TERMOS DE REFERÊNCIA ANEXO I

Transcrição

1 A empresa contratada deverá fornecer os manuais, de preferência em português, de cada equipamento e software fornecido, com todas as informações necessárias à instalação, manutenção, configuração e utilização. A empresa contratada deve fornecer 4 (quatro) firewalls appliances (aqui denominados A, B, C e D), cada um contendo as características de hardware e de software descritas abaixo. 1. Firewall A e B (interno) 1.1 Possuir capacidade para controlar um tráfego de, no mínimo, 1000 Mbps (mil mega bits por segundo) distribuídos em até 8 (oito) sub-redes; 1.2 Possuir pelo menos 8 (oito) interfaces de rede 10/100/1000 BASE T(X) half/full duplex autosense com conectores RJ-45 e com leds indicativos de link e atividade; 1.3 Possuir processador mínimo de 2,6 GHz 512KB L2 cache; 1.4 Possuir pelo menos 1 GB (um giga byte) de memória RAM com possibilidade de expansão para pelo menos 2 GB (dois giga bytes); 1.5 Ser do tamanho máximo de 5U e montável em rack de 19 ; 1.6 Possuir utilização de sistema operacional em chip (memória flash), para utilização exclusiva do software de firewall, garantindo alta performance principalmente na reinicialização do sistema; 1.7 Possuir HD de no mínimo 120 GB, exclusivamente para armazenamento de logs; 1.8 Ser compatível, quanto à instalação e funcionamento, com sistemas operacionais de código livre GNU/GPL; 1.9 Suportar, no mínimo, (quinhentas mil) sessões simultâneas; 1.10 Possibilitar o controle do tráfego para os protocolos TCP, UDP e ICMP baseados nos endereços de origem e destino e no serviço utilizado em uma comunicação; 1.11 Possibilitar o controle do tráfego para os protocolos GRE, IP 47, IP 50, IP 51, H323 e IGMP, baseados nos endereços origem e destino da comunicação; 1.12 Prover mecanismo que possibilite o bloqueio de serviços em horários específicos; 1.13 Implementar mecanismo de divisão justa de largura de banda, permitindo a priorização de tráfego por usuários; 1

2 1.14 Implementar a configuração de proxy transparente para o protocolo HTTP, de forma a dispensar a configuração dos servidores proxy no aplicativo cliente de navegação na Internet; 1.15 Permitir, com a licença fornecida, número ilimitado de conexões; 1.16 Permitir o agrupamento das regras de filtragem por política; 1.17 Possuir mecanismo que permita a realização de cópias de segurança das configurações e sua posterior restauração, remotamente, através da interface gráfica, sem necessidade de reinicialização do sistema; 1.18 Permitir controle de acesso por usuário, para plataformas abertas, Windows 9X, NT 4.0, 200x e XP, de forma transparente, para todos os serviços suportados, de modo que ao ser autenticado na rede, um determinado usuário tenha seu perfil de acesso automaticamente configurado; 1.19 Prover proteção contra os ataques de negação de serviço, SYN Flood, Land, Tear Drop e Ping O'Death; 1.20 Possuir mecanismo que limite o número máximo de conexões simultâneas de um mesmo cliente para um determinado serviço e/ou servidor; 1.21 Possuir mecanismo que permita que a conversão de endereços aconteça de forma dependente do destino de uma comunicação, possibilitando que uma máquina, ou grupo de máquinas, tenham seus endereços convertidos para endereços diferentes de acordo com o endereço destino; 1.22 Implementar Proxy ARP (técnica em que uma máquina responde a solicitação do ARP - Address Resolution Protocol - direcionada a outra máquina, fornecendo seu próprio endereço físico); 1.23 Prover proteção contra os ataques de falsificação de endereço; 1.24 Prover tolerância à falhas com capacidade de utilização entre 2 (dois) firewalls - um principal e um reserva - onde o firewall principal ficará ativo e o reserva ficará em stand-by. No caso de queda do firewall principal, o reserva deverá assumir o controle automaticamente; 1.25 Possuir mecanismo de alta-disponibilidade que execute a sincronização de configuração e de estados das sessões em tempo-real. Em caso de falha, não deverá haver perda das conexões já estabelecidas e a transição entre o firewall principal e a unidade reserva deverá acontecer de forma transparente para os usuários; 2

3 1.26 Suportar VLANs (com identificação em 802.1q); 1.27 Suportar padrão IPSEC, de acordo com as RFC s 2401 a 2412, de modo a estabelecer canais de criptografia com outros produtos que também suportem tal padrão; 1.28 Suportar a criação de túneis IP sobre IP (IPSEC Tunnel), de modo a possibilitar que duas redes com endereço inválido possam se comunicar através da Internet; 1.29 Fornecer criptografia e autenticação de pacotes IP, com chaves de criptografia com tamanho igual ou superior a 128 bits, de forma a possibilitar a criação de canais seguros ou VPN s através da Internet para redes protegidas por outro firewall igual ou compatível; 1.30 Permitir a filtragem de URL s, para os protocolos HTTP, HTTPS, FTP e Gopher, por usuário, permitindo a definição de perfis de acesso diferenciados para cada usuário ou grupo; 1.31 Permitir a criação de perfis de administração distintos, de forma a possibilitar a definição de diversos administradores, cada um responsável por determinadas tarefas da administração; 1.32 Possibilitar a filtragem da linguagem Javascript e de Applets Java e Active-X em páginas WWW, para o protocolo http; 1.33 Possibilitar o registro (log e/ou eventos) de todos os pacotes de comunicação que passam através dos firewalls; 1.34 Possibilitar armazenamento remoto, em data e horário predeterminado, de seus registros (log e/ou eventos) em banco de dados SQL localizado em máquina remota com sistema operacional Windows 200x ou sistemas operacionais de código livre GNU/GPL, através de protocolo criptografado. A empresa contratada deverá fornecer todos os recursos de software necessários à conexão com o banco de dados remoto; 1.35 Possibilitar a visualização dos registros (log e/ou eventos) armazenados em máquina remota, através de protocolo criptografado, de forma transparente através da interface gráfica; 1.36 Análise de logs: Possibilitar a visualização dos logs em tempo real; Implementar análise de informações estatísticas, sobre o tráfego passando através dos firewalls, possibilitando a geração automática de relatórios e 3

4 gráficos que discriminem o tráfego por regra de filtragem e por usuário em um determinado período de tempo configurável; Possibilitar a geração de gráficos e estatísticas na própria interface gráfica, em período de tempo configurável; Permitir a exportação de gráficos e tabelas em formatos que possibilitem sua importação pelos seguintes produtos: Microsoft Excel, Microsoft Word, Microsoft SQL Server e com os aplicativos correspondentes do Open Office; Se possuir integração homologada pelo fabricante do firewall, um outro aplicativo pode ser oferecido para que os requisitos de análise de logs sejam alcançados; 1.37 Prover mecanismo de conversão de endereços (NAT), de forma a possibilitar que uma rede com endereços reservados acesse a Internet a partir de um único endereço IP e possibilitar também um mapeamento 1-1 de forma a permitir com que servidores internos com endereços reservados sejam acessados externamente através de endereços válidos; 1.38 Possuir suporte ao protocolo SNMP, através de MIB2; 1.39 Fornecer gerência remota, com interface gráfica nativa para plataformas Windows 9x, Windows NT/200x/XP e sistemas operacionais de código livre GNU/GPL; 1.40 A interface gráfica deverá possuir assistentes para facilitar a configuração inicial e a realização das tarefas mais comuns na administração do firewall; 1.41 Possuir um concentrador de VPN integrado com as seguintes características: Implementar sua gerência de forma segura (criptografada e autenticada por uso de certificação digital) e centralizada para toda Solução de Segurança (todo o software necessário deverá ser fornecido); Deverá ser composto de 2 (dois) módulos: cliente e servidor; Suportar certificados digitais padrão X509; Possuir console de gerenciamento em modo gráfico, tornando possível a definição das políticas de firewall e VPN de forma centralizada, e assim ser capaz de gerenciar logs, usuários, LDAP, autenticação, QoS, NAT, logs de auditoria de administração, monitoração em tempo real e alertas; 4

5 Permitir a utilização de um segundo fator de autenticação fornecendo os recursos necessários para a disponibilidade desta característica a pelo menos 100 (cem) usuários; Permitir o controle de acesso por usuário e por grupos de usuários, de forma transparente, para todos os serviços suportados, de forma que, ao efetuar o logon no serviço de VPN, um determinado usuário tenha seu perfil de acesso automaticamente configurado; Permitir que os pacotes sejam reescritos por qualquer sistema de conversão de endereços sem perda da criptografia; Suportar, pelo menos, os protocolos IPSEC e IKE; Suportar algoritmo de criptografia simétrica: DES, 3DES e AES; Utilizar criptografia simétrica com algoritmo nativo com chave de pelo menos 256 bits (duzentos e cinqüenta e seis bits); Suportar algoritmo de criptografia assimétrica RSA; Suportar certificados digitais padrões X509 para autenticação de usuário da VPN; Suportar no mínimo (dois mil) túneis VPN simultâneos, sem degradação do desempenho; Ter licença para, no mínimo, 100 (cem) túneis VPN simultâneos com criptografia 3DES e AES; Suportar VPN site-to-site e point-to-site; Interagir com, no mínimo, os seguintes sistemas de autenticação: RADIUS, Base de dados Windows NT, Windows 200x e LDAP; Possuir capacidade de utilização de VPN e filtro de pacotes simultaneamente; Possuir suporte a alta disponibilidade de VPN s em sites distintos; 1.42 Características do cliente VPN: Suportar o recebimento de um endereçamento interno de qualquer rede conectada ao dispositivo; 5

6 Deverá ser capaz de estabelecer uma VPN com o módulo servidor e permitir a encriptação de toda a comunicação entre o cliente e as máquinas da rede na qual o servidor se encontra; Suportar VPN remota com cliente para Linux, Windows 98, NT, 200x e XP; Permitir a mudança, no cliente, do gateway, dos servidores de DNS, WINS e domínio; Ser totalmente transparente para todas as aplicações da máquina, não requerendo nenhum tipo de modificação em nenhuma delas; Poder ser instalado e utilizado em uma quantidade ilimitada de máquinas; Possibilitar a implementação futura de autenticação de usuários com utilização de tokens e smartcards; 1.43 Possibilitar a remoção de arquivos anexados a s, através dos protocolos SMTP e POP3, baseado em seus nomes ou tipos mime. Ao remover um arquivo, o firewall deverá possibilitar o envio de avisos ao emissor, receptor e administrador da rede; 1.44 Permitir a consulta automática a pelo menos duas RTBL - Real Time Black Lists, definíveis pelo usuário, contra SPAM, de forma a não receber s enviados por servidores cadastrados nesta(s) lista(s); 1.45 Possuir proxy SOCKS, permitindo que clientes da versão 4 e 5 deste protocolo acessem a Internet através do firewall; 1.46 Permitir a visualização de estatísticas do uso de CPU e memória da máquina onde o firewall está rodando através da interface gráfica remota em tempo real; 1.47 Permitir a geração de gráficos em tempo real, representando os serviços mais utilizados e as máquinas mais acessadas em um dado momento; 1.48 O hardware e o software da Solução devem ser do mesmo fabricante, sendo aceita a condição de O&M do fabricante do software com o fabricante do hardware. 2 Firewall C e D (externo) 2.1 Possuir capacidade para controlar um tráfego de, no mínimo 500 Mbps (quinhentos mega bits por segundo) distribuídos em até 5 (cinco) sub-redes; 6

7 2.2 Possuir pelo menos 1 GB (um giga bytes) de memória RAM com possibilidade de expansão para pelo menos até 2 GB (dois giga bytes); 2.3 Possuir processador mínimo de 2,4 GHz 512 KB L2 Cache; 2.4 Possuir pelo menos 4 (quatro) interfaces de rede 10/100/1000 BASE T(X) half/full duplex autosense com conectores RJ-45 e com leds indicativos de link e atividade; 2.5 Ser do tamanho máximo de 2U e montável em rack de 19 ; 2.6 Possuir utilização de sistema operacional em chip (memória flash), para utilização exclusiva do software de firewall; 2.7 Possuir HD de no mínimo 120 GB (giga bytes) exclusivamente para armazenamento de logs; 2.8 Ser compatível, quanto a instalação e funcionamento, com sistemas operacionais de código livre GNU/GPL; 2.9 Suportar, no mínimo, (duzentos e cinqüenta mil) sessões simultâneas; 2.10 Possibilitar o controle do tráfego para os protocolos TCP, UDP e ICMP baseados nos endereços de origem e destino e no serviço utilizado em uma comunicação; 2.11 Possibilitar o controle do tráfego para os protocolos GRE, IP 47, IP 50, IP 51, H323 e IGMP baseados nos endereços origem e destino da comunicação; 2.12 Prover mecanismo que possibilite o bloqueio de serviços em horários específicos; 2.13 Implementar mecanismo de divisão justa de largura de banda, permitindo a priorização de tráfego por usuários; 2.14 Implementar a configuração de proxy transparente para o protocolo HTTP, de forma a dispensar a configuração dos servidores proxy no aplicativo cliente de navegação na Internet; 2.15 Permitir, com a licença fornecida, número ilimitado de conexões; 2.16 Permitir o agrupamento das regras de filtragem por política; 2.17 Possuir mecanismo que permita a realização de cópias de segurança das configurações e sua posterior restauração, remotamente, através da interface gráfica, sem necessidade de reinicialização do sistema; 7

8 2.18 Permitir controle de acesso por usuário, para plataformas abertas, Windows 9X, NT 4.0, 200x e XP, de forma transparente, para todos os serviços suportados, de modo que ao ser autenticado na rede, um determinado usuário tenha seu perfil de acesso automaticamente configurado; 2.19 Prover proteção contra os ataques de negação de serviço, SYN Flood, Land, Tear Drop e Ping O'Death; 2.20 Possuir mecanismo que limite o número máximo de conexões simultâneas de um mesmo cliente para um determinado serviço e/ou servidor; 2.21 Possuir mecanismo que permita que a conversão de endereços (NAT) aconteça de forma dependente do destino de uma comunicação, possibilitando que uma máquina, ou grupo de máquinas, tenham seus endereços convertidos para endereços diferentes de acordo com o endereço destino; 2.22 Implementar Proxy ARP (técnica em que uma máquina responde a solicitação do ARP - Address Resolution Protocol - direcionada a outra máquina, fornecendo seu próprio endereço físico); 2.23 Prover proteção contra os ataques de falsificação de endereço; 2.24 Prover tolerância à falhas com capacidade de utilização entre 2 (dois) firewalls - um principal e um reserva - onde o firewall principal ficará ativo e o reserva ficará em stand-by. No caso de queda do firewall principal, o reserva deverá assumir o controle automaticamente; 2.25 Possuir mecanismo de alta-disponibilidade que execute a sincronização de configuração e de estados das sessões em tempo-real. Em caso de falha, não deverá haver perda das conexões já estabelecidas e a transição entre o firewall principal e a unidade reserva deverá acontecer de forma transparente para os usuários; 2.26 Implementar mecanismo de balanceamento de carga entre servidores de aplicação, permitindo que vários servidores internos, até 32 (trinta e dois) servidores, sejam acessados pelo mesmo endereço IP. O balanceamento de carga dos servidores deverá ainda possibilitar que os servidores internos sejam monitorados; 2.27 Possuir pelo menos 2 (duas) formas distintas de balanceamento; 2.28 Suportar VLANs (com identificação em 802.1q); 2.29 Suportar padrão IPSEC, de acordo com as RFCs 2401 a 2412, de modo a estabelecer canais de criptografia com outros produtos que também suportem tal padrão; 8

9 2.30 Suportar a criação de túneis IP sobre IP (IPSEC Tunnel), de modo a possibilitar que duas redes com endereço inválido possam se comunicar através da Internet; 2.31 Fornecer criptografia e autenticação de pacotes IP, com chaves de criptografia com tamanho igual ou superior a 128 bits, de forma a possibilitar a criação de canais seguros ou VPNs através da Internet para redes protegidas por outro firewall igual ou compatível; 2.32 Gerenciar, por meio de consoles gráficas administrativas remotas, disponíveis para as plataformas Linux e Windows, os mecanismos de auditoria, coleta de dados e aplicação de políticas para controle de tráfego nos firewalls simultaneamente ou não; 2.33 Permitir a criação de perfis de administração distintos, de forma a possibilitar a definição de diversos administradores, cada um responsável por determinadas tarefas da administração; 2.34 Possibilitar a filtragem da linguagem Javascript e de Applets Java e Active-X em páginas WWW, para o protocolo http; 2.35 Possibilitar o registro (log e/ou eventos) de todos os pacotes de comunicação que passam através dos firewalls; 2.36 Possibilitar armazenamento remoto, em data e horário predeterminado, de seus registros (log e/ou eventos) em banco de dados SQL localizado em máquina remota com sistema operacional Windows 200x ou sistemas operacionais de código livre GNU/GPL, através de protocolo criptografado. A empresa contratada deverá fornecer todos os recursos de software necessários à conexão com o banco de dados remoto; 2.37 Possibilitar a visualização dos registros (log e/ou eventos) armazenados em máquina remota, através de protocolo criptografado, de forma transparente através da interface gráfica; 2.38 Análise de logs: Possibilitar a visualização dos logs em tempo real; Implementar análise de informações estatísticas, sobre o tráfego passando através dos firewalls, possibilitando a geração automática de relatórios e gráficos que discriminem o tráfego por regra de filtragem e por usuário em um determinado período de tempo configurável; Possibilitar a geração de gráficos e estatísticas na própria interface gráfica, em período de tempo configurável; 9

10 Permitir a exportação de gráficos e tabelas em formatos que possibilitem sua importação pelos seguintes produtos:microsoft Excel, Microsoft Word, Microsoft SQL Server e com os aplicativos correspondentes do Open Office; Se possuir integração homologada pelo fabricante do firewall, um outro aplicativo pode ser oferecido para que os requisitos de análise de logs sejam alcançados; 2.39 Possuir interface gráfica de gerenciamento remota preferencialmente em português; 2.40 Possibilitar a remoção de arquivos anexados a s, através dos protocolos SMTP e POP3, baseado em seus nomes ou tipos mime. Ao remover um arquivo, o firewall deverá possibilitar o envio de avisos ao emissor, receptor e administrador da rede; 2.41 Permitir a consulta automática a pelo menos duas RTBL Real Time Black Lists, definíveis pelo usuário, contra SPAM, de forma a não receber s enviados por servidores cadastrados nesta(s) lista(s); 2.42 Permitir a visualização em tempo real de todas as conexões TCP e sessões UDP que se encontrem ativas através do firewall e a remoção de qualquer uma destas sessões ou conexões; 2.43 Permitir a geração de gráficos em tempo real, representando os serviços mais utilizados e as máquinas mais acessadas em um dado momento; 2.44 O hardware e o software da Solução devem ser do mesmo fabricante, sendo aceita a condição de O&M do fabricante do software com o fabricante do hardware; 2.45 Possuir mecanismo de filtragem de serviços RPC pelo nome do serviço ou, no caso de serviço sem nome pré-definido, pelo seu número; 2.46 Possibilitar integração com agentes de detecção de intrusão (IDS), permitindo que estes agentes insiram regras temporárias no firewall, com duração pré-determinada, de forma automática. 3 Controle de conteúdo 3.1 Possibilitar a análise de controle de conteúdo de pelo menos (dois mil) usuários; 3.2 Suporte as plataformas abertas, Windows NT e Windows 200x; 3.3 Ser homologado pelo fabricante do firewall oferecido. Tal homologação pode ser comprovada no site ou por documento do fabricante; 10

11 3.4 Possuir uma base de dados de URL s com pelo menos (setecentas mil) URL s classificadas distribuídas em pelo menos 24 (vinte e quatro) categorias distintas; 3.5 Possuir possibilidade de atualização diária, em períodos agendados pelo administrador da ferramenta, de forma automática e incremental da base de dados de URL s ; 3.6 Possuir documento do fabricante atestando que as classificações de URL s não são feitas através de palavras-chave, evitando dessa forma a ocorrência de classificações errôneas; 3.7 Possuir possibilidade de classificação, adição e exclusão de sites não registrados na base de URL s; 3.8 Possuir módulo de monitoramento dos sites acessados e registrados; 3.9 Possuir monitoramento de acesso a Internet em tempo real, com possibilidade de definir quais informações serão visualizadas na tela do administrador; 3.10 Possuir sistema de registro de informações que registre todos os sites acessados com suas respectivas categorias; 3.11 Ser eficiente na filtragem de sites em língua portuguesa e inglesa; 3.12 Possibilitar o bloqueio de sites que tenham como objetivo a distribuição de música, rádio, vídeo e telefonia pela Internet; 3.13 Possibilitar o bloqueio de sites de chats e fórum on-line ; 3.14 Possibilitar a filtragem da linguagem Javascript e de Applets Java e Active-X em páginas WWW, para o protocolo HTTP; 3.15 Permitir criação de múltiplas mensagens de bloqueio personalizáveis; 3.16 Permitir o controle de acesso por usuário e grupos, para plataformas Windows 9X, NT, 200x, XP e Linux, de forma transparente, para todos os serviços suportados, de forma que ao efetuar o logon na rede, um determinado usuário tenha seu perfil de acesso automaticamente configurado; 3.17 Geração de relatórios, considerando os seguintes parâmetros: 11

12 Permitir contabilização do acesso à Internet realizado por usuário informando a quantidade de bytes, os tempos utilizados, a estação utilizada (com nome e endereço IP da máquina); Controlar quantidade de tentativas de acesso ao conjunto de sites das categorias bloqueadas, durante um período de tempo; Controlar lista dos sites bloqueados com mais tentativas de acesso, durante um período especificado; Controlar lista dos sites permitidos e mais visitados, durante um período especificado; Controlar quantidade total de sites permitidos e bloqueados durante um período especificado; Controlar número de tentativas de acesso aos sites bloqueados, durante um período especificado; Controlar número de visitas durante um período especificado; Controlar número de tentativas de acesso às categorias especificadas; Controlar lista de sites bloqueados e permitidos, selecionados por usuários, grupos ou por IP; Possuir capacidade de gerar relatórios por protocolo; Permitir criação de relatórios nos formatos planilha e HTML; 3.18 Se possuir integração homologada pelo fabricante do firewall, um outro aplicativo pode ser oferecido para que os requisitos do analisador de conteúdo sejam alcançados. 4 Rack para instalação dos equipamentos 4.1 Rack padrão de 19 (dezenove) polegadas e 42 (quarenta e dois) U; 4.2 Todos os equipamentos ofertados deverão ser instalados internos ao rack; 4.3 A empresa contratada deverá fornecer todos os acessórios (extensões de energia elétrica, patch cord s, bandejas, parafusos, etc.) necessários à instalação e interligação dos equipamentos no rack; 12

13 4.4 Ser fornecido com monitor de vídeo de 17 (dezessete) polegadas de área visível e resolução mínima de 1024 x 768; 4.5 Ser fornecido com teclado e mouse instalados em uma bandeja retrátil; 4.6 Possuir um ou mais comutadores de vídeo, teclado e mouse, com número total de portas e cabos em quantidade suficiente para que a console de gerenciamento possa atender a todos os equipamentos ofertados; 4.7 Possuir bandejas e/ou elementos de fixação para suportar o peso dos equipamentos; 4.8 Possuir elementos de fixação para organização de cabos; 4.9 Possuir rodas que permitam a perfeita estabilidade do equipamento e ainda possam ser reguláveis de maneira a compensar eventuais desníveis no piso e que possam ser travadas; 4.10 Possuir porta frontal que permita ser trancada evitando o acesso não autorizado aos equipamentos; 4.11 Possuir unidades de distribuição de energia (réguas) com potência suficiente para alimentar todos os equipamentos instalados, com distância suficiente entre elas para que todas possam ser usadas simultaneamente; 4.12 O rack e todos os periféricos descritos acima devem ser preferencialmente de cor preta. 13