Lote 1 Servidor para Clúster

Descripción

Características

Mínimo Exigido

Marca

Indicar

Especificar

Modelo

Indicar

Especificar

Origen

Indicar

Especificar

Cantidad

Tres  (03)

Exigido

Factor de Forma

Rackeable de 2U máximo.

Exigido

Procesador

Cantidad instalada en el equipo

02 (dos) de última generación con año de lanzamiento 2023 en adelante.

Exigido

Cantidad máxima soportada por el equipo

2 (Dos) de última generación con año de lanzamiento 2023 en adelante.

Exigido

Características de cada procesador

Cantidad de cores: 20 como mínimo.

Exigido

Frecuencia: 2.0 GHz como mínimo.

Exigido

Memoria

Cantidad instalada

1TB como mínimo.

Exigido

Tipo de memoria

DDR5 4800 MT/s LRDIMM como mínimo.

Exigido

Capacidad máxima de memoria soportado por el equipo

4 TB como mínimo.

Exigido

Cantidad máxima de slots soportados por el equipo

16 slots por procesador como mínimo.

Exigido

Módulo de Plataforma Segura

El equipo debe soportar TPM 2.0 mínimamente.

Exigido

Almacenamiento

2 (DOS) unidad SSD SATA Hot-Plug Lectura Intensiva de 960 GB o superior.

Exigido

Capacidad de albergar hasta 8 discos SFF, con capacidad de crecimiento a 24 bahías a futuro.

Exigido

El equipo debe poder soportar discos SAS, SATA y NVMe.

Exigido

Controladora de discos

2 GB de cache tipo Flash o superior.

Exigido

Soporte para RAID 0, 1, 10

Exigido

Ranuras de Expansión

2x16, 2x8 slots PCIe como mínimo.

Exigido

Interfaces de periféricos

Puertos USB: (04) cuatro unidades como mínimo versión 2.0

Exigido

Puerto VGA: una unidad
Los puertos deberán ser frontales o posteriores

Exigido

Serial: con capacidad de poder agregar una unidad a futuro.

Exigido

Tarjeta Gráfica

Puerto grafico de 16MB integrado con resolución máxima de 1920x1200.

Exigido

Fuente de alimentación

Fuente de alimentación DUAL Redundante (1+1) platinum Hot Plug o similar

Exigido

Comunicaciones

2 (dos) puertos de 1GbE como mínimo.

Exigido

2 (dos) puertos 10GB LAN (opticos) con sus SFP+ como mínimo.

Exigido

2 (dos) puertos 10GB LAN (cobre) como mínimo.

Exigido

2 (dos) puertos de 32GB FC con sus SFP como mínimo.

Exigido

Sistema Operativo Soportados

Windows Server 2016 o superior

Exigido

Red Hat Enterprise Linux 7.0 o superior

Exigido

Xenserver 7.1 o superior

Exigido

Huawei DCS FusionCompute 8.0 o superior

Exigido

VMware vSphere 7.0 o superior

Exigido

Características RAS

Diagnóstico de fallas de hardware en el equipo mediante LEDs indicadores.
Además de luces LEDs indicadores de fallas, se requerirá que cuente con la descripción detallada de la alerta.

Exigido

Administración

Debe poseer puerto de consola dedicado y licenciamiento necesario para la  administración  remota  del  Servidor,  que  permita  configurar, supervisar y actualizar el servidor.
Debe poseer consola remota integrada y capacidad de montar medios virtuales.

Exigido

Kit de Montaje en Rack y Accesorios

Proporcionar el kit completo de: cables, soportes, organizadores y demás accesorios requeridos para el montaje y funcionamiento correcto del servidor en el rack.

Exigido

Montaje

Se deberá proveer el kit completo de montaje, cables, soportes, organizadores y demás accesorios requeridos para el montaje y funcionamiento correcto del servidor.

Exigido

Instalación

Todos los trabajos a ser ejecutados, deben ser presentados una vez terminados, de manera prolija y mecánicamente resistente.

Exigido

Proveer los accesorios necesarios para la realización de las tareas: cintas, tornillos, arandelas, etc.

Exigido

Además de cumplir con lo establecido en la presente documentación, las instalaciones deberán ser ejecutadas en un todo de acuerdo con los reglamentos para instalaciones de los estándares internacionales.

Exigido

Fabricación

Todos los equipos deben ser nuevos fabricación 2024 y de la última generación disponible del fabricante con fabricación reciente y encontrarse en comercialización activa

Exigido

Autorización

Carta de autorización del fabricante indicando que la empresa oferente es canal autorizado y está autorizado para presentar oferta para el presente llamado.

Exigido

Garantía

Carta de garantía del fabricante por 36 meses. El servicio de garantía deberá ser realizado por técnicos certificados avalado por el Fabricante.

Exigido

Plazo de entrega

60 (sesenta) días corridos desde la entrega de la orden de compra.

Exigido

Servicios e implementación

El oferente deberá proveer los servicios profesionales necesarios para llevar a cabo de forma satisfactoria la migración de la infraestructura virtual Huawei DCS de su entorno de Producción del Ministerio de Economía y Finanzas a los nuevos servidores proveídos según requerimientos y para ello se solicita:

La firma contratada deberá contar con al menos:

01 (uno) profesional con certificado vigente de PMP (Project Management Professional) certificado por el PMI (Project Manager Institute) o certificación vigente Scrum Master con reconocimiento internacional o certificaciones equivalentes, para la planificación, ejecución y control de los trabajos, Los cuales deberán ser  verificable con la planilla de IPS y/o Estatuto de la empresa.

02 (dos) técnicos certificados por el fabricante de los equipos ofertados para la instalación física (rackeo) y configuración del arreglo raid.

02 (dos) técnicos certificados en el producto de virtualización de Huawei Virtualization Suite Platinum Edition los cuáles serán los encargados de diseñar el nuevo esquema de la infraestructura virtual Huawei DCS y el procedimiento de migración de las VMs a los nuevos servidores del Ministerio de Economía y Finanzas.

También así realizarán la instalación de la Huawei DCS (la misma versión actualmente en producción) en los servidores nuevos. 

Deberá configurar en clúster de Huawei DCS los nuevos equipos con los mismos parámetros que actualmente está en producción el entorno virtual del Ministerio de Economía y Finanzas.

Queda a cargo del oferente la correcta configuración de los equipos intermedios de comunicación (switches, routers, firewall, etc) para la migración y puesta en producción del nuevo clúster Huawei DCS con los equipos ofertados.

Queda a cargo del oferente la correcta configuración de los switches SAN para la migración y puesta en producción del nuevo clúster Huawei DCS con los equipos ofertados.

02 (dos) técnicos certificados en Storage Huawei de nivel profesional con certificado vigente y ID verificable los cuales serán los encargados de la creación de las LUNs necesarias para migrar y poner en producción las VM del nuevo entorno Huawei DCS. También estarán a cargo de configurar la funcionalidad Hypermetro (replica Activa-Activa entre Storage) que actualmente se encuentra en producción entre el datacenter de la DA y el datacenter de contingencia.

02 (dos) técnicos certificados VCS Veritas Backup Exec 20.1 Administrator con certificado vigente y verificable los cuales serán los encargados de migrar y poner en producción los backup de las VM del nuevo entorno Huawei DCS.

Exigido

Certificaciones técnicas

El oferente deberá contar con al menos:

01 (uno) profesional con certificado vigente de PMP (Project Management Professional) certificado por el PMI (Project Manager Institute) o certificación vigente Scrum Master con reconocimiento internacional o certificaciones equivalentes, para la planificación, ejecución y control de los trabajos, Los cuales deberán ser verificable con la planilla de IPS y/o Estatuto de la empresa.

02 (dos) técnicos certificados por el fabricante de los equipos ofertados. La experiencia del personal en la solución ofertada deberá ser demostrable con la presentación del Certificado de Especialista emitido por el fabricante, demostrable con la planilla de IPS y/o Estatuto de la empresa.

02 (dos) técnicos certificados en el producto de virtualización de Huawei Virtualization Suite Platinum Edition, los cuales deben ser verificable la planilla de IPS y/o Estatuto de la empresa.

02 (dos) técnicos certificados en Storage Huawei de nivel profesional con certificado vigente y verificable. La experiencia del personal debe ser demostrable con la presentación del Certificado de Especialista en Storage Huawei, el personal propuesto deberá ser demostrable con la planilla de IPS y/o Estatuto de la empresa.

02 (dos) técnicos certificados en Veritas Backup Exec. la experiencia del personal deberá ser demostrable con la presentación del Certificado de Especialista en Veritas Backup, el personal propuesto deberá ser demostrable con la planilla de IPS y/o Estatuto de la empresa.

Exigido

Soporte

El Oferente deberá contemplar el soporte técnico por un periodo de 36 meses.

Exigido

Soporte on site 7 x 24 durante 3 (tres) años.

Exigido

Lote 2 - Sistema de Almacenamiento - Storage

Descripción

Características

Mínimo Exigido

Marca

Especificar

Exigido

Modelo

Especificar

Exigido

Origen

Especificar

Exigido

Cantidad

1 (Uno)

Exigido

Factor de forma

Rackeable 19

Exigido

Protocolos Front-End Soportados por el equipo.

FC 16 Gbps

Exigido

iSCSI 10 Gbps

Exigido

Detalles del sistema de almacenamiento

El sistema de almacenamiento debe incluir dos controladoras activas y redundantes entre sí.

Exigido

Cada controladora debe contar con cuatro puertos FC 16 Gbps para conectividad Front-End.

Exigido

Cada controladora debe contar con 384 GB de memoria caché como mínimo, totalizando 768GB.

En caso de interrupción del fluido eléctrico, el equipo deberá contar con un mecanismo para mover la información de caché a disco con el fin de proteger la integridad de la información hasta que se re energice el equipo.

Exigido

Niveles de RAID

Exigido

Capacidad entregada

Inicial:

Al menos 40TB de capacidad útil con discos NVMe SSD configurados en RAID 6

Exigido

Se deberá proveer al menos 1 disco para spare

Tipos de discos soportados.

Exigido

Escalabilidad

El equipo debe tener la posibilidad de crecer hasta por lo menos 5PB RAW internamente.

Exigido

LUNs

Tamaño máximo de LUN: 256TB o superior

Cantidad máxima de LUNs que  permite realizar el Storage:  20.000 o superior

Exigido

IOPS

El dispositivo de almacenamiento deberá soportar al menos 3.500.000 de IOPS.

Software de Análisis y Reporte del desempeño

El equipo ofertado deberá tener un software con la funcionalidad de enviar reportes ante cualquier eventualidad de fallo que fuera a tener el mismo.

El equipo deberá estar configurado de modo a que el reporte generado sea enviado al proveedor y al fabricante al mismo tiempo de manera inmediata, para la posterior solución de la falla por parte del proveedor

Exigido

Software de copia y replicación.

El sistema debe poder ser capaz de realizar copias de los volúmenes dentro del mismo sistema de almacenamiento (Snapshots y Clones). Dicha funcionalidad debe ser incluida en caso de ser una licencia adicional. La licencia debe cubrir la capacidad total de crecimiento del dispositivo de almacenamiento

Exigido

Software de Aprovisionamiento

El sistema debe incluir el licenciamiento de software especializado que permita la provisión de capacidad física de almacenamiento en forma dinámica, la capacidad asignada no se deberá alojar en cuanto se cree el volumen, se deberá provisionar en cuanto la data sea efectivamente escrita en el volumen. (Thin- Provisioning)

Exigido

Disponibilidad de componentes

Las controladoras, discos, fuentes de poder y ventiladores deben ser hot-swap.

Exigido

Las controladoras, fuentes de poder y ventilación deben ser redundantes.

Exigido

Sistemas operativos de hosts compatibles

Microsoft Windows Server

Exigido

Red Hat Enterprise Linux

Exigido

VMware

Exigido

AIX

Exigido

Huawei DCS

Exigido

Técnicos y certificaciones

El oferente deberá contar con al menos 2(dos) técnicos certificados en la marca ofertada, los mismos deberán formar parte de la nómina permanente de funcionarios de la empresa inscriptos en IPS. Se deberá presentar última planilla vigente del Aporte Obrero Patronal IPS para garantizar que el personal propuesto pertenece a la nómina de funcionarios permanentes de la empresa. Además, será un requisito indispensable que la empresa oferente esté autorizada por el Fabricante a prestar el servicio técnico y el cambio de partes por garantía. Es también aceptable para la Convocante que el oferente esté debidamente autorizado y respaldado, por escrito, por la empresa prestadora de servicios y asistencia técnica de la marca ofertada en nuestro país (C.A.S.), quienes deberán contar con al menos 2 técnicos certificados. Se deberá presentar la nómina de técnicos certificados del CAS, con sus respectivas certificaciones.

Exigido

Experiencia

La empresa oferente deberá acreditar al menos 5 instalaciones de Storage o similares a la ofertada (atendiendo siempre que sea de la misma marca, aunque pueda variar los modelos) dentro del territorio nacional, avalados por la correspondiente factura emitida en su oportunidad y una carta de conformidad del cliente relacionado a la recepción del equipo instalado. Además, se debe presentar adjunto a cada factura, información del número telefónico de contacto y la convocante se reserva el derecho de realizar una visita al Cliente referenciado.

Exigido

Instalación

El dispositivo de almacenamiento deberá ser instalado en un Rack indicado por la convocante y se deberá prever los kits necesarios para el rackeo

Exigido

Autorización del fabricante

El oferente deberá contar con Autorización del Representante Local de la marca en Paraguay, quien a su vez deberá estar avalado por el Fabricante.

Exigido

Garantía

3 (tres) años On Site. El servicio de garantía deberá ser realizado por técnicos certificados del CAS (Centro Autorizado de Servicios) avalado por el Fabricante.

Exigido

Plazo de entrega

El equipo deberá ser entregado 60(sesenta) días posteriores a la recepción de la Orden de Compra correspondiente.

Exigido

Ítem 1 - Firewall de Borde

Características

Requerido

Cantidad

1 (Uno)

Marca

Especificar

Modelo

Especificar

Origen/Procedencia

Especificar

Componente

Características

Características Equipo

Throughput de por lo menos 20 Gbps con la funcionalidad de firewall habilitada para tráfico IPv4 y IPv6

SI

Soporte a por lo menos  7.5M conexiones simultaneas

SI

Soporte a por lo menos  450K nuevas conexiones por segundo

SI

Throughput de al menos 50 Gbps de VPN IPSec

SI

Estar licenciado para, o soportar sin necesidad de licencia, 2K túneles de VPN IPSec site-to-site simultáneos

SI

Estar licenciado para, o soportar sin necesidad de licencia, 15K túneles de clientes VPN IPSec simultáneos

SI

Throughput de al menos 1 Gbps de VPN SSL

SI

Soportar al menos  500 clientes de VPN SSL simultáneos

SI

Soportar al menos  11 Gbps de throughput de IPS

SI

Soportar al menos 1 Gbps de throughput de Inspección SSL

SI

Soportar al menos 20 Gbps de throughput de Application Control

SI

Soportar al menos  5 Gbps de throughput de NGFW

SI

Soportar al menos  4 Gbps de throughput de Threat Protection

SI

Permitir gestionar al menos 128 Access Points

SI

Tener al menos 12 interfaces 1Gbps RJ45 y 4 interfaces SFP

SI

Tener al menos 2 interfaces 10Gbps

SI

Estar licenciado y/o tener incluido sin costo adicional, al menos 10 sistemas virtuales lógicos (Contextos) por appliance

SI

Soporte a por lo menos 10 sistemas virtuales lógicos (Contextos) por appliance

SI

Características Generales

La solución debe consistir en una plataforma de protección de Red, basada en un dispositivo con funcionalidades de Firewall de Próxima Generación (NGFW), así como consola de gestión y monitoreo.;

SI

Por funcionalidades de NGFW se entiende: Reconocimiento de aplicaciones, prevención de amenazas, identificación de usuarios y control granular de permisos;

SI

Las funcionalidades de protección de red que conforman la plataforma de seguridad, puede ejecutarse en múltiples dispositivos siempre que cumplan todos los requisitos de esta especificación;

SI

La plataforma debe estar optimizada para análisis de contenido de aplicaciones en capa 7;

SI

Todo el equipo proporcionado debe ser adecuado para montaje en rack de 19 ", incluyendo un rail kit (si sea necesario) y los cables de alimentación;

SI

La gestión del equipo debe ser compatible a través de la interfaz de administración Web en el mismo dispositivo de protección de la red;

SI

Los dispositivos de protección de red deben soportar 4000 VLANs Tags 802.1q;

SI

Los dispositivos de protección de red deben soportar agregación de enlaces 802.3ad y LACP;

SI

Los dispositivos de protección de red deben soportar Policy based routing y policy based forwarding;

SI

Los dispositivos de protección de red deben soportar encaminamiento de multicast (PIM-SM y PIM-DM);

SI

Los dispositivos de protección de red deben soportar DHCP Relay;

SI

Los dispositivos de protección de red deben soportar DHCP Server;

SI

Los dispositivos de protección de red deben soportar sFlow;

SI

Los dispositivos de protección de red deben soportar Jumbo Frames;

SI

Los dispositivos de protección de red deben soportar sub-interfaces Ethernet lógicas;

SI

Debe ser compatible con NAT dinámica (varios-a-1);

SI

Debe ser compatible con NAT dinámica (muchos-a-muchos);

SI

Debe soportar NAT estática (1-a-1);

SI

Debe admitir NAT estática (muchos-a-muchos);

SI

Debe ser compatible con NAT estático bidireccional 1-a-1;

SI

Debe ser compatible con la traducción de puertos (PAT);

SI

Debe ser compatible con NAT Origen;

SI

Debe ser compatible con NAT de destino;

SI

Debe soportar NAT de origen y NAT de destino de forma simultánea;

SI

Debe soportar NAT de origen y NAT de destino en la misma política

SI

Debe soportar Traducción de Prefijos de Red (NPTv6) o NAT66, para evitar problemas de enrutamiento asimétrico;

SI

Debe ser compatible con NAT64 y NAT46;

SI

Debe implementar el protocolo ECMP;

SI

Debe soportar SD-WAN de forma nativa

SI

Debe soportar el balanceo de enlace hash por IP de origen;

SI

Debe soportar el balanceo de enlace por hash de IP de origen y destino;

SI

Debe soportar balanceo de enlace por peso. En esta opción debe ser posible definir el porcentaje de tráfico que fluirá a través de cada uno de los enlaces. Debe ser compatible con el balanceo en al menos tres enlaces;

SI

Debe implementar balanceo de enlaces sin la necesidad de crear zonas o uso de instancias virtuales;

SI

Debe permitir el monitoreo por SNMP de fallas de hardware, uso de recursos por gran número de sesiones, conexiones por segundo, cantidad de túneles establecidos en la VPN, CPU, memoria, estado del clúster, ataques y estadísticas de uso de las interfaces de red;

SI

Enviar logs a sistemas de gestión externos simultáneamente;

SI

Debe tener la opción de enviar logs a los sistemas de control externo a través de TCP y SSL;

SI

Debe incluir el registro y análisis centralizado de basado en la nube.

SI

De incluir el almacenamiento de registro y análisis centralizados basados en la nube como mínimo de 5Gb por día.

SI

Debe soporta protección contra la suplantación de identidad (anti-spoofing);

SI

Implementar la optimización del tráfico entre dos dispositivos;

SI

Para IPv4, soportar enrutamiento estático y dinámico (RIPv2, OSPFv2 y BGP);

SI

Para IPv6, soportar enrutamiento estático y dinámico (OSPFv3);

SI

Soportar OSPF graceful restart;

SI

Debe ser compatible con el modo Sniffer para la inspección a través del puerto espejo del tráfico de datos de la red;

SI

Debe soportar modo capa - 2 (L2) para la inspección de datos y visibilidad en línea del tráfico;

SI

Debe soportar modo capa - 3 (L3) para la inspección de datos y visibilidad en línea del tráfico;

SI

Debe soportar el modo mixto de Sniffer, L2 y L3 en diferentes interfaces físicas;

SI

Soportar la configuración de alta disponibilidad activo / pasivo y activo / activo: En modo transparente;

SI

Soportar la configuración de alta disponibilidad activo / pasivo y activo / activo: En capa 3;

SI

Soportar configuración de alta disponibilidad activo / pasivo y activo / activo: En la capa 3 y con al menos 3 dispositivos en el clúster;

SI

La configuración de alta disponibilidad debe sincronizar: Sesiones;

SI

La configuración de alta disponibilidad debe sincronizar: Configuraciones, incluyendo, pero no limitando,  políticas de Firewalls, NAT, QoS y objetos de la red;

SI

La configuración de alta disponibilidad debe sincronizar: Las asociaciones de seguridad VPN;

SI

La configuración de alta disponibilidad debe sincronizar: Tablas FIB;

SI

En modo HA (Modo de alta disponibilidad) debe permitir la supervisión de fallos de enlace;

SI

Debe soportar la creación de sistemas virtuales en el mismo equipo;

SI

Para una alta disponibilidad, el uso de clústeres virtuales debe de ser posible, ya sea activo-activo o activo-pasivo, que permita la distribución de la carga entre los diferentes contextos;

SI

Debe permitir la creación de administradores independientes para cada uno de los sistemas virtuales existentes, con el fin de permitir la creación de contextos virtuales que se pueden administrar por diferentes áreas funcionales;

SI

La solución de gestión debe ser compatible con el acceso a través de SSH y la interfaz web (HTTPS), incluyendo, pero no limitado a, la exportación de configuración de sistemas virtuales (contextos) por ambos tipos de acceso;

SI

Control, inspección y descifrado de SSL para tráfico entrante (Inbound) y saliente (Outbound), debe soportar el control de los certificados individualmente dentro de cada sistema virtual, o sea, aislamiento de las operaciones de adición, remoción y utilización de los certificados directamente en los sistemas virtuales (contextos);

SI

Debe soportar una malla de seguridad para proporcionar una solución de seguridad integral que abarque toda la red;

SI

El tejido de seguridad debe identificar potenciales vulnerabilidades y destacar las mejores prácticas que podrían ser usadas para mejorar la seguridad general y el rendimiento de una red;

SI

Debe existir la opción de un Servicio de Soporte que  ofrezca a los clientes un chequeo de salud periódico con un informe de auditoría mensual personalizado de sus appliances NGFW y WiFi;

SI

La consola de administración debe soportar como mínimo, inglés, español y portugués.

SI

La consola debe soportar la administración de switches y puntos de acceso para mejorar el nivel de seguridad

SI

La solución debe soportar integración nativa de equipos de protección de correo electrónico, firewall de aplicaciones, proxy, cache y amenazas avanzadas.

SI

Control por Política de Firewall

Debe soportar controles de zona de seguridad;

SI

Debe contar con políticas de control por puerto y protocolo;

SI

Contar con políticas por aplicación, grupos estáticos de aplicaciones, grupos dinámicos de aplicaciones (en base a las características y comportamiento de las aplicaciones) y categorías de aplicaciones;

SI

Control de políticas por usuarios, grupos de usuarios, direcciones IP, redes y zonas de seguridad;

SI

Firewall debe poder aplicar la inspección de control de aplicaciones, antivirus, filtrado web, filtrado DNS, IPS directamente a las políticas de seguridad;

SI

Además de las direcciones y servicios de destino, los objetos de servicio de Internet deben poder agregarse directamente a las políticas de firewall;

SI

Debe soportar automatización de situaciones como detección de equipos comprometidos, estado del sistema, cambios de configuración, eventos específicos, y aplicar una acción que puede ser notificación, bloqueo de un equipo, ejecución de scripts, o funciones en nube pública.

SI

Debe soportar el protocolo de la industria 'syslog' para el almacenamiento usando formato Common Event Format (CEF);

SI

Debe soportar integración de nubes públicas e integración SDN como AWS, Azure, GCP, OCI, AliCloud, Vmware ESXi, NSX, OpenStack, Cisco ACI, Nuage y Kubernetes

SI

Debe soportar el protocolo estándar de la industria VXLAN;

SI

La solución debe permitir la implementación sin asistencia de SD-WAN

SI

En SD-WAN debe soportar, QoS, modelado de tráfico, ruteo por políticas, IPSEC VPN;

SI

la solución debe soportar la integración nativa con solución de sandboxing, protección de correo electrónico, cache y Web application firewall.

SI

Control de Aplicación

Los dispositivos de protección de red deben tener la capacidad de reconocer las aplicaciones, independientemente del puerto y protocolo;

SI

Detección de miles de aplicaciones en 18 categorías, incluyendo, pero no limitado a: El tráfico relacionado peer-to-peer, redes sociales, acceso remoto, actualización de software, protocolos de red, VoIP, audio, vídeo, Proxy, mensajería instantánea, compartición de archivos, correo electrónico;

SI

Reconocer al menos las siguientes aplicaciones: BitTorrent, Gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs;

SI

Identificar el uso de tácticas evasivas, es decir, debe tener la capacidad de ver y controlar las aplicaciones y los ataques con tácticas evasivas a través de las comunicaciones cifradas, tales como Skype y la utilización de la red Tor;

SI

Para tráfico cifrado SSL, debe poder descifrarlo a fin de posibilitar la lectura de palead para permitir la identificación de firmas de la aplicación conocidas por el fabricante;

SI

Identificar el uso de tácticas evasivas a través de las comunicaciones cifradas;

SI

Actualización de la base de firmas de la aplicación de forma automática;

SI

Limitar el ancho de banda utilizado por las aplicaciones, basado en IP, por política de usuarios y grupos;

SI

Para mantener la seguridad de red eficiente debe soportar el control de las aplicaciones desconocidas y no sólo en aplicaciones conocidas;

SI

Permitir la creación de forma nativa de firmas personalizadas para el reconocimiento de aplicaciones propietarias en su propia interfaz gráfica, sin la necesidad de la acción del fabricante;

SI

El fabricante debe permitir solicitar la inclusión de aplicaciones en su base de datos;

SI

Debe permitir la diferenciación de tráfico Peer2Peer (Bittorrent, eMule, etc.) permitiendo granularidad de control/reglas para el mismo;

SI

Debe permitir la diferenciación de tráfico de mensajería instantánea (AIM, Hangouts, Facebook Chat, etc.) permitiendo granularidad de control/reglas para el mismo;

SI

Debe permitir la diferenciación y manejo de las aplicaciones de chat; por ejemplo, permitir a Hangouts el chat pero impedir la llamada de video;

SI

Debe permitir la diferenciación de aplicaciones Proxis (psiphon, Freegate, etc.) permitiendo granularidad de control/reglas para el mismo;

SI

Debe ser posible la creación de grupos dinámicos de aplicaciones, basado en las características de las mismas, tales como: Tecnología utilizada en las aplicaciones (Client-Server, Browse Based, Network Protocol, etc);

SI

Debe ser posible crear grupos dinámicos de aplicaciones basados en características de las mismas, tales como: Nivel de riesgo de la aplicación;

SI

Debe ser posible crear grupos estáticos de aplicaciones basadas en características de las mismas, tales como: Categoría de Aplicación;

SI

Debe ser posible configurar Application Override seleccionando las aplicaciones individualmente

SI

Prevención de Amenazas

Para proteger el entorno contra los ataques, deben tener módulo IPS, antivirus y anti-spyware integrado en el propio equipo;

SI

Debe incluir firmas de prevención de intrusiones (IPS) y el bloqueo de archivos maliciosos (antivirus y anti-spyware);

SI

Las características de IPS y antivirus deben funcionar de forma permanente, pudiendo utilizarlas de forma indefinida, aunque no exista el derecho a recibir actualizaciones o no exista un contrato de garantía del software con el fabricante;

SI

Debe sincronizar las firmas de IPS, antivirus, anti-spyware cuando se implementa en alta disponibilidad;

SI

Debe soportar granularidad en las políticas de IPS, Antivirus y Anti-Spyware, permitiendo la creación de diferentes políticas por zona de seguridad, dirección de origen, dirección de destino, servicio y la combinación de todos estos elementos;

SI

Deber permitir el bloqueo de vulnerabilidades y exploits conocidos

SI

Debe incluir la protección contra ataques de denegación de servicio;

SI

Debe tener los siguientes mecanismos de inspección IPS: Análisis de decodificación de protocolo;

SI

Debe tener los siguientes mecanismos de inspección IPS: Análisis para detectar anomalías de protocolo;

SI

Debe tener los siguientes mecanismos de inspección IPS: Desfragmentación IP;

SI

Debe tener los siguientes mecanismos de inspección IPS: Re ensamblado de paquetes TCP;

SI

Debe tener los siguientes mecanismos de inspección IPS: Bloqueo de paquetes con formato incorrecto (malformed packets);

SI

Debe ser inmune y capaz de prevenir los ataques básicos, tales como inundaciones (flood)  de SYN, ICMP , UDP, etc;

SI

Detectar y bloquear los escaneos de puertos de origen;

SI

Bloquear ataques realizados por gusanos (worms) conocidos;

SI

Contar con firmas específicas para la mitigación de ataques DoS y DDoS;

SI

Contar con firmas para bloquear ataques de desbordamiento de memoria intermedia (buffer overflow);

SI

Debe poder crear firmas personalizadas en la interfaz gráfica del producto;

SI

Identificar y bloquear la comunicación con redes de bots;

SI

Registrar en la consola de supervisión la siguiente información sobre amenazas concretas: El nombre de la firma o el ataque, la aplicación, el usuario, el origen y destino de las comunicaciones, además de las medidas adoptadas por el dispositivo;

SI

Debe ser compatible con la captura de paquetes (PCAP), mediante la firma de IPS o control de aplicación;

SI

Debe tener la función de protección a través de la resolución de direcciones DNS, la identificación de nombres de resolución de las solicitudes a los dominios maliciosos de botnets conocidos;

SI

Los eventos deben identificar el país que origino la amenaza;

SI

Debe incluir protección contra virus en contenido HTML y JavaScript, software espía (spyware) y gusanos (worms);

SI

Tener protección contra descargas involuntarias mediante archivos ejecutables maliciosos y HTTP;

SI

Debe permitir la configuración de diferentes políticas de control de amenazas y ataques basados ​​en políticas de firewall considerando usuarios, grupos de usuarios, origen, destino, zonas de seguridad, etc., es decir, cada política de firewall puede tener una configuración diferente de IPS basada en usuario, grupos de usuarios, origen, destino, zonas de seguridad;

SI

En caso de que el firewall pueda coordinarse con software de seguridad en equipo de usuario final (LapTop, DeskTop, etc) deberá contar con un perfil donde pueda realizar análisis de vulnerabilidad en estos equipos de usuario y asegurarse de que estos ejecuten versiones compatibles;

SI

Proporcionan protección contra ataques de día cero a través de una estrecha integración con componentes del tejido de seguridad, incluyendo NGFW y Sandbox (en las instalaciones y en la nube);

SI

Filtrado de URL

Debe permitir especificar la política por tiempo, es decir, la definición de reglas para un tiempo o período determinado (día, mes, año, día de la semana y hora);

SI

Debe tener la capacidad de crear políticas basadas en la visibilidad y el control de quién está usando las URL que mediante la integración con los servicios de directorio Active Directory y la base de datos local, en modo de proxy transparente y explícito;

SI

Debe soportar la capacidad de crear políticas basadas en control por URL y categoría de URL;

SI

Debe tener la base de datos de URLs en caché en el equipo o en la nube del fabricante, evitando retrasos de comunicación / validación de direcciones URL;

SI

Tener por lo menos 75 categorías de URL;

SI

Debe tener la funcionalidad de exclusión de URLs por categoría;

SI

Permitir página de bloqueo personalizada;

SI

Permitir bloqueo y continuación (que permita al usuario acceder a un sitio potencialmente bloqueado, informándole en pantalla del bloqueo y permitiendo el uso de un botón Continuar para que el usuario pueda seguir teniendo acceso al sitio);

SI

Además del Explicit Web Proxy, soportar proxy web transparente;

SI

Identificación de Usuarios

Se debe incluir la capacidad de crear políticas basadas en la visibilidad y el control de quién está usando dichas aplicaciones a través de la integración con los servicios de directorio, a través de la autenticación LDAP, Active Directory, E-directorio y base de datos local;

SI

Debe tener integración con Microsoft Active Directory para identificar a los usuarios y grupos, permitiendo granularidad a las políticas / control basados ​​en usuarios y grupos de usuarios;

SI

Debe tener integración con Microsoft Active Directory para identificar a los usuarios y grupos que permita tener granularidad en las políticas/controles basados ​​en usuarios y grupos de usuarios, soporte a single-sign-on. Esta funcionalidad no debe tener límites licenciados de usuarios o cualquier restricción de uso como, pero no limitado a, utilización de sistemas virtuales, segmentos de red, etc.;

SI

Debe tener integración con RADIUS para identificar a los usuarios y grupos que permiten las políticas de granularidad / controles basados ​​en usuarios y grupos de usuarios;

SI

Debe tener la integración LDAP para la identificación de los usuarios y grupos que permiten granularidad en las políticas/controles basados ​​en usuarios y grupos de usuarios;

SI

Debe permitir el control sin necesidad de instalación de software de cliente, el equipo que solicita salida a Internet, antes de iniciar la navegación, entre a un portal de autentificación residente en el equipo de seguridad (portal cautivo);

SI

Debe soportar la identificación de varios usuarios conectados a la misma dirección IP en entornos Citrix y Microsoft Terminal Server, lo que permite una visibilidad y un control granular por usuario en el uso de las aplicaciones que se encuentran en estos servicios;

SI

Debe de implementar la creación de grupos de usuarios en el firewall, basada atributos de LDAP / AD;

SI

Permitir la integración con tokens para la autenticación de usuarios, incluyendo, pero no limitado a, acceso a Internet y gestión de la plataforma;

SI

Debe incluir al menos dos tokens de forma nativa, lo que permite la autenticación de dos factores;

SI

QoS  Traffic Shaping

Con el fin de controlar el tráfico y aplicaciones cuyo consumo puede ser excesivo (como YouTube, Ustream, etc.) y que tienen un alto consumo de ancho de banda, se requiere de la solución que, además de permitir o denegar dichas solicitudes, debe tener la capacidad de controlar el ancho de banda máximo cuando son solicitados por los diferentes usuarios o aplicaciones, tanto de audio como de video streaming;

SI

Soportar la creación de políticas de QoS y Traffic Shaping por dirección de origen;

SI

Soportar la creación de políticas de QoS y Traffic Shaping por dirección de destino;

SI

Soportar la creación de políticas de QoS y Traffic Shaping por usuario y grupo;

SI

Soportar la creación de políticas de QoS y Traffic Shaping para aplicaciones incluyendo, pero no limitado a Skype, BitTorrent, Azureus y YouTube;

SI

Soportar la creación de políticas de calidad de servicio y Traffic Shaping por puerto;

SI

En QoS debe permitir la definición de tráfico con ancho de banda garantizado;

SI

En QoS debe permitir la definición de tráfico con máximo ancho de banda;

SI

En QoS debe permitir la definición de colas de prioridad;

SI

Soportar marcación de paquetes DiffServ, incluso por aplicación;

SI

Soportar la modificación de los valores de DSCP para Diffserv;

SI

Soportar priorización de tráfico utilizando información de Tipo de Servicio (Type of Service);

SI

Debe soportar QoS (traffic-shapping) en las interfaces agregadas o redundantes;

SI

Filtro de Datos

Permite la creación de filtros para archivos y datos predefinidos;

SI

Los archivos deben ser identificados por tamaño y tipo;

SI

Permitir identificar y opcionalmente prevenir la transferencia de varios tipos de archivo identificados en las aplicaciones;

SI

Soportar la identificación de archivos comprimidos o la aplicación de políticas sobre el contenido de este tipo de archivos;

SI

Soportar la identificación de archivos cifrados y la aplicación de políticas sobre el contenido de este tipo de archivos;

SI

Permitir identificar y opcionalmente prevenir la transferencia de información sensible, incluyendo, pero no limitado a, número de tarjeta de crédito, permitiendo la creación de nuevos tipos de datos a través de expresiones regulares;

SI

Geo Localización

Soportar la creación de políticas por geo-localización, permitiendo bloquear el tráfico de cierto País/Países;

SI

Debe permitir la visualización de los países de origen y destino en los registros de acceso;

SI

Debe permitir la creación de zonas geográficas por medio de la interfaz gráfica de usuario y la creación de políticas usando las mismas;

SI

VPN

Soporte VPN de sitio-a-sitio y cliente-a-sitio;

SI

Soportar VPN IPSec;

SI

Soportar VPN SSL;

SI

La VPN IPSec debe ser compatible con la autenticación MD5, SHA-1, SHA-256, SHA-512

SI

La VPN IPSec debe ser compatible con Diffie-Hellman Grupo 1, Grupo 2, Grupo 5 y Grupo 14;

SI

La VPN IPSec debe ser compatible con Internet Key Exchange (IKEv1 y v2);

SI

La VPN IPSec debe ser compatible con AES de 128, 192 y 256 (Advanced Encryption Standard);

SI

Debe tener interoperabilidad con los siguientes fabricantes: Cisco, Check Point, Juniper, Palo Alto Networks, Fortinet, SonicWall;

SI

Soportar VPN para IPv4 e IPv6, así como el tráfico IPv4 dentro de túneles IPv6 IPSec;

SI

Debe permitir activar y desactivar túneles IPSec VPN desde la interfaz gráfica de la solución, lo que facilita el proceso throubleshooting;

SI

Debe permitir que todo el tráfico de los usuarios VPN remotos fluya hacia el túnel VPN, previniendo la comunicación directa con dispositivos locales como un proxy;

SI

Debe permitir la creación de políticas de control de aplicaciones, IPS, antivirus, filtrado de URL y AntiSpyware para el tráfico de clientes remotos conectados a la VPN SSL;

SI

Suportar autenticación vía AD/LDAP, Secure id, certificado y base de usuarios local;

SI

Permitir la aplicación de políticas de seguridad y visibilidad para las aplicaciones que circulan dentro de túneles SSL;

SI

Deberá mantener una conexión segura con el portal durante la sesión;

SI

El agente de VPN SSL o IPSEC cliente-a-sitio debe ser compatible con al menos Windows  y Mac OS.

SI

Wireless Controller

Solución de red inalámbrica que administre y controle de manera centralizada los puntos de acceso (AP);

SI

Cualquier licencia y / o software necesario para la plena ejecución de todas las características descritas en este término de referencia deberá ser suministrada;

SI

Debe permitir la conexión de dispositivos inalámbricos que implementen los estándares IEEE 802.11a / b / g / n / ac y que transmitan tráfico IPv4 e IPv6 a través del controlador;

SI

La solución debe ser capaz de administrar puntos de acceso de tipo indoor y outdoor;

SI

El controlador inalámbrico debe permitir ser descubierto automáticamente por los puntos de acceso a través de Broadcast, DHCP y consulta DNS;

SI

La solución debe optimizar el rendimiento y la cobertura inalámbrica (RF) en los puntos de acceso administrados por ella, realizando automáticamente el ajuste de potencia y la distribución adecuada de canales a ser utilizados. La solución debe permitir además deshabilitar el ajuste automático de potencia y canales cuando sea necesario;

SI

Permitir programar día y hora en que ocurrirá la optimización del aprovisionamiento automático de canales en los Access Points;

SI

El encaminamiento de tráfico de los dispositivos conectados a la red inalámbrica debe realizarse de forma centralizada a través del túnel establecido entre el punto de acceso y el controlador inalámbrico. En este modo todos los paquetes deben ser tunelados hasta el controlador inalámbrico;

SI

Cuando tunelado, el tráfico debe ser encriptado a través de DTLS o IPSEC;

SI

Debe permitir la administración de puntos de acceso conectados remotamente a través de WAN. En este escenario el encaminamiento de tráfico de los dispositivos conectados a la red inalámbrica debe ocurrir de forma distribuida (local switching), o sea, el tráfico debe ser cambiado localmente en la interfaz LAN del punto de acceso y no necesitará de tunelamiento hasta el controlador inalámbrico;

SI

Cuando el tráfico se conmuta directamente en los puertos Ethernet de los puntos de acceso (local switching) y la autenticación sea WPA/WPA2-Personal (PSK), en caso de fallo en la comunicación entre los puntos de acceso y el controlador inalámbrico, los usuarios asociados deben permanecer asociados a los puntos de acceso y al mismo SSID. Debe permitirse la conexión de nuevos usuarios a la red inalámbrica;

SI

La solución debe permitir definir qué redes serán tuneladas hasta la controladora y qué redes serán conmutadas directamente por la interfaz del punto de acceso;

SI

La solución debe soportar el recurso de Split-Tunneling de forma que sea posible definir, a través de las subredes de destino, qué paquetes serán tunelados hasta el controlador y cuáles serán conmutados localmente en la interfaz del punto de acceso;

SI

La solución debe implementar recursos que posibiliten la identificación de interferencias provenientes de equipos que operen en las frecuencias de 2.4GHz y 5GHz;

SI

La solución debe detectar Receiver Start of Packet (RX-SOP) en paquetes inalámbricos y ser capaz de omitir aquellos que están por debajo de determinado umbral especificado en dBm;

SI

La solución debe permitir el equilibrio de carga de los usuarios conectados a la infraestructura inalámbrica de forma automática. La distribución de los usuarios entre los puntos de acceso cercanos debe ocurrir sin intervención humana y basada en criterios como número de dispositivos asociados en cada punto de acceso;

SI

La solución debe tener mecanismos para detectar y mitigar los puntos de acceso no autorizados, también conocidos como Rogue AP. La mitigación debe realizarse de forma automática y batida en criterios tales como: intensidad de señal o SSID. Los puntos de acceso administrados por la solución deben evitar la conexión de clientes en puntos de acceso no autorizados;

SI

La solución debe identificar automáticamente puntos de acceso intrusos que estén conectados a la red de cable (LAN). La solución debe ser capaz de identificar el punto de acceso intruso incluso cuando el MAC Address de la interfaz LAN es ligeramente diferente (adyacente) del MAC Address de la interfaz WLAN;

SI

La solución debe detectar los puntos de acceso no autorizados y / o intrusos a través de radios dedicados a la función de análisis o a través de Off-channel / Background scanning. Cuando se realiza a través de Off-channel / Background scanning, la solución debe ser capaz de identificar el uso del punto de acceso para, en caso necesario, retrasar el análisis y de esta forma no perjudicar a los clientes conectados;

SI

La solución debe permitir la configuración individual de las radios del punto de acceso para que operen en el modo monitor, o sea, con función dedicada para detectar amenazas en la red inalámbrica y con ello permitir mayor flexibilidad en el diseño de la red;

SI

La solución debe permitir la adición de controlador redundante operando en N + 1. En este modo, el controlador redundante debe monitorear la disponibilidad y sincronizar la configuración del principal, además de asumir todas las funciones en caso de error del controlador principal. De esta forma, todos los puntos de acceso deben asociarse automáticamente al controlador redundante que pasará a tener función de primario de forma temporal;

SI

La solución debe permitir el agrupamiento de VLANs para que se distribuyan múltiples subredes en un determinado SSID, reduciendo así el broadcast y aumentando la disponibilidad de direcciones IP;

SI

La solución debe permitir la creación de múltiples dominios de movilidad (SSID) con configuraciones distintas de seguridad y red. Debe ser posible especificar en qué puntos de acceso o grupos de puntos de acceso que cada dominio estará habilitado;

SI

La solución debe garantizar al administrador de la red determinar los horarios y días de la semana que las redes (SSID) estarán disponibles para los usuarios;

SI

Debe permitir restringir el número máximo de dispositivos conectados por punto de acceso y por radio;

SI

La solución debe implementar el estándar IEEE 802.11r para acelerar el proceso de roaming de los dispositivos a través de la función conocida como Fast Roaming;

SI

La solución debe implementar el estándar IEEE 802.11k para permitir que un dispositivo conectado a la red inalámbrica identifique rápidamente otros puntos de acceso disponibles en su área para que ejecute la itinerancia;

SI

La solución debe implementar el estándar IEEE 802.11v para permitir que la red influya en las decisiones de roaming del cliente conectada mediante el suministro de información complementaria, como la carga de utilización de los puntos de acceso cercanos;

SI

La solución debe implementar el estándar IEEE 802.11w para prevenir ataques a la infraestructura inalámbrica;

SI

La solución debe soportar priorización a través de WMM y permitir la traducción de los valores a DSCP cuando los paquetes se destinan a la red de cableado;

SI

La solución debe implementar técnicas de Call Admission Control para limitar el número de llamadas simultáneas;

SI

La solución debe mostrar información sobre los dispositivos conectados a la infraestructura inalámbrica e informar al menos la siguiente información: Nombre de usuario conectado al dispositivo, Fabricante y sistema operativo del dispositivo, Dirección IP, SSID al que está conectado, Punto de acceso al que está conectado , Canal al que está conectado, Banda transmitida y recibida (en Kbps), intensidad de la señal considerando el ruido en dB (SNR), capacidad MIMO y horario de la asociación;

SI

Para garantizar una mejor distribución de dispositivos entre las frecuencias disponibles y mejorar la utilización de la radiofrecuencia, la solución debe ser capaz de distribuir automáticamente los dispositivos de banda dual para que se conecten primariamente a 5GHz a través del recurso conocido como Band Steering;

SI

La solución debe permitir la configuración de los data rates que se activarán en la herramienta y las que se deshabilitar para las frecuencias de 2.4 y 5GHz y los estándares 802.11a / b / g / n / ac;

SI

La solución debe tener capacidad capaz de convertir paquetes Multicast en paquetes Unicast cuando se reenvían a los dispositivos que están conectados a la infraestructura inalámbrica, mejorando así el consumo de Airtime;

SI

La solución debe soportar la característica que ignore Probe Requests de clientes que tienen una señal débil o distante. Debe permitir definir el umbral para que los Probe Requests sean ignorados;

SI

La solución debe permitir la configuración del valor de Short Guard Interval para 802.11n y 802.11ac en 5GHz;

SI

La solución debe implementar una característica conocida como Airtime Fairness (ATF) para controlar el uso de airtime asignando porcentajes a utilizar en los SSID;

SI

La solución debe implementar reglas de firewall (stateful) para controlar el tráfico permitiendo o descartando paquetes de acuerdo con la política configurada, reglas que deben utilizar como criterio direcciones de origen y destino (IPv4 e IPv6), puertos y protocolos;

SI

La solución debe implementar la función de web filtering para controlar los sitios que se accede a la red inalámbrica. Debe poseer una base de conocimiento para categorizar los sitios y permitir configurar qué categorías de sitios serán permitidos y bloqueados para cada perfil de usuario y SSID;

SI

La solución debe tener capacidad de reconocimiento de aplicaciones a través de la técnica de DPI (Deep Packet Inspection) que permita al administrador de la red monitorear el perfil de acceso de los usuarios e implementar políticas de control. Debe permitir el funcionamiento de esta característica y la actualización periódica de la base de aplicaciones durante todo el período de garantía de la solución;

SI

La base de reconocimiento de aplicaciones a través de DPI debe identificar con al menos 1500 (mil y quinientas) aplicaciones;

SI

La solución debe permitir la creación de reglas para el bloqueo y el límite de banda  (en Mbps, Kbps ou Bps) para las aplicaciones reconocidas a través de la técnica de DPI;

SI

La solución debe, a través de la técnica de DPI, reconocer aplicaciones sensibles al negocio y permitir la priorización de este tráfico con QoS;

SI

La solución debe implementar mecanismos de protección para identificar ataques a la infraestructura inalámbrica. Al menos los siguientes ataques deben ser identificados:
- Ataques de flood contra el protocolo EAPOL (EAPOL Flooding);
- Los siguientes ataques de denegación de servicio: Association Flood, Authentication Flood, Broadcast Deauthentication y Spoofed Deauthentication;
- ASLEAP;
- Null Probe Response / Null SSID Probe Response;
- Long Duration;
- Ataques contra Wireless Bridges;
- Weak WEP;
- Invalid MAC OUI.

SI

La solución debe implementar mecanismos de protección para mitigar ataques a la infraestructura inalámbrica. Al menos ataques de denegación de servicio deben ser mitigados por la infraestructura a través del envío de paquetes de deauthentication

SI

La solución debe implementar mecanismos de protección contra ataques de ARP Poisoning en la red inalámbrica;

SI

La solución debe monitorear y clasificar el riesgo de las aplicaciones accesadas por los clientes inalámbricos;

SI

Permitir configurar el bloqueo en la comunicación entre los clientes inalámbricos conectados a un SSID;

SI

Debe implementar la autenticación administrativa a través del protocolo RADIUS;

SI

En combinación con los puntos de acceso, la solución debe implementar los siguientes métodos de autenticación: WPA (TKIP) y WPA2 (AES);

SI

En combinación con los puntos de acceso, la solución debe ser compatible e implementar el método de autenticación WPA3;

SI

La solución debe permitir la configuración de múltiples claves de autenticación PSK para su uso en un SSID determinado;

SI

Cuando se utiliza la función de múltiples claves PSK, la solución debe permitir la definición de límite en cuanto al número de conexiones simultáneas para cada clave creada;

SI

La solución debe implementar el protocolo IEEE 802.1X con la asociación dinámica de VLAN para los usuarios basados en los atributos proporcionados por los servidores RADIUS;

SI

La solución debe implementar el mecanismo de cambio de autorización dinámica a 802.1X, conocido como RADIUS CoA (Change of Authorization) para autenticaciones 802.1X;

SI

La solución debe admitir los siguientes métodos de autenticación EAP: EAP-AKA, EAP-SIM, EAP-FAST, EAP-TLS, EAP-TTLS y PEAP;

SI

La solución debe implementar la característica de autenticación de los usuarios a través de la página web HTTPS, también conocido como Captive Portal. La solución debe limitar el acceso de los usuarios mientras éstos no informen las credenciales válidas para el acceso a la red;

SI

La solución debe permitir el hospedaje del captive portal en la memoria interna del controlador inalámbrico;

SI

La solución debe permitir la personalización de la página de autenticación, de forma que el administrador de red sea capaz de cambiar el código HTML de la página web con formato de texto e insertar imágenes;

SI

La solución debe permitir la recopilación del correo electrónico de los usuarios como método de autorización para ingreso a la red;

SI

La solución debe permitir que la página de autenticación se quede alojada en un servidor externo;

SI

La solución debe permitir el registro de cuentas para usuarios visitantes en la memoria interna. La solución debe permitir que sea definido un período de validez para la cuenta creada;

SI

La solución debe garantizar que los usuarios se autentiquen en el portal cautivo que utilice la dirección IPv6;

SI

La solución debe tener interfaz gráfica para administrar y gestionar las cuentas de usuarios visitantes, no permitiendo acceso a las demás funciones de administración de la solución;

SI

Después de la creación de un usuario visitante, la solución debe enviar las credenciales por e-mail al usuario registrado;

SI

La solución debe implementar la función de DHCP Server (IPv4 y IPv6) para facilitar la configuración de las redes de visitantes;

SI

La solución debe identificar automáticamente el tipo de equipo y sistema operativo utilizado por el dispositivo conectado a la red inalámbrica;

SI

La solución debe permitir que los usuarios puedan acceder a los servicios disponibles a través del protocolo Bonjour (L2) y que estén alojados en otras subredes, como AirPlay y Chromecast. Debe ser posible especificar en qué VLANs el servicio estará disponible;

SI

La solución debe permitir la configuración de redes Mesh entre los puntos de acceso administrados por ella;

SI

La solución debe permitir la configuración de red Mesh entre puntos de acceso indoor y outdoor;

SI

La solución debe permitir ser administrada a través de los protocolos HTTPS y SSH vía IPv4 e IPv6;

SI

La solución debe permitir el envío de los Logs a múltiples servidores externos de syslog;

SI

La solución debe permitir ser administrada a través del protocolo SNMP (v1, v2c y v3), además de emitir notificaciones a través de la generación de traps;

SI

La solución debe permitir que los softwares de gestión realicen consultas directamente en los puntos de acceso a través del protocolo SNMP;

SI

La solución debe incluir soporte para las RFC 1213 (MIB II) y RFC 2665 (Ethernet-like MIB);

SI

La solución debe permitir la captura de paquetes en la red inalámbrica y exportarlos en archivos en formato .pcap;

SI

La solución debe permitir la adición de planta baja del pavimento para ilustrar gráficamente la posición geográfica y el estado de operación de los puntos de acceso administrados por ella. Debe permitir la adición de plantas bajas en los siguientes formatos: JPEG, PNG, GIF o CAD;

SI

La solución debe presentar gráficamente la topología lógica de la red, representar los elementos de la red gestionados, además de información sobre los usuarios conectados con la cantidad de datos transmitidos y recibidos por ellos;

SI

La solución debe implementar la administración unificada y de forma gráfica para redes WiFi y redes cableadas;

SI

La solución debe permitir la actualización de firmware del controlador inalámbrico incluso cuando se conecta de forma remota;

SI

La solución debe permitir la identificación del firmware utilizado por cada punto de acceso administrado y permitir la actualización individualizada a través de interfaz gráfica;

SI

La solución debe tener herramientas de diagnóstico y depuración;

SI

La solución debe soportar la comunicación con elementos externos a través de las API;

SI

La solución deberá ser compatible y administrar los puntos de acceso de este proceso;

SI

Servicios y garantía

El equipo debe contar con soporte, servicios y garantía del fabricante por 36 meses

SI

Las capacidades UTM deben estar presentes en los equipos y será decisión del contratante su adquisición

SI

Plazo de entrega

El equipo deberá ser entregado 60(sesenta) días posteriores a la recepción de la Orden de Compra correspondiente.

SI

 Ítem 2 - Punto de Acceso - WIFI 

Componente

Características

Requerido

Cantidad

30 (treinta)

Marca

Especificar

Modelo

Especificar

Origen/Procedencia

Especificar

Características Equipo

Debe ser del tipo Indoor

SI

Soportar 3 radios wireless + 1 radio BLE

SI

Deberá soportar fuente de alimentación AC

SI

Soportar 512 usuarios totales conectados

SI

Implementar las tecnologías 802.11 a/b/g/n/ac/ax

SI

Operar en las frecuencias de 2.4 / 5 GHz

SI

Deberá operar en las bandas  2.4002.4835, 5.1505.250, 5.2505.350, 5.4705.725,5.7255.850

SI

Implementar UL MU-MIMO 802.11ax mode y DL-MU-MIMO

SI

Implementar 802.11ax

SI

Soportar al menos 16 SSID simultáneos

SI

La radio 1 debe operar en 2.4 GHz 20/40 MHz (1024 QAM)

SI

La radio 2 debe operar en 5.0 GHz 20/40/80 MHz (1024 QAM)

SI

La radio 3 debe operar en 2.4GHz, 5.0GHz, 6GHz 20/40/80/160MHz (1024 QAM)

SI

La radio 1 debe soportar velocidad de datos de al menos 570 Mbps

SI

La radio 2 debe soportar velocidad de datos de al menos 1200 Mbps

SI

La radio 3 debe soportar velocidad de datos de al menos 2400 Mbps

SI

Deberá soportar un MTBF superior a 20000 horas

SI

El AP deberá contar con al menos una interfaz 10/100/1000 Base-T RJ45 y una interfaz 100/1000/2500 Base-T RJ45 las cuales deben soportar alimentación via PoE 802.3at

SI

Deberá operar en temperaturas entre 00  y 45 grados celsius y humedad entre 5 y 90% non-condensing

SI

Deberá soportar EAP-TLS, EAP-TTLS/MSCHAPv2, PEAPv0/EAP-MSCHAPv2, PEAPv1/EAP-GTC, EAP-SIM, EAP-AKA, EAP-FAST

SI

Deberá soportar WPA™, WPA2™, and WPA3™ with 802.1x or preshared key, WEP, Web Captive Portal, MAC blocklist & allowlist

SI

Deberá soportar los estandares IEEE 802.11a, 802.11b, 802.11d, 802.11e, 802.11g, 802.11h, 802.11i, 802.11j, 802.11k, 802.11n, 802.11r, 802.11u, 802.11v, 802.11w, 802.11ac, 802.11ax, 802.1Q, 802.1X, 802.3ad, 802.3af, 802.3at, 802.3az

SI

Deberá soportar los modos Local-Bridge, Tunnel, Mesh

SI

Funcionalidades Generales

Punto de acceso (AP) que permita el acceso de los dispositivos a la red a través de la wireless y que posea todas sus configuraciones centralizadas en controlador inalámbrico;

SI

Debe soportar el modo de operación centralizado, o sea, su operación depende del controlador inalámbrico que es responsable de gestionar las políticas de seguridad, calidad de servicio (QoS) y monitoreo de la radiofrecuencia;

SI

Debe identificar automáticamente el controlador inalámbrico al que se conectará;

SI

Debe permitir administrarse remotamente a través de links WAN;

SI

Debe poseer capacidad dual-band con radios 2.4GHz, 5GHz y 6 GHz operando simultáneamente, además de permitir configuraciones independientes para cada radio;

SI

El tráfico de los dispositivos conectados a la red inalámbrica debe realizarse de forma centralizada a través del túnel establecido entre el punto de acceso y el controlador inalámbrico. En este modo todos los paquetes deben ser encapsulados hasta el controlador inalámbrico;

SI

Cuando sea encapsulado, el tráfico debe ser encriptado a través de DTLS o IPSEC;

SI

Debe permitir el tráfico de los dispositivos conectados a la red inalámbrica de forma distribuida (local switching), o sea, el tráfico debe ser conmutado localmente en la interfaz LAN del punto de acceso y no necesitará ser encapsulado hasta el controlador inalámbrico;

SI

Cuando el tráfico sea distribuido y la autenticación con PSK, en caso de fallo en la comunicación entre los puntos de acceso y el controlador inalámbrico, los usuarios asociados deben permanecer asociados a los puntos de acceso y al mismo SSID. Debe permitirse la conexión de nuevos usuarios a la red inalámbrica;

SI

En conjunto con el controlador inalámbrico, debe optimizar el rendimiento y la cobertura inalámbrica (RF), realizando automáticamente el ajuste de potencia y la distribución adecuada de canales a ser utilizados;

SI

Deberá soportar la funcionalidad de ajuste automático de potencia para extender la cobertura en caso de falla del punto de acceso vecino gerenciado por la misma controladora;

SI

Debe soportar mecanismos para la detección y mitigación de puntos de acceso no autorizados, también conocidos como Rogue APs;

SI

En conjunto con el controlador inalámbrico, debe implementar mecanismos de protección para identificar ataques a la infraestructura inalámbrica (wIDS / wIPS);

SI

En conjunto con el controlador inalámbrico, debe permitir la creación de múltiples dominios de movilidad (SSID) con configuraciones distintas de seguridad y red;

SI

En conjunto con el controlador inalámbrico, debe implementar el protocolo IEEE 802.1X con la asociación dinámica de VLAN para los usuarios en función de los atributos proporcionados por los servidores RADIUS;

SI

Debe implementar el estándar IEEE 802.11r para acelerar el proceso de roaming de los dispositivos a través de la función conocida como Fast Roaming;

SI

Debe implementar el estándar IEEE 802.11k para permitir que un dispositivo conectado a la red inalámbrica identifique rápidamente otros puntos de acceso disponibles en su área para que ejecute el roaming;

SI

Debe implementar el estándar IEEE 802.11v para permitir que la red influya en las decisiones de roaming del cliente conectadas mediante el suministro de información complementaria, como la carga de utilización de los puntos de acceso cercanos;

SI

Debe implementar el estándar IEEE 802.11e;

SI

Debe implementar el estándar IEEE 802.11h;

SI

El punto de acceso deberá soportar agregación de paquetes A-MPDU y A-MSDU;

SI

El punto de acceso deberá soportar (LPDC) - Low Density Parity Check;

SI

El punto de Acceso deberá soportar (MLD) - Maximum Likelihood Demodulation;

SI

El Punto de Acceso deberá soportar metodo de diversidad (MRC) Maximum Ratio Combining;

SI

Debe tener indicadores luminosos (LED) para indicación de estado;

SI

Cualquier licencia y / o software necesario para la plena ejecución de todas las características descritas en este término de referencia deberá ser suministrada;

SI

Debe poseer un certificado emitido por la Wi-Fi Alliance;

SI

Capacidad Técnica del oferente

SI

La herramienta deberá poder generar la documentación correspondiente al diseño predictivo (Antes de la implementación) y Survey activo del sitio posterior a la implementación de la red Wireless, esto abrirá el camino al proceso de implementación real, donde el oferente deberá incluir información real medida del sitio a fin de ajustar la configuración para prevenir posibles interferencias tanto adyacentes de propios APs como externos

El Hardware de medición debe incorporar arreglos de antenas en 2,4/5/6 GHz como también un analizador de espectro en dichas frecuencias

SI

SI

garantía

36 meses

SI

Plazo de entrega

El equipo deberá ser entregado 60(sesenta) días posteriores a la recepción de la Orden de Compra correspondiente.

SI

Ítem 3 Clientes VPN y solución de Seguridad para estaciones de trabajo 

Componente

Características

Requerido

Cantidad

500 (quinientas) estaciones de trabajo

Marca

Especificar

Modelo

Especificar

Origen/Procedencia

Especificar

Funcionalidades generales

Debe permitir gestión centralizada de endpoint

SI

Debe permitir la gestión del cliente de seguridad de endpoint desde una consola central del fabricante

SI

Debe permitir la configuración de perfiles en función de estados asignados por el servidor DHCP presente en el firewall de administración centralizada del mismo fabricante;

SI

El licenciamiento debe estar basado en la cantidad de clientes registrados en la consola de gestión central del mismo fabricante

SI

Debe ser compatible con los siguientes sistemas operativos: Microsoft Windows: 7 (32 y 64 bits), 8 (32 y 64 bits), 8.1 (32 y 64 bits), 10 (32 e 64 bits), 11(64 bits); Microsoft Windows Server: 2012 y superior; Mac OS: 10.14, 10.15 y 11+, IOS 9 o superior, Android 5 o superior, Linux Ubuntu 16.04 y superior, Red Hat 7.4 y superior, CentOS 7.4 y superior.

SI

Debe tener interfaz gráfica de usuario al menos en el idioma inglés, portugués y español;

SI

Debe permitir la copia de seguridad del archivo de configuración del endpoint

SI

El cliente de seguridad debe poder generar bitácora (logs) sobre las funcionalidades instaladas y configuradas

SI

Por lo menos los siguientes niveles de log deben estar disponibles: emergencia, alerta, crítico, error, aviso, informativo;

SI

El cliente de seguridad debe poder enviar los registros (logs) a la consola de gestión central

SI

El cliente se seguridad debe permitir la configuración local via XML (eXtensible Markup Language);

SI

El cliente se seguridad debe poder se integrado con tecnologías de Sandboxing del mismo fabricante; la solución debe incluir la opción de suscripción de Sandbox sCloud

SI

Funcionalidades de Provisionamiento de Clientes

El fabricante debe proveer un portal para descargar el cliente seguridad y permitir la instalación local

SI

Debe ser compatible con la instalación vía Active Directory de Microsoft

SI

La consola de gestión central debe ser capaz de instalar el cliente de seguridad en computadoras Windows asociadas a un dominio Microsoft

SI

Funcionalidades de Antivirus

El cliente de seguridad debe ser capaz de inspeccionar archivos ejecutables, librerías y drivers en busca de virus

SI

El cliente de seguridad debe ser capaz de buscar actualizaciones de firmas automáticamente

SI

El cliente de seguridad debe ser capaz de enviar archivos para ser inspeccionados en sistemas de Sandboxing del mismo fabricante

SI

El cliente de seguridad debe bloquear canales de comunicación usados por hackers o atacantes

SI

El cliente de seguridad debe notificar localmente cuando se detecta un virus

SI

El cliente de seguridad debe permitir que el usuario comience un escaneo bajo demanda

SI

El cliente de seguridad debe permitir que se comience escaneo de virus de forma automática regularmente

SI

El cliente de seguridad debe permitir visualizar los archivos puestos en cuarentena

SI

Debe permitir la configuración del perfil antivirus desde la consola central del mismo fabricante

SI

Debe permitir la configuración del perfil de filtro de web desde la consola central del mismo fabricante

SI

El fabricante debe disponibilizar consultas en línea desde el cliente de seguridad sobre la categoría de determinada web (por ej. Interés general, tecnología, hacking, pornografía, etc.) para aplicar política de control de acceso a internet

SI

El cliente de seguridad debe admitir reglas estáticas de acceso a internet basado en expresiones regulares

SI

Para una URL determinadas las acciones deben ser: permitir, bloquear, alertar o monitorear

SI

Funcionalidades de Firewall de Aplicación

El cliente de seguridad debe admitir perfiles de Control de Aplicaciones creados centralmente desde la consola de gestión del mismo fabricante

SI

El fabricante debe disponibilizar consultas en línea desde el cliente de seguridad sobre la categoría de determinada aplicación a modo de ser usada en la política de control de acceso

SI

Debe ser reconocido más de 2800 aplicaciones por el cliente para ser usadas en reglas de control de acceso

SI

Funcionalidades de VPN SSL

Debe permitir que el usuario cree nuevas VPN SSL

SI

Debe permitir que existan varias VPN SSL definidas simultáneamente

SI

Debe permitir la personalización del puerto TCP en el que funciona la VPN SSL

SI

Debe permitir la autenticación usando usuario y clave

SI

Debe permitir la autenticación de dos factores provisto por el mismo fabricante

SI

Debe permitir la autenticación usando certificados digitales

SI

Funcionalidades de VPN IPSec

Debe permitir que el usuario cree nuevas VPN IPSEC

SI

Debe permitir que existan varias VPN IPSEC definidas simultáneamente

SI

Debe permitir la autenticación usando usuario y clave

SI

Debe permitir la autenticación usando certificados digitales

SI

Debe permitir la selección de Modo Main y Agressive;

SI

Debe permitir la configuración de DHCP sobre IPSec;

SI

Debe permitir el uso de NAT Traversal;

SI

Debe permitir la elección de grupos Diffie-Hellman (1,2,5 e 14);

SI

Debe permitir la configuración de expiración de claves IKE;

SI

Debe permitir el uso de Perfect Forward Secrecy;

SI

Debe permitir la autenticación de dos factores provisto por el mismo fabricante

SI

Funcionalidades de la Solucion

Debe gestionar de manera transparente para el usuario la selección del Gateway.

SI

Debe gestionar la salud del Endpoint, la telemetría, la identidad del usuario y los certificados.

SI

Debe continuamente chequear la postura de seguridad del endpoint.

SI

Debe funcionar en modo Proxy para conexiones HTTPS y/o modo transparente TCP

SI

Debe soportar integración con Multi Factor de Autenticacion

SI

Debe brindar funcionalidades de (CASB) Cloud Access Security Broker en línea.

SI

Funcionalidades de Scanner de Vulnerabilidades

El cliente de seguridad debe tener integrado un módulo de búsqueda de vulnerabilidades y permitir la gestión central desde la consola del mismo fabricante

SI

Debe permitir que el usuario comience un análisis de vulnerabilidades bajo demanda

SI

Las vulnerabilidades encontradas deben ser mostradas localmente con un vínculo para visualizar información desde una base de datos en internet. Debe tener al menos: nombre, severidad y detalles

SI

Funcionalidades de Gestión

SI

Debe permitir adicionar clientes mediante la adición de licencias

SI

Debe tener interfaz de gestión gráfica

SI

Debe tener la funcionalidad de backup

SI

Debe permitir la creación de usuarios de diferente perfil administrativo

SI

Debe permitir importar información desde Active Directory mediante LDAP

SI

El registro manual de estaciones debe permitir el uso de clave

SI

Debe permitir la creación de grupos de clientes para facilitar la gestión

SI

Debe permitir la configuración de clientes medinate definición XML

SI

Debe permitir la importación de configuración de perfiles desde firewall de mismo fabricante

SI

Debe permitir configuración de diferentes grupos y perfiles para facilitar la administración

SI

Debe permitir la configuración de perfiles de antivirus, webfilter, control de aplicaciones, scanner de vulnerabilidades y VPN

SI

Debe permitir habilitar la protección en tiempo real

SI

Debe permitir configurar la busqueda de virus y vulnerabilidades de forma programada

SI

Debe permitir ejecutar escaneo total y escaneo rapido

SI

Debe permitir configurar filtro de URLs provisto por el fabricante con al menos las siguientes acciones: bloquear, advertir, permitir y monitorar;

SI

Debe permitir configurar filtro de URLs basado en wildcards o expresiones regulares con las siguientes acciones: bloquear ou permitir;

SI

Debe permitir al usuario configurar VPNs localmente

SI

Debe permitir al usuario desconectar una VPN

SI

Debe permitir la conexión de VPN antes de login

SI

Debe permitir conexión automática de VPN

SI

Específico y general para VPN IPSec (al menos):

SI

Uso de certificados o usario y clave para autenticación

SI

Uso de certificados en smartcard

SI

Verificación de checksum

SI

Bloqueo de tráfico IPv6

SI

Específico a SSL VPN (al menos):

SI

Especificación de la IP del concentrador

SI

Especificación del puerto del concentrador

SI

Opción para que el usuario pueda acceder a la configuración del cliente mediante contraseña

SI

Envio de logs hacia sistemas de logs externos del mismo fabricante

SI

Registro junto al sistema de gerencia de forma silenciosa (de forma que sea no perceptible para el usuário);

SI

Instalación de certificado digital en el cliente

SI

Debe permitir habilitar funcionalidades de Single Sign On

SI

El sistema de gestión central debe tener disponible información sobre: Cantidad de dispositivos gestionados, Versión de Sistema Operativo, Perfil aplicado, Usuario, Versión de firmas de Antivirus

SI

Estado del cliente de seguridad: Registrado o no registrado

SI

Información sobre el sistema operativo en el que está instalado el cliente

SI

Perfil de seguridad creados y/o aplicados

SI

Funcionalidades de seguridad aplicadas: antivirus, filtro web, VPN, firewall de aplicaciones;

SI

garantía

36 meses

SI

Plazo de entrega

La herramienta deberá ser entregado 60(sesenta) días posteriores a la recepción de la Orden de Compra correspondiente.

SI

Ítem 4 -Analizador de tráfico y seguridad 

Componente

Características

Requerido

Cantidad

1 (Uno)

Marca

Especificar

Modelo

Especificar

Origen/Procedencia

Especificar

Características del equipo

La solución debe ser del tipo Virtual Appliance para implementarse on premise.

SI

La solución no debe tener restricciones en la capacidad de almacenamiento en disco.

SI

Debe recibir y procesar logs de todos los SDWAN y Next Generation Firewall solicitados en el presente pliego.

SI

Licenciamiento

La solución debe presentar un esquema de licenciamiento por suscripción.

SI

Se debe licenciar la cantidad de GB por día de logs que puede recibir la solución.

SI

La solución debe tener capacidad de recibir y procesar al menos 10 GB de logs diarios.

SI

La suscripción debe incluir análisis de Indicadores de Compromisos, con inteligencia provista y actualizada periódicamente por el fabricante.

SI

La suscripción debe incluir un dashboard de SoC donde se permitan realizar tareas automatizadas a partir de diversos inputs preconfigurados.

SI

Requerimientos funcionales

La solución debe permitir la virtualización en los siguientes hipervisores: VMware ESX/ESXi 5.5/6.0/6.5/6.7/7.0, Microsoft Hyper-V 2008 R2/2012/2012 R2/2016, Citrix XenServer 6.0+, Open Source Xen 4.1+ y KVM sobre Redhat 6.5+.

SI

La solución no debe tener limitaciones en cuanto a la asignación de vCPU.

SI

La solución no debe tener limitaciones en cuanto a la asignación de memoria.

SI

Debe soportar acceso vía SSH, WEB (HTTPS) para la gestión de la solución.

SI

Contar con comunicación cifrada y autenticación con usuario y contraseña para su administración, tanto en interface gráfica (GUI) como vía línea de comandos.

SI

Permitir acceso simultáneo de administración, así como permitir crear por lo menos 2 (dos) perfiles para administración y monitoreo.

SI

Soporte SNMP versión 2 y 3.

SI

Debe permitir activar y desactivar para cada interface de la plataforma, los permisos de acceso HTTP, HTTPS, SSH.

SI

Debe permitir la autenticación de usuarios de acceso a la plataforma vía LDAP.

SI

Debe permitir la autenticación de usuarios de acceso a la plataforma vía Radius.

SI

Generación de informes en tiempo real de tráfico, en formato de gráfica de mapas geográficos.

SI

Generación de informes en tiempo real de tráfico, en formato de gráfica de burbuja.

SI

Generación de informes en tiempo real de tráfico, en formato de gráfica de tabla

SI

Definición de perfiles de acceso a consola con permiso granulares, tales como: acceso de escritura, de lectura, de creación de nuevos usuarios y cambios en configuraciones generales.

SI

Debe contar con un asistente gráfico para agregar nuevos dispositivos, usando la dirección IP, usuario y contraseña del mismo.

SI

Debe ser posible ver la cantidad de logs enviados desde cada dispositivo supervisado.

SI

Contar con mecanismos de borrado automático de logs antiguos.

SI

Permitir la importación y exportación de reportes.

SI

Debe contar con la capacidad de crear informes en formato HTML/PDF/XML/CSV.

SI

Debe permitir exportar los logs en formato CSV.

SI

Generación de logs de auditoría, con detalle de la configuración realizada, el administrador que realizó el cambio y hora del mismo.

SI

Los logs generados por los dispositivos administrados deben ser centralizados en los servidores de la plataforma, pero la solución debe ofrecer también la posibilidad de utilizar un servidor externo de Syslog o similar.

SI

La solución debe contar con reportes predefinidos.

SI

Debe poder enviar automáticamente los logs a un servidor FTP externo a la solución.

SI

Debe ser posible la duplicación de reportes existentes para su posterior edición.

SI

Debe tener la capacidad de personalizar la portada de los reportes obtenidos.

SI

Permitir centralmente la visualización de logs recibidos por uno o más dispositivos, incluido la capacidad de uso de filtros para facilitar la búsqueda dentro de los mismos logs.

SI

Los logs de auditoría de cambios de configuración de reglas y objetos deben ser visualizados en una lista distinta a la de los logs relacionados a tráfico de datos.

SI

Tener la capacidad de personalización de gráficas en los reportes, tales como barras, líneas y tablas.

SI

Debe poseer mecanismo de Drill-Down para navegar en los reportes de tiempo real.

SI

Tener la capacidad de generar y enviar reportes periódicos automáticamente.

SI

Permitir la personalización de cualquier reporte preestablecido por la solución, exclusivamente por el Administrador, para adoptarlo a sus necesidades.

SI

Permitir el envío por email de manera automática de reportes.

SI

Debe permitir que el reporte a enviar por email sea al destinatario específico.

SI

Permitir la programación de reportes, conforme a un calendario definido por el administrador.

SI

Debe ser posible visualizar gráficamente en tiempo real la tasa de generación de logs por cada dispositivo gestionado.

SI

Debe permitir el uso de filtros en los reportes.

SI

Debe permitir definir el diseño de los reportes, incluir gráfico, añadir texto e imágenes, alineación, saltos de página, fuentes, colores, entre otros.

SI

Permitir especificar el idioma de los reportes creados.

SI

Generar alertas automáticas vía email, SNMP y Syslog, basado en eventos especiales en logs, severidad del evento, entre otros.

SI

Debe permitir el envío automático de reportes a un servidor externo SFTP o FTP.

SI

Debe ser capaz de crear consultas SQL o similar dentro de las bases de datos de logs, para uso en gráficas y tablas en reportes.

SI

Tener la capacidad de visualizar en GUI de reportes de información del Sistema, como licencias, memoria, disco duro, uso de CPU, tasa de logs por segundo recibidos, total de logs diarios recibidos, alertas del sistema, entre otros.

SI

Debe contar con una herramienta que permita analizar el rendimiento en la generación de reportes, con el objetivo de detectar y arreglar problemas en generación de los mismos.

SI

Que la solución sea capaz de importar archivos con logs de dispositivos compatibles conocido y no conocidos por la plataforma, para posterior generación de reportes.

SI

Debe ser posible poder definir el espacio que cada instancia de virtualización puede utilizar para almacenamiento de logs.

SI

Debe proporcionar la información de cantidad de logs almacenados y la estadística de tiempo restante de almacenado.

SI

Debe ser compatible con autenticación de doble factor (token) para usuarios administradores de la plataforma.

SI

Debe permitir aplicar políticas para el uso de contraseñas para los administradores de la plataforma, como tamaño mínimo y caracteres permitidos

SI

Debe permitir visualizar en tiempo real los logs recibidos.

SI

Debe permitir el reenvío de logs en formato syslog.

SI

Debe permitir el reenvío de logs en formato CEF (Common Event Format).

SI

Debe incluir dashboard para operaciones SOC que monitorea las principales amenazas de seguridad para la red.

SI

Debe incluir dashboard para operaciones SOC que monitorea comprometimiento de usuarios y uso sospechoso de la web en la red.

SI

Debe incluir dashboard para operaciones SOC que monitorea el tráfico en la red.

SI

Debe incluir dashboard para operaciones SOC que monitorea el tráfico de aplicaciones y sitios web en la red.

SI

Debe incluir dashboard para operaciones SOC que monitorea detecciones de amenazas de día cero en la red (sandboxing).

SI

Debe incluir dashboard para operaciones SOC que monitorea actividad de endpoints en la red.

SI

Debe incluir dashboard para operaciones SOC que monitorea actividad VPN en la red.

SI

Debe incluir dashboard para operaciones SOC que monitorea puntos de acceso WiFi y SSIDs

SI

Debe incluir dashboard para operaciones SOC que monitorea rendimiento de recursos local de la solución (CPU, Memoria).

SI

Debe permitir crear dashboards personalizados para monitoreo de operaciones SOC.

SI

Debe soportar configuración de alta disponibilidad Master/Slave en la capa 3.

SI

Debe permitir generar alertas de eventos a partir de logs recibidos.

SI

Debe permitir crear incidentes a partir de alertas de eventos para endpoint.

SI

Debe permitir la integración al sistema de tickets ServiceNow.

SI

Debe soportar servicio de Indicadores de Compromiso (IoC) del mismo fabricante, que muestre las sospechas de comprometimiento de usuarios finales en la web, debiendo informar por lo menos: dirección IP de usuario, hostname, sistema operativo, veredicto (clasificación general de la amenaza), el número de amenazas detectadas.

SI

Debe soportar el estándar SAML para autenticación de usuarios administradores.

SI

Reportes de Firewall

SI

Debe contar con reporte de cumplimiento de PCI DSS

SI

Debe contar con reporte de utilización de aplicaciones SaaS

SI

Debe contar con reporte de prevención de perdida de datos (DLP)

SI

Debe contar con reporte de VPN

SI

Debe contar con reporte de Sistema de prevención de intrusos (IPS)

SI

Debe contar con reporte de reputación de cliente

SI

Debe contar con reporte de análisis de seguridad de usuario

SI

Debe contar con reporte de análisis de amenaza cibernética

SI

Debe contar con reporte de breve resumen diario de eventos e incidentes de seguridad

SI

Debe contar con reporte de tráfico DNS

SI

Debe contar con reporte tráfico de correo electrónico

SI

Debe contar con reporte de Top 10 de Aplicaciones utilizadas en la red

SI

Debe contar con reporte de Top 10 de Websites utilizadas en la red

SI

Debe contar con reporte de uso de redes sociales

SI

garantía

36 meses

SI

Plazo de entrega

La herramienta deberá ser entregado 60(sesenta) días posteriores a la recepción de la Orden de Compra correspondiente.

SI

Ítem 1 - Módulo SFP para fibra óptica Mono Modo (SMF)

Componente

Características

Requerido

Cantidad

10 (Diez)

SI

Marca

Especificar

SI

Modelo

Especificar

SI

Origen/Procedencia

Especificar

SI

Velocidad de datos           

10Gbps

SI

Longitud de onda

1310nm

SI

Conector

LC Dúplex

SI

Distancia de Cable

10 Km

SI

Factor de forma

Small Form-Factor Pluggable (SFP)

SI

Plataformas compatibles

Cisco ASR 1000 Series Router, Cisco Catalyst 3850 Series Switches, Cisco Catalyst 4500 and 4500-X Series Switches, Cisco Catalyst 2960-X Series Switches

SI

Garantía

12 meses

SI

Plazo de entrega

Deberá ser entregado 30(treinta) días posteriores a la recepción de la Orden de Compra correspondiente.

SI

Ítem 2 -Módulo SFP para fibra óptica Multi Modo (MMF)

Componente

Características

Requerido

Cantidad

8 (Ocho)

SI

Marca

Especificar

SI

Modelo

Especificar

SI

Origen/Procedencia

Especificar

SI

Velocidad de datos           

10Gbps

SI

Longitud de onda

850nm

SI

Conector

LC Duplex

SI

Distancia de cable

300m

SI

Factor de forma

Small Form-Factor Pluggable (SFP)

SI

Plataformas compatibles

Cisco ASR 1000 Series Router, Cisco Catalyst 3850 Series Switches, Cisco Catalyst 4500 and 4500-X Series Switches, Cisco Catalyst 2960-X Series Switches

SI

Garantía

12 meses

SI

Plazo de entrega

Deberá ser entregado 30(treinta) días posteriores a la recepción de la Orden de Compra correspondiente.

SI

Ítem 3 - Módulo SFP para fibra óptica Multi Modo (MMF) 

Componente

Características

Requerido

Cantidad

6 (Seis)

SI

Marca

Especificar

SI

Modelo

Especificar

SI

Origen/Procedencia

Especificar

SI

Velocidad de datos           

1Gbps

SI

Longitud de onda

850nm

SI

Conector

LC Duplex

SI

Distancia de cable

300m

SI

Factor de forma

Small Form-Factor Pluggable (SFP)

SI

Plataformas compatibles

Cisco ASR 1000 Series Router, Cisco Catalyst 3850 Series Switches, Cisco Catalyst 4500 and 4500-X Series Switches, Cisco Catalyst 2960-X Series Switches

SI

Garantía

12 meses

SI

Plazo de entrega

Deberá ser entregado 30(treinta) días posteriores a la recepción de la Orden de Compra correspondiente.

SI

INDICADOR

TIPO

FECHA DE PRESENTACIÓN PREVISTA

(se indica la fecha que debe presentar según el PBC)

Conformidad de la recepción del bien por parte del Departamento de Informática.

Informe de conformidad / Nota de remisión

El ítem 1 del lote 1, ítem 1 del lote 2, los ítems  1, 2, 3, 4 del lote 3 deberán ser  entregados dentro de los 60 días calendario contados desde la recepción de la orden de compra

Conformidad de la recepción del bien por parte del Departamento de Informática.

Informe de conformidad / Nota de remisión

Los ítems  1, 2, 3 del lote 4 deberán ser  entregados dentro de los 30 días calendario contados desde la recepción de la orden de compra