El Suministro deberá incluir todos aquellos ítems que no hubiesen sido expresamente indicados en la presente sección, pero que pueda inferirse razonablemente que son necesarios para satisfacer el requisito de suministro indicado, por lo tanto, dichos bienes y servicios serán suministrados por el Proveedor como si hubiesen sido expresamente mencionados, salvo disposición contraria en el Contrato.
Los bienes y servicios suministrados deberán ajustarse a las especificaciones técnicas y las normas estipuladas en este apartado. En caso de que no se haga referencia a una norma aplicable, la norma será aquella que resulte equivalente o superior a las normas oficiales de la República del Paraguay. Cualquier cambio de dichos códigos o normas durante la ejecución del contrato se aplicará solamente con la aprobación de la contratante y dicho cambio se regirá de conformidad a la cláusula de adendas y cambios.
El Proveedor tendrá derecho a rehusar responsabilidad por cualquier diseño, dato, plano, especificación u otro documento, o por cualquier modificación proporcionada o diseñada por o en nombre de la Contratante, mediante notificación a la misma de dicho rechazo.
Identificar el nombre, cargo y la dependencia de la Institución de quien solicita el llamado a ser publicado: M.Cs. Ever Benítez, Director de la Dirección de Tecnología de la Información y la Comunicación.
Justificar la necesidad que se pretende satisfacer mediante la contratación a ser realizada: mediante dicho contrato se podrá contar con equipo necesario para la seguridad de todos los servicios de red y para la optimización del trafico interno.
Justificar la planificación: La planificación es realizada de acuerdo a la necesidad actual de la institución.
Justificar las especificaciones técnicas establecidas: las especificaciones son realizadas en base al equipo que estamos requiriendo en la institución.
Los productos y/o servicios a ser requeridos cuentan con las siguientes especificaciones técnicas:
|
ESPECIFICACIONES TÉCNICAS: |
||
|
Ítem 1 Firewall (Router de borde) con licencia por 3 años |
||
|
Descripción |
Características |
Exigido |
|
Cantidad |
1(UNO) |
Exigido |
|
Marca |
Indicar |
Exigido |
|
Modelo |
Indicar |
Exigido |
|
Procedencia |
Indicar |
Exigido |
|
Especificaciones |
||
|
Dimensión |
Equipo proporcionado debe ser adecuado para montaje en rack de 19 ", incluyendo un rail kit (en caso de que sea necesario) |
Exigido |
|
Alimentación |
Debe contar con fuente redundante |
Exigido |
|
Interfaces |
Interfaz Gigabit Ethernet RJ45, Cantidad 10 |
Mínimo Exigido |
|
Interfaz Gigabit Ethernet SFP, Cantidad 2 |
Mínimo Exigido |
|
|
Interfaz dedicada para administración, Cantidad 1 |
Mínimo Exigido |
|
|
Puerto USB, Cantidad 1 |
Mínimo Exigido |
|
|
Administración |
Debe contar con una interfaz web https y conexión a una interfaz CLI a través de SSH. |
Exigido |
|
Deberá permitir la creación de usuarios y perfiles de administración. |
Exigido |
|
|
Valores de desempeño |
Tasa de transferencia efectiva IPv4 (64 byte): 10 Gbps |
Mínimo Exigido |
|
Sesiones concurrentes (TCP): 1.500.000 |
Mínimo Exigido |
|
|
Nuevas sesiones por segundo (TCP): 50.000 |
Mínimo Exigido |
|
|
Tasa de transferencia efectiva SSL-VPN: 1 Gbps |
Mínimo Exigido |
|
|
Usuarios concurrentes en SSL-VPN: 500 |
Mínimo Exigido |
|
|
Tasa de transferencia efectiva con inspección de SSL: 1 Gbps |
Mínimo Exigido |
|
|
Tasa de transferencia efectiva con IPS: 2 Gbps |
Mínimo Exigido |
|
|
Tasa de Transferencia efectiva con control de aplicaciones: 2 Gbps |
Mínimo Exigido |
|
|
Tasa de transferencia efectiva con protección contra amenazas, 1 Gbps |
Mínimo Exigido |
|
|
Sesiones concurrentes con inspección de SSL: 100.000 |
Mínimo Exigido |
|
|
Dominios virtuales: 10 |
Mínimo Exigido |
|
|
General |
La solución debe consistir en una plataforma de protección de Red, basada en un dispositivo con funcionalidades de Firewall de Próxima Generación (NGFW), así como consola de gestión y monitoreo.; |
Exigido |
|
La plataforma debe estar optimizada para análisis de contenido de aplicaciones en capa 7 |
Exigido |
|
|
Debe de soportar 4094 VLANs Tags 802.1q |
Exigido |
|
|
Debe de soportar agregación de enlaces 802.3ad y LACP |
Exigido |
|
|
Debe de soportar enrutamiento basado en políticas y reenvío basado en políticas |
Exigido |
|
|
Debe de soportar encaminamiento de multicast (PIM-SM y PIM-DM) |
Exigido |
|
|
Debe de soportar DHCP Relay |
Exigido |
|
|
Debe de soportar DHCP Server |
Exigido |
|
|
Debe de soportar sFlow |
Exigido |
|
|
Debe de soportar Jumbo Frames |
Exigido |
|
|
Debe de soportar sub-interfaces Ethernet lógicas |
Exigido |
|
|
Debe ser compatible con NAT dinámica (varios-a-1) |
Exigido |
|
|
Debe ser compatible con NAT dinámica (muchos-a-muchos) |
Exigido |
|
|
Debe soportar NAT estática (1-a-1) |
Exigido |
|
|
Debe admitir NAT estática (muchos-a-muchos) |
Exigido |
|
|
Debe ser compatible con NAT estático bidireccional 1-a-1 |
Exigido |
|
|
Debe ser compatible con la traducción de puertos (PAT) |
Exigido |
|
|
Debe ser compatible con NAT Origen |
Exigido |
|
|
Debe ser compatible con NAT de destino |
Exigido |
|
|
Debe soportar NAT de origen y NAT de destino de forma simultánea |
Exigido |
|
|
Debe soportar NAT de origen y NAT de destino en la misma política |
Exigido |
|
|
Debe soportar Traducción de Prefijos de Red (NPTv6) o NAT66, para evitar problemas de enrutamiento asimétrico |
Exigido |
|
|
Debe ser compatible con NAT64 y NAT46 |
Exigido |
|
|
Debe implementar el protocolo ECMP |
Exigido |
|
|
Debe soportar SD-WAN de forma nativa |
Exigido |
|
|
Debe soportar el balanceo de enlace hash por IP de origen |
Exigido |
|
|
Debe soportar el balanceo de enlace por hash de IP de origen y destino |
Exigido |
|
|
Debe soportar balanceo de enlace por peso. En esta opción debe ser posible definir el porcentaje de tráfico que fluirá a través de cada uno de los enlaces. Debe ser compatible con el balanceo en al menos tres enlaces |
Exigido |
|
|
Debe implementar balanceo de enlaces sin la necesidad de crear zonas o uso de instancias virtuales |
Exigido |
|
|
Debe permitir el monitoreo por SNMP de fallas de hardware, uso de recursos por gran número de sesiones, conexiones por segundo, cantidad de túneles establecidos en la VPN, CPU, memoria, estado del clúster, ataques y estadísticas de uso de las interfaces de red |
Exigido |
|
|
Enviar logs a sistemas de gestión externos simultáneamente |
Exigido |
|
|
Debe tener la opción de enviar logs a los sistemas de control externo a través de TCP y SSL |
Exigido |
|
|
Debe soporta protección contra la suplantación de identidad (anti-spoofing) |
Exigido |
|
|
Para IPv4, soportar enrutamiento estático y dinámico (RIPv2, OSPFv2 y BGP) |
Exigido |
|
|
Para IPv6, soportar enrutamiento estático y dinámico (OSPFv3) |
Exigido |
|
|
Soportar reinicio correcto para OSPF |
Exigido |
|
|
Debe ser compatible con el modo Sniffer para la inspección a través del puerto espejo del tráfico de datos de la red |
Exigido |
|
|
Debe soportar modo capa - 2 (L2) para la inspección de datos y visibilidad en línea del tráfico |
Exigido |
|
|
Debe soportar modo capa - 3 (L3) para la inspección de datos y visibilidad en línea del tráfico |
Exigido |
|
|
Debe soportar el modo mixto de Sniffer, L2 y L3 en diferentes interfaces físicas |
Exigido |
|
|
Soportar la configuración de alta disponibilidad activo / pasivo y activo / activo: En modo transparente |
Exigido |
|
|
Soportar la configuración de alta disponibilidad activo / pasivo y activo / activo: En capa 3 |
Exigido |
|
|
Soportar configuración de alta disponibilidad activo / pasivo y activo / activo: En la capa 3 y con al menos 3 dispositivos en el cluster |
Exigido |
|
|
La configuración de alta disponibilidad debe sincronizar: Sesiones |
Exigido |
|
|
La configuración de alta disponibilidad debe sincronizar: Configuraciones, incluyendo, pero no limitando, políticas de Firewalls, NAT, QoS y objetos de la red |
Exigido |
|
|
La configuración de alta disponibilidad debe sincronizar: Las asociaciones de seguridad VPN |
Exigido |
|
|
La configuración de alta disponibilidad debe sincronizar: Tablas FIB |
Exigido |
|
|
En modo HA (Modo de alta disponibilidad) debe permitir la supervisión de fallos de enlace |
Exigido |
|
|
Debe soportar la creación de sistemas virtuales en el mismo equipo |
Exigido |
|
|
Para una alta disponibilidad, el uso de clusters virtuales debe de ser posible, ya sea activo-activo o activo-pasivo, que permita la distribución de la carga entre los diferentes contextos |
Exigido |
|
|
Debe permitir la creación de administradores independientes para cada uno de los sistemas virtuales existentes, con el fin de permitir la creación de contextos virtuales que se pueden administrar por diferentes áreas funcionales |
Exigido |
|
|
La solución de gestión debe ser compatible con el acceso a través de SSH y la interfaz web (HTTPS), incluyendo, pero no limitado a, la exportación de configuración de sistemas virtuales (contextos) por ambos tipos de acceso |
Exigido |
|
|
Control, inspección y descifrado de SSL para tráfico entrante (Inbound) y saliente (Outbound), debe soportar el control de los certificados individualmente dentro de cada sistema virtual, o sea, aislamiento de las operaciones de adición, remoción y utilización de los certificados directamente en los sistemas virtuales (contextos) |
Exigido |
|
|
Debe soportar una malla de seguridad para proporcionar una solución de seguridad integral que abarque toda la red |
Exigido |
|
|
Debe existir la opción de un Servicio de Soporte que ofrezca a los clientes un chequeo de salud periódico con un informe de auditoría mensual personalizado de sus appliances NGFW |
Exigido |
|
|
La consola de administración debe soportar como mínimo, ingles, Español y Portugués |
Exigido |
|
|
La solución debe soportar integración nativa de equipos de protección de correo electrónico, firewall de aplicaciones, proxy, cache y amenazas avanzadas |
Exigido |
|
|
Firewall |
Debe soportar controles de zona de seguridad |
Exigido |
|
Debe contar con políticas de control por puerto y protocolo |
Exigido |
|
|
Contar con políticas por aplicación, grupos estáticos de aplicaciones, grupos dinámicos de aplicaciones (en base a las características y comportamiento de las aplicaciones) y categorías de aplicaciones |
Exigido |
|
|
Control de políticas por usuarios, grupos de usuarios, direcciones IP, redes y zonas de seguridad |
Exigido |
|
|
Firewall debe poder aplicar la inspección de control de aplicaciones, antivirus, filtrado web, filtrado DNS, IPS directamente a las políticas de seguridad |
Exigido |
|
|
Además de las direcciones y servicios de destino, los objetos de servicio de Internet deben poder agregarse directamente a las políticas de firewall |
Exigido |
|
|
Debe soportar automatización de situaciones como detección de equipos comprometidos, estado del sistema, cambios de configuración, eventos específicos, y aplicar una acción que puede ser notificación, bloqueo de un equipo, ejecución de scripts, o funciones en nube pública |
Exigido |
|
|
Debe soportar el protocolo de la industria 'syslog' para el almacenamiento usando formato Common Event Format (CEF) |
Exigido |
|
|
Debe soportar integración de nubes publicas e integración SDN como AWS, Azure, GCP, OCI, AliCloud, Vmware ESXi, NSX, OpenStack, Cisco ACI, Nuage y Kubernetes |
Exigido |
|
|
Debe soportar el protocolo estándar de la industria VXLAN |
Exigido |
|
|
La solución debe permitir la implementación sin asistencia de SD-WAN |
Exigido |
|
|
En SD-WAN debe soportar, QoS, modelado de tráfico, ruteo por políticas, IPSEC VPN |
Exigido |
|
|
La solución debe soportar la integración nativa con solución de sandboxing, protección de correo electrónico, cache y Web aplicación firewall |
Exigido |
|
|
Control de aplicaciones |
Los dispositivos de protección de red deben tener la capacidad de reconocer las aplicaciones, independientemente del puerto y protocolo |
Exigido |
|
Detección de aplicaciones en categorías, incluyendo, pero no limitado a: El tráfico relacionado peer-to-peer, redes sociales, acceso remoto, actualización de software, protocolos de red, VoIP, audio, vídeo, Proxy, mensajería instantánea, compartición de archivos, correo electrónico |
Exigido |
|
|
Reconocer al menos las siguientes aplicaciones: BitTorrent, Gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs |
Exigido |
|
|
Identificar el uso de tácticas evasivas, es decir, debe tener la capacidad de ver y controlar las aplicaciones y los ataques con tácticas evasivas a través de las comunicaciones cifradas, tales como Skype y la utilización de la red Tor |
Exigido |
|
|
Para trafico cifrado SSL, debe poder descifrarlo a fin de posibilitar la lectura de payload para permitir la identificación de firmas de la aplicación conocidas por el fabricante |
Exigido |
|
|
Identificar el uso de tácticas evasivas a través de las comunicaciones cifradas |
Exigido |
|
|
Actualización de la base de firmas de la aplicación de forma automática |
Exigido |
|
|
Limitar el ancho de banda utilizado por las aplicaciones, basado en IP, por política de usuarios y grupos |
Exigido |
|
|
Para mantener la seguridad de red eficiente debe soportar el control de las aplicaciones desconocidas y no sólo en aplicaciones conocidas |
Exigido |
|
|
Permitir la creación de forma nativa de firmas personalizadas para el reconocimiento de aplicaciones propietarias en su propia interfaz gráfica, sin la necesidad de la acción del fabricante |
Exigido |
|
|
El fabricante debe permitir solicitar la inclusión de aplicaciones en su base de datos |
Exigido |
|
|
Debe permitir la diferenciación de tráfico Peer2Peer (Bittorrent, eMule, etc) permitiendo granularidad de control/reglas para el mismo |
Exigido |
|
|
Debe permitir la diferenciación de tráfico de mensajería instantánea (AIM, Hangouts, Facebook Chat, etc.) permitiendo granularidad de control/reglas para el mismo |
Exigido |
|
|
Debe permitir la diferenciación de aplicaciones Proxies (psiphon, Freegate, etc.) permitiendo granularidad de control/reglas para el mismo |
Exigido |
|
|
Debe ser posible la creación de grupos dinámicos de aplicaciones, basado en las características de las mismas, tales como: Tecnología utilizada en las aplicaciones (Client-Server, Browse Based, Network Protocol, etc) |
Exigido |
|
|
Debe ser posible crear grupos dinámicos de aplicaciones basados en características de las mismas, tales como: Nivel de riesgo de la aplicación |
Exigido |
|
|
Debe ser posible crear grupos estáticos de aplicaciones basadas en características de las mismas, tales como: Categoría de Aplicación |
Exigido |
|
|
Debe ser posible configurar la anulación de unas aplicaciones seleccionando las aplicaciones individualmente |
Exigido |
|
|
Prevención de amenazas |
Para proteger el entorno contra los ataques, deben tener módulo IPS, antivirus y anti-spyware integrado en el propio equipo |
Exigido |
|
Debe incluir firmas de prevención de intrusiones (IPS) y el bloqueo de archivos maliciosos (antivirus y anti-spyware) |
Exigido |
|
|
Las características de IPS y antivirus deben funcionar de forma permanente, pudiendo utilizarlas de forma indefinida, aunque no exista el derecho a recibir actualizaciones o no exista un contrato de garantía del software con el fabricante |
Exigido |
|
|
Debe sincronizar las firmas de IPS, antivirus, anti-spyware cuando se implementa en alta disponibilidad |
Exigido |
|
|
Debe soportar granularidad en las políticas de IPS, Antivirus y Anti-Spyware, permitiendo la creación de diferentes políticas por zona de seguridad, dirección de origen, dirección de destino, servicio y la combinación de todos estos elementos |
Exigido |
|
|
Deber permitir el bloqueo de vulnerabilidades y exploits conocidos |
Exigido |
|
|
Debe incluir la protección contra ataques de denegación de servicio |
Exigido |
|
|
Debe tener los siguientes mecanismos de inspección IPS: Análisis de decodificación de protocolo |
Exigido |
|
|
Debe tener los siguientes mecanismos de inspección IPS: Análisis para detectar anomalías de protocolo |
Exigido |
|
|
Debe tener los siguientes mecanismos de inspección IPS: Desfragmentación IP |
Exigido |
|
|
Debe tener los siguientes mecanismos de inspección IPS: Re ensamblado de paquetes TCP |
Exigido |
|
|
Debe tener los siguientes mecanismos de inspección IPS: Bloqueo de paquetes con formato incorrecto (malformed packets) |
Exigido |
|
|
Debe ser inmune y capaz de prevenir los ataques básicos, tales como inundaciones (flood) de SYN, ICMP , UDP, etc |
Exigido |
|
|
Detectar y bloquear los escaneos de puertos de origen |
Exigido |
|
|
Bloquear ataques realizados por gusanos (worms) conocidos |
Exigido |
|
|
Contar con firmas específicas para la mitigación de ataques DoS y DDoS |
Exigido |
|
|
Contar con firmas para bloquear ataques de desbordamiento de memoria intermedia (buffer overflow) |
Exigido |
|
|
Debe poder crear firmas personalizadas en la interfaz gráfica del producto |
Exigido |
|
|
Identificar y bloquear la comunicación con redes de bots |
Exigido |
|
|
Registrar en la consola de supervisión la siguiente información sobre amenazas concretas: El nombre de la firma o el ataque, la aplicación, el usuario, el origen y destino de las comunicaciones, además de las medidas adoptadas por el dispositivo |
Exigido |
|
|
Debe ser compatible con la captura de paquetes (PCAP), mediante la firma de IPS o control de aplicación |
Exigido |
|
|
Debe tener la función de protección a través de la resolución de direcciones DNS, la identificación de nombres de resolución de las solicitudes a los dominios maliciosos de botnets conocidos |
Exigido |
|
|
Los eventos deben identificar el país que origino la amenaza |
Exigido |
|
|
Debe incluir protección contra virus en contenido HTML y Javascript, software espía (spyware) y gusanos (worms) |
Exigido |
|
|
Tener protección contra descargas involuntarias mediante archivos ejecutables maliciosos y HTTP |
Exigido |
|
|
Debe permitir la configuración de diferentes políticas de control de amenazas y ataques basados en políticas de firewall considerando usuarios, grupos de usuarios, origen, destino, zonas de seguridad, etc., es decir, cada política de firewall puede tener una configuración diferente de IPS basada en usuario, grupos de usuarios, origen, destino, zonas de seguridad |
Exigido |
|
|
Proporcionan protección contra ataques de día cero a través de una estrecha integración con componentes del tejido de seguridad, incluyendo NGFW y Sandbox (en las instalaciones y en la nube) |
Exigido |
|
|
Filtrado por URL |
Debe permitir especificar la política por tiempo, es decir, la definición de reglas para un tiempo o período determinado (día, mes, año, día de la semana y hora) |
Exigido |
|
Debe soportar la capacidad de crear políticas basadas en control por URL y categoría de URL |
Exigido |
|
|
Debe tener la base de datos de URLs en caché en el equipo o en la nube del fabricante, evitando retrasos de comunicación / validación de direcciones URL |
Exigido |
|
|
Debe tener la funcionalidad de exclusión de URLs por categoría |
Exigido |
|
|
Permitir página de bloqueo personalizada |
Exigido |
|
|
Permitir bloqueo y continuación (que permita al usuario acceder a un sitio potencialmente bloqueado, informándole en pantalla del bloqueo y permitiendo el uso de un botón Continuar para que el usuario pueda seguir teniendo acceso al sitio) |
Exigido |
|
|
Además del Web Proxy explicito, soportar proxy web transparente |
Exigido |
|
|
Identificación de usuario |
Se debe incluir la capacidad de crear políticas basadas en la visibilidad y el control de quién está usando dichas aplicaciones a través de la integración con los servicios de directorio, a través de la autenticación LDAP, Active Directory, E-directorio y base de datos local |
Exigido |
|
Debe tener integración con Microsoft Active Directory para identificar a los usuarios y grupos, permitiendo granularidad a las políticas / control basados en usuarios y grupos de usuarios |
Exigido |
|
|
Debe permitir el control sin necesidad de instalación de software de cliente, el equipo que solicita salida a Internet, antes de iniciar la navegación, entre a un portal de autentificación residente en el equipo de seguridad (portal cautivo); |
Exigido |
|
|
Debe soportar la identificación de varios usuarios conectados a la misma dirección IP en entornos Citrix y Microsoft Terminal Server, lo que permite una visibilidad y un control granular por usuario en el uso de las aplicaciones que se encuentran en estos servicios |
Exigido |
|
|
Debe de implementar la creación de grupos de usuarios en el firewall, basada atributos de LDAP / AD |
Exigido |
|
|
Permitir la integración con tokens para la autenticación de usuarios, incluyendo, pero no limitado a, acceso a Internet y gestión de la plataforma |
Exigido |
|
|
Debe incluir al menos dos tokens de forma nativa, lo que permite la autenticación de dos factores |
Exigido |
|
|
QoS & Shaping |
Con el fin de controlar el tráfico y aplicaciones cuyo consumo puede ser excesivo (como YouTube, Ustream, etc.) y que tienen un alto consumo de ancho de banda, se requiere de la solución que, además de permitir o denegar dichas solicitudes, debe tener la capacidad de controlar el ancho de banda máximo cuando son solicitados por los diferentes usuarios o aplicaciones, tanto de audio como de video streaming |
Exigido |
|
Soportar la creación de políticas de QoS y Traffic Shaping por dirección de origen |
Exigido |
|
|
Soportar la creación de políticas de QoS y Traffic Shaping por dirección de destino |
Exigido |
|
|
Soportar la creación de políticas de QoS y Traffic Shaping por usuario y grupo |
Exigido |
|
|
Soportar la creación de políticas de calidad de servicio y Traffic Shaping por puerto |
Exigido |
|
|
En QoS debe permitir la definición de tráfico con ancho de banda garantizado |
Exigido |
|
|
En QoS debe permitir la definición de tráfico con máximo ancho de banda |
Exigido |
|
|
En QoS debe permitir la definición de colas de prioridad |
Exigido |
|
|
Soportar priorización de tráfico utilizando información de Tipo de Servicio (Type of Service) |
Exigido |
|
|
Debe soportar QoS (traffic-shapping) en las interfaces agregadas o redundantes |
Exigido |
|
|
Prevención de pérdida de datos |
Permite la creación de filtros para archivos y datos predefinidos |
Exigido |
|
Los archivos deben ser identificados por tamaño y tipo; |
Exigido |
|
|
Permitir identificar y opcionalmente prevenir la transferencia de varios tipos de archivo identificados en las aplicaciones |
Exigido |
|
|
Soportar la identificación de archivos comprimidos o la aplicación de políticas sobre el contenido de este tipo de archivos |
Exigido |
|
|
Soportar la identificación de archivos cifrados y la aplicación de políticas sobre el contenido de este tipo de archivos; |
Exigido |
|
|
Permitir identificar y opcionalmente prevenir la transferencia de información sensible, incluyendo, pero no limitado a, número de tarjeta de crédito, permitiendo la creación de nuevos tipos de datos a través de expresiones regulares |
Exigido |
|
|
Filtro por geografía |
Soportar la creación de políticas por geo-localización, permitiendo bloquear el tráfico de cierto País/Países |
Exigido |
|
Debe permitir la visualización de los países de origen y destino en los registros de acceso |
Exigido |
|
|
Debe permitir la creación de zonas geográficas por medio de la interfaz gráfica de usuario y la creación de políticas usando las mismas |
Exigido |
|
|
VPN |
Soporte VPN de sitio-a-sitio y cliente-a-sitio |
Exigido |
|
Soportar VPN IPSec |
Exigido |
|
|
Soportar VPN SSL |
Exigido |
|
|
La VPN IPSec debe ser compatible con la autenticación MD5, SHA-1, SHA-256, SHA-512 |
Exigido |
|
|
La VPN IPSec debe ser compatible con Diffie-Hellman Grupo 1, Grupo 2, Grupo 5 y Grupo 14 |
Exigido |
|
|
La VPN IPSec debe ser compatible con Internet Key Exchange (IKEv1 y v2) |
Exigido |
|
|
La VPN IPSec debe ser compatible con AES de 128, 192 y 256 (Advanced Encryption Standard) |
Exigido |
|
|
Debe tener interoperabilidad con los siguientes fabricantes: Cisco, Check Point, Juniper, Palo Alto Networks, Fortinet, SonicWall |
Exigido |
|
|
Soportar VPN para IPv4 e IPv6, así como el tráfico IPv4 dentro de túneles IPv6 IPSec |
Exigido |
|
|
Debe permitir activar y desactivar túneles IPSec VPN desde la interfaz gráfica de la solución |
Exigido |
|
|
Debe permitir que todo el tráfico de los usuarios VPN remotos fluya hacia el túnel VPN, previniendo la comunicación directa con dispositivos locales como un proxy |
Exigido |
|
|
Debe permitir la creación de políticas de control de aplicaciones, IPS, antivirus, filtrado de URL y AntiSpyware para el tráfico de clientes remotos conectados a la VPN SSL |
Exigido |
|
|
Permitir la aplicación de políticas de seguridad y visibilidad para las aplicaciones que circulan dentro de túneles SSL |
Exigido |
|
|
Deberá mantener una conexión segura con el portal durante la sesión |
Exigido |
|
|
El agente de VPN SSL o IPSEC cliente-a-sitio debe ser compatible con al menos Windows y Mac OS |
Exigido |
|
|
|
Cuando el tráfico se conmuta directamente en los puertos Ethernet de los puntos de acceso (local switching) y la autenticación sea WPA/WPA2-Personal (PSK), en caso de fallo en la comunicación entre los puntos de acceso y el controlador inalámbrico, los usuarios asociados deben permanecer asociados a los puntos de acceso y al mismo SSID. Debe permitirse la conexión de nuevos usuarios a la red inalámbrica |
Exigido |
|
La solución debe permitir definir qué redes serán tuneladas hasta la controladora y qué redes serán conmutadas directamente por la interfaz del punto de acceso |
Exigido |
|
|
La solución debe implementar recursos que posibiliten la identificación de interferencias provenientes de equipos que operen en las frecuencias de 2.4GHz y 5GHz |
Exigido |
|
|
La solución debe permitir el equilibrio de carga de los usuarios conectados a la infraestructura inalámbrica de forma automática. La distribución de los usuarios entre los puntos de acceso cercanos debe ocurrir sin intervención humana y basada en criterios como número de dispositivos asociados en cada punto de acceso |
Exigido |
|
|
La solución debe tener mecanismos para detectar y mitigar los puntos de acceso no autorizados, también conocidos como Rogue AP. La mitigación debe realizarse de forma automática y batida en criterios tales como: intensidad de señal o SSID. Los puntos de acceso administrados por la solución deben evitar la conexión de clientes en puntos de acceso no autorizados |
Exigido |
|
|
La solución debe permitir el agrupamiento de VLANs para que se distribuyan múltiples subredes en un determinado SSID, reduciendo así el broadcast y aumentando la disponibilidad de direcciones IP |
Exigido |
|
|
La solución debe permitir la creación de múltiples dominios de movilidad (SSID) con configuraciones distintas de seguridad y red. Debe ser posible especificar en qué puntos de acceso o grupos de puntos de acceso que cada dominio estará habilitado |
Exigido |
|
|
La solución debe garantizar al administrador de la red determinar los horarios y días de la semana que las redes (SSID) estarán disponibles para los usuarios |
Exigido |
|
|
Debe permitir restringir el número máximo de dispositivos conectados por punto de acceso y por radio |
Exigido |
|
|
La solución debe implementar el estándar IEEE 802.11r para acelerar el proceso de roaming de los dispositivos a través de la función conocida como Fast Roaming |
Exigido |
|
|
La solución debe implementar el estándar IEEE 802.11k para permitir que un dispositivo conectado a la red inalámbrica identifique rápidamente otros puntos de acceso disponibles en su área para que ejecute la itinerancia |
Exigido |
|
|
La solución debe implementar el estándar IEEE 802.11v para permitir que la red influya en las decisiones de roaming del cliente conectada mediante el suministro de información complementaria, como la carga de utilización de los puntos de acceso cercanos; |
Exigido |
|
|
La solución debe implementar el estándar IEEE 802.11w para prevenir ataques a la infraestructura inalámbrica |
Exigido |
|
|
La solución debe soportar priorización a través de WMM y permitir la traducción de los valores a DSCP cuando los paquetes se destinan a la red de cableado |
Exigido |
|
|
La solución debe implementar técnicas de Call Admission Control para limitar el número de llamadas simultáneas |
Exigido |
|
|
La solución debe mostrar información sobre los dispositivos conectados a la infraestructura inalámbrica e informar al menos la siguiente información: Nombre de usuario conectado al dispositivo, Fabricante y sistema operativo del dispositivo, Dirección IP, SSID al que está conectado, Punto de acceso al que está conectado , Canal al que está conectado, Banda transmitida y recibida (en Kbps), intensidad de la señal considerando el ruido en dB (SNR), capacidad MIMO y horario de la asociación |
Exigido |
|
|
La solución debe permitir la configuración de los data rates que se activarán en la herramienta y las que se deshabilitar para las frecuencias de 2.4 y 5GHz y los estándares 802.11a / b / g / n / ac |
Exigido |
|
|
La solución debe soportar la característica que ignore Probe Requests de clientes que tienen una señal débil o distante. Debe permitir definir el umbral para que los Probe Requests sean ignorados |
Exigido |
|
|
La solución debe implementar reglas de firewall (stateful) para controlar el tráfico permitiendo o descartando paquetes de acuerdo con la política configurada, reglas que deben utilizar como criterio direcciones de origen y destino (IPv4 e IPv6), puertos y protocolos |
Exigido |
|
|
La solución debe implementar la función de web filtering para controlar los sitios que se accede a la red inalámbrica. Debe poseer una base de conocimiento para categorizar los sitios y permitir configurar qué categorías de sitios serán permitidos y bloqueados para cada perfil de usuario y SSID |
Exigido |
|
|
La solución debe tener capacidad de reconocimiento de aplicaciones a través de la técnica de DPI (Deep Packet Inspection) que permita al administrador de la red monitorear el perfil de acceso de los usuarios e implementar políticas de control. Debe permitir el funcionamiento de esta característica y la actualización periódica de la base de aplicaciones durante todo el período de garantía de la solución |
Exigido |
|
|
La base de reconocimiento de aplicaciones a través de DPI debe identificar con al menos 1500 (mil y quinientas) aplicaciones |
Exigido |
|
|
La solución debe permitir la creación de reglas para el bloqueo y el límite de banda (en Mbps, Kbps ou Bps) para las aplicaciones reconocidas a través de la técnica de DPI |
Exigido |
|
|
La solución debe, a través de la técnica de DPI, reconocer aplicaciones sensibles al negocio y permitir la priorización de este tráfico con QoS |
Exigido |
|
|
La solución debe implementar mecanismos de protección para identificar ataques a la infraestructura inalámbrica. Al menos los siguientes ataques deben ser identificados: |
Exigido |
|
|
- Ataques de flood contra el protocolo EAPOL (EAPOL Flooding); |
||
|
- Los siguientes ataques de denegación de servicio: Association Flood, Authentication Flood, Broadcast Deauthentication y Spoofed Deauthentication; |
||
|
- ASLEAP; |
||
|
- Null Probe Response / Null SSID Probe Response; |
||
|
- Long Duration; |
||
|
- Ataques contra Wireless Bridges; |
||
|
- Weak WEP; |
||
|
- Invalid MAC OUI |
||
|
La solución debe implementar mecanismos de protección para mitigar ataques a la infraestructura inalámbrica. Al menos ataques de denegación de servicio deben ser mitigados por la infraestructura a través del envío de paquetes de deauthentication |
Exigido |
|
|
La solución debe implementar mecanismos de protección contra ataques de ARP Poisoning en la red inalámbrica |
Exigido |
|
|
La solución debe monitorear y clasificar el riesgo de las aplicaciones accesadas por los clientes inalámbricos |
Exigido |
|
|
Permitir configurar el bloqueo en la comunicación entre los clientes inalámbricos conectados a un SSID |
Exigido |
|
|
Debe implementar la autenticación administrativa a través del protocolo RADIUS |
Exigido |
|
|
En combinación con los puntos de acceso, la solución debe implementar los siguientes métodos de autenticación: WPA (TKIP) y WPA2 (AES); |
Exigido |
|
|
En combinación con los puntos de acceso, la solución debe ser compatible e implementar el método de autenticación WPA3 |
Exigido |
|
|
La solución debe permitir la configuración de múltiples claves de autenticación PSK para su uso en un SSID determinado |
Exigido |
|
|
Cuando se utiliza la función de múltiples claves PSK, la solución debe permitir la definición de límite en cuanto al número de conexiones simultáneas para cada clave creada |
Exigido |
|
|
La solución debe implementar el protocolo IEEE 802.1X con la asociación dinámica de VLAN para los usuarios basados en los atributos proporcionados por los servidores RADIUS |
Exigido |
|
|
La solución debe admitir los siguientes métodos de autenticación EAP: EAP-AKA, EAP-SIM, EAP-FAST, EAP-TLS, EAP-TTLS y PEAP |
Exigido |
|
|
La solución debe implementar la característica de autenticación de los usuarios a través de la página web HTTPS, también conocido como Captive Portal. La solución debe limitar el acceso de los usuarios mientras éstos no informen las credenciales válidas para el acceso a la red |
Exigido |
|
|
La solución debe permitir la personalización de la página de autenticación, de forma que el administrador de red sea capaz de cambiar el código HTML de la página web con formato de texto e insertar imágenes |
Exigido |
|
|
La solución debe permitir la recopilación del correo electrónico de los usuarios como método de autorización para ingreso a la red |
Exigido |
|
|
La solución debe permitir que la página de autenticación se quede alojada en un servidor externo |
Exigido |
|
|
La solución debe permitir el registro de cuentas para usuarios visitantes en la memoria interna. La solución debe permitir que sea definido un período de validez para la cuenta creada |
Exigido |
|
|
La solución debe tener interfaz gráfica para administrar y gestionar las cuentas de usuarios visitantes, no permitiendo acceso a las demás funciones de administración de la solución |
Exigido |
|
|
La solución debe implementar la función de DHCP Server (IPv4 y IPv6) para facilitar la configuración de las redes de visitantes |
Exigido |
|
|
La solución debe identificar automáticamente el tipo de equipo y sistema operativo utilizado por el dispositivo conectado a la red inalámbrica |
Exigido |
|
|
La solución debe permitir la configuración de redes Mesh entre los puntos de acceso administrados por ella |
Exigido |
|
|
La solución debe permitir ser administrada a través del protocolo SNMP (v1, v2c y v3), además de emitir notificaciones a través de la generación de traps |
Exigido |
|
|
La solución debe presentar gráficamente la topología lógica de la red, representar los elementos de la red gestionados, además de información sobre los usuarios conectados con la cantidad de datos transmitidos y recibidos por ellos |
Exigido |
|
|
La solución debe implementar la administración unificada y de forma gráfica para redes WiFi y redes cableadas |
Exigido |
|
|
La solución debe tener herramientas de diagnóstico y depuración |
Exigido |
|
|
La solución debe soportar la comunicación con elementos externos a través de las API |
Exigido |
|
|
Licenciamiento |
Las licencias deberán contar con una vigencia para actualización y soporte técnico del fabricante por un periodo mínimo de 36 meses |
Exigido |
|
Servicios profesionales de Implementaciones |
Instalación: El Oferente deberá contemplar los servicios profesionales correspondientes para la instalación y puesta en funcionamiento del firewall perimetral adquirido. Las actividades de montaje, instalación, configuración y puesta en funcionamiento de los equipos se realizarán en las oficinas de la convocante, con el acompañamiento y fiscalización de los técnicos de la entidad. Deberá contemplar la migración de las configuraciones actualmente en producción en el firewall Fortigate 100D. El oferente adjudicado deberá́ incluir los accesorios, cables, drivers, interfaces, manuales y conectores para el óptimo funcionamiento del equipo, por más que estos no sean expresamente solicitados. El oferente se compromete a efectuar la migración de la configuración del equipo actualmente en producción y la puesta en marcha de la solución llave en mano encargándose de la interoperabilidad de esta solución con los equipos existentes en la convocante. Para realizar los servicios profesionales requeridos, los potenciales oferentes deberán contar con al menos 1 consultor con certificación en ciberseguridad y al menos 02 técnicos certificados en Network Security Professional los cuales deberá ser staff permanente de la empresa (verificable con la planilla de IPS y/o Estatuto de la empresa) con una antigüedad mínima de 12 (doce) meses |
Exigido |
La entrega de los bienes se realizará de acuerdo al plan de entrega y cronograma de cumplimiento, indicado en el presente apartado. Así mismo, de los documentos de embarque y otros que deberá suministrar el proveedor indicado a continuación:
|
Ítem |
Descripción del bien |
Cantidad |
Unidad de medida |
Lugar de entrega de los bienes |
Fecha(s) final(es) de entrega de los bienes |
|
1 |
EQUIPO DE SEGURIDAD DE RED FIREWALL |
1 |
UNIDAD |
ITURBE 175 C/ ELIGIO AYALA |
60 días apartir de la emisión de la orden de servicio |
|
Ítem |
Descripción del servicio |
Cantidad |
Unidad de medida de los servicios |
Lugar donde los servicios serán prestados |
Fecha(s) final(es) de ejecución de los servicios |
|
(Indicar el N°) |
(Indicar la descripción de los servicios) |
(Insertar la cantidad de rubros de servicios a proveer) |
(Indicar la unidad de medida de los rubros de servicios |
(Indicar el nombre del lugar) |
(Indicar la(s) fecha(s) de entrega requerida(s) |
|
|
|
|
|
|
|
Para la presente contratación se pone a disposición los siguientes planos o diseños:
|
Lista de Planos o Diseños |
||
|
Plano o Diseño No. |
Nombre del Plano o Diseño |
Propósito |
|
|
|
|
|
|
|
|
El embalaje, la identificación y la documentación dentro y fuera de los paquetes serán como se indican a continuación:
No aplica
Las inspecciones y pruebas serán como se indica a continuación:
No aplica
El documento requerido para acreditar el cumplimiento contractual, será:
Planificación de indicadores de cumplimiento:
|
INDICADOR |
TIPO |
FECHA DE PRESENTACIÓN PREVISTA (se indica la fecha que debe presentar según el PBC) |
|
Nota de Remisión / Acta de recepción 1 |
Nota de Remisión / Acta de recepción |
Agosto xx |
De manera a establecer indicadores de cumplimiento, a través del sistema de seguimiento de contratos, la convocante deberá determinar el tipo de documento que acredite el efectivo cumplimiento de la ejecución del contrato, así como planificar la cantidad de indicadores que deberán ser presentados durante la ejecución. Por lo tanto, la convocante en este apartado y de acuerdo al tipo de contratación de que se trate, deberá indicar el documento a ser comunicado a través del módulo de Seguimiento de Contratos y la cantidad de los mismos.
La convocante adjudicará el contrato al oferente cuya oferta haya sido evaluada como la más baja y cumpla sustancialmente con los requisitos de la carta de invitación, siempre y cuando la convocante determine que el oferente está calificado para ejecutar el contrato satisfactoriamente.
1. La adjudicación en los procesos de contratación en los cuales se aplique la modalidad de contrato abierto, se efectuará por las cantidades o montos máximos solicitados en el llamado, sin que ello implique obligación de la convocante de requerir la provisión de esa cantidad o monto durante de la vigencia del contrato, obligándose sí respecto de las cantidades o montos mínimos establecidos.
2. En caso de que la convocante no haya adquirido la cantidad o monto mínimo establecido, deberá consultar al proveedor si desea ampliarlo para el siguiente ejercicio fiscal, hasta cumplir el mínimo.
3. Al momento de adjudicar el contrato, la convocante se reserva el derecho a disminuir la cantidad de Bienes requeridos, por razones de disponibilidad presupuestaria u otras razones debidamente justificadas. Estas variaciones no podrán alterar los precios unitarios u otros términos y condiciones de la oferta y de los documentos de la licitación.
En aquellos llamados en los cuales se aplique la modalidad de contrato abierto, cuando la Convocante deba disminuir cantidades o montos a ser adjudicados, no podrá modificar el monto o las cantidades mínimas establecidas en las bases de la contratación.
La comunicación de la adjudicación a los oferentes será como sigue:
1. Dentro de los cinco (5) días corridos de haberse resuelto la adjudicación, la convocante comunicará a través del Sistema de Información de Contrataciones Públicas, copia del informe de evaluación y del acto administrativo de adjudicación, los cuales serán puestos a disposición pública en el referido sistema. Adicionalmente el sistema generará una notificación a los oferentes por los medios remotos de comunicación electrónica pertinentes, la cual será reglamentada por la DNCP.
2. En sustitución de la notificación a través del Sistema de Información de Contrataciones Públicas, las convocantes podrán dar a conocer la adjudicación por cédula de notificación a cada uno de los oferentes, acompañados de la copia íntegra del acto administrativo y del informe de evaluación. La no entrega del informe en ocasión de la notificación, suspende el plazo para formular protestas hasta tanto la convocante haga entrega de dicha copia al oferente solicitante.
3. En caso de la convocante opte por la notificación física a los oferentes participantes, deberá realizarse únicamente con el acuse de recibo y en el mismo con expresa mención de haber recibido el informe de evaluación y la resolución de adjudicación.
4. Las cancelaciones o declaraciones desiertas deberán ser notificadas a todos los oferentes, según el procedimiento indicado precedentemente.
5. Las notificaciones realizadas en virtud al contrato, deberán ser por escrito y dirigirse a la dirección indicada en el contrato.
Una vez notificado el resultado del proceso, el oferente tendrá la facultad de solicitar una audiencia a fin de que la convocante explique los fundamentos que motivan su decisión.
La solicitud de audiencia informativa no suspenderá ni interrumpirá el plazo para la interposición de protestas.
La misma deberá ser solicitada dentro de los dos (2) días hábiles siguientes en que el oferente haya tomado conocimiento de los términos del Informe de Evaluación de Ofertas.
La convocante deberá dar respuesta a dicha solicitud dentro de los dos (2) días hábiles de haberla recibido y realizar la audiencia en un plazo que no exceda de dos (2) días hábiles siguientes a la fecha de respuesta al oferente.
Luego de la notificación de adjudicación, el proveedor deberá presentar en el plazo establecido en las reglamentaciones vigentes, los documentos indicados en el presente apartado.
|
|
|
|
|
|
|
|
2. Documentos. Consorcios |
|
|
|
|