TRMINOS DE REFERENCIA PARA LA ADQUISICIN DE UN EQUIPO UTM PARA ESTABLECER SEGURIDAD DE LA INFORMACIN A NIVEL LOCAL Y EXTERNA DE LA EPMAPA SD

ANTECEDENTES

Actualmente la Empresa Pblica de Agua Potable y Alcantarillado Santo Domingo ha realizado un proceso de innovacin tecnolgica ante la presencia de un mundo globalizado, brindando servicios informticos en todos sus aspectos como son el rea de Hardware, Software, Redes y Conectividad, motivo por el cual necesita equipos informticos con tecnologa de punta y de ltima generacin.La informacin es uno de los activos intangibles ms importante que posee la empresa ya que en ella se almacena toda la informacin tanto de la parte comercial y la parte administrativa razn por la cual se necesita resguardarla ante un sin nmero de ataques informticos que existen y que en varias ocasiones ha sido vctima los servidores informticos de la institucin como son HACKEO de la Pgina Web de la Institucin, violacin de acceso a los servidores informticos, entre otros.De igual forma otro de los inconvenientes palpados corresponde a la aplicacin de las polticas de tecnologas de la informacin en la red interna de la institucin, ya que es complicado restringir pginas web con el servidor proxy implementado actualmente, debido a software o aplicaciones que trabajan a nivel de Layer 7, que permiten evadir estas polticas y acceder a pginas de entretenimiento que no tiene nada que ver con la gestin laboral diaria en la institucin como por ejemplo programas o aplicaciones P2P (Peer to Peer).

OBJETIVOS DEL PROYECTO Adquirir e implementar un equipo UTM (Unified Threat Management) que brinde seguridad de la informacin a la red local de la empresa, y permita gestionar de forma eficiente y confiable el acceso a sus recursos informticos. Implementacin de mejores prcticas para servicios informticos como proxy, firewall, DHCP, VPN, SPAM. Administrar de manera eficiente la autenticacin de usuarios basadas en proxy, siendo as que los servicios de proxy, HTTP, HTTPD sean otorgados a usuarios especficos o grupo de usuarios. Administracin y segmentacin lgica de la red interna de la EPMAPA SD tanto en usuarios finales como servidores informticos adaptando a la polticas y configuraciones del equipo UTM. Proteccin de red interna de la EPMAPA-SD de virus informticos actualizados provenientes del internet mediante bases de datos de registros que brinda la proteccin y eliminacin de los mismos. Implementacin de servicios adicionales escalables a futuro para una mejor administracin y control de la topologa de red de la empresa entre ellas VLAN, tecnologa de 8 capas, single sign-on, bridging, VPN SSL a travs de certificados x.509 & VPN IPSec, IDS/ IPS, catalogacin de trfico, antivirus, proteccin hora cero de correo electrnico, filtrado web.ALCANCE DEL PROYECTOEl proveedor deber dejar implementado y configurado el equipo UTM, adaptndolo a la red interna de la institucin con sus respectivas configuraciones de la polticas de seguridad que brinda el equipo, de igual forma adaptar los servicios que actualmente posee la institucin a dichas polticas de seguridad, todo esto realizando un previo anlisis de la topologa de red de la empresa y asegurndose que las configuraciones realizadas en el equipo permitirn escalabilidad a nivel de topologa de red la empresa a futuro.Los servicios configurados por parte del proveedor en el equipo UTM sern la interfaz de administracin de usuario, Interface 100% grfica (eGUI) con funcionalidad "Drag & Drop", Firewall, LAN / WAN-support, User authentication, DHCP, DMZ, VLAN, Bridge-mode, Traffic shaping, Proxies, Antivirus, Web-filter, Antispam, High availability, IDS/IPS, Statistics, VPN, Logging, Reporting, Solucin IPSec y SSL sitio-a-sitio con certificados X.509, adems de otras opciones como reportes en lo que respecta a logs y auditoria.De igual forma el proveedor deber brindar las capacitaciones correspondientes al departamento de tecnologa e informtica de la empresa sobre las configuraciones, manejo y porte del equipo UTM.METODOLOGA DEL TRABAJOEs de conocimiento que el proveedor deber poseer una amplia experiencia en la implementacin de soluciones de seguridad y networking que incluya el manejo de equipos UTM, razn por la cual la metodologa de trabajo deber establecerse de la siguiente manera: Anlisis de la infraestructura actual: En esta fase inicial la empresa proveedora del equipo deber realizar un anlisis de la arquitectura de red actual de la empresa incluyendo los servicios que estn funcionando para de esta manera adecuar las configuraciones de los servicios que incluye el equipo a la misma. Definicin de alcance u objetivos a ser cumplidos con la implementacin del nuevo equipo de seguridad: En esta fase la empresa proveedora del equipo UTM junto con la Direccin de Tecnologa debern socializar con el fin determinar qu servicios ofrece el equipo UTM, anlisis de los servicios ms convenientes y cuales sern implementados en la red interna de la empresa. Diseo de implementacin, en el que se establece la nueva estructura de la red una vez que se implemente el nuevo equipo de seguridad: La empresa proveedora del equipo realizara el diseo de la nueva arquitectura de red de la empresa incluyendo en la misma los equipos UTM con todos los servicios implementados por el mismo. Evaluacin de impacto y cambios sobre la red que tendr la implementacin del nuevo equipo de seguridad: La empresa encargada de implementar el equipo UTM deber realizar un anlisis a detalle del impacto y cambios que generar esta implementacin, claro est que este anlisis ser a beneficio y seguridad del funcionamiento de la red. Documentacin de diseo, anlisis y administracin del equipo: Los procesos de anlisis descritos anteriormente deben constar en un informe de implementacin, de igual forma debe existir un documento correspondiente al manual de usuario y administrador del equipo. Configuracin inicial del equipo de acuerdo al diseo: En esta etapa el proveedor deber realizar la configuracin inicial del equipo de acuerdo a los anlisis de requerimientos antes realizados. Prueba de implementacin del equipo: Una vez realizada la configuracin inicial del equipo deber implementar todos los servicios descritos en la seccin de alcance del proyecto como Interface 100% grfica (eGUI) con funcionalidad "Drag & Drop", Firewall, LAN / WAN-support, User authentication, DHCP, DMZ, VLAN, Bridge-mode, Traffic shaping, Proxies, Antivirus, Web-filter, Antispam, High availability, IDS/IPS, Statistics, VPN, Logging, Reporting, Solucin IPSec y SSL sitio-a-sitio con certificados X.509. Paso a produccin del nuevo equipo de seguridad: Una vez realizadas las configuraciones respectivas en el equipo UTM, el proveedor pondr a prueba el equipo en ambiente de produccin para certificar el rendimiento y desempeo del mismo. Pruebas y correccin de errores: Si en el ambiente de produccin el equipo presenta problemas o falencias con los servicios instalados (Detallados anteriormente) el proveedor se encargara de rectificar hasta que el equipo funcione correctamente. Monitoreo peridico del equipo: Despus de la puesta en marcha del equipo y rectificados los errores en tal caso que hubiesen existido, se realizar un monitoreo peridico del funcionamiento del equipo y la red para verificar el funcionamiento del mismo de igual forma el proveedor deber brindar toda la ayuda disponible ante cualquier falla del mismo. Capacitacin: Una vez realizada las pruebas de monitoreo y control, con su respectivo visto bueno, el proveedor deber realizar la capacitacin al personal de la Direccin de Tecnologa referente a la administracin del equipo y todo lo concerniente a la manipulacin del mismo.

En conclusin el equipo UTM deber quedar operativo y funcionando en la empresa y el proveedor deber de encargarse de que los servicios instalados en el equipo UTM queden operativos en la institucin.INFORMACIN QUE DISPONE LA ENTIDADLa entidad brindara toda la informacin tcnica correspondiente a la arquitectura de red lgica y fsica y los servicios informticos que actualmente funcionan dentro de la institucin, de igual manera se brindara las facilidades para que la empresa encargada de implementar el equipo UTM pueda desarrollar la ejecucin del proyecto satisfactoriamente.PRODUCTOS O SERVICIOS ESPERADOS:El producto final que se espera dentro la empresa es la implementacin del equipo UTM con todos los servicios antes mencionados (Ver Alcance del Proyecto), adaptado a la arquitectura de red de la empresa y la funcionalidad en conjunto de todos los servicios que se ejecutan en la misma.PLAZO DE EJECUCCION: PARCIAL Y/O TOTAL:El plazo total para la implementacin del equipo UTM con todas las actividades detalladas en el alcance del proyecto es aproximadamente tres semanas.

PERSONAL / EQUIPO TRABAJO / RECURSOS:

El proveedor encargado de proveer el equipo y realizar el trabajo deber contar con las siguientes caractersticas: El proveedor deber ser distribuidor Platinum de la solucin (presentar certificados). Que tenga al menos 5 aos de experiencia trabajando con instituciones pblicas. El proveedor deber ser una empresa especializada en la distribucin e implementacin de soluciones de seguridad de la informacin. Deber contar con al menos 3 tcnicos certificados por el fabricante.

Cabe recalcar que los gastos ajenos a la implementacin como son transporte, alimentacin, estada durante el tiempo o plazo de ejecucin del proyecto sern asumidos por el proveedor.

CARACTERSTICAS Y ESPECIFICACIONES TCNICAS DEL EQUIPO UTM

CARACTERSTICAS Y FUNCIONALIDADES UTM FIREWALL El Firewall UTM deber contar con la posibilidad de configurar tarjetera y configuraciones IP a definicin de la dependencia a su uso. De manera adjunta deber contar con la posibilidad de configurar para su servicio la fecha y la hora, ya sea manual o por medio de un servidor NTP, donde se agreguen los servidores NTP bajo demanda por medio de un listado o pool de ellos. Permitir acceso exterior del cliente a travs de internet con configuraciones de denegacin acceso, acceso por VPN y la de permitir el acceso en general. As mismo tener la opcin de acceso por medio de SSH externo atreves de internet con las opciones de denegacin de acceso, acceso solo por VPN y el permitir el acceso en general. Y habilitar y deshabilitar el protocolo ICMP (ping) directamente al firewall. Deber contar con funcionalidades de autenticacin de usuarios y aplicaciones. Deber permitir manejar horarios en los que se activan las polticas y se desactivan. Deber permitir el manejo de objetos de manera totalmente grafica identificando colores y compuestos entre los que estn: Nodo de red (Computadora, Servidor, Impresora, Porttil, VoIP). Grupo de nodos (Basado en coleccin de equipos, Redes y Rangos de direcciones IP). VPN (De tipo IPSEC, PPTP y SSL). Grupo de VPNs (Basado en coleccin de usuarios o de redes). Usuarios VPN (Basados en el sistema de autenticacin local y/o directorio activo (ver apartado de usuarios)). Grupo de Usuarios VPN (Basados en el sistema de autenticacin local y/o directorio activo lgicamente basado a niveles de usuario Deber contar con un editor de reglas basado en las siguientes condicionales como mnimo: Servicio (Especificando puerto y protocolo) Accin (Direccin de la conectividad) Intervalo de tiempo (Se declarara un vector de tiempo en el cual la poltica estar activo) Deber permitir loggear el evento de conectividad (Log Event) Deber poder asignar proxy para funcionalidades e inspeccin especifica (dependiendo la necesidad) Deber permitir configurar NATs/BiNAT/PNATs y SNATs Deber permitir asignar inspeccin a nivel aplicativo para: DNS FTP HTTP POP3 SMTP Deber permitir realizar condicionales especficas para ruteo interno, externo, NAT (SNAT,PNAT,NAT,BNAT) Deber contar con un panel especfico donde se pueda monitorear en tiempo real el status de las conexiones en donde se puedan realizar filtros especficos para obtener datos importantes durante la resolucin de problemas. Deber contar con un panel donde se puedan visualizar todas las DMZs asignadas dentro del UTM. Deber contar con la posibilidad de ser administrado por una herramienta propietaria (Grafica forzosamente) y como segunda opcin va CLI (consola). Debe trabajar de acuerdo con la norma ISO 9241. Deber contar con la certificacin Common Criteria EAL 4+ (adjuntar documentacin) Deber gestionar backups automticos de manera interna sobre la plataforma actualmente configurada. Deber poder generar backups que se extraern y podrn ser guardados de manera automatizada en la mquina donde se instale la consola de administracin. Deber permitir la automatizacin de las copias de seguridad va FTP o SCP a un servidor externo.

INTERFACES Y MEDIOS FSICOS. Deber contar con al menos 10 interfaces Gigabit Ethernet RJ45 Intel Deber contar con al menos 4 puertos SFP Mini GBIC Intel Deber poseer discos redundantes en RAID con caractersticas Hot Swap Deber poseer fuente de poder redundante. Deber poseer un chip de crypto aceleracin VPN para optimizar la velocidad de las comunicaciones a travs de VPN. Deber ser rackeable. Deber mostrar el status del link de las tarjetas a configurar, el nombre, la MAC, el tipo y una pequea descripcin. Deber permitir generar troncales de vlan e interfaces vlan con switches que se adecuen al estndar 802.1b, estas interfaces debern ser independientes de las interfaces reales. Debern permitir el etiquetado de vlans y su modelo de licenciamiento ser abierto dando la posibilidad de utilizar hasta 4094 vlans diferentes, de igual manera se deber permitir a las interfaces de vlan contar con una IP dinmica o esttica dependiendo de la configuracin deseada, la asignacin de ips virtuales y la modificacin del MTU especifico necesario. Deber contar con la posibilidad de realizar Bridges (transparentes) entre tarjetas reales dando la funcionalidad de firewalling, ips, ids, content filter y traffic shapping. Deber permitir asignar IP a los bridges y contar con la posibilidad de asignar una ip virtual a los mismos. Deber permitir generar tneles SSL entre interfaces de bridge con fines de realizar VPNs en modo transparente.

PERFORMANCE DE LA SOLUCIN Deber tener al menos un firewall throughput de 7500 Mbps. Deber tener al menos un VPN IPSec throughput de 2000 Mbps. Deber tener al menos un UTM throughput de 1000 Mbps. Deber tener al menos un IDS/IPS throughput de 1500 Mbps. Deber permitir al menos 2000000 (dos millones) de sesiones concurrentes. Deber permitir al menos 20000 (veinte mil) nuevas sesiones por segundo

CONFIGURACIONES DE ROUTING/ ADMINISTRACIN DE PROTOCOLOS DE RUTEO Deber contar con la posibilidad de manejar ruteo esttico, donde se especifique interfaz, destino, mascara de red y gateway. Deber permitir utilizar protocolos de ruteo RIP y RIP(+/+) asignado por regiones en donde sean configurables el tiempo de actualizacin de la ruta (en segundos), el tiempo de validez (en segundos) y el tiempo fuera (timeout) (en segundos) al igual que permitir controlar y depurar eventos y paquetes, de igual manera deber permitir asignar varios vecinos (neighbors) autenticados o no autenticados. Deber permitir controlar OSPF en modo activo y pasivo as como la asignacin de un ruteador de OSPF.

ADMINISTRACIN DE ROLES Deber contar con la posibilidad de permitir a distintos usuarios tomar roles especficos sobre la plataforma administrada definiendo parmetros sencillos tales como: Nombre de usuario Descripcin Acceso a interfaz administrativa (Si/No) Acceso a estadsticas generales (Si/No) Manejo de credenciales y contraseas Derechos de acceso (Lectura/Abrir), (Ejecutar/Guardar) Asignacin de credenciales para tneles PPTP. (Es importante que se permita asignar una IP diferente por usuario de manera esttica una vez dentro del tnel y de la red para conexiones Client to Site (roadwarrior)).

ADMINISTRACIN DE INTERNET La solucin deber poder administrar como mnimo 3 enlaces diferentes de internet. Cada tipo de conexin a internet deber poder ser de tipo RDSI, PPPoE, PPTPoE o conexin a ruteador comn. Deber permitir poner los enlaces en desvo, alta disponibilidad o separados. Deber permitir configurar varios gateways por default dependiendo de polticas especficas de ruteo. Deber permitir el desvo de trfico considerando pesos para la mxima utilizacin de la plataforma. Deber permitir asignar DNSs especficos por conexin a internet (granular) o DNSs especficos de manera global.

ADMINISTRACIN DE PROXYS Deber contar con la posibilidad de manejar un PROXYs para servicios: HTTP (De modo transparente e in-transparente, este ltimo con la posibilidad de autenticar usuarios locales, del directorio activo o basados en un servidor RADIUS, para el modo in-transparente deber permitir asignar cualquier puerto) El proxy http deber permitir realizar CACHE para optimizar el ancho de banda evitando la recarga de pginas previamente visualizadas. HTTPS (De modo in-transparente y transparente, este ltimo deber contar con la posibilidad de in-personificar certificados digitales y tener la integracin completa con el navegador para evadir la posibilidad de la no inspeccin de protocolos cifrados). Para estos dos proxys se deber permitir la configuracin de listas negras y blancas de URLs as como categoras especficas para evitar poner en riesgo la infraestructura que est siendo protegida. SMTP (Transparente y no transparente) FTP (Transparente y no transparente) POP3 (Transparente y no transparente) Para estos 5 proxys deber poder integrarse la inspeccin de virus en la infraestructura de UTM. DNS SIP

ADMINISTRACIN DE TRFICO Y CALIDAD DE SERVICIO.

Deber contar con la posibilidad de generar colas especficas de administracin de trfico basada en servicios orientados al negocio especificando trfico garantizado, trfico mximo para transacciones de subida y bajada. Las colas debern poder asignarse por enlace. Se debern poder asignar reglas de calidad de servicio QoS, de acuerdo al protocolo 802.1q en donde se puedan etiquetar los paquetes para interactuar con ruteadores que diferencien tipos de trafico basados en calidad de servicio. Las reglas de calidad de servicio (QoS) debern poder asignarse a tneles de VPN (PPTP), IPSec y SSL.

ADMINISTRACIN DE SERVIDORES DNS Y DHCP. Deber contar con el servicio de replicacin de DNSs para usuarios finales del UTM Deber proporcionar los DNSs especficos que le corresponden a cada cliente conectado basados en la poltica general de internet (ya sea DNS dinmico o esttico). El UTM deber contar con un servidor de DHCP para los usuarios finales totalmente configurable con los siguientes requisitos mnimos. Deber poder configurarse en modo servidor DHCP o Relay Presencia de DHCP en tarjeta especfica Red asignada Rango de IPs que se asignar Lease Time por defecto Gateway por defecto Servidor DNS preferido Servidor DNS alternativo Servidor WINS Servidor NTP preferido Servidor NTP alternativo Deber contar con la posibilidad de asignar IPs estticas dentro del DHCP Deber permitir importar la configuracin de MAC basadas en el ARP cache del UTM Deber permitir asignar nombres de host (hostnames) a ips estticas dentro del DHCP.

PRESENTACIN DE INFORMES Y MONITOREO. Deber permitir el envo de notificaciones sobre el status del firewall, lo anterior basado en el mdulo especifico que detecta la amenaza, los envos debern realizarse por correo electrnico especificando un SMTP externo. El servidor SMTP deber soportar cifrado TLS. Deber contar con notificaciones de utilizacin de los filesystems internos del UTM. Deber contar con la posibilidad de reportar remotamente a un servidor syslog el status general del firewall. Deber permitir crear un informe ejecutivo en formato PDF que incluya diferentes informes y estadsticas proporcionadas por el firewall.

ADMINISTRACIN DE AUTENTICACIN DE USUARIOS. El dispositivo UTM deber ser lo suficientemente poderoso para funcionar autenticando usuarios de manera local y en funcin de un directorio LDAP (openldap, Active Directory, etc.). Deber poder integrar una relacin de confianza con Active Directory por medio de Kerberos. Deber tener la funcionalidad de obtener los grupos de LDAP consultado para proporcionar reglas especficas en funcin de las necesidades del negocio y aplicarlas a polticas de UTM. Deber contar con la funcionalidad de autenticar usuarios por medio de un portal cautivo (captive portal), completamente configurable (branding) en funcin de imagen de la empresa, importando un archivo DHTML con campos especficos de una manera sencilla, al igual que todos los mensajes de error y de comunicacin debern ser totalmente configurables. El portal cautivo deber proporcionarse va un medio seguro (HTTPS) El portal cautivo deber proporcionar autenticacin a usuarios para la utilizacin de perfiles de navegacin (content filter), IPS, IDS, Antivirus, Proxys, QoS, Traffic Shapping y Reglas generales del firewall (PASS IN, PASS OUT) incluyendo la utilizacin de horarios.

ADMINISTRACIN DE ACTUALIZACIONES Deber contar con la posibilidad de segmentar actualizaciones de funcionalidad, de seguridad, hotfixes y firmware con fines de poder aplicarlos de manera automatizada algunos y otros no, dependiendo del nivel de riesgo del firewall. Deber contar con la posibilidad de agendar en intervalos de tiempo la bsqueda automatizada de nuevas actualizaciones y la posibilidad de poder instalarlas automticamente. Deber contar con un log de actualizaciones aplicadas y actualizaciones pendientes. Debern poder proporcionarse las actualizaciones y los hotfixes de firmware y componentes va internet, mirror update server o archivos de actualizacin directamente en el UTM.

DELIVERY DE LA SOLUCIN Deber poder proporcionarse en appliance (tanto el UTM como la consola de administracin). Deber poder proporcionarse por medio de una imagen instalable en un equipo Intel/AMD (tanto el UTM como la consola de administracin). Deber poder proporcionarse en funcin de una mquina virtual (VmWare/HyperV/Citrix) (tanto el UTM como la consola de administracin). Deber proporcionarse un licenciamiento por un periodo de 1 ao. Deber ser una solucin unificada tanto en costos como en la totalidad de mdulos que posea la solucin ofertada.

Administracin del Filtro de Internet y Contenidos El UTM deber contar con un mdulo para contener phishing, malware y filtrado basado en categoras. Deber contar con bsquedas en el cloud del proveedor de servicio de las URLs categorizadas, adems deber contar con una copia de las bases de datos y de conocimiento de URLs basado en categoras. Deber contar con la posibilidad de realizar listas negras y listas blancas basadas en expresiones regulares. Deber contar con una aplicacin para poder buscar donde una URL especifica est incluida en una categora con fines de bsqueda y resolucin de problemas. Deber permitir bloquear ciertos sitios para navegacin en formato https. Deber poseer un mdulo independiente para bloqueo de video y audio en internet. Deber poder bloquear de forma granular solo funciones especficas dentro de una aplicacin global (x ej. Bloquear chat y bsqueda en facebook pero permitir acceso al muro). Deber permitir bloquear proxys annimos tales como ultrasurf Deber permitir bloquear redes p2p. Deber permitir asignar ancho de banda especfico no solo por usuario y grupo sino tambin por el tipo de servicio que utilice cada uno. Deber permitir asignar cuotas de navegacin tanto en tiempo como en volumen, por da, hora, semana, mes. Deber poder proteger los datos personales del usuario tales como enlaces y consultas donde se incluyan logins, passwords, etc. Deber poder asignar tiempos especficos en los que las reglas son usados y deber poder asignarse a IPs y usuarios en funcin del proxy HTTP y HTTPS. Deber permitir bloquear todo por default y realizar exclusiones especficas. Deber poder bloquear extensiones de archivo y meta caracteres. Deber recibir actualizaciones en tiempo real con el cloud del fabricante y de toda la base por lo menos 1 vez diaria.

ADMINISTRACIN DEL FILTRO DE CORREO ELECTRNICO (ANTISPAM) Deber contar con bsquedas en el cloud del proveedor de servicio basado en deteccin de da zero (0day antispam proteccin) y brotes. Deber funcionar en modo completamente transparente en funcin del proxy SMTP sin necesidad de configurar nada en la plataforma de SMTP que manejar el correo electrnico. Deber funcionar en modo blacklist y modo whitelist. Deber rechazar correos electrnicos y/o borrarlos dependiendo de las necesidades. Deber de poder importar las direcciones de correo electrnico del directorio activo.

ADMINISTRACIN DEL FILTRO ANTIVIRUS Deber contar con la posibilidad de inspeccionar protocolos de manera transparente e in-transparente. Deber actualizarse en funcin al cloud del proveedor cada 30 minutos. Deber contar con la posibilidad de inspeccionar archivos compresos en ms de 2500 formatos. Deber contar con aceleracin de escaneo mediante el uso de tecnologas iChecker e iSwift. Deber poder detectar y bloquear amenazas detectadas (claramente) o de manera sospechosa, adems de alertar sobre archivos inspeccionados de manera incorrecta, deber contar con la posibilidad de realizar anlisis heurstico superficial, medio o profundo. El antivirus que contenga la solucin, deber ser lder en el cuadrante de gartner en la estadstica del ltimo ao. Deber permitir modificar el tamao de los archivos al ser escaneados. Deber permitir modificar la memoria asignada al proceso de escaneo. Deber permitir realizar exclusiones basadas en listas blancas para hosts, urls o ips. El antivirus que contenga la solucin, deber haber aprobado los premios de Virus Bulletin correspondiente a Windows 7 Professional Agosto 2012, Windows Server 2003 R2 Octubre 2012, Windows 8 Professional Diciembre 2012, SUSE Linux Febrero 2013, Windows XP Professional Abril 2013. El antivirus que contenga la solucin, deber haber obtenido el reconocimiento Product of the Year 2013 segn AV-Comparatives.

ADMINISTRACIN DE LA DETECCIN Y PREVENCIN DE INTRUSIONES El UTM deber contar con la posibilidad de realizar funciones de deteccin y prevencin de intrusiones en dos instancias separadas esto se busca con el fin de que la instancia de prevencin de intrusiones que esta en lnea solo bloquee cosas realmente importantes y la instancia de IDS que no se encuentra en lnea pueda reportar contenido informativo sin daar el performance del equipo. El UTM deber proporcionar un ruleset para el modulo de IPS/IDS que contenga por lo menos 2 grupos, polticas bsicas de deteccin (4300+) y polticas extendidas de deteccin (10000+). Deber permitir generar perfiles por tarjeta y por modulo (IPS o IDS) independientes de las acciones especificas a realizar. Deber contar como mnimo con deteccin de las siguientes categoras de amenazas: Amenazas basadas en cdigo ActiveX Amenazas asociadas a respuestas de ataques completados o infructferos. Amenazas de Botnets y Sistemas de control de botnets. Listas de reputacin de direcciones IP conocidas como maliciosas y peligrosas. Listas de reputacin de direcciones IP de servidores web comprometidos (hackeados). Reglas modificadas previamente y declaradas como (DELETED). Amenazas asociadas a ataques DNS. Amenazas asociadas a ataques de denegacin de servicio. Listas de reputacin de conectividad basadas en listados pblicos tales como (spamhaus, etc). Listas de reputacin de conectividad basadas en listas de dshield. Vectores de explotacin funcionales conocidos. Amenazas asociadas a ataques de FTP. Juegos que podran ser bloqueados basados en reputacin. Amenazas asociadas a ataques por medio de ICMP. Amenazas asociadas a ataques IMAP. Palabras inapropiadas. Informacin Genrica. Malware. Contenido informativo Miscelneo. Malware para dispositivos Mviles. Amenazas asociadas a ataques NetBIOS. Trafico P2P. Violacin de polticas. Amenazas asociadas a ataques POP3. Redes rusas de negocios (Russian Business Networks) (redes que han sido declaradas con actividad criminal). Redes rusas de negocios con tipificacin desconocida. Amenazas asociadas a vectores de explotacin RPC. Amenazas asociadas a sistemas SCADA. Amenazas asociadas a sistemas especiales SCADA. Tcnicas de escaneo y mitigacin. Shellcodes. Amenazas asociadas a vectores de explotacin SMTP. Amenazas asociadas a vectores de explotacin SNMP. Amenazas asociadas a vectores de explotacin SQL. Amenazas asociadas a vectores de explotacin TELNET. Amenazas asociadas a vectores de explotacin TFTP. Amenazas asociadas a vectores de explotacin en protocolos VoIP. Redes y comandos ToR. Troyanos. Agentes de Usuario riesgosos. Virus. Vectores de explotacin en clientes web. Vectores de explotacin para servidores web. Vectores de explotacin para aplicaciones web especficas. Gusanos

ADMINISTRACIN DE LOS CERTIFICADOS DIGITALES (CERTIFICATE AUTHORITY) Deber contar con la posibilidad de administrar certificados digitales basados en la norma X.509 y PKCS, tanto para los proxys especficos como para otros mdulos. Deber contar con la posibilidad de crear una CA dentro de la misma caja (CA-CRT) Deber contar con la posibilidad de crear certificados digitales (CRT) Deber contar con la posibilidad de crear solicitudes de firma (CSR) Deber contar con la posibilidad de manejar Online Certificate Status Protocol (OSCP) y Certificate Revocation Lists (CRL) para validar que las credenciales sigan activadas aun cuando el certificado no haya sido revocado en ciertos puntos de la infraestructura.

ADMINISTRACIN REDES PRIVADAS VIRTUALES Deber contar con la posibilidad de inicializar tneles de tipo PPTP Donde se seale pool de direcciones IP que sern utilizadas Gateway asignado Transferencia automtica de DNS Transferencia automtica de WINS Deber contar con la posibilidad de negociar tneles de tipo IPSEC de tipo client to site (C2S) y site to site (S2S) con las siguientes caractersticas mnimas: Se deber poder asignar un nombre significativo al tnel Asignacin a interfaz Tipo de conexin Red local que ser ruteada automticamente en el tnel. Red remota que ser automticamente ruteada en el tnel. Posibilidad de iniciar automticamente los tneles Para el modo de client to site se deber poder configurar L2TP o la utilizacin del cliente propietario de la solucin. Los modelos de autenticacin podrn ser basados en Certificados o Pre-shared Keys. Se deber permitir autenticacin va XAUTH en IKE 1. Se podrn utilizar las credenciales de usuario especificadas va el directorio activo o las credenciales locales del apartado credenciales de usuario. Se deber poder utilizar como cifrado IKEv1 o IKEv2. Se deber utilizar algoritmos de cifrado y autenticacin. Se deber poder configurar el tiempo de vida Se deber poder utilizar IKE mvil Se podr especificar el periodo de validez Se podr configurar PFS (Perfect Forward Secrecy) De manera adicional se deber poder configurar y restringir el trfico de IPSec a un puerto y protocolo concreto (requerido para L2TP cuando se realiza la conexin desde un equipo Windows. De igual manera debe ofrecer la funcionalidad de comprimir el trfico para ahorrar ancho de banda. Una vez generado el tnel deber permitir pasar cualquier tipo de trfico en funcin de reglas especficas dictaminadas dentro del tnel, no deber ser necesario generar tneles nuevos por polticas. Deber contar con la posibilidad de negociar tneles de tipo SSL de tipo client to site (C2S) y site to site (S2S). Los tneles SSL debern funcionar en base a la herramienta de manejo de certificados y debern contener las funcionalidades normales de los tneles IPSec excepto que funcionando sobre protocolo SSL (Layer 4). La solucin UTM deber proporcionar un cliente nativo desarrollado por el fabricante que funcione en equipos Windows (2000,XP,2003,2008,7,8) para tneles IPSEC y SSL. De igual manera en la mayora de los sistemas operativos deber existir soporte nativo para las tecnologas VPN que son utilizadas en la solucin.

ENTREGA DE REPORTES Y ESTADSTICOS Deber contar con la posibilidad de mostrar informacin sobre las visitas a sitios de internet. Deber contar con la posibilidad de mostrar informacin sobre las URLs y visitas bloqueadas. Deber contar con la posibilidad de extender reportes sobre informacin protocolaria y aplicativa. Deber mostrar graficas ejecutivas sobre ataques bloqueados por el IPS y lista de top de atacantes. Deber mostrar grficas ejecutivas sobre ataques inspeccionados por el IDS y lista de top de atacantes. Deber mostrar un reporte sobre los usuarios y su utilizacin de ancho de banda y protocolaria. Deber mostrar un reporte del trfico que se genera entre usuarios e IPs. Deber mostrar reportes ejecutivos sobre el trfico en general que est ocurriendo sobre el firewall. Deber contar con reportes ejecutivos sobre la utilizacin del ancho de banda en las distintas calidades de servicio. Deber mostrar reportes ejecutivos del uso de los servicios de internet. Deber mostrar reportes ejecutivos sobre el uso de los correos electrnicos y sus amenazas. Se debern poder generar filtros para obtener la informacin que al negocio le funcione con los siguientes parmetros como mnimo: Filtro por usuario, por objeto o por nombre. Filtro por intervalo de tiempo en rangos o de fecha A a fecha B. Filtro de plazo especifico de horario. Filtro de nmero total de eventos que se seleccionaran. Deber mostrar un resumen general de la actividad de malware, amenazas, spam, etc completamente ejecutivo. Deber mostrar estadsticos de versin de sistema operativo, uptime, y memoria virtual. Deber mostrar estadsticos de utilizacin de sistemas de archivos y RAID. Deber mostrar estadsticos sobre la configuracin y la utilizacin de las interfaces de red. Deber mostrar histricos sobre utilizacin de CPU/RAM y recursos. Deber mostrar histricos sobre los recursos disponibles. Deber mostrar utilizacin de I/O histrica. Deber mostrar estadsticos de errores en las tarjetas de red y los dispositivos. Deber mostrar estadsticos de utilizacin por modulo y dispositivo. Deber mostrar un resumen general de las conexiones que estn funcionando en la plataforma. Dichos reportes debern poder exportarse a imgenes y/o archivos separados por comas (CSV).

FORMA Y CONDICIONES DE PAGOEl pago se lo realizara en la forma de pago contra entrega una vez que el equipo se encuentre en produccin y con respectivo informe de actividades y aprobacin de la Direccin de Tecnologa.

GARATIAS Y SOPORTE Y LICENCIA DE USO Garanta Fsica del Equipo: 2 aos en piezas y por defectos de fbrica. En caso de dao del hardware, la garanta debe considerar el reemplazo ntegro del/los equipos afectados. Soporte: Actualizaciones de Paquetes y Soporte remoto durante 3 aos. Licenciamiento: Licencia Premium del Equipo durante 3 aos.

COSTO TOTAL DEL PROYECTOEl costo total del proyecto ser de $35,850.00, treinta y cinco mil ochocientos cincuenta dlares americanos, cabe recalcar que este precio referencial no incluyen IVA.

Atentamente,

________________________Ing. Carlos A. PullasDIRECTOR DE TECNOLOGA