ANEXO II AO EDITAL DO PREGÃO ELETRÔNICO Nº 24/2012

Transcrição

1 MINUTA DE CONTRATO SAD N 1 / ANATEL CONTRATO QUE ENTRE SI CELEBRAM A AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES ANATEL E A EMPRESA XXXXXXX A AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES, inscrita no CNPJ/MF sob o nº / , com sede no Setor de Autarquias Sul, Quadra 06, Blocos C, E, F, H, em Brasília-DF, doravante denominada CONTRATANTE, por intermédio do seu [Cargo do Signatário 1], Senhor(a) XXXXXXXXXXXXXX, [nacionalidade], [estado civil], [profissão], portador da Carteira de Identidade n.º xxxxxxxx-sigla-uf e do CPF n.º xxxxxxxxxx, e do seu [Cargo do Signatário 2], Senhor(a) XXXXXXXXXXXXXX, [nacionalidade], [estado civil], [profissão], portador da Carteira de Identidade nº xxxxxxxxx-sigla-uf, CPF nº xxxxxxxxxx, e de outro lado a Empresa XXXXXXXXXX, inscrita no CNPJ/MF sob o nº XXXXXX, estabelecida à [endereço completo da empresa], doravante denominada CONTRATADA, neste ato representada pelo Senhor(a) XXXXXXX, [nacionalidade], [estado civil], [profissão], portador da Carteira de Identidade n.º xxxxxxxx-sigla-uf e do CPF n.º xxxxxxxxxx, resolvem celebrar o presente Contrato, que será regido pela Lei nº 8.666/1993 e alterações posteriores, pela legislação correlata e pelo Edital e anexos do Pregão Eletrônico n.º 24/2012. CLÁUSULA PRIMEIRA DO OBJETO 1.1. Este Contrato tem por objeto a aquisição de equipamentos corporativos e multifuncionais para proteção do perímetro da rede e das aplicações web (firewall), assim como equipamentos corporativos para proteção/detecção de intrusão (IPS/IDS e) balanceamento de carga de aplicações (load balancer), com garantia total de até 48 (quarenta e oito) meses, contemplando serviços técnicos especializados de instalação e treinamento, conforme detalhamento, quantidades e especificações constantes deste instrumento contratual GRUPO 01 - Fornecimento de solução de segurança de rede mediante aquisição de equipamentos tipo firewall contemplando instalação, atualizações de software, assinaturas e garantia por até 48 meses (12 meses + 36 meses adicionais a partir do término dos primeiros 12 meses) e treinamento de, no mínimo, 40 horas, distribuída nos seguintes itens: Item Equipamento/Serviço Quantidade Estimada 01 Firewall corporativo para proteção do perímetro de rede com garantia e atualizações de software por 12 meses 02 Garantia adicional de 36 meses para o Firewall corporativo para proteção do perímetro de rede 03 Serviço de Instalação e Configuração do Firewall corporativo para proteção do perímetro de rede Local de Entrega/Serviços 02 equip. BRASÍLIA/DF 02 equip. BRASÍLIA/DF 02 equip. BRASÍLIA/DF 04 Atualizações de software e assinaturas 02 equip. BRASÍLIA/DF

2 por período adicional de 36 meses do Firewall corporativo para proteção do perímetro de rede 05 Firewall corporativo para proteção de datacenter com garantia e atualizações de software por 12 meses 06 Garantia adicional de 36 meses para o Firewall corporativo para proteção de datacenter 07 Serviço de Instalação e Configuração do Firewall corporativo para proteção de datacenter 08 Atualizações de software e assinaturas por 36 meses do Firewall corporativo para proteção de datacenter 09 Firewall multifuncional para proteção do perímetro de rede com garantia e atualizações de software por 12 meses 10 Garantia adicional de 36 meses para o Firewall multifuncional para proteção do perímetro de rede 11 Serviço de Instalação e Configuração do Firewall multifuncional para proteção do perímetro de rede 12 Atualizações de software e assinaturas por 36 meses do Firewall multifuncional para proteção do perímetro de rede 13 Treinamento on-site de, no mínimo, 40 horas contemplando todos os equipamentos e softwares fornecidos para atendimento das necessidades do Grupo equip. BRASÍLIA/DF 06 equip. BRASÍLIA/DF 06 equip. BRASÍLIA/DF 06 equip. BRASÍLIA/DF 11 equip. 11 equip. 11 equip. 11 equip. (vide Anexo II do Termo de Referência) (vide Anexo II do Termo de Referência) (vide Anexo II do Termo de Referência) (vide Anexo II do Termo de Referência) 15 alunos BRASÍLIA/DF GRUPO 2 Fornecimento de solução de proteção/detecção de intrusão mediante aquisição de equipamentos IPS/IDS com instalação, atualizações de software, assinaturas e garantia por até 48 meses (12 meses + 36 meses adicionais a partir do término dos primeiros 12 meses) e treinamento de, no mínimo, 40 horas, distribuído nos seguintes itens: Item Equipamento/Serviço Quantidade Estimada 14 Sensores do IPS/IDS corporativo Tipo 01 com garantia e atualizações de software por 12 meses 15 Gerenciamento do IPS/IDS corporativo Tipo 01 com garantia e atualizações de software por 12 meses 16 Sensores do IPS/IDS corporativo Tipo 02 com garantia e atualizações de software por 12 meses 2 Local de Entrega/Serviço 02 equip. BRASÍLIA/DF 01 equip. BRASÍLIA/DF 03 equip. BRASÍLIA/DF

3 17 Gerenciamento do IPS/IDS corporativo Tipo 02 com garantia e atualizações de software por 12 meses 18 Garantia adicional de 36 meses para os sensores e gerenciamento do IPS/IDS corporativo Tipo Serviço de Instalação e Configuração dos sensores e gerenciamento do IPS/IDS corporativo Tipo Garantia adicional de 36 meses para os sensores e gerenciamento do IPS/IDS corporativo Tipo Serviço de Instalação e Configuração dos sensores e gerenciamento do IPS/IDS corporativo Tipo Atualizações de software e assinaturas por 36 meses para os sensores e gerenciamento do IPS/IDS corporativo Tipo Atualizações de software e assinaturas por 36 meses para os sensores e gerenciamento do IPS/IDS corporativo Tipo Treinamento on-site de, no mínimo, 40 horas contemplando todos os equipamentos e softwares fornecidos para atendimento das necessidades do Grupo equip. BRASÍLIA/DF 03 equip. BRASÍLIA/DF 03 equip. BRASÍLIA/DF 04 equip. BRASÍLIA/DF 04 equip. BRASÍLIA/DF 03 equip. BRASÍLIA/DF 04 equip. BRASÍLIA/DF 10 alunos BRASÍLIA/DF GRUPO 3 Fornecimento de solução de proteção e balanceamento de carga de aplicações mediante aquisição de equipamentos com características de Web Application Firewall e Load Balancer com instalação, atualizações de software, assinaturas e garantia por até 48 meses (12 meses + 36 meses adicionais a partir do término dos primeiros 12 meses) e treinamento de, no mínimo, 40 horas, distribuído nos seguintes itens: Item Equipamento/Serviço Quantitativo Máximo 25 Firewall de Aplicações Web corporativo com garantia e atualizações de software por 12 meses 26 Garantia adicional de 36 meses para o Firewall de Aplicações Web corporativo 27 Serviço de Instalação e Configuração do Firewall de 3 Local de Entrega/Serviço 05 equip. BRASÍLIA/DF 05 equip. BRASÍLIA/DF 05 equip. BRASÍLIA/DF

4 Aplicações Web corporativo 28 Atualizações de software e assinaturas por 36 meses para o Firewall de Aplicações Web corporativo 29 Balanceador de Carga de Aplicações corporativo com garantia e atualizações de software por 12 meses 30 Garantia adicional de 36 meses para o Balanceador de Carga de Aplicações corporativo 31 Serviço de Instalação e Configuração do Balanceador de Carga de Aplicações corporativo 32 Atualizações de software e assinaturas por 36 meses para o Balanceador de Carga de Aplicações corporativo 33 Treinamento on-site de, no mínimo, 40 horas contemplando todos os equipamentos e softwares fornecidos para atendimento das necessidades do Grupo equip. BRASÍLIA/DF 05 equip. BRASÍLIA/DF 05 equip. BRASÍLIA/DF 05 equip. BRASÍLIA/DF 05 equip. BRASÍLIA/DF 15 alunos BRASÍLIA/DF CLÁUSULA SEGUNDA DO FUNDAMENTO LEGAL 2.1. A presente contratação está amparada na Lei Complementar 123, de 14 de dezembro de 2006; Lei nº 8.666, de 21 de junho de 1993; Lei nº , de 17 de julho de 2002; Decreto nº 3.722, de 09 de janeiro de 2001; Decreto nº 5.450, de 31 de maio de 2005; Decreto nº 6.204, de 05 de setembro de 2007; Decreto nº 7.174, de 12 de maio de 2010; Instrução Normativa SLTI/MPOG nº 02, de 30 de Abril de 2008; Instrução Normativa SLTI/MPOG nº 02, de 11 de outubro de 2010; Instrução Normativa nº 4/2010/SLTI/MPOG e Portaria SLTI/MPOG Nº 27/2010 e pelas demais normas pertinentes, em conformidade com a documentação constante do processo nº /2012. CLÁUSULA TERCEIRA DOS DOCUMENTOS INTEGRANTES DO CONTRATO 3.1 São peças integrantes deste Contrato os documentos citados abaixo, cujo teor as partes declaram ter pleno conhecimento e concordância, independente de transcrição: ANEXO 01 PROPOSTA DA CONTRATADA ANEXO 02 LOCAIS DE ENTREGA/INSTALAÇÃO DO FIREWALL MULTIFUNCIONAL PARA PERÍMETRO DE REDE ANEXO 03 TERMO DE RECEBIMENTO PROVISÓRIO 4

5 ANEXO 04 TERMO DE RECEBIMENTO DEFINITIVO ANEXO 05 MODELO DE FORMULÁRIO DE AVALIAÇÃO DE TREINAMENTO ANEXO 06 TERMO DE COMPROMISSO, CONTENDO DECLARAÇÃO DE MANUTENÇÃO DE SIGILO E RESPEITO ÀS NORMAS DE SEGURANÇA VIGENTE ANEXO 07 TERMO DE CIÊNCIA DA DECLARAÇÃO DE MANUTENÇÃO DE SIGILO E DAS NORMAS DE SEGURANÇA VIGENTES 3.2 A CONTRATADA se vincula às condições estabelecidas neste instrumento de Contrato e às regras contidas no Edital de Pregão Eletrônico nº 24/2012 e seus anexos. 3.3 Os documentos supracitados são considerados suficientes para, em complemento a este Contrato, definir a sua intenção e, desta forma, reger a execução adequada do objeto contratado dentro dos mais altos padrões da técnica atual. 3.4 Em caso de dúvidas da CONTRATADA na execução deste Contrato estas devem ser dirimidas pela CONTRATANTE, de modo a atender às especificações apresentadas como condições essenciais a serem satisfeitas. 3.5 A partir da assinatura deste Contrato, a este passam a ser aplicáveis todos os termos de aditamento que vierem a ser celebrados e que importem em alteração de qualquer condição contratual, desde que sejam assinados por representantes legais das partes, observados os limites e as formalidades legais. CLÁUSULA QUARTA DOS REQUISITOS DE ARQUITETURA TECNOLÓGICA 4.1. O objeto da contratação compreende o fornecimento de equipamentos, instalação, atualizações de software, assinaturas e garantia por até 48 meses (12 meses + 36 meses adicionais a partir do término dos primeiros 12 meses) e treinamento de, no mínimo, 40 horas para os seguintes equipamentos que compõem a presente solução de segurança da informação e comunicações: Equipamentos para Segurança de Rede (Firewall): Firewall corporativo para proteção do perímetro de rede; Firewall corporativo para proteção do datacenter; Firewall multifuncional para proteção do perímetro de rede. 5

6 Equipamentos de Proteção/Detecção contra Intrusão (IPS/IDS); Equipamentos para Segurança de Aplicações Web (Web Application Firewall); Equipamentos para Balanceamento de Carga de Aplicações Os Equipamentos para Segurança de Rede (Firewall) deverão possuir as seguintes funcionalidades e características técnicas mínimas: Todos os equipamentos fornecidos para segurança de rede (Firewall corporativo para proteção do perímetro de rede, Firewall corporativo para proteção de datacenter e Firewall multifuncional para proteção do perímetro de rede) deverão executar software do mesmo fabricante e que permitam o gerenciamento centralizado de todas as funcionalidades especificadas, incluindo configurações dos equipamentos e aplicação de regras Firewall corporativo para proteção do perímetro de rede: Funcionalidade Item Descrição FIREWALL DE PERÍMETRO FWE01 FWE02 FWE03 FWE04 FWE05 FWE06 FWE07 FWE08 Possuir, no mínimo, 8 (oito) interfaces Ethernet 10/100/1000 Base-T, autosense, com conectores RJ-45. Garantir, no mínimo, throughput de 2 (dois) Gigabits por segundo para as funcionalidades de Firewall (itens "FWE01 a FWE38") considerando que as funcionalidades de VPN, Filtro de Conteúdo e QoS estarão, ao mesmo tempo, habilitadas e em funcionamento, executando as regras de VPN, Filtro de Conteúdo e QoS definidas e aplicadas pela contratante. Garantir, no mínimo, o estabelecimento de (duzentas e cinquenta mil) conexões TCP/IP concorrentes. Garantir, no mínimo, o estabelecimento de (vinte e cinco mil) novas conexões TCP/IP por segundo. Possuir funcionalidade de detecção e bloqueio Ataques de Força Bruta e ataques Man-in-the-Middle para VPNs. Garantir que o equipamento (processamento e memória RAM) e que cada CPU do equipamento não exceda 80% de sua capacidade máxima de processamento em um período ininterrupto/contínuo superior a 30 minutos, salvo quando submetido a ataques ou atualizações de regras e softwares. Possuir controle de acesso por endereço IP de origem e destino, por aplicação (independentemente da porta ou protocolo utilizados pela aplicação), por sub-rede e por períodos do dia, permitindo a aplicação de regras por horários e por dias da semana. Permitir criação de serviços por porta ou conjunto de portas para os protocolos TCP, UDP, ICMP e IP. FWE09 Suportar tags de VLAN. FWE10 Permitir a criação de, no mínimo, 300 VLANs. FWE11 Permitir bloqueio por agentes externos como, por exemplo, scripts acionados por correlacionadores de eventos. FWE12 Permitir agregação de links, segundo padrão IEEE 802.3ad. FWE13 Possuir ferramenta de diagnóstico do tipo tcpdump. FWE14 FWE15 FWE16 FWE17 Possuir integração com serviços de diretório LDAP e Microsoft Active Directory para autenticação de usuários. Permitir a criação de regras de acesso/bloqueio baseadas em usuários ou grupos de usuários do LDAP e do Microsoft Active Directory. Possuir métodos de autenticação de usuários para aplicações executadas sobre os protocolos TCP e UDP como, por exemplo, aplicações HTTP, HTTPS, FTP. Possuir a funcionalidade de tradução de endereços estáticos NAT (Network Address Translation), um para um, N-para-um e um-para-n. 6

7 FWE18 FWE19 Permitir controle de acesso à internet por domínio como, por exemplo, gov.br, org.br, edu.br. Possuir a funcionalidade de fazer tradução de endereços dinâmicos, um-para- N, PAT (Port Address Translation). FWE20 Implementar IPv6 nativo e tráfego de IPv6 tunelado em pacotes IPv4. FWE21 Implementar, no mínimo, os protocolos de roteamento dinâmico RIP v1, RIP v2 e OSPF v2. FWE22 Possuir funcionalidades de DHCP Cliente, Servidor e Relay. FWE23 Suportar aplicações multimídia como H.323 e SIP. FWE24 Suportar Real-Time Transport Protocol (RTP). FWE25 Possuir tecnologia de firewall do tipo Stateful. FWE26 Possuir conexão entre estação de gerência e o equipamento criptografada tanto em interface gráfica quanto em interface por linha de comando. FWE27 Suportar multicast. FWE28 Permitir o gerenciamento remoto do equipamento por meio da rede local ou WAN. FWE29 Possuir interface para conexão de console. FWE30 FWE31 Permitir a realização de backup das regras e transferência desse backup para armazenamento em servidores externos. Possuir funcionalidade de detecção e bloqueio de, no mínimo, os seguintes tipos de ataques: IP Spoofing, SYN Flood, Port Scanning, ICMP Flood. FWE32 Implementar sincronização de horário por Network Time Protocol (NTP). FWE33 Possuir funcionalidade de geração de relatórios e exportação de logs. FWE34 FWE35 Permitir, no mínimo, a implementação e utilização de 500 regras ou políticas de Firewall. Permitir a abertura de novas portas por fluxo de dados para serviços que requerem portas dinâmicas. FWE36 Possuir mecanismo de anti-spoofing. FWE37 Possuir funcionalidade de IP/MAC binding, de forma que cada endereço IP possa ser associado a um endereço MAC. FWE38 Possuir inspeção profunda de pacotes (Deep Packet Inspection - DPI). VPN01 Garantir, no mínimo, throughput de 200 (duzentos) Megabits por segundo. VPN02 Implementar, no mínimo, 50 (cinquenta) túneis client-to-site simultâneos para VPN. VPN03 Implementar, no mínimo, 30 (trinta) túneis site-to-site simultâneos para VPN. VPN04 Permitir a arquitetura de VPN hub and spoke. VIRTUAL PRIVATE NETWORK VPN 1 VPN05 Implementar algoritmos de criptografia para túneis VPN AES-128 e AES-256. VPN06 Implementar os algoritmos para definição de chave de cifração 3DES e AES. VPN07 Implementar os algoritmos RSA e Diffie-Hellman RSA para troca de chaves de sessão. VPN08 Permitir a utilização de Certificado Digital X.509 v3. VPN09 Permitir a inclusão em autoridades certificadoras (enrollment). VPN10 Implementar AH Authentication Header, ESP Encapsulating Security Payload e IKE Internet Key Exchange. 1 A critério da CONTRATADA, as funcionalidades exigidas para Virtual Private Network - VPN poderão ser fornecidas em equipamento separado do Firewall desde que o equipamento para VPN e os softwares para VPN sejam dos mesmos fabricantes dos demais equipamentos e softwares fornecidos para o Grupo I e desde que sejam atendidos todos os demais requisitos técnicos e de gerenciamento especificados pela CONTRATANTE. 7

8 VPN11 Permitir a criação de túneis VPN SSL/TLS e IPSec, tanto para site-to-site ("Full Meshed" e "Estrela") como para client-to-site (remote access). VPN12 Implementar os protocolos de roteamento RIPv1, RIPv2 e OSPFv2. VPN13 Implementar autenticação de usuários utilizando LDAP, Microsoft Active Directory e certificados digitais. VPN14 Permitir a leitura e verificação de Certificate Revogation List (CRL). VPN15 Implementar NAT Transversal Tunneling (NAT-T). URL01 Garantir, no mínimo, throughput de 2 (dois) Gigabits por segundo para as funcionalidades de Filtro de Conteúdo (itens "URL01 a URL24") considerando que as funcionalidades de VPN, Firewall e QoS estarão, ao mesmo tempo, habilitadas e em funcionamento, executando as regras de VPN, Firewall e QoS definidas e aplicadas pela contratante. URL02 Possuir proteção para aplicações do tipo P2P. URL03 URL04 Possuir base mínima contendo 5 (cinco) milhões de sites internet web já registrados e classificados. Possuir categorias exclusivas para classificação de sites web como, por exemplo, Instituições de Saúde, Notícias, Pornografia, Racismo. URL05 Permitir a criação de categorias personalizadas. FILTRO DE CONTEÚDO, CLASSIFICAÇÃO DE SÍTIOS E SEGURANÇA WEB URL06 Permitir a categorização e reclassificação de sites web por URL. URL07 URL08 URL09 URL10 URL11 URL12 URL13 URL14 URL15 URL16 URL17 Prover o funcionamento de todos os serviços de filtragem web de maneira autônoma, sem a necessidade de conexão permanente com o site do fornecedor. Possuir integração com serviços de diretório LDAP e Microsoft Active Directory para autenticação de usuários. Permitir a criação de regras de acesso/bloqueio baseadas em usuários ou grupo de usuários do LDAP e do Microsoft Active Directory. Permitir a criação de regras para acesso/bloqueio por endereço IP de origem e sub-rede de origem. Exibir mensagem de bloqueio customizável pelos Administradores para resposta aos usuários na tentativa de acesso a recursos proibidos pela política de segurança do órgão. Permitir o bloqueio de páginas web por meio da construção de filtros específicos com mecanismo de busca textual. Permitir o bloqueio de URLs inválidas cujo campo CN do certificado SSL não contém um domínio válido. Permitir o bloqueio de páginas web por classificação, como páginas que facilitam a busca de áudio, vídeo e URLs originadas de spam. Permitir a criação de listas personalizadas de URLs permitidas lista branca e bloqueadas lista negra. Identificar aplicações independentemente das portas e protocolos utilizados para conexão, assim como possuir categorias para classificação das aplicações. Permitir o bloqueio e a utilização de aplicações independentemente das portas e protocolos utilizados para conexão. URL18 Possuir proteção para aplicações do tipo Instant Messaging, Web e VOIP. URL19 Possuir política de segurança de aplicações pré-configuradas na solução. URL20 Possuir atualização manual e automática de novas assinaturas. URL21 URL22 Possuir proteção contra os seguintes ataques: Manipulação de Entradas Inválidas, Controle de Acesso Bruto (Ataque bruto via browser), Buffer Overflow, Cross-Site Script, SQL/SO Injection, Cookie Poisoning, HTTP Request Smuggling, Manipulação de Campos Escondidos, Trojan, Backdoor e Spyware, Detecção de evasão e LDAP Injection. Reconhecer assinaturas seletivas e filtros de ataque que devem proteger contra ataques de negação de serviços automatizados, worms, vulnerabilidades conhecidas, requisições a objetos restritos e tipos de arquivos. URL23 Permitir o agrupamento de aplicações em grupos personalizados. 8

9 QUALIDADE DE SERVIÇO - QoS GERENCIAMENTO DA SOLUÇÃO URL24 QOS1 Garantir que as atualizações regulares do produto sejam realizadas sem interromper a execução dos serviços de controle de aplicações. Permitir o controle e a priorização do tráfego, priorizando e garantindo banda para as aplicações (inbound/outbound) através da classificação dos pacotes (shaping), criação de filas de prioridade, gerência de congestionamento e QoS. QOS2 Permitir modificação de valores DSCP para o DiffServ. QOS3 GER01 GER02 GER03 GER04 GER05 Controlar (limitar ou expandir) individualmente a banda utilizada por grupo de usuários do Microsoft Active Directory e LDAP, por IP, por sub-rede e por categoria de aplicações. Possuir interface de administração e monitoramento centralizada das regras ou políticas, a qual deverá permitir a realização de definições e alterações de regras ou políticas a partir de um ponto único para distribuição em todos os demais equipamentos. Registrar, de forma centralizada, logs de criação, alteração e exclusão de regras ou políticas, assim como de configuração dos equipamentos. Permitir a definição de perfis de administradores, com, no mínimo, permissões gerais de Read/Write e Read Only. Permitir o uso de autenticação forte (certificados) para os administradores da console de gerenciamento, sem custos adicionais. Implementar comunicação criptografada entre a interface de gerência e os equipamentos. GER06 Oferecer interface gráfica (Graphical User Interface - GUI). GER07 GER08 Permitir o rastreamento de todas as conexões registradas bem como atividades administrativas realizadas. Permitir a filtragem e busca de eventos de interesse do administrador como ataques bloqueados e endereços IP específicos. GER09 Permitir a visualização do status (up/down) de cada equipamento. GER10 GER11 GER12 GER13 Permitir a distribuição automática e manual de pacotes de atualização e gerenciamento de licenças de forma centralizada. Enviar alertas para o administrador quando certos eventos como, por exemplo, porcentagem de utilização da CPU e uso de memória dos equipamentos estiverem próximos dos limites configurados. Permitir a monitoração de usuários remotos que se conectem via VPN, identificando possíveis problemas de conectividade e o tempo de cada conexão. Permitir a utilização das funcionalidades de gerenciamento mesmo após o término dos contratos de atualização de software e de garantia do equipamento Firewall corporativo para proteção de datacenter: Funcionalidade Item Descrição FIREWALL DE DATACENTER FWD01 FWD02 FWD03 FWD04 FWD05 Possuir, no mínimo, 4 (quatro) interfaces XFP ou SFP+, 10GBASE-SR, para fibra óptica multimodo, com conectores Duplex LC. Possuir, no mínimo, 8 (oito) interfaces Ethernet 10/100/1000 Base- T, autosense, com conectores RJ-45. Garantir, no mínimo, throughput de 5 (cinco) Gigabits por segundo para as funcionalidades de Firewall (itens "FWD01 a FWD39") considerando que as funcionalidades de VPN, Filtro de Conteúdo e QoS estarão, ao mesmo tempo, habilitadas e em funcionamento, executando as regras de VPN, Filtro de Conteúdo e QoS definidas e aplicadas pela contratante. Garantir, no mínimo, o estabelecimento de (quinhentas mil) conexões TCP/IP concorrentes. Garantir, no mínimo, o estabelecimento de (cinquenta mil) novas conexões TCP/IP por segundo. FWD06 Possuir funcionalidade de detecção e bloqueio Ataques de Força 9

10 FWD07 FWD08 FWD09 Bruta e ataques Man-in-the-Middle para VPNs. Garantir que o equipamento (processamento e memória RAM) e que cada CPU do equipamento não exceda 80% de sua capacidade máxima de processamento em um período ininterrupto/contínuo superior a 30 minutos, salvo quando submetido a ataques ou atualizações de regras e softwares. Possuir controle de acesso por endereço IP de origem e destino, por aplicação (independentemente da porta ou protocolo utilizados pela aplicação), por sub-rede e por períodos do dia, permitindo a aplicação de regras por horários e por dias da semana. Permitir criação de serviços por porta ou conjunto de portas para os protocolos TCP, UDP, ICMP e IP. FWD10 Suportar tags de VLAN. FWD11 Permitir a criação de, no mínimo, 500 VLANs. Permitir bloqueio por agentes externos como, por exemplo, scripts FWD12 acionados por correlacionadores de eventos. FWD13 Permitir agregação de links, segundo padrão IEEE 802.3ad. FWD14 Possuir ferramenta de diagnóstico do tipo tcpdump. Possuir integração com serviços de diretório LDAP e Microsoft FWD15 Active Directory para autenticação de usuários. Permitir a criação de regras de acesso/bloqueio baseadas em FWD16 usuários ou grupos de usuários do LDAP e do Microsoft Active Directory. Possuir métodos de autenticação de usuários para aplicações FWD17 executadas sobre os protocolos TCP e UDP como, por exemplo, aplicações HTTP, HTTPS, FTP. Possuir a funcionalidade de tradução de endereços estáticos NAT FWD18 (Network Address Translation), um para um, N-para-um e um-para- N. Permitir controle de acesso à internet por domínio como, por FWD19 exemplo, gov.br, org.br, edu.br. Possuir a funcionalidade de fazer tradução de endereços dinâmicos, FWD20 um-para-n, PAT (Port Address Translation). Implementar IPv6 nativo e tráfego de IPv6 tunelado em pacotes FWD21 IPv4. Implementar, no mínimo, os protocolos de roteamento dinâmico FWD22 RIP v1, RIP v2 e OSPF v2. FWD23 Possuir funcionalidades de DHCP Cliente, Servidor e Relay. FWD24 Suportar aplicações multimídia como H.323 e SIP. FWD25 Suportar Real-Time Transport Protocol (RTP). FWD26 Possuir tecnologia de firewall do tipo Stateful. Possuir conexão entre estação de gerência e o equipamento FWD27 criptografada tanto em interface gráfica quanto em interface por linha de comando. FWD28 Suportar multicast. Permitir o gerenciamento remoto do equipamento por meio da rede FWD29 local ou WAN. FWD30 Possuir interface para conexão de console. Permitir a realização de backup das regras e transferência desse FWD31 backup para armazenamento em servidores externos. Possuir funcionalidade de detecção e bloqueio de, no mínimo, os FWD32 seguintes tipos de ataques: IP Spoofing, SYN Flood, Port Scanning, ICMP Flood. FWD33 Implementar sincronização de horário por Network Time Protocol 10

11 VIRTUAL PRIVATE NETWORK VPN 2 FILTRO DE CONTEÚDO, CLASSIFICAÇÃO DE SÍTIOS E SEGURANÇA WEB (NTP). FWD34 Possuir funcionalidade de geração de relatórios e exportação de logs. FWD35 Permitir, no mínimo, a implementação e utilização de 500 regras ou políticas de Firewall. FWD36 Permitir a abertura de novas portas por fluxo de dados para serviços que requerem portas dinâmicas. FWD37 Possuir mecanismo de anti-spoofing. FWD38 Possuir funcionalidade de IP/MAC binding, de forma que cada endereço IP possa ser associado a um endereço MAC. FWD39 Possuir inspeção profunda de pacotes (Deep Packet Inspection - DPI). VPN01 Garantir, no mínimo, throughput de 200 (duzentos) Megabits por segundo. VPN02 Implementar, no mínimo, 50 (cinquenta) túneis client-to-site simultâneos para VPN. VPN03 Implementar, no mínimo, 30 (trinta) túneis site-to-site simultâneos para VPN. VPN04 Permitir a arquitetura de VPN hub and spoke. VPN05 Implementar algoritmos de criptografia para túneis VPN AES-128 e AES-256. VPN06 Implementar os algoritmos para definição de chave de cifração 3DES e AES. VPN07 Implementar os algoritmos RSA e Diffie-Hellman RSA para troca de chaves de sessão. VPN08 Permitir a utilização de Certificado Digital X.509 v3. VPN09 Permitir a inclusão em autoridades certificadoras (enrollment). Implementar AH Authentication Header, ESP Encapsulating VPN10 Security Payload e IKE Internet Key Exchange. Permitir a criação de túneis VPN SSL/TLS e IPSec, tanto para site-tosite ("Full Meshed" e "Estrela") como para client-to-site (remote VPN11 access). VPN12 Implementar os protocolos de roteamento RIPv1, RIPv2 e OSPFv2. Implementar autenticação de usuários utilizando LDAP, Microsoft VPN13 Active Directory e certificados digitais. VPN14 Permitir a leitura e verificação de Certificate Revogation List (CRL). VPN15 Implementar NAT Transversal Tunneling (NAT-T). URL01 Garantir, no mínimo, throughput de 5 (cinco) Gigabits por segundo para as funcionalidades de Filtro de Conteúdo (itens "URL01 a URL24") considerando que as funcionalidades de VPN, Firewall e QoS estarão, ao mesmo tempo, habilitadas e em funcionamento, executando as regras de VPN, Firewall e QoS definidas e aplicadas pela contratante. URL02 Possuir proteção para aplicações do tipo P2P. URL03 URL04 Possuir base mínima contendo 5 (cinco) milhões de sites internet web já registrados e classificados. Possuir categorias exclusivas para classificação de sites web como, por exemplo, Instituições de Saúde, Notícias, Pornografia, Racismo. 2 A critério da CONTRATADA, as funcionalidades exigidas para Virtual Private Network - VPN poderão ser fornecidas em equipamento separado do Firewall desde que o equipamento para VPN e os softwares para VPN sejam dos mesmos fabricantes dos demais equipamentos e softwares fornecidos para o Grupo I e desde que sejam atendidos todos os demais requisitos técnicos e de gerenciamento especificados pela CONTRATANTE. 11

12 QUALIDADE DE SERVIÇO - QoS GERENCIAMENTO DA SOLUÇÃO URL05 Permitir a criação de categorias personalizadas. URL06 Permitir a categorização e reclassificação de sites web por URL. URL07 URL08 URL09 URL10 URL11 URL12 URL13 URL14 URL15 URL16 URL17 URL18 URL19 Prover o funcionamento de todos os serviços de filtragem web de maneira autônoma, sem a necessidade de conexão permanente com o site do fornecedor. Possuir integração com serviços de diretório LDAP e Microsoft Active Directory para autenticação de usuários. Permitir a criação de regras de acesso/bloqueio baseadas em usuários ou grupo de usuários do LDAP e do Microsoft Active Directory. Permitir a criação de regras para acesso/bloqueio por endereço IP de origem e sub-rede de origem. Exibir mensagem de bloqueio customizável pelos Administradores para resposta aos usuários na tentativa de acesso a recursos proibidos pela política de segurança do órgão. Permitir o bloqueio de páginas web por meio da construção de filtros específicos com mecanismo de busca textual. Permitir o bloqueio de URLs inválidas cujo campo CN do certificado SSL não contém um domínio válido. Permitir o bloqueio de páginas web por classificação, como páginas que facilitam a busca de áudio, vídeo e URLs originadas de spam. Permitir a criação de listas personalizadas de URLs permitidas lista branca e bloqueadas lista negra. Identificar aplicações independentemente das portas e protocolos utilizados para conexão, assim como possuir categorias para classificação das aplicações. Permitir o bloqueio e a utilização de aplicações independentemente das portas e protocolos utilizados para conexão. Possuir proteção para aplicações do tipo Instant Messaging, Web e VOIP. Possuir política de segurança de aplicações pré-configuradas na solução. URL20 Possuir atualização manual e automática de novas assinaturas. URL21 URL22 Possuir proteção contra os seguintes ataques: Manipulação de Entradas Inválidas, Controle de Acesso Bruto (Ataque bruto via browser), Buffer Overflow, Cross-Site Script, SQL/SO Injection, Cookie Poisoning, HTTP Request Smuggling, Manipulação de Campos Escondidos, Trojan, Backdoor e Spyware, Detecção de evasão e LDAP Injection. Reconhecer assinaturas seletivas e filtros de ataque que devem proteger contra ataques de negação de serviços automatizados, worms, vulnerabilidades conhecidas, requisições a objetos restritos e tipos de arquivos. URL23 Permitir o agrupamento de aplicações em grupos personalizados. URL24 QOS1 QOS2 QOS3 GER01 Garantir que as atualizações regulares do produto sejam realizadas sem interromper a execução dos serviços de controle de aplicações. Permitir o controle e a priorização do tráfego, priorizando e garantindo banda para as aplicações (inbound/outbound) através da classificação dos pacotes (shaping), criação de filas de prioridade, gerência de congestionamento e QoS. Permitir modificação de valores DSCP para o DiffServ. Controlar (limitar ou expandir) individualmente a banda utilizada por grupo de usuários do Microsoft Active Directory e LDAP, por IP, por sub-rede e por categoria de aplicações. Possuir interface de administração e monitoramento centralizada das regras ou políticas, a qual deverá permitir a realização de 12

13 GER02 GER03 GER04 GER05 definições e alterações de regras ou políticas a partir de um ponto único para distribuição em todos os demais equipamentos. Registrar, de forma centralizada, logs de criação, alteração e exclusão de regras ou políticas, assim como de configuração dos equipamentos. Permitir a definição de perfis de administradores, com, no mínimo, permissões gerais de Read/Write e Read Only. Permitir o uso de autenticação forte (certificados) para os administradores da console de gerenciamento, sem custos adicionais. Implementar comunicação criptografada entre a interface de gerência e os equipamentos. GER06 Oferecer interface gráfica (Graphical User Interface - GUI). GER07 GER08 Permitir o rastreamento de todas as conexões registradas bem como atividades administrativas realizadas. Permitir a filtragem e busca de eventos de interesse do administrador como ataques bloqueados e endereços IP específicos. GER09 Permitir a visualização do status (up/down) de cada equipamento. GER10 GER11 GER12 GER13 Permitir a distribuição automática e manual de pacotes de atualização e gerenciamento de licenças de forma centralizada. Enviar alertas para o administrador quando certos eventos como, por exemplo, porcentagem de utilização da CPU e uso de memória dos equipamentos estiverem próximos dos limites configurados. Permitir a monitoração de usuários remotos que se conectem via VPN, identificando possíveis problemas de conectividade e o tempo de cada conexão. Permitir a utilização das funcionalidades de gerenciamento mesmo após o término dos contratos de atualização de software e de garantia do equipamento Firewall multifuncional para proteção do perímetro de rede: Funcionalidade Item Descrição FIREWALL MULTIFUNCIONAL PARA PROTEÇÃO DE PERÍMETRO DE REDE FWR01 Possuir, no mínimo, 4 (quatro) interfaces Ethernet 10/100/1000 Base-T, autosense, com conectores RJ-45. FWR02 Garantir, no mínimo, throughput de 1 (um) Gigabit por segundo para as funcionalidades de Firewall (itens "FWR1 a FWR36") considerando que as funcionalidades de VPN, Filtro de Conteúdo, IPS e QoS estarão, ao mesmo tempo, habilitadas e em funcionamento, executando as regras de VPN, Filtro de Conteúdo IPS e QoS definidas e aplicadas pela contratante. FWR03 Garantir, no mínimo, o estabelecimento de (quinhentas mil) conexões TCP/IP concorrentes. FWR04 Garantir, no mínimo, o estabelecimento de (vinte e cinco mil) novas conexões TCP/IP por segundo. FWR05 Possuir funcionalidade de detecção e bloqueio Ataques de Força Bruta e ataques Man-in-the-Middle para VPNs. FWR06 Garantir que o equipamento (processamento e memória RAM) e que cada CPU do equipamento não exceda 80% de sua capacidade máxima de processamento em um período ininterrupto/contínuo superior a 30 minutos, salvo quando submetido a ataques ou atualizações de regras e softwares. FWR07 Possuir controle de acesso por endereço IP de origem e destino, por aplicação (independentemente da porta ou protocolo utilizados pela aplicação), por sub-rede e por períodos do dia, permitindo a aplicação de regras por horários e por dias da semana. FWR08 Permitir criação de serviços por porta ou conjunto de portas para os protocolos TCP, UDP, ICMP e IP. 13

14 FWR09 Suportar tags de VLAN. FWR10 Permitir a criação de, no mínimo, 50 VLANs. FWR11 Permitir bloqueio por agentes externos como, por exemplo, scripts acionados por correlacionadores de eventos. FWR12 Possuir ferramenta de diagnóstico do tipo tcpdump. FWR13 Possuir integração com serviços de diretório LDAP e Microsoft Active Directory para autenticação de usuários. FWR14 Permitir a criação de regras de acesso/bloqueio baseadas em usuários ou grupo de usuários do LDAP e do Microsoft Active Directory. FWR15 Possuir métodos de autenticação de usuários para aplicações executadas sobre os protocolos TCP e UDP como, por exemplo, aplicações HTTP, HTTPS, FTP. FWR16 Possuir a funcionalidade de tradução de endereços estáticos NAT (Network Address Translation), um para um, N-para-um e um-para- N. FWR17 Permitir controle de acesso à internet por domínio como, por exemplo, gov.br, org.br, edu.br. FWR18 Possuir a funcionalidade de fazer tradução de endereços dinâmicos, um-para-n, PAT (Port Address Translation). FWR19 Implementar IPv6 nativo e tráfego de IPv6 tunelado em pacotes IPv4. FWR20 Implementar, no mínimo, os protocolos de roteamento dinâmico RIP v1, RIP v2 e OSPF v2. FWR21 Possuir funcionalidades de DHCP Cliente, Servidor e Relay. FWR22 Suportar aplicações multimídia como H.323 e SIP. FWR23 Suportar Real-Time Transport Protocol (RTP). FWR24 Possuir tecnologia de firewall do tipo Stateful. FWR25 Possuir conexão entre estação de gerência e o equipamento criptografada tanto em interface gráfica quanto em interface por linha de comando. FWR26 Suportar multicast. FWR27 Permitir o gerenciamento remoto do equipamento por meio da rede local ou WAN. FWR28 Permitir a realização de backup das regras e transferência desse backup para armazenamento em servidores externos. FWR29 Possuir funcionalidade de detecção e bloqueio de, no mínimo, os seguintes tipos de ataques: IP Spoofing, SYN Flood, Port Scanning, ICMP Flood. FWR30 Implementar sincronização de horário por Network Time Protocol (NTP). FWR31 Possuir funcionalidade de geração de relatórios e exportação de logs. FWR32 Permitir, no mínimo, a implementação e utilização de 100 regras ou políticas de Firewall. FWR33 Permitir a abertura de novas portas por fluxo de dados para serviços que requerem portas dinâmicas. FWR34 Possuir mecanismo de anti-spoofing. FWR35 Possuir funcionalidade de IP/MAC binding, de forma que cada endereço IP possa ser associado a um endereço MAC. FWR36 Possuir inspeção profunda de pacotes (Deep Packet Inspection - DPI). 14

15 VIRTUAL PRIVATE NETWORK VPN 3 FILTRO DE CONTEÚDO, CLASSIFICAÇÃO DE SÍTIOS E SEGURANÇA WEB VPN01 Garantir, no mínimo, throughput de 100 (cem) Megabits por segundo. VPN02 Permitir a criação de túneis VPN SSL/TLS e IPSec para VPN site-tosite ("Full Meshed" e "Estrela"). VPN03 Implementar, no mínimo, 20 (vinte) túneis client-to-site ou site-tosite simultâneos para VPN. VPN04 Permitir a arquitetura de VPN hub and spoke. VPN05 Implementar algoritmos de criptografia para túneis VPN AES-128 e AES-256. VPN06 Implementar os algoritmos para definição de chave de cifração 3DES e AES. VPN07 Implementar os algoritmos RSA e Diffie-Hellman RSA para troca de chaves de sessão. VPN08 Permitir a utilização de Certificado Digital X.509 v3. VPN09 Permitir a inclusão em autoridades certificadoras (enrollment). VPN10 Implementar AH Authentication Header, ESP Encapsulating Security Payload e IKE Internet Key Exchange. VPN11 Permitir a criação de túneis VPN SSL/TLS e IPSec para VPN client-tosite (remote access). VPN12 Implementar os protocolos de roteamento RIPv1, RIPv2 e OSPFv2. VPN13 Implementar autenticação de usuários utilizando LDAP, Microsoft Active Directory e certificados digitais. VPN14 Permitir a leitura e verificação de Certificate Revogation List (CRL). VPN15 Implementar NAT Transversal Tunneling (NAT-T). URL01 Garantir, no mínimo, throughput de 250 (duzentos e cinquenta) Megabits por segundo para as funcionalidades de Filtro de Conteúdo (itens "URL01 a URL24") considerando que as funcionalidades de VPN, Firewall, IPS e QoS estarão, ao mesmo tempo, habilitadas e em funcionamento, executando as regras de VPN, Firewall, IPS e QoS definidas e aplicadas pela contratante. URL02 Possuir proteção para aplicações do tipo P2P. URL03 Possuir base mínima contendo 5 (cinco) milhões de sites internet web já registrados e classificados. URL04 Possuir categorias exclusivas para classificação de sites web como, por exemplo, Instituições de Saúde, Notícias, Pornografia, Racismo. URL05 Permitir a criação de categorias personalizadas. URL06 Permitir a categorização e reclassificação de sites web por URL. URL07 Prover o funcionamento de todos os serviços de filtragem web de maneira autônoma, sem a necessidade de conexão permanente com o site do fornecedor. URL08 Possuir integração com serviços de diretório LDAP e Microsoft Active Directory para autenticação de usuários. URL09 Permitir a criação de regras de acesso/bloqueio baseadas em usuários ou grupo de usuários do LDAP e do Microsoft Active Directory. URL10 Permitir a criação de regras para acesso/bloqueio por endereço IP de origem e sub-rede de origem. 3 A critério da CONTRATADA, as funcionalidades exigidas para Virtual Private Network - VPN poderão ser fornecidas em equipamento separado do Firewall desde que o equipamento para VPN e os softwares para VPN sejam dos mesmos fabricantes dos demais equipamentos e softwares fornecidos para o Grupo I e desde que sejam atendidos todos os demais requisitos técnicos e de gerenciamento especificados pela CONTRATANTE. 15

16 INTRUSION PREVENTION/DETECTION SYSTEM - IPS/IDS URL11 Exibir mensagem de bloqueio customizável pelos Administradores para resposta aos usuários na tentativa de acesso a recursos proibidos pela política de segurança do órgão. URL12 Permitir o bloqueio de páginas web por meio da construção de filtros específicos com mecanismo de busca textual. URL13 Permitir o bloqueio de URLs inválidas cujo campo CN do certificado SSL não contém um domínio válido. URL14 Permitir o bloqueio de páginas web por classificação, como páginas que facilitam a busca de áudio, vídeo e URLs originadas de spam. URL15 Permitir a criação de listas personalizadas de URLs permitidas lista branca e bloqueadas lista negra. URL16 Identificar aplicações independentemente das portas e protocolos utilizados para conexão, assim como possuir categorias para classificação das aplicações. URL17 Pemitir o bloqueio e a utilização de aplicações independentemente das portas e protocolos utilizados para conexão. URL18 Possuir proteção para aplicações do tipo Instant Messaging, Web e VOIP. URL19 Possuir política de segurança de aplicações pré-configuradas na solução. URL20 Possuir atualização manual e automática de novas assinaturas. URL21 Possuir proteção contra os seguintes ataques: Manipulação de Entradas Inválidas, Controle de Acesso Bruto (Ataque bruto via browser), Buffer Overflow, Cross-Site Script, SQL/SO Injection, Cookie Poisoning, HTTP Request Smuggling, Manipulação de Campos Escondidos, Trojan, Backdoor e Spyware, Detecção de evasão e LDAP Injection. URL22 Reconhecer assinaturas seletivas e filtros de ataque que devem proteger contra ataques de negação de serviços automatizados, worms, vulnerabilidades conhecidas, requisições a objetos restritos e tipos de arquivos. URL23 Permitir o agrupamento de aplicações em grupos personalizados. URL24 Garantir que as atualizações regulares do produto sejam realizadas sem interromper a execução dos serviços de controle de aplicações. IPS01 Garantir, no mínimo, throughput de 250 (duzentos e cinquenta) Megabits por segundo para as funcionalidades de IPS (itens "IPS01 a IPS26") considerando que as funcionalidades de VPN, Firewall, Filtro de Conteúdo e QoS estarão, ao mesmo tempo, habilitadas e em funcionamento, executando as regras de VPN, Firewall, Filtro de Conteúdo e QoS definidas e aplicadas pela contratante. IPS02 Detectar e proteger contra ataques que utilizem protocolo ICMP (Internet Control Message Protocol). IPS03 Possuir as assinaturas de detecção e prevenção baseadas em vulnerabilidades, permitindo a detecção de ataques desconhecidos ou variantes de ataques sem a necessidade de assinaturas específicas. IPS04 Possuir tecnologia de detecção baseada em assinatura. IPS05 IPS06 IPS07 Decodificar múltiplos formatos de Unicode. Suportar fragmentação e desfragmentação IP. Detectar protocolos independentemente da porta utilizada, identificando aplicações conhecidas em portas não-padrão. 16

17 IPS08 Detectar e Proteger contra ataques que utilizam os seguintes protocolos: 1) RPC (Remote Procedure Call) 2) Windows ou NetBios 3) SMTP (Simple Message Transfer Protocol), IMAP (Internet Message Access Protocol), Sendmail ou POP (Post Office Protocol) 4) DNS (Domain Name System) 5) FTP e SSH QUALIDADE DE SERVIÇO - QoS IPS09 IPS10 IPS11 IPS12 IPS13 IPS14 IPS15 IPS16 IPS17 IPS18 IPS19 IPS20 IPS21 IPS22 IPS23 IPS24 IPS25 IPS26 QOS1 QOS2 Possuir proteção contra ataques como: 1) Ataques de Worm, Trojan, Backdoors, Portscans, IP Spoofing, DoS e Spywares. 2) Ataques à comunicações VoIP. 3) Ataques e utilização de tecnologia P2P. 4) Ataques de estouro de pilha (buffer overflow). 5) Ataques do tipo dia-zero (zero-day). 6) Tráfego mal formado. 7) Cabeçalhos inválidos de protocolo. 8) Denial of Service e Distributed Denial of Service 9) Com assinaturas complexas, tal como TCP hijacking Permitir a identificação e emissão de relatórios de vulnerabilidades. Possuir gerenciamento gráfico centralizado do IPS/IDS integrado com gerenciamento da solução. Emitir alarmes na console de administração. Emitir alertas via correio eletrônico. Permitir monitoração do comportamento do equipamento mediante SNMP (Simple Network Management Protocol). Atualizar automaticamente as assinaturas para o sistema de detecção de intrusos. Permitir a criação de assinaturas ou regras de proteção customizadas pela equipe da contratante. Permitir filtros de anomalias de tráfego estatístico de flooding, scan, source e destination session limit. Permitir filtros de anomalias de protocolos, inclusive protocolos de aplicação (ex.: HTTP, SMTP, NetBIOS, HTTPS, FTP, DNS, SMB, RPC, SSH e Telnet). Resistir a técnicas de evasão ou ataques direcionados ao próprio equipamento. Possuir funcionalidade que permita desativar a análise de assinaturas e protocolos. Possuir funcionalidade que permita desativar a análise de ataques a partir de endereços/faixa IP específicos. Permitir a atualização remota. Funcionar de forma independente de conexão direta com o site do fornecedor. Permitir respostas específicas para cada assinatura. Permitir a verificação de ataques na camada de aplicação. Possuir as estratégias de bloqueio pass e drop. Permitir o controle e a priorização do tráfego, priorizando e garantindo banda para as aplicações (inbound/outbound) através da classificação dos pacotes (shaping), criação de filas de prioridade, gerência de congestionamento e QoS. Permitir modificação de valores DSCP para o DiffServ. 17

18 GERENCIAMENTO DA SOLUÇÃO QOS3 Controlar (limitar ou expandir) individualmente a banda utilizada por grupo de usuários do Microsoft Active Directory e LDAP, por IP, por sub-rede e por categoria de aplicações. GER01 Permitir a administração e o monitoramento centralizados das regras ou políticas, possibilitando a realização de definições e alterações de regras ou políticas a partir de um ponto único de distribuição. GER02 Registrar, de forma centralizada, logs de criação, alteração e exclusão de regras ou políticas, assim como de configuração dos equipamentos. GER03 Permitir a definição de perfis de administradores, com, no mínimo, permissões gerais de Read/Write e Read Only. GER05 Implementar comunicação criptografada entre a interface de gerência e os equipamentos. GER06 Oferecer interface gráfica (Graphical User Interface - GUI) para administração local. GER07 Permitir o rastreamento de todas as conexões registradas bem como atividades administrativas realizadas. GER08 Permitir a filtragem e busca de eventos de interesse do administrador como ataques bloqueados e endereços IP específicos. GER09 Permitir a visualização do status (up/down) de cada equipamento. GER10 Permitir a distribuição automática e manual de pacotes de atualização e gerenciamento de licenças de forma centralizada. GER11 Enviar alertas para o administrador quando certos eventos como, por exemplo, porcentagem de utilização da CPU e uso de memória dos equipamentos estiverem próximos dos limites configurados. GER12 Permitir a monitoração de usuários remotos que se conectem via VPN, identificando possíveis problemas de conectividade e o tempo de cada conexão. GER13 Permitir a utilização das funcionalidades de gerenciamento mesmo após o término dos contratos de atualização de software e de garantia do equipamento Os Equipamentos de Detecção/Proteção contra Intrusão (IPS/IDS) deverão possuir as seguintes funcionalidades e características técnicas mínimas: IPS/IDS - TIPO 01 Funcionalidade Item Descrição IPS01 Possuir, no mínimo, 4 (quatro) interfaces XFP ou SFP+, 10GBASE-SR, para fibra óptica multimodo, com conectores Duplex LC. INTRUSION PREVENTION SYSTEM/INTRUSION DETECTION SYSTEM - IPS/IDS (SENSORES) IPS02 IPS03 IPS04 IPS05 IPS06 IPS07 IPS08 Possuir, no mínimo, 4 (quatro) interfaces Ethernet 10/100/1000 Base-T, autosense, com conectores RJ-45. Implementar agregação de links, segundo padrão IEEE 802.3ad. Garantir, no mínimo, throughput de 5 (cinco) Gigabits por segundo de inspeção de tráfego. Detectar e proteger contra ataques que utilizem protocolo ICMP (Internet Control Message Protocol). Garantir que o equipamento (processamento e memória RAM) e que cada CPU do equipamento não exceda 80% de sua capacidade máxima de processamento em um período ininterrupto/contínuo superior a 30 minutos, salvo quando submetido a ataques ou atualizações de regras e softwares. Implementar IPv6 nativo e tráfego de IPv6 tunelado em pacotes IPv4. Implementar IPv4 nativo, inclusive na detecção e prevenção de ataques. 18

19 IPS09 IPS10 IPS11 IPS12 IPS13 IPS14 IPS15 IPS16 IPS17 IPS18 IPS19 IPS20 IPS21 IPS22 IPS23 IPS24 IPS25 IPS26 IPS27 IPS28 IPS29 IPS30 IPS31 IPS32 IPS33 IPS34 Possuir as assinaturas de detecção e prevenção baseadas em vulnerabilidades, permitindo a detecção de ataques desconhecidos ou variantes de ataques sem a necessidade de assinaturas específicas. Possuir tecnologia de detecção baseada em assinatura. Decodificar múltiplos formatos de Unicode. Suportar fragmentação e desfragmentação IP. Detectar protocolos independentemente da porta utilizada, identificando aplicações conhecidas em portas não-padrão. Detectar e Proteger contra ataques que utilizem os seguintes protocolos: 1) RPC (Remote Procedure Call) 2) Windows ou NetBios 3) SMTP (Simple Message Transfer Protocol), IMAP (Internet Message Access Protocol), Sendmail ou POP (Post Office Protocol) 4) DNS (Domain Name System) 5) FTP e SSH Possuir proteção contra ataques como: 1) Ataques de Worm, Trojan, Backdoors, Portscans, IP Spoofing, DoS e Spywares. 2) Ataques à comunicações VoIP. 3) Ataques e utilização de tecnologia P2P. 4) Ataques de estouro de pilha (buffer overflow). 5) Ataques do tipo dia-zero (zero-day). 6) Tráfego mal formado. 7) Cabeçalhos inválidos de protocolo. 8) Denial of Service e Distributed Denial of Service. 9) Com assinaturas complexas, tal como TCP hijacking Permitir a identificação e emissão de relatórios de vulnerabilidades. Emitir alarmes na console de administração. Emitir alertas via correio eletrônico. Permitir monitoração do comportamento do equipamento mediante SNMP (Simple Network Management Protocol). Deve ser capaz de realizar notificações de eventos de segurança através de , traps snmp e syslog. Permitir a criação de assinaturas ou regras de proteção customizadas pela equipe da contratante. Permitir filtros de anomalias de tráfego estatístico de flooding, scan, source e destination session limit. Permitir filtros de anomalias de protocolos, inclusive protocolos de aplicação (ex.: HTTP, SMTP, NetBIOS, HTTPS, FTP, DNS, SMB, RPC, SSH e Telnet). Possuir classificação de filtros através de categorias. Resistir a técnicas de evasão ou ataques direcionados ao próprio equipamento. Possuir funcionalidade que permita desativar a análise de assinaturas e protocolos. Possuir funcionalidade que permita desativar a análise de ataques a partir de endereços/faixa IP específicos. Permitir a atualização remota. Funcionar de forma independente de conexão direta com o site do fornecedor. Permitir respostas específicas para cada assinatura. Permitir a verificação de ataques na camada de aplicação. Prover estatística de pacotes descartados. Deve possibilitar identificação de todos os fluxos de dados bloqueados, consulta a um determinado endereço IP bloqueado, desbloqueio de um único IP ou desbloqueio de todos os endereços IP. Possuir as estratégias de bloqueio pass, drop e TCP Reset, realizando as seguintes ações em resposta à inspeção de tráfego: 1) Bloquear; 2) Bloquear + Notificar; 3) Bloquear + Notificar + Captura do Ataque; 4) Bloquear + Notificar + TCP Reset; 5) Permitir + Notificar; 6) Permitir + Notificar + Captura do Ataque. 19

20 INTRUSION PREVENTION/DETECTION SYSTEM - IPS/IDS (EQUIPAMENTO DE GERENCIAMENTO) IPS35 IPS36 IPS37 IPS38 IPS39 IPS40 IPS41 IPS42 IPS43 IPS44 IPS45 IPS46 IPS47 IPS48 IPS49 IPS50 IPS51 IPS52 Não possuir limitação de usuários simultâneos para filtragem e funcionalidades de IPS. Permitir a configuração remota dos segmentos e suas respectivas portas de inspeção. Implementar a sincronização entre os equipamentos redundantes, assegurando que não haverá downtime em caso de falha de uma das unidades. Possuir mecanismo de bypass para o caso de falhas no equipamento. Implementar o protocolo NTP para sincronização de hora da solução, principalmente para o registro de eventos. Os softwares que compõem a solução deverão ser fornecidos em suas versões mais atuais e completas, permitindo a implementação de todas as funcionalidades disponibilizadas pelo fabricante do equipamento. Possuir gerenciamento centralizado do IPS/IDS integrado com gerenciamento gráfico da solução, assim como permitir o acesso por meio de interface de linha de comando (CLI) e por SSH. Agregar e centralizar os eventos IDS / IPS monitorados em tempo real. Permitir a visualização de indicadores de desempenho do tráfego de rede e dos principais eventos de segurança. Permitir o agendamento de tarefas rotineiras, como cópias de segurança, atualizações e geração de relatórios. Permitir visualizar, habilitar, desabilitar e modificar regras individuais, bem como grupos ou categorias de regras. Permitir a aplicação de políticas de segurança de forma coletiva (por grupo). Permitir a criação de regras independentes para cada segmento monitorado ou grupos de segmentos. Receber automaticamente as atualizações disponibilizadas pelo fabricante e permitir que sejam distribuídas e aplicadas manualmente ou automaticamente. Permitir a realização do backup, restore e exportação das configurações e das regras ou políticas aplicadas. Deve ser capaz de monitorar e enviar alertas quanto à utilização dos recursos físicos do equipamento, tais como, memória, CPU e disco. Permitir que sejam configurados perfis de acesso administrativo ao equipamento, permitindo a segregação de tarefas administrativas de acordo com o perfil de usuário. Permitir a identificação de sessões de gerenciamento ativas. GER01 Possuir hardware dedicado para realização das atividades de gerenciamento dos sensores. GER02 Garantir que o equipamento (processamento e memória RAM) não exceda 80% de sua capacidade máxima em um período ininterrupto/contínuo superior a 30 minutos, salvo quando submetido a ataques ou atualizações de regras e software. GER03 Possuir capacidade para registro/armazenamento de, no mínimo, de eventos. GER04 Possuir, no mínimo, uma interface de gerência Ethernet 10/100/1000 Base-T em modo full-duplex. GER05 Efetuar a gestão centralizada da saúde física dos sensores monitorados. GER06 GER07 GER08 GER09 GER10 GER11 GER12 Permitir o agrupamento e a centralização dos eventos IDS / IPS monitorados. Permitir a visualização de indicadores de desempenho do tráfego de rede e dos principais eventos de segurança. Permitir o agendamento de tarefas rotineiras, como cópias de segurança, atualizações e geração de relatórios. Permitir o agrupamento de interfaces de um único sensor e de sensores distintos, assim como de políticas de segurança de forma coletiva (por grupo). Possuir a capacidade de visualizar, habilitar, desabilitar e modificar regras individuais, bem como grupos ou categorias de regras. Permitir a realização do backup, restore e exportação das configurações do equipamento de gerência. Permitir a customização de regras de detecção criadas pelo usuário e pelo fabricante. 20