo a visualizar y hacer un trazado de los archivos maliciosos una vez ingresado a la red. |
Opcional |
|
La solución deberá ser capaz de integrarse a Directorio Activo Windows para detectar y aplicar políticas basados en usuarios , si la estación de trabajo de un usuario cambia de ip la solución deberá de detectar y aplicar las políticas asociadas a ese usuario. |
Opcional |
|
Reportes |
Deberá ser provista una herramienta para correlacionar eventos de todas las funcionalidades de la solución. |
Exigido |
Debe poder generar automáticamente gráficos o tablas de distribución de eventos, orígenes y destinos, en la vista del listado de eventos. |
Exigido |
|
La herramienta de reportes debe soportar la creación de reportes que permita personalizar los reportes predefinidos a las necesidades del administrador |
Exigido |
|
Debe ser capaz de hacer búsquedas por username o dirección IP, para que toda la información almacenada de dicho username o dirección IP sea mostrada en un reporte donde pueda darse seguimiento a su actividad |
Exigido |
|
Debe proveer un reportador basado en una línea de tiempo, para reportes predefinidos o a la medida, permitiendo al administrador realizar análisis de contenido en tiempo real |
Exigido |
|
Dichos reportes deben incluir una explicación acerca de las políticas que fueron violadas y que parte del contenido causó dicha violación. |
Exigido |
|
Debe permitir agrupar los eventos en base a cualquier característica de los mismos, pudiendo agrupar en varios niveles. |
Exigido |
|
Debe permitir la creación de reportes personalizables. |
Exigido |
|
Debe detectar y mitigar ataques de denegación de servicio. |
Exigido |
|
Experiencia |
La empresa oferente deberá presentar documentos que acrediten la experiencia propia o de la marca ofertada dentro del territorio nacional en al menos 2 implementaciones de soluciones similares a las licitadas. Los documentos deberán contener como mínimo el nombre del cliente donde se ha implementado la solución, el número telefónico de contacto y se deberá contar con la posibilidad de poder realizar una visita técnica a dicho cliente. |
Exigido |
|
IEEE 802.3ae o similar (10Gbps, 10GBASE-SR) |
Exigido |
IEEE 802.3z o similar(1000BASE-X sobre fibra) |
Exigido |
|
IEEE 802.3x o similar (Full dúplex) |
Exigido |
|
IEEE 802.1q o similar. |
Exigido |
|
IEEE 802.1s Per-VLAN Group Spanning Tree Protocol. |
Opcional |
|
IEEE 802.1w o similar RSTP. |
Exigido |
|
IEEE 802.3ad o similar Link aggregation control protocol. |
Exigido |
|
IEEE 802.1x Radius |
Opcional |
|
MTBF |
El equipo deberá contar con un MTBF especificado superior a 43.800 horas. |
Exigido |
Fabricación |
Todos los equipos y sus accesorios deben ser nuevos de reciente fabricación y encontrarse en comercialización (Módulos, software, patch cords, power cord, rackmount kit, etc.) |
Exigido |
Licenciamiento |
En el caso de que las funcionalidades solicitadas en estas EETT requieran de licenciamiento las mismas deberán estar activas y utilizables al momento de entregar el equipo. Cada equipo ofertado debe incluir todas las licencias indispensables para el completo funcionamiento de las características exigidas. |
Exigido |
Garantía y Soporte Técnico |
Los equipos deberán tener un nivel de garantía del tipo 8x5NBD durante el periodo de 3 años |
Exigido |
El proveedor deberá contar con un sistema de atención para la recepción de reclamos o soporte técnico el cual el tiempo de respuesta no debe sobrepasar 3 horas una vez realizado el reclamo. |
Exigido |
|
Implementación |
El Oferente deberá contemplar el correspondiente intercambio de opiniones con el personal técnico de la DNCP a los efectos de realizar una reingeniería de la infraestructura del DATA CENTER de la DNCP que permita optimizar los recursos de la misma y obtener el mayor beneficio del nuevo equipamiento a instalar. |
Exigido |
El periodo de duración de este intercambio de opiniones con el personal técnico de la DNCP será establecido de mutuo acuerdo entre el oferente y el personal de la DNCP y será de una duración tal que permita al personal de la DNCP entender claramente el proyecto del oferente por lo que además deberá contemplar las correspondientes explicaciones y argumentaciones en detalle del proyecto que propone el oferente las cuales serán documentadas mediante actas de reunión y formaran parte del proyecto. |
Exigido |
|
Capacitación |
Se deberá proveer un curso de capacitación de al menos 20 horas para 3 funcionarios de la DNCP, el contenido del curso deberá contemplar desde la instalación, configuración y puesta a punto de los componentes de la solución. |
Exigido |
Detalle de las Especificaciones Técnicas y de las Normas: No aplica.
Detalle de los productos con las respectivas especificaciones técnicas
Los productos a ser requeridos cuentan con las siguientes especificaciones técnicas:
ADMINISTRADOR DEL CONTRATO: Asesoría Técnica de la DNCP, en conjunto con el Departamento de Redes dependiente de la Dirección de Tecnología de la Información de la DNCP.
Firewall de Core | Características | Mínimo Exigido |
Propósito General | Como la DNCP ya cuenta con Firewalls de la Marca Fortinet y se pretende establecer un mecanismo de doble seguridad, en este llamado no se aceptarán equipos de la marca con la que ya se cuenta actualmente. El proposito general es proteger servidores Microsoft,Linux, RedHat, Servidores telefonía, Servidores correo, Servidores de base de datos, servidores de aplicaciones, etc. | Exigido |
Marca | Indicar | Exigido |
Modelo | Indicar | Exigido |
Numero de Parte del Fabricante | Indicar | Exigido |
Cantidad | 2 (DOS) | Exigido |
Densidad de Interfaces | La solución deberá contar mínimamente con 3 (tres) interfaces de fibra de 1/10Gbps con sus respectivos módulos SFP y una interfaz de cobre dedicada para administración del equipo, por cada equipo que componga la solución. Deberán ser provistos 8 SFP+ SR. | Exigido |
La solución deberá ser rackeable en racks estándar de 19, con los que ya cuenta la DNCP. | Exigido | |
Los procesadores de los equipos componentes de la solución deben ser de la última generación disponible según la web del fabricante del mismo. |
| |
Fuente de Poder | Voltaje 220V AC, 50/60 Hz. La solución deberá poseer fuentes redundantes internas hot swap con cables que se conecten a PDUs con conectores IEC-60320 C14 que deberán ser provistos | Exigido |
Ventilación | El equipo debe poseer mecanismos de ventilación redundantes que funcionen en un esquema front to back. | Exigido |
Deberá soportar el intercambio de estos mecanismos de ventilación en caliente, sin necesidad de bajar el equipo. | Opcional | |
Administración de Equipo | Interfaz CLI, GUI a través de https además debe soportar conexiones ssh | Exigido |
El sistema operativo de la solución ofertada debe ser de propósito específico y no uno de uso genérico, es decir un SO desarrollado por el fabricante de la solución. | Exigido | |
La solución debe permitir la configuración de perfiles de administración, los cuales permitirán la limitación de funciones que pueden ser gerenciados. | Exigido | |
Debe soportar snmp v2, syslog remoto | Exigido | |
Redundancia | La solución deberá contemplar redundancia en todos sus componentes (Firewall, IDS, IPS). | Exigido |
Almacenamiento | La solución deberá prever la capacidad de Almacenamiento de al menos 50GB | Exigido |
Administración de la Solución | Interfaz CLI, GUI a través de https además debe soportar conexiones ssh | Exigido |
El sistema operativo de la solución ofertada debe ser de propósito específico y no uno de uso genérico, es decir un SO desarrollado por el fabricante de la solución. | Exigido | |
La solución debe permitir la configuración de perfiles de administración, los cuales permitirán la limitación de funciones que pueden ser gerenciados. | Exigido | |
Debe soportar snmp v2, syslog remoto | Exigido | |
Alta Disponibilidad de los componentes de la solución | Deberá soportar Alta Disponibilidad sin pérdida de conexiones en caso del fallo de uno los nodos, soporte de Modo Activo-Activo, Activo-Pasivo. | Exigido |
Sincronización de sesiones | Exigido | |
Next Generation Firewall | Firewall de capa 7,4,3 y 2 | Exigido |
Rendimiento contra amenazas 2.5 gbps | Exigido | |
Debe soportar al menos 100.000 mac address | Opcional | |
IEEE 802.1Q VLAN, IEEE 802.ad LACP, | Exigido | |
Soporte de ECMP (Equal Cost Multi-Path) | Opcional | |
La solución debe permitir la integración con analizadores de tráfico mediante el protocolo sFlow o netflow en su última versión | Exigido | |
Soporte de al menos 10.000 rutas IPv4 | Opcional | |
Ruteo Estático | Exigido | |
Funcionamiento en modo Routed y/o Gateway o similares, Transparent y/o Bridge o similares. | Exigido | |
NAT, PAT, NAT con PAT, DHCP Server | Exigido | |
La solución podrá habilitar políticas de ruteo en IPv6, RIPng, OSPFv2 y 3 | Exigido | |
La solución deberá poder comunicar direccionamiento IPv6 a servicios con IPv4 y viceversa | Exigido | |
Las reglas de firewall deben analizar las conexiones que atraviesen en el equipo, entre interfaces, grupos de interfaces o vlans. | Exigido | |
Deberá ser posible definir políticas de firewall para puertos tcp y udp independientes en cada interfaz ya sea tráfico entrante o saliente. | Exigido | |
Las reglas del firewall deberán poder aplicarse a dirección IP origen (que puede ser un grupo de direcciones IP), dirección IP destino (que puede ser un grupo de direcciones IP) y servicio (o grupo de servicios). | Exigido | |
Soporte a reglas de firewall para tráfico de multicast, pudiendo especificar interfaz física origen, interfaz física destino, direcciones IP origen, dirección IP destino. | Exigido | |
Debe soportar la capacidad de definir nuevos servicios TCP y UDP que no estén contemplados en los predefinidos. | Exigido | |
Las reglas de firewall deberán poder tener limitantes y/o vigencia en base a tiempo y fechas (incluyendo día, mes y año). | Exigido | |
Capacidad de poder asignar parámetros de traffic shaping diferenciadas para el tráfico en distintos sentidos de una misma sesión. | Exigido | |
Debe poder definirse el tiempo de vida de una sesión inactiva de forma independiente por puerto y protocolo (TCP y UDP) | Opcional | |
Deberá soportar reglas de firewall en IPv6 | Exigido | |
Deberá será capaz de crear e integrar políticas contra ataques DoS las cuales se deben poder aplicar por interfaces, El dispositivo debe generar logs de cada una de las políticas aplicadas para evitar los ataques de DoS | Exigido | |
Capacidad de poder asignar parámetros de traffic shapping sobre reglas de firewall. | Exigido | |
BOTNET | La solución ofertada debe incorporar protección contra botnets, debe poder bloquear intentos de conexión a servidores de Botnets, para ello se debe contar con una lista de los servidores de Botnet más utilizado. Dicha lista debe actualizarse de forma periódica por el fabricante, y deberá estar previsto en la oferta la suscripción al servicio durante el periodo de garantía. | Exigido |
Sistema de Prevención de Intrusiones | El oferente en su oferta deberá contemplar la suscripción al servicio de actualización de firmas por la duración del periodo de garantía | Exigido |
Protección Antimalware | El sistema de prevención de Intrusos deberá estar orientado a la protección de redes y servidores. | Exigido |
Deberá soportar la detección de distintos tipos de ataques basándose en firmas actualizables. | Exigido | |
Deberá poder mitigar los efectos de ataques de denegación de servicios. | Exigido | |
Debe contar con mecanismos de detección de ataques basados en reconocimiento de patrones y análisis de protocolos. | Exigido | |
Debe poseer mecanismos de protección contra ataques de RPC (Remote Procedure Call). | Exigido | |
Debe permitir bloquear tráfico entrante, saliente o ambos correspondiente a determinados países, sin necesidad de actualizar manualmente los rangos IP correspondientes a cada país. | Exigido | |
El ips debe poseer configuraciones o firmas predefinidas para servidores que actúen ya sea como webserver, servidor de dns, servidor de correo o Servidor de Base de Datos | Exigido | |
Deberá prevenir amenazas del tipo día 0, A través de sandboxes como un entorno aislado y separado, donde los archivos son monitoreados y ejecutados para determinar si son seguros o maliciosos. La detección puede ser de forma Local o en la Nube | Exigido | |
Deberá ser posible definir políticas de detección y prevención de intrusiones para tráfico IPv6. | Exigido | |
Debe poseer mecanismos de protección contra ataques de Windows o Netbios. | Exigido | |
Debe poseer mecanismos de protección contra ataques de SMTP IMAP o POP. | Exigido | |
Debe poseer mecanismos de protección contra ataques DNS. | Exigido | |
El dispositivo debe poder filtrar el tráfico de posibles amenazas con requerimientos inusuales a aplicaciones conocidas o a la arquitectura de red. | Exigido | |
Debe ser capaz de reconocer las vulnerabilidades en la red para determinar si puede afectar o no el funcionamiento de esta y sugerir las acciones para protegerla. |
| |
Debe proveer información detallada de cada tipo de ataque, Capacidad para manejar perfiles de configuración, Detección de vulnerabilidades, exploits, validación de protocolos, detección de anormalidades ,detección de ataques basado en conductas, por ej.: múltiples intentos de logueo ssh en pocos segundos, Capacidad de crear Excepciones. | Exigido | |
La solución deberá poder interceptar la comunicación SSL, desencriptar el trafico inspeccionar el tráfico y aplicar políticas según sea el caso. | Exigido | |
La solución deberá permitir instalar | Exigido | |
El software instalado | Exigido | |
La solución deberá de permitir una visibilidad retrospectiva de modo a visualizar y hacer un trazado de los archivos maliciosos una vez ingresado a la red. |
| |
La solución deberá ser capaz de integrarse a Directorio Activo Windows para detectar y aplicar políticas basados en usuarios , si la estación de trabajo de un usuario cambia de ip la solución deberá de detectar y aplicar las políticas asociadas a ese usuario. |
| |
Reportes | Deberá ser provista una herramienta para correlacionar eventos de todas las funcionalidades de la solución. | Exigido |
Debe poder generar automáticamente gráficos o tablas de distribución de eventos, orígenes y destinos, en la vista del listado de eventos. | Exigido | |
La herramienta de reportes debe soportar la creación de reportes que permita personalizar los reportes predefinidos a las necesidades del administrador | Exigido | |
Debe ser capaz de hacer búsquedas por username o dirección IP, para que toda la información almacenada de dicho username o dirección IP sea mostrada en un reporte donde pueda darse seguimiento a su actividad | Exigido | |
Debe proveer un reportador basado en una línea de tiempo, para reportes predefinidos o a la medida, permitiendo al administrador realizar análisis de contenido en tiempo real | Exigido | |
Dichos reportes deben incluir una explicación acerca de las políticas que fueron violadas y que parte del contenido causó dicha violación. | Exigido | |
Debe permitir agrupar los eventos en base a cualquier característica de los mismos, pudiendo agrupar en varios niveles. | Exigido | |
Debe permitir la creación de reportes personalizables. | Exigido | |
Debe detectar y mitigar ataques de denegación de servicio | Exigido | |
Experiencia | La empresa oferente deberá presentar documentos que acrediten la experiencia propia o de la marca ofertada dentro del territorio nacional en al menos 2 implementaciones de soluciones | Exigido |
| IEEE 802.3ae o similar (10Gbps, 10GBASE-SR) | Exigido |
IEEE 802.3z o similar(1000BASE-X sobre fibra) | Exigido | |
IEEE 802.3x o similar (Full dúplex) | Exigido | |
IEEE 802.1q | Exigido | |
IEEE 802.1s Per-VLAN Group Spanning Tree Protocol. |
| |
IEEE 802.1w o similar RSTP. | Exigido | |
IEEE 802.3ad o similar Link aggregation control protocol. | Exigido | |
IEEE 802.1x Radius |
| |
MTBF | El equipo deberá contar con un MTBF especificado superior a 43.800 horas. | Exigido |
Fabricación | Todos los equipos y sus accesorios deben ser nuevos de reciente fabricación y encontrarse en comercialización (Módulos, software, patch cords, power cord, rackmount kit, etc.) | Exigido |
Licenciamiento | En el caso de que las funcionalidades solicitadas en estas EETT requieran de licenciamiento las mismas deberán estar activas y utilizables al momento de entregar el equipo. Cada equipo ofertado debe incluir todas las licencias indispensables para el completo funcionamiento de las características exigidas. | Exigido |
Garantía y Soporte Técnico | Los equipos deberán tener un nivel de garantía del tipo 8x5NBD durante el periodo de 3 años | Exigido |
El proveedor deberá contar con un sistema de atención para la recepción de reclamos o soporte técnico el cual el tiempo de respuesta no debe sobrepasar 3 horas una vez realizado el reclamo. | Exigido | |
Implementación | El Oferente deberá contemplar el correspondiente intercambio de opiniones con el personal técnico de la DNCP a los efectos de realizar una reingeniería de la infraestructura del DATA CENTER de la DNCP que permita optimizar los recursos de la misma y obtener el mayor beneficio del nuevo equipamiento a instalar. | Exigido |
El periodo de duración de este intercambio de opiniones con el personal técnico de la DNCP será establecido de mutuo acuerdo entre el oferente y el personal de la DNCP y será de una duración tal que permita al personal de la DNCP entender claramente el proyecto del oferente por lo que además deberá contemplar las correspondientes explicaciones y argumentaciones en detalle del proyecto que propone el oferente las cuales serán documentadas mediante actas de reunión y formaran parte del proyecto. | Exigido | |
Capacitación | Se deberá proveer un curso de capacitación de al menos 20 horas para 3 funcionarios de la DNCP, el contenido del curso deberá contemplar desde la instalación, configuración y puesta a punto de los componentes de la solución. | Exigido |
Detalle de las Especificaciones Técnicas y de las Normas: No aplica.