www.anam.gob.pa Edificio 804, Albrook Apartado 0843-00793 República de Panamá ESPECIFICACIONES TÉCNICAS Suministro, instalación, configuración y puesta en marcha de un Sistema de Filtrado Web y Protocolos La Autoridad Nacional del Ambiente tiene alrededor de 1400 usuarios y actualmente no cuenta con un sistema de seguridad de filtrado que permita evitar el ingreso a sitios maliciosos o no deseados y el uso de programas no aprobados por la Dirección de Administración de Sistemas de Información Ambiental lo que repercute en el bajo rendimiento de la red de datos e internet y en el ocio de los colaboradores. Solucionar el problema de degradación de rendimiento que sufre la red de datos a nivel nacional y evitar posibles amenazas por el uso incorrecto del internet por parte de los colaboradores. 1. Debe cumplir con las exigencias de la Autoridad Nacional del Ambiente y lo recomendado por el fabricante del producto. Esto incluye control de calidad de la instalación final del producto en cuanto a funcionalidad. 2. Se configurará el filtrado para que se cumplan las políticas con los distintos grupos del Directorio Activo de Microso Windows Server, según lo solicite la institución para los usuarios de distintas categorías que deben cumplir con políticas desde las más leves hasta las más estrictas. 3. Deberán aplicarse las políticas definidas por defecto por el fabricante para que luego el personal de la institución pueda afinar más en detalle dichas políticas luego de la capacitación. 4. El filtrado deberá quedar configurado para bloquear mediante filtrado web las más conocidas páginas de entretenimiento y redes sociales como son Facebook, Twier, Badoo, programas de chat, entre otros, permitiendo el acceso a los sitios sociales antes mencionados que tienen relación con la institución. 5. El filtrado deberá quedar configurado para bloquear mediante protocolo las aplicaciones más conocidas de mayor consumo de ancho de banda y posibles amenazas como son programas Peer to Peer (P2P) de cualquier tipo como Ares, BitTorrent, eDonkey, Vuze, uTorrent y servicios como YouTube, señales en vivo de Audio y Video de distintos proveedores y televisoras, emisoras de radio, entre otros, con excepción a los sitios multimedia antes mencionados (YouTube) que tienen relación con la institución, por lo que la solución debe tener la capacidad de filtrar a nivel granular los sitios de redes sociales (Facebook, Twier, YouTube, Instagram) permitiendo decidir a nivel de cuentas de dominio que usuarios tienen acceso a qué sitios y a que parte de esos sitios específicamente. 6. El sistema de filtrado deberá quedar configurado para bloquear mediante protocolo las principales aplicaciones de servidor proxy, VPN y conectividad anónima conocidas hasta el momento tanto en ambiente web como instaladas localmente en equipos o de manera portable como Tor, Ultrasurf, TunnelBear, Tails, PureVPN y cualquier programa que permita conexiones no autorizadas a localidades remotas con el fin enmascarar ubicación y sobrepasar los sistemas de seguridad y filtrado inclusive de la institución. 7. El sistema deberá trabajar de forma transparente sin necesidad de instalar agentes o programas en las máquinas para validar la autenticación, además deberá permitir autenticar a través de un portal captivo a los usuarios no validados en el dominio. 8. El esquema de licenciamiento inicial y posterior actualización (renovación) del producto deberá ser capaz de aceptar usuarios ilimitados enfocado a rendimiento del producto y no a cantidad de usuarios, lo que permitirá que los costos no se incrementen al transcurrir el tiempo o la cantidad de usuarios que accesan la red. Además el producto deberá seguir funcional y activo al 100% una vez caduque la licencia de actualización de la base de datos. 9. El sistema deberá permitir personalizar las pantallas de presentación de mensajes, alertas y avisos a los usuarios con los logos de la institución y en idioma español e inglés. 10. Realizar y documentar las pruebas de aceptación de los sistemas y equipos involucrados con la solución. 11. El Fabricante debe estar posicionado como Líder en el Cuadrante mágico de Gartner para la solución ofertada. 12. Capacitación y entrenamiento para el personal de la ANAM que manejará la solución de filtrado. 1. El Contratista es responsable de entregar a la ANAM en tiempo y en forma establecida los productos y servicios definidos. La forma o criterio de aceptación se definen al principio de cada una de las fases del proyecto. Cualquier modificación en los tiempos o entregables debe ser acordada entre los dos gerentes de proyectos (la ANAM y El Contratista). 2. El Contratista es responsable de implantar y adecuar la solución que abarque todos y cada uno de los requerimientos que se definen en este documento. 3. El Contratista proveerá el recurso humano técnico para el desarrollo de la aplicación, de acuerdo a las competencias solicitadas en este documento. 4. El Contratista es responsable de coordinar todos los recursos que se utilicen para la solución de la aplicación, reportando a la ANAM cualquier problema, que interfiera en el normal desarrollo, relacionado con recursos de la ANAM. 5. El Contratista es responsable de proveer a la ANAM recurso humano con conocimientos de la herramienta acordes a las necesidades de implantación. 6. El Contratista se compromete a reemplazar cualquier técnico a criterio de la ANAM, con previo acuerdo de las partes, que se crea no cumple con los conocimientos técnicos necesarios para la ejecución de la solución. 7. El Contratista es responsable por el desempeño y conducta de todos sus técnicos durante la ejecución del proyecto. 8. El Contratista hará entrega en medio digital de un informe final con el diseño y configuración de la solución. 9. Durante los 12 meses de garantía y servicio de soporte, El Contratista configurará cuantas veces sea necesario, la solución, sin costo adicional. 1. La empresa debe contar con oficinas registradas en Panamá cuyo domicilio físico sea en el territorio nacional, preferiblemente en la ciudad de Panamá. 2. Anexar informació́n con el domicilio, los telé́fonos, fax, direcciones de correo electró́nico. 3. El Contratista presentará carta de distribuidor autorizado emitida por el fabricante, que certifique la trayectoria de distribución y que cuente con los derechos de comercializar la solución a implementar. La carta deberá indicar que el proponente tiene más de 5 años de representar la marca. 4. El Contratista presentará carta del fabricante que certifique que es un Canal Autorizado (Authorized Reseller) en Panamá, y que es un distribuidor con el nivel de socio más alto (Platino por ejemplo) que ofrezca la marca. La carta deberá indicar la dirección de correo electrónico o número de teléfono de la casa fabricante donde se pueda validar y certificar los niveles que ofrece y el nivel de socio correspondiente. 5. El Contratista presentará garantía por escrito del servicio por un tiempo no menor a 12 meses tanto para los equipos (si aplica) como para la mano de obra y el soporte. Presentar nota de certificación firmada por el representante legal de la empresa. (No subsanable). 6. El Contratista deberá presentar copia de las certificaciones de al menos 3 ingenieros que los acredite cómo idóneos para realizar los trabajos de instalación y configuración y atender los incidentes de soporte reportados del producto. 7. El Contratista presentará a la ANAM carta del proveedor avalada por Recursos Humanos, indicando que el personal forma parte de la planilla. Debe presentar copia de la ficha de Seguro Social vigente de cada uno de los técnicos certificados. 8. El Contratista presentará al menos (2) cartas de referencias de entidades gubernamentales en las cuales se haya ejecutado esta solución y donde al menos una de las referencias cuente con más de 1200 usuarios en la implementación. 9. El Contratista presentará al menos una carta de referencia de empresa privada en la cual se haya ejecutado esta solución para más de 300 usuarios. 10. Las personas autorizadas a realizar los trabajos deberán hacerlo de forma presencial en las instalaciones de la Autoridad Nacional del Ambiente. No podrán realizarse de manera remota. El Contratista debe presentar un listado de las personas calificadas que van a realizar los trabajos para la emisión de permisos. 1. EL CONTRATISTA deberá facilitar los catálogos u hojas de especificaciones de la solución que pretende ofrecer para que sean evaluados y aprobados. Debe incluir referencia de los documentos del Proyecto que está tratando de cumplir. Cuando se someta literatura que cubra una serie de equipos y especificaciones juntas al que específicamente se desea suministrar, esta será claramente marcada de tal forma que resalte de entre los otros que no se desea suministrar. 2. Las hojas de especificaciones o catálogos deben ser emitidas por el fabricante de la solución ofrecida, demostrando que cumple con todas las características solicitadas en las especificaciones técnicas y el contratista deberá imprimir y marcar en el modelo de cuadro adjunto la página y renglón específico donde sustenta dicha característica dentro de las hojas suministradas. Requisito Cumple (Sí/No) Comentario/Página Especificaciones de Hardware Rendimiento de hasta 9 Gbps de Throughput Debe soportar mínimo 1.2 millón de conexiones concurrentes Debe soportar mínimo 50,000 conexiones por segundo Debe soportar IPv4 e IPv6 Debe soportar Link Aggregation (802.3ad) en modo pasivo y activo Debe Soportar implementación en modo transparente (Layer 2) o en modo ruteo (Layer 3) Debe soportar creación de 1024 vlans en el equipo Debe tener al menos (4) interfaces Ethernet 10/100/1000 RJ45 Debe tener disco duro interno de al menos 250GB El equipo debe ser para montaje en rack e incluir accesorios de montaje El equipo debe soportar Alta disponibilidad en modo activo/activo y activo/pasivo. Debe soportar sincronización de sesiones para el tráfico cifrado y no cifrado. Contar con mecanismos de detección de fallas y detección de pérdida de enlaces Especificaciones de Soware y funcionalidades básicas necesarias Control de mensajería y aplicaciones a nivel de puerto 80, incluyendo el bloqueo selectivo de Chat, Envió de Archivo, Voz y Asistencia Remota Network Address Translation (NAT), automático y manual, y granular para diferentes orígenes, destinos y servicios Capacidad de hacer Alta Redundancia de proveedor de servicio Debe soportar exportar la configuración del sistema, ya sea de forma manual o programada Debe soportar túneles VPN punto a punto Debe soportar túneles de acceso remoto Debe permitir VPN para el acceso remoto de usuarios tipo móviles mediante IPSec Debe permitir VPN para el acceso remoto de usuarios tipo móviles mediante SSL, sin necesidad de instalar un cliente previo Pueda validar VPN por medio de certificados digitales o llaves secretas Soportar VPN con IKEv1 y IKEv2 Posibilidad de cifrado por medio de DES, 3DES, AES-128 y AES-256. Y revisión de integridad con MD5 y SHA-1 Debe incluir soporte para topologías Sitio a Sitio todos contra todos (Full Mesh), Oficinas remotas hacia oficina central (Topología Estrella), Hub y Spoke (Sitio remoto a través del sitio central hacia otros sitios) Capacidad de realizar SSL VPN a dispositivos móviles iPhones/iPad/Android La solución debe soportar redundancia de proveedor de Internet, en modos activo/pasivo y activo/activo Requerimientos de administración de la plataforma Soportar Gestión de Políticas de forma centralizada para los productos de seguridad Debe tener interfaz gráfica basada en objetos, donde la creación de reglas pueda ser creada mediante objetos La consola de administración debe hacer verificación de errores en las políticas creadas antes de aplicarlas La solución debe permitir revertir la política de seguridad a una versión anterior Debe soportar drag and drop de objetos y deben poder ser reutilizados entre varias políticas Debe soportar administración basada en roles, donde a los administradores se les otorgue perfiles personalizables de administración Debe poder auditar los cambios realizados por los administradores Todos los productos de seguridad deben soportar ser configurados desde una única consola gráfica Debe incluir una Autoridad Certificadora interna X.509, que genere certificados para los gateways y a los usuarios para fácil autenticación en los VPNs Debe poder soportar una Autoridad emisora de Certificados Externa, provista por un tercero Debe soportar agrupación de reglas en secciones etiquetadas para una administración intuitiva y ordenada Debe soportar definición de tiempo de expiración a las reglas de seguridad, de modo que estén activas en intervalos específicos de tiempo La consola de administración debe soportar búsqueda de objetos y reglas Debe tener contador de utilización en las reglas de seguridad, para saber que tanto se utilizan las reglas. Éste contador debe ser visible en la misma lista de reglas de seguridad La solución debe soportar creación de múltiples versiones de la política de seguridad de modo que puedan ser consultadas en caso de necesitar revertir algún cambio. Estas versiones deben poder ser creadas manual o automáticamente La solución debe realizar una verificación de las políticas de seguridad creadas de modo que no existan conflicto de reglas Debe soportar integración con terceros mediante algún lenguaje de código abierto Debe soportar autenticación por una base de datos local, LDAP, TACACS, RADIUS o SecureID Debe soportar administración basada en roles Debe soportar IPv6 Requerimientos de gestión de logs Herramienta capaz de ser utilizada para realizar análisis de auditoría en tiempo real de los eventos de seguridad Búsqueda intuitiva, semejante al sistema de búsqueda de google Debe permitir realizar búsquedas granulares para cualquier comunicación o de patrón de tráfico Debe ser una herramienta sin límite de registros, debe estar limitada solo por el tamaño del espacio en disco Reducir el tiempo de troubleshooting al poder mostrar resultados en tiempo real Debe tener filtros predefinidos de búsqueda y permitir crear y salvar filtros personalizados Requerimientos para Sistema de Prevención de Intrusos La solución debe proveer un sistema de prevención de intrusos (IPS) integrado a la solución de seguridad Debe proveer miles de protecciones preventivas y proactivas out-of-the-box Debe proveer cobertura de protecciones para amenazas de clientes, servidores, sistemas operativos, infecciones de malware y gusanos Debe soportar protección basada en ubicación geográfica Debe inspeccionar el tráfico SSL Debe soportar aceleración de inspección IPS Debe soportar soware configurable para realizar bypass en caso de alta carga, para garantizar rendimiento de red Debe tener protección contra ataques DoS Debe permitir creación de grupos de protecciones o perfiles Debe traer perfiles de protecciones predefinidos out-ofthe-box La solución debe tener las siguientes características clave: resistencia a evasiones, control granular, confianza y precisión en sus protecciones Debe soportar distribución de inspección de IPS para correr en paralelo entre múltiples cores del procesador Debe tener tecnología de inspección del orden de llegada de los paquetes, de modo que ayude contra ataques relacionados al orden de los paquetes Debe proteger contra ataques complejos y elusivos. Ésta inspección debe soportar aceleración Debe soportar inspección de firmas en múltiples partes de los paquetes como lo son URL, encabezados de HTTP; y análisis de protocolos de múltiples conexiones como tráfico de voz sobre IP Contar con mecanismo de detección de amenazas de múltiples niveles o métodos: detección por firmas en vulnerabilidades, validación de protocolos, detección de anomalías, detección basada en comportamiento y correlación de múltiples elementos Debe poder aplicar nuevas protecciones al mismo tiempo que protege la red de ataques. Con protección en tiempo real y actualizaciones de protecciones para: vulnerabilidades, malware, tunneling, control de aplicaciones y ataques genéricos Debe soportar creación de firmas personalizadas basado en lenguaje de código abierto Debe soportar un ambiente de pruebas aislado -sandboxpara probar las nuevas protecciones sin impactar la red Debe soportar activación de protecciones basado en su nivel de severidad, confianza y nivel de impacto en rendimiento Debe poder realizar captura de tráfico para análisis forense Debe soportar marcar protecciones como seguimiento para análisis posterior Debe proveer información detallada de cada protección, que incluya descripción de la amenaza, severidad, nivel de impacto en rendimiento y confianza de la protección Debe soportar realizar excepciones a las protecciones Requerimientos para control de acceso remoto desde dispositivos móvil Solución de acceso remoto a aplicaciones corporativas para dispositivos smartphones, tablets o PCs Debe soportar conexión segura mediante tecnología SSL VPN SSL, y tecnología de conexión VPN de Capa 3 Verificación de usuarios con autenticación de dos (2) factores Proveer conectividad VPN basada en cliente y vía web Para dispositivos móviles debe proteger ante robo de dispositivo mediante bloqueo de dispositivo o borrado remoto de datos coorporativos (remote-wipe) Verificación de cumplimiento de requerimientos mínimo de portátiles Solución de Prevención de Intrusos Integrada que proteja de código malicioso y ataques como SQL injection y Cross site scripting Portal web integrado para acceder a las aplicaciones web, archivos compartidos e email El Portal web debe soportar múltiples lenguajes El Portal web debe ser personalizable Requerimientos de identificación de identidades Administración centralizada del acceso de usuarios a recursos de la empresa y aplicaciones de internet Visibilidad y control granular basada en usuarios, grupos de usuarios, máquinas Debe permitir agregar usuarios, grupo de usuarios y maquinas a las defensas de seguridad Identificación de usuario integrado a Microso Active Directory sin la necesidad de instalar un agente en el controlador de dominio o en las máquinas de los usuarios Identificación de usuarios y máquinas externas mediante portal captivo Identificación de usuarios mediante agentes tanto para estaciones de trabajo como para servidores de aplicaciones como Citrix y Terminal Services Identificación de los usuarios que se conectan por medio de VPN de acceso remoto, para clientes SSL VPN y IPSec VPN Requerimientos de control de aplicaciones Capacidad para identificar, permitir, bloquear o limitar el uso de las aplicaciones por usuario o grupos limitando de esta forma la web 2.0, redes sociales, independientemente del puerto o protocolo o técnica evasiva para atravesar la red Le debe permitir a los administradores crear definiciones de políticas muy granulares Contar con aplicación clasificadora de biblioteca la cual le permite escaneo y detección de más de 4,800 aplicaciones diferentes y más de 300.000 widgets web 2.0 como mensajería instantánea, redes sociales video streaming, VoIP, jugos entre otros Debe contar con más de 150 categorías basadas en criterios como tipos de aplicaciones, nivel de riesgo de seguridad, uso de recursos e implicaciones de productividad Debe permitir bloquear mediante protocolo las aplicaciones más conocidas de mayor consumo de ancho de banda y posibles amenazas como son programas Peer to Peer (P2P) de cualquier tipo y servicios multimedia Debe permitir bloquear mediante protocolo las principales aplicaciones de servidor proxy, VPN y conectividad anónima conocidas hasta el momento tanto en ambiente web como instaladas localmente en equipos o de manera portable y cualquier programa que permita conexiones de adentro hacia afuera, no autorizadas a localidades remotas con el fin enmascarar ubicación y sobrepasar los sistemas de seguridad Debe contar con un identificador de usuario el cual le permite enviar alertas a los empleados en tiempo real acerca de sus limitaciones de acceso a aplicaciones Debe prevenir infecciones de malware provenientes de aplicaciones y widgets de redes sociales Requerimientos de filtrado de navegación Solución integrada para prevención de virus y amenazas Prevenir infecciones de malwares a nivel de gateway Sistema de inspección debe contener más de 4 millones de firmas de virus y más de 250,000 sitios conocidos como fuentes de infección Protección en tiempo real en la nube Eliminar virus en los archivos descargados Motor de inspección basado en firmas y análisis de comportamiento Debe poder evitar que se visiten sitios conocidos con infecciones Brindar protección en los protocolos HTTP, HTTPS, FTP, POP3 y SMTP Requerimientos para protección contra bots Detección de máquinas infectadas con BOT Seguridad en tiempo real en la nube Bloqueo de comunicaciones bot desde maquinas infectadas Detección de ataques APT Prevenir daños de robo de información Administración centralizada por una sola consola 4.5 millones de firmas de malware Controles basados en reputación de IP, URL o dirección DNS Elaborado por: Ing. Rafael Cano Jefe de Soporte Técnico Rev. 1.3 (13144a0)