REDE LAN PADRONIZADA E COM GERENCIAMENTO INTEGRADO

Transcrição

1 REDE LAN PADRONIZADA E COM GERENCIAMENTO INTEGRADO Caderno de Especificações Técnicas Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 1/53

2 Equipe Responsável Elaboração Assinatura Data DETI/DGII CGSI DIT Divisão ou órgão correlato responsável pela demanda DETI Aprovação Motivada Considerando que o Termo de Referência elaborado se apresenta de forma conveniente e oportuna para atender a demanda exposta na SC DETI nº XXXXX, aprovo este Termo. Os elementos para que as empresas especifiquem seus preços estão no Termo de Referência e o valor da estimativa será incluído oportunamente no processo, após pesquisa ao mercado pela área técnica competente. Departamento ou órgão correlato responsável pela demanda DETI Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 2/53

3 Sumário MÓDULO REDE LAN MODULO WI-FI MÓDULO SEGURANÇA (NAC NETWORK ACCESS CONTROL MÓDULO FILTRO DE CONTEÚDO PRÓXY Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 3/53

4 1 MÓDULO REDE LAN 1.1 INFRAESTRUTURA DE CABEAMENTO Os serviços de infraestrutura de cabeamento contemplam a instalação de cabeamento, com fornecimento de materiais e deverão estar em conformidade com as especificações, orientações e referências normativas da CONTRATANTE e as demais a seguir: ABNT NBR 14565: Cabeamento estruturado para edifícios comerciais e Data Center; ANSI/TIA-568-C.0: Cabeamento de telecomunicações genérico; ANSI/TIA-568-C.1: Cabeamento de telecomunicações para edifícios comerciais; ANSI/TIA-568-C.2: Cabeamento de telecomunicações e componentes em cobre; ANSI/TIA-568-C.3: Componentes de cabeamento em fibra ótica; ANSI/TIA-569-C: Infraestrutura em edificações comerciais; ANSI/TIA-606-B: Administration Standard for Commercial Telecommunications Infrastructure; ANSI-J-STD-607-A: Aterramento para edifícios comerciais; ANSI/TIA-607-B: Generic Telecommunications Bonding and Grounding for Customer Premises; ISO/IEC 11801: Information technology - Generic cabling for customer premises; ISO/IEC 18010: Information technology - Pathways and spaces for customer premises cabling. 1.2 ESPECIFICAÇÃO DE MATERIAIS DE INFRAESTRUTURA DE CABEAMENTO Para que seja assegurada a padronização e compatibilidade funcional de todos os recursos; todos os materiais a serem utilizados nos serviços de infraestrutura de cabeamento, devem ser fornecidos obedecendo aos seguintes critérios: a. Todos os componentes da solução de infraestrutura de cabeamento que sejam: Cabo UTP, Conector fêmea RJ-45, Patch panel e Patch cord devem ser de mesma categoria e mesmo fabricante; b. Todos os componentes da solução de infraestrutura de cabeamento que sejam: Cabo de Fibra Óptica, Distribuidor Interno Óptico (DIO), Cabo de Fibra Óptica, Pigtail Óptico e Cordão Óptico da mesma características e fabricante; c. O organizador de cabos devem ser do mesmo fabricante dos componentes de infraestrutura decabeamento UTP ou óptico. Todos os materiais de infraestrutura de cabeamento deverão atender as especificações e características descritas a seguir: Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 4/53

5 1.2.1 Eletrocalhas Diretoria de Finanças e Serviços Logísticos - DFS a. Ser metálica galvanizada, em formato U sem abas, chapa 18, com tampa; b. Possuir dimensões em mm: L:300, H:100; L:150, H:50; L:70, H:25, admitida variação a maior de uma única dimensão em até 20%; c. Acompanhar todos os acessórios aplicáveis necessários para a instalaçã destas, entre eles: junções simples ou articuladas, cruzetas, curvas, tês, reduções, proteções para ligação em painel, todos do mesmo fabricante; d. O duto e a tampa deverão formar uma solução sistêmica, para instalação por pressão de tampa. e. Acompanhar todos os acessórios aplicáveis necessários para a instalação destas, entre eles: vergalhões rosca total, cantoneiras, chumbadores de aço com rosca interna, parafusos zincados cabeça de lentilha auto travante, porcas zincadas sextavadas, Arruelas lisas zincadas; Eletroduto rígido a. Deve ser rígido em PVC roscável antichama; b. Possuir dimensões 3/4, 1 1 e 1/2 ou 2 ; c. Estar em Conformidade com NBR 15465; d. Acompanhar todos os acessórios aplicáveis necessários para a instalaçãodestes, entre eles: conduletes multipolo, caixas de embutir, curvas 90, Uniduts reto; todos do mesmo fabricante; e. Acompanhar todos os acessórios aplicáveis necessários para a instalação destes, entre eles: abraçadeiras, curvas 90, Uniduts reto, buchas e parafuso Canaleta PVC a. Ser fabricada em PVC rígido e fornecida na cor branca ou bege com tampa de acesso; b. Possuir Dimensões em mm, exprimindo largura e altura; c. O duto e a tampa deverão formar uma solução sistêmica, para instalação por pressão de tampa; d. Resistência Térmica: 50º a 70º C; e. Resistência ao impacto: 2,1 100 (Kg-cm-cm) Caixa de sobrepor (todos os modelos) a. Ser compatível a canaleta especificada neste documento; b. Fornecida com parafusos e buchas; c. Possuir Corpo em termoplástico de alto impacto ou aço; d. Possuir janelas autorretrateis para proteção contra poeiras nos conectores RJ 45; f. Possui espaço para etiquetas de identificação. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 5/53

6 1.2.5 Racks 19 a. Estar em conformidade com a norma TIA/EIA E; Diretoria de Finanças e Serviços Logísticos - DFS b. Comprovar eficiência energética através de atestado técnico ou CTD; c. Ser construído em chapa de aço SAE 1010/1020; d. Pintura eletrostática em Epóxi na cor preta; e. Altura útil de 42U (quarenta e duas unidades de rack); f. Largura padrão de 19 ; g. Possuir porta frontal e tampas laterais e traseira com fechaduras acompanhadas de chaves e travas, para impedir acesso não autorizado; h. Possuir porta com visor de material transparente; i. Possuir tampas laterais e traseira removíveis com venezianas; que permitam o perfeito fluxo de ar para ventilação e refrigeração; j. Possuir Tampa superior fixa; k. Suportar, no mínimo, carga de 500 Kg; l. Possuir profundidade interna útil de, no mínimo, 800 mm; m. Base (pés) que permitam a perfeita estabilidade do equipamento e ainda possam ser reguláveis de maneira a compensar eventuais desníveis no piso; n. Possuir, no mínimo, dois ventiladores no teto para refrigeração; o. Acompanha 01 (uma) régua com 06 (seis) tomadas NBR ABNT padrão 19", para instalação dos equipamentos de rede Gerenciador de Cabos ou Organizadores de Cabo 19 a. Próprio para montagem em racks de 19 em conformidade com os requisitos da norma TIA/EIA-310E; b. Confeccionados em termoplástico de lato impacto UL 94 V-0 com pintura de alta resistência a riscos e protegido contra corrosão na cor preta; c. Possuir largura de 19 e espessura de 1U, altura mínima de 44 mm e profundidade mínima útil de 50 mm; d. Possuir tampa basculante que abra para cima quanto para baixo; e. Possuir identificação do fabricante com ícone; f. Garantir o perfeito gerenciamento dos cabos, respeitando o raio de curvatura mínimo determinado pela norma TIA/EIA-568C; g. Deve suportar a passagem de até 24 cabos de categoria 5e e Painel de fechamento 1u e 19 a. Deve ser confeccionado em aço SAE 1020; b. Deve possuir identificação do fabricante no corpo do produto; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 6/53

7 c. Possuir altura máxima de 1U (uma unidade de rack) e espessura de chapa da estrutura mínima de 1,2 mm; d. Deve ser resistente e protegido contra corrosão, para as condições especificadas de uso em ambientes internos (TIA/EIA-569B); e. Deve apresentar largura de 19", conforme requisitos da norma TIA/EIA-310E; f. Deve permitir a fixação em rack aberto; g. Deve ter acabamento em pintura de epóxi pó na cor preta, de alta resistência a riscos e protegido contra corrosão, de acordo com as condições indicadas para uso interno, pela EIA 569; Cabo UTP Cat 6 a. Estar em conformidade com categoria 6 da ANSI/TIA/EIA 568-C.2 ou melhor; b. Possuir certificação ANATEL (Ato número ) conforme definido no Ato Anatel número de 20 de julho de 2004; c. Possuir certificado de performance elétrica pela UL ou ETL, conforme especificações ANSI/TIA/EIA-568-B.2-1 CATEGORIA 6; d. O fabricante deverá possuir Certificado ISO 9001 e ISO 14001; e. Possuir capa externa em composto retardante à chama, com baixo nível de emissão de fumaça (CM); f. Possuir impresso na capa de PVC externa, marcação de comprimento a cada metro, nome do fabricante, marca do produto, e sistema de rastreabilidade que permita identificar sua data de fabricação; g. Deve atender ao código de cores T568A/B; h. Deverá ser apresentado através de catálogos ou proposta técnica de produto do fabricante, os testes das principais características elétricas em transmissões de altas velocidades (valores típicos) de ATENUAÇÃO (db/100m), NEXT (db), PSNEXT (db), RL(dB), ACR db), para frequências de 100, 200, 350 e 550Mhz Patch Panel (24 portas) Cat 6 a. Possuir certificação UL ou ETL LISTED/ VERIFIED; b. O fabricante deverá possuir certificação ISO 9001 e ISO 14001; c. Possuir certificação ANATEL (Ato Anatel número ) impressa na capa externa; d. Possuir certificação de canal para 6 conexões por laboratório de 3a. Parte ETL UL ou ETL; e. Exceder as características elétricas da norma ANSI/TIA/EIA-568-C.2 Categoria 6; f. Compatível com as terminações T568A e T568B, segundo a norma ANSI/TIA/EIA , sem a necessidade de trocas de etiqueta; g. Possuir identificação do fabricante no corpo do produto; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 7/53

8 h. Apresentar largura de 19, e altura de 1U para montagem em rack de 19, conforme norma ANSI/TIA/EIA-310D; i. Possuir local para aplicação de ícones de identificação, conforme norma ANSI/TIA 606; j. Possuir painel frontal em termoplástico de alto impacto, não propagante a chama com porta etiquetas de identificação para proteção; k. Ser fornecido descarregado; l. Ser disponibilizado em 24 portas com conectores RJ-45 fêmea na parte frontal, estes devem ser fixados a circuitos impressos; m. Os conectores fêmea RJ-45 devem possuir as seguintes características: Atender a ANSI/TIA/EIA-568-C.2 Categoria 6. possuir vias de contato produzidas em bronze fosfo roso com camadas de 2.54 µm de níquel e 1,27µm de ouro, possuir terminação do tipo 110 IDC (conexão traseira) estanhados para a proteção contra oxidação, permitindo inserção de condutores de 22 AWG a 26 AWG; n. Ser fornecido com guia traseiro perfurado, em material termoplástico de alto impacto, não propagante a chama que atenda a norma UL 94 V-0 (flamabilidade) com possibilidade de fixação individual dos cabos, o. Ser fornecido com acessórios para fixação dos cabos (velcros e cintas de amarração); p. Possuir em sua estrutura, elementos laterais em material metálico, que eliminem o risco de torção do corpo do Patch Panel; q. Deve Suportar ciclos de inserção, na parte frontal, igual ou superior a 750 (setecentas e cinquenta) vezes com conectores RJ-45 e 200 inserções com RJ Conector fêmea RJ45 a. Possuir certificação UL ou ETL LISTED/ VERIFIED; b. O fabricante deverá apresentar certificação ISO 9001 e ISO 14001; c. Possuir certificação ANATEL em conformidade com o Ato Anatel número , impressa na capa externa; d. Possuir certificação de canal para 6 conexões por laboratório de 3a. Parte ETL; e. Exceder as características elétricas da norma ANSI/TIA/EIA-568-C.2 Categoria 6; f. Ser compatível com as terminações T568A e T568B, segundo a norma ANSI/TIA/EIA-568-C.2, sem a necessidade de trocas de etiqueta; g. Ter corpo em material termoplástico de alto impacto não propagante à chama que atenda a norma UL 94 V-0 (flamabilidade); h. Possuir protetores 110IDC traseiros para as conexões e tampa de proteção frontal (dust cover) removível e articulada com local para inserção, (na própria tampa), do ícone de identificação; i. Possuir vias de contato produzidas em bronze fosforoso com camadas de 2.54 µm de níquel e 1,27µm de ouro; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 8/53

9 j. Possuir terminação do tipo 110 IDC (conexão traseira) estanhados para a proteção contra oxidação e permitir inserção de condutores de 22 AWG a 26 AWG; k. Possibilitar crimpagem simultânea dos 8 condutores; l. Deve suportar ciclos de inserção, na parte frontal, igual ou superior a 750 (setecentas e cinqüenta) vezes com conectores RJ-45 e 200 inserções com RJ11; m. Identificação do conector como Categoria 6, gravado no conector Patch Cord UTP Cat 6 a. Possuir certificação UL ou ETL LISTED/VERIFIED; b. O fabricante deverá possuir certificação ISO 9001 e ISO 14001; c. Possuir as certificações ANATEL: a do cabo flexível e a do cordão de manobra; d. Deverão ser montados e testados em fábrica, com garantia de performance; e. O Cabo utilizado deve apresentar Certificação ETL em conformidade com a norma ANSI/TIA/EIA-568-C.2 CATEGORIA 6 (stranded cable); f. Possuir certificação de canal para 6 conexões por laboratório de 3a. Parte ETLv UL ou ETL; g. Deverão Exceder as características elétricas da norma ANSI/TIA/EIA Categoria-6; h. Deve Possuir classe de flamabilidade no mínimo CM; i. Deve possuir capa protetora (boot) do mesmo dimensional do RJ-45 plug e proteção a lingüeta de travamento; j. Todos os patch cords deverão ser originais de fábrica, elaborados e construídos pelo mêsmo fabricante da conectividade e pré-certificados como estipulado na TIA/EIA e deverão vir em suas embalagens originais; k. Deverão ser montados e testados em fábrica, com garantia de performance, confeccionado em cabo par trançado, UTP Categoria 6 (Unshielded Twisted Pair), 24 AWG x 4 pares, composto por condutores de cobre flexível, multifilar, isolamento em poliolefina e capa externa em PVC não propagante a chama, conectorizados à RJ-45 macho Categoria 6nas duas extremidades, estes conectores (RJ-45 macho), devem atender às especificações contidas na norma ANSI/TIA/EIA-568-B.2-1 Categoria 6 e a FCC part (Interferência Eletromagnética), ter corpo em material termoplástico de alto impacto não propagante a chama que atenda a norma UL 94 V-0 (flamabilidade), possuir vias de contato produzidas em liga de cobre com camadas de 2,54 μm de níquel e 1,27μm de ouro, para a proteção contra oxidação, garras duplas para garantia de vinculação elétrica com as veias do cabo Cabo de Fibra Óptica - 4 Fibras OM3 a. O fabricante deverá possuir certificação ISO 9001 e ISO 14001; b. Possuir certificação ETL (OFNR) e certificação Anatel; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 9/53

10 c. Deve estar em conformidade com as normas ANSI/TIA/EIA-568-C.3 paraom3, ABNT NBR e ISO/IEC OM3; d. Possuir impresso nome do fabricante, identificação do produto e lote defabricação e gravação sequencial a cada metro do comprimento do cabo; e. Possuir formação tight buffer e classe de flamabilidade COG; f. Deve ser otimizado para 10Gigabit (fibra OM3) em até 300m; g. Possuir resistência à umidade, fungos, intempéries e ação solar (proteção UV); h. Possuir resistência à tração durante a instalação de 185kgf; i. Temperatura de operação de -20 a 65 graus, comprovada através de teste ciclo térmico; j. Este cabo deverá ser constituído por fibras multimodo 50/125 m 3m (OM3), proof- test 100 Kpsi; k. Apresentar atenuação máxima de: 3,0 db/km em 850 m;1,0 db/km em 1300 m; l. Apresentar largura de banda mínima de: 2000 MHz.km em 850 m; 500MHz.km em 1300m; m. Deve totalmente dielétrico, garantindo a proteção dos equipamentos ativos de transmissão contra propagação de descargas elétricas atmosféricas; n. Possuir raio mínimo de curvatura de 15 x diâmetro do cabo durante ainstalação e de 10 x diâmetro do cabo após instalado; o. Deve permitir aplicação em ambiente externo e interno, com construção do tipo "tight", composto por fibras ópticas multimodo com revestimento primário em acrilato e revesti mento secundário em material polimérico colorido (900 μm), reunidas e revestidas por fibras sintéticas dielétricas para suporte mecânico (resistência à tração) e cobertas por uma capa externa em polímero especial para uso interno e externo Distribuidor Interno Óptico(DIO) para 24 fibras para Rack de 19 a. O fabricante deverá possuir certificação ISO 9001 e ISO 14001; b. Deve ser compatível com os adaptadores óticos (ST, SC, LC Duplex, FC, MT- RJ e E2000); c. Deve suportar conectores Small Form Factory, para no mínimo 24 fibras com conectores LC e MT-RJ; d. Deve ter uma capacidade de até 24 fibras com conector LC; e. Deve ser expansível, modular, próprio para rack de 19, com 1 U de altura; f. Deve possibilitar terminação direta, fusão ou pré-conectorização no mesmo módulo básico; g. Deverá ter a função de acomodar e proteger as emendas de transição entre o cabo ótico e as extensões óticas; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 10/53

11 l. Deve suportar ciclos de inserção, na parte frontal, igual ou superior a 750 (setecentas e cinqüenta) vezes com conectores RJ-45 e 200 inserções com RJ11; h. Deve possuir áreas de armazenamento de excesso de fibras, acomodação, emenda devem ficar internos à estrutura (conferindo maior segurança ao sistema); i. Deve ser fornecido com 01 bandeja de fusão para 24 fibras paraacomodação de excesso de fibras e emendas em material plástico e todos os acessórios necessários para a realização de fusão; j. Deve possuir gaveta deslizante com sistema de trilhos ( para facilitar a manutenção/instalação e trabalhos posteriores sem retirá-los do rack); k. Deve possuir painel frontal articulável, permitindo o acesso aos cordões sem expor as fibras conectorizadas internamente; l. Deve possibilitar terminação direta ou fusão, utilizando um mesmo módulobásico; m. Os adaptadores ópticos devem estar dispostos de forma angular em relação a frente do DIO, permitindo assim uma maior organização dos cordões; n. Deve ser fornecido com a quantidade de Pigtails e Adaptadores Ópticos em sua totalidade, garantindo assim o completo funcionamento da solução em 10Gbit; o. Deve ser fornecido com suportes para adaptadores ópticos separados de 02 em 02 para uma melhor distribuição dos adaptadores ópticos; p. Deve possuir 04 acessos para cabos ópticos, sendo 02 pela parte traseira e 02 pela parte lateral; q. Deve ser fabricado em aço SAE 1020; r. Deve utilizar pintura do tipo epóxi de alta resistência a riscos; s. Deve possuir resistência e /ou proteção contra a corrosão; t. Deve possuir identificação na parte frontal Pigtail Óptico Monofibra MM (50/125 pm) Montado - OM3 a. Estar em conformidade com as normas ANSI/TIA/EIA-568-C.3 para OM3, ABNT NBR14433, ABNT NBR e ISO/IEC OM3; b. O fabricante deverá possuir certificação ISO 9001 e ISO 14001; c. Possuir certificação Anatel para os conectores ópticos, conforme resolução 242; d. Montados e testados em fábrica; e. Conformação mono ou duplex, terminações LC e SC e cores diversas; f. Possuir impresso nome do fabricante, identificação do produto e lote de fabricação; g. Este pigtail deverá ser constituído por 6 (seis) fibras ópticas multimodo 50,0/10,25µm ± tipo OM3, tipo tight, com revestimento primário em acrilato e revestimento se secundário em PVC, com diâmetro de 0,9mm e adaptadores ópticos para atender três canais ópticos; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 11/53

12 h. Apresentar atenuação máxima de: 3,0 db/km em 850ηm e 1,0 db/km em 1300ηm; i. Apresentar largura de banda mínima de: 2000 MHz.Km em 850 ηm e 500 MHz.Km em 1300ηm; j. Deve ser aplicável em conectores SC, ST, FC e também em conectores da série SFF (Small Form Factor), seguindo a ANSI/TIA/EIA-568-B.3; k. O polimento deverá ser do tipo SPC com Perda de Inserção (IL) classe II e Perda de Retorno (RL) categoria A, de acordo com a Norma ABNT NBR Cordão Óptico MM (50/125 pm) Montado - OM3 cordão a. Estar em conformidade com as normas ANSI/TIA/EIA-568-C.3 para OM3, ABNT NBR 14433, ABNT NBR e ISO/IEC OM3; b. O fabricante deve possuir certificação Anatel para os conectores ópticos ST / FC / SC / MT-RJ/ LC e E2000-APC; c. O fabricante deverá possuir certificação ISO 9001 e ISO 14001; d. Possuir impresso nome do fabricante, identificação do produto e data de fabricação; e. Montados e testados em fábrica; f. Este cordão deverá ser constituído por um par de fibras ópticas multimodo 50,0/10,25µm OM3, tipo tight ; g. Utilizar padrão zip-cord de reunião das fibras para diâmetro de 2 mm; h. A fibra óptica deste cordão deverá possuir revestimento primário em acrilato e revestimento secundário em PVC; i. Sobre o revestimento secundário deverão existir elementos de tração e capa em PVC não propagante à chama; j. As extremidades deste cordão óptico duplo devem vir devidamente conectorizadas e testadas de fábrica; k. Ser disponibilizado nas opções de terminações com conectores ST/ FC/ SC/ MT- RJ/ LC E2000-APC. 1.3 FUNCIONALIDADES GERAIS DOS SWITCHES Os switches que comporão a solução devem atender, no mínimo, todas as seguintes características: IEEE (Ethernet); IEEE 802.3x (n-control); IEEE 802.3ad (Link Aggregation); IEEE 802.1q (Virtual LAN); IEEE 802.1ab (LLDP); Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 12/53

13 1.3.6 IEEE 802.1d (Spanning Tree Protocol STP); Diretoria de Finanças e Serviços Logísticos - DFS IEEE 802.1w (Rapid Spanning Tree Protocol RSTP); IEEE 802.1s (Multiple Spanning Tree); IEEE 802.1p (QoS na camada MAC); IEEE 802.1x (Network Access Control); RFC 792 (ICMP); RFC 793 (TCP); RFC 826 (ARP); RFC 1112 (IGMP v1); RFC 1157 (SNMP v1/v2c); RFC 1305 (Network Time Protocol Version 3); RFC 1757 (RMON History, Statistcs, Alarms e Events); RFC 2131 (DHCP); RFC 2460 (IP v6); Possuir certificação de homologação emitida pela Agência Nacional de Telecomunicações (Anatel) ou por entidade credenciada pela Anatel de acordo com a Resolução número 242; Deverão ser novos, sem uso, e estar na linha de produção atual do fabricante; Deverão fazer parte do catálogo de produtos comercializados pelo fabricante e não constar em listas de descontinuidade, tais como, dentre outros, End-of-Support, End-of-Sales e End-of-Life; Suportar autonegociação de velocidade, modo Half e Full duplex e MDI/MDIX; Deve suportar DHCP Snooping, de forma a não permitir a operação de servidores DHCP não autorizados na rede; Implementar reconhecimento de Telefones IP e provisioná-los na VLAN de voz automaticamente; Implementar IPv6; Implementar a configuração de endereços IPv6 para gerenciamento; Implementar resolução de endereços IPv4 e IPv6 (via consultas DNS) para nomes (hostnames) atribuídos aos ativos de rede; Implementar ICMPv6 com as seguintes funcionalidades: ICMP Request, ICMP Reply e ICMP Neighbor Discovery Protocol (NDP); Implementar protocolos de gerenciamento Ping, Traceroute e SNMP sobre IPv6; Implementar mecanismo de Dual Stack (IPv4 e IPv6), para permitir migração de IPv4para IPv6; Implementar suporte a uma fila com prioridade estrita (prioridade absoluta em relação às demais classes dentro do limite de banda que Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 13/53

14 lhe foi atribuído) para tratamento do tráfego real-time (voz e vídeo); Implementar a facilidade de priorização de tráfego através do protocolo IEEE 802.1p; Implementar a especificação de banda por classe de serviço; Implementar a funcionalidade de QoS Traffic Policing ; Implementar diferenciação de QoS por VLAN e por porta; Implementar mecanismos de QoS WRR (Weighted Round Robin) ou SRR (Shaped Round Robin); Implementar, no mínimo, quatro filas de prioridade por porta de saída (egress port); 1.4 SWITCH DE ACESSO Deverá possuir 48 portas não combinadas Gigabit Ethernet 10/100/1000BaseT, com conectores RJ45; Implementar o padrão 802.3at (Power over Ethernet plus PoE+) para as 48 portas do item 1.4.1, simultaneamente; Todas as 48 portas deverão funcionar com disponibilidade para 802.3af (Power over Ethernet PoE) e 802.3at (Power over Ethernet plus PoE+), simultaneamente; Deverá possuir, no mínimo, 02 (duas) portas SFP 01 Gigabit Ethernet (compatíveis com padrão IEEE 802.3z), incluindo a implementação de transceivers 1000BASE-SX do tipo SFP (compatível com o padrão IEEE 802.3z) do mesmo fabricante do switch, além das 48 portas UTP solicitadas anteriormente; Deverá implementar mecanismo de seleção de quais VLANs serão permitidas através de trunk 802.1q, de forma dinâmica; Possuir porta de console para ligação direta e através de terminal RS- 232 para acesso à interface de linha de comando. Poderá ser fornecida porta de console com interface USB; Possuir interface USB para conexão de flash drive que permita cópias de arquivos de configuração e imagens de software para upgrades; A fonte de alimentação deverá possuir, no mínimo, 740 W para alimentação PoE, além da energia necessária para funcionamento do switch. Não serão aceitos dispositivos externos para complementação de energia PoE no switch; A fonte de alimentação deverá possuir seleção automática de tensão (na faixa de 100 V a 240 V) e frequência (de 50/60 Hz); Deverá implementar empilhamento físico através de porta dedicada, permitindo velocidade de empilhamento de, no mínimo, 40Gbps fullduplex (80Gbps total); Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 14/53

15 As portas de empilhamento devem ser projetadas especificamente para essa função e não serão aceitas portas que permitam dupla função, tais como, uplink ou cascateamento; Os módulos e cabos necessários para o empilhamento deverão ser fornecidos; Deverá suportar protocolo SSH para gerenciamento remoto, implementando pelo menos o algoritmo de encriptação de dados 3DES; Deverá permitir empilhamento de, no mínimo, 06 unidades; Deverá permitir ser montado em rack padrão de 19 (dezenove) polegadas, incluindo todos os acessórios necessários; Deverá permitir gerenciamento da pilha de switches através de um único endereço IP; Deverá possuir LEDs para a indicação do status das portas, atividade, duplex e PoE; Deverá possuir altura de no máximo 1 RU; Deverá suportar operação normal em temperaturas de 5º C até 40 C; Deverá implementar os protocolos LLDP (IEEE 802.1ab) e LLDP-MED. com autonegociação de energia para PoE; Deverá implementar VLANs por porta; Deverá possuir cabo de alimentação para a fonte; Deverá suportar atualização automática de versão do sistema operacional dos switches que participam do empilhamento; Deverá permitir a gravação de log externo (syslog); Deverá implementar funcionalidade de separação do tráfego de voz e dados em uma mesma porta de acesso (Voice VLAN), sem a necessidade de utilização de 802.1q; Deverá possuir capacidade para, pelo menos, endereços MAC na tabela de comutação; Deverá suportar Jumbo Frames de, no mínimo, 9018 Bytes; Deverá possibilitar o estabelecimento do número máximo de MACs que podem estar associados a uma dada porta do switch. Caso o número de endereços MAC configurados para a porta seja excedido, deve ser possível bloquear o tráfego na porta, desabilitar a porta e enviar um trap SNMP; Deverá possuir controle de broadcast1, multicast e unicast por porta; Deverá possuir suporte a mecanismo de proteção da Root Bridge do algoritmo Spanning-Tree para defesa contra ataques do tipo Denial of Service no ambiente nível 2; Deverá implementar a criptografia de todos os pacotes enviados ao servidor de controle de acesso e não só os pacotes referentes à senha; Deverá suportar no mínimo grupos multicast para IPv4;] Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 15/53

16 Deverá implementar em todas as interfaces do switch o protocolo IGMP Snooping (v1, v2 e v3), não permitindo que o tráfego multicast seja tratado como broadcast no switch; Deverá possuir classificação e reclassificação baseadas em endereço IP de origem/destino, portas TCP e UDP de origem e destino, endereços MAC de origem e destino; Deverá suportar funcionalidades de QoS de Traffic Shaping e Traffic Policing Deverá implementar pelo menos quatro filas de prioridade por porta de saída (egress port) Deverá suportar aos mecanismos de QoS WRR (Weighted Round Robin) ou SRR (Shaped Round Robin); Deverá ser possível a especificação de banda por classe de serviço. Para os pacotes que excederem a especificação, deve ser possível configurar as seguintes ações: Transmissão do pacote sem modificação, transmissão com remarcação do valor de DSCP e descarte do pacote; Deverá implementar capacidade de autenticar ao menos 2 (dois) dispositivos 802.1x por porta, para suporte à autenticação de sistemas operacionais virtualizados; Deverá implementar autenticação de dispositivos baseado no endereço MAC, via servidor RADIUS ou TACACS; Deverá implementar limitação de endereços MAC por porta. Os endereços MAC podem ser aprendidos automaticamente ou configurados manualmente; Deverá implementar TACACS+ ou similar; Deverá implementar mecanismos de AAA (Authentication, Authorization e Accounting); Deverá implementar Private VLAN ou funcionalidade similar que permita segmentar uma VLAN em subdomínios: uma VLAN primária e múltiplas VLANs secundárias; Suportar o padrão IEEE 802.3ad (Link Aggregation), suportando no mínimo 4 (quatro) portas por grupo; Deverá implementar HTTPS para gerenciamento gráfico (navegação segura); 1.5 SWITCH CORE TIPO I Deverá ser modular (switch de chassis); Deverá suportar supervisora redundante; Deverá possuir módulos de ventilação (fan) e de fonte, que devem ser hot-swap; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 16/53

17 1.5.4 Deverá ser fornecida com fonte de alimentação redundante, sendo que o equipamento deve funcionar, sem perda de funcionalidade, no caso de falha de funcionamento em uma das fontes; Deverá suportar Qualidade de Serviço (QoS) com Leitura, Classificação e Marcação de pacotes, baseada nos padrões IEEE 802.1p (CoS), DSCP, "Traffic Policing" e "Traffic Shaping"; Deverá implementar o conceito de virtualização, onde dois switches físicos formem um único switch lógico, implementando, no mínimo, as seguintes características: Gerência do conjunto de equipamentos por um mesmo endereço IP; Sincronismo de firmware de todos os switches que fazem parte do mesmo conjunto, para garantir que todos os switches sejam atualizados para a mesma versão de firmware; Os switches devem realizar mecanismo de backup completo de configuração entre si; Criação de links agregados entre portas do switch virtual, mesmo que essas portas estejam em diferentes equipamentos físicos; Todos os elementos do switch virtual deverão rotear simultaneamente (roteamento distribuído), garantindo performance máxima do switch virtual; Permitir que os elementos do conjunto sejam interconectados por interfaces10gbps padrão, garantindo funcionamento mesmo quando os elementos estiverem geograficamente distribuídos; Deverá implementar DHCP Client, Relay, Server e Snooping; Deverá possuir capacidade para no mínimo endereços MAC; Deverá implementar jumbo frames; Deverá implementar VRRP ou similar; Deverá implementar autenticação por portal WEB, por MAC e por usuário (802.1x); Deverá implementar mecanismo de prevenção e inibição de congestionamento (SRR ou WRED), remarcação 802.1p e DSCP e oito filas por porta; Deverá implementar redirecionamento de pacotes e limitação de taxa inbound e outbound por porta; Deverá implementar algoritmos de prioridade estrita e de prioridade ponderada (WRR, WFQ, DWRR ou WDRR) simultaneamente em uma mesma porta; Deverá implementar autorização para cada comando de configuração; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 17/53

18 Deverá permitir a configuração de VLAN exclusiva para a transferência do tráfego de multicast entre dois switches, para evitar a transmissão de uma cópia do tráfego multicast em cada VLAN; O chassi deverá possuir capacidade para a instalação de, no mínimo, 04 (quatro) módulos de interfaces; Deverá possuir módulo com 48 portas 01 Gigabit Ethernet baseadas em SFP (compatível com o padrão IEEE 802.3z), sem oversubscripion; Todas as interfaces de 01 Gigabit Ethernet devem suportar a inserção de transceiver do tipo SFP; Além dos demais transceivers citados nos itens , , e , deverão ser fornecidos, para cada Switch Core Tipo I, 02 (dois) transceivers, do tipo SFP, devendo implementar IEEE z compatível com o padrão 1000BASE-T; Não serão aceitas portas combinadas (combo) e equipamentos/dispositivos externos, tais como, conversores de fibra óptica para RJ-45, para interligação do Switch Core Tipo I para cabeamento UTP; Deverão ser fornecidos transceivers óptico para instalação no modulo de Interface 01 Gigabit Ethernet, padrão SFP, para fibras multimodo, sendo que o número de transceivers deverão ser iguais ao número de uplinks definidos por localidade, conforme o item do Termo de Referência. Os transceivers devem ser do mesmo fabricante do módulo de interface 01 Gigabit Ethernet; Os demais transceivers, exceto os do item , deverão implementar IEEE 802.3z compatível com 1000BASE-SX; Deverá possuir capacidade de comutação de, no mínimo, 920 Gbps, mesmo que somente uma supervisora esteja funcionando; Deverá possuir encaminhamento de pacotes na camada 2 do modelo OSI com capacidade de, no mínimo, 230 Mpps (Milhões de pacotes por segundo); Deverá implementar roteamento e comutação wire-speed em transmissões de tráfego de camada 2 ou camada 3 sem degradação de performance; Deverá computar next-hop camada 3, adjacência camada e verificar policies de QoS e segurança (ACL) sem comprometer a taxa de desempenho das portas envolvidas no equipamento; Deverá comutar (camada 2) e rotear (camada 3), além de executar QoS e segurança (com ACL) sem qualquer comprometimento da taxa de desempenho das portas envolvidas no equipamento; Deverá sustentar a mesma taxa de transferência de pacotes por segundo, independentemente se o tráfego estiver sendo comutado (camada 2) ou roteado (camada 3), ou possuir tratamento especial para fins de segurança (ACL) ou qualidade de serviço (QoS); Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 18/53

19 Não serão consideradas as portas 10/100BASE-TX, 10/100/1000BASE- T, 1000BASE-SX e 10GBASE-SR instaladas em módulos de supervisão ou gerenciamento para compor a quantidade de portas solicitadas; Deverá implementar limitação de endereços MAC por porta. Os endereços MAC podem ser aprendidos automaticamente ou configurados manualmente; Deverá implementar listas de controle de acesso (ACLs), baseadas em endereços MAC de origem e destino, endereços IP de origem e destino, portas TCP e UDP; Deverá implementar a criação de listas de acesso baseadas em endereços IP para limitar o acesso ao elemento de rede via Telnet ou SSH, possibilitando a definição dos endereços IP de origem das respectivas sessões; Deverá implementar definição de grupos de usuários, com diferentes níveis de acesso; Deverá implementar e suportar TACACS+ ou similar; Deverá implementar mecanismos de AAA (Authentication, Authorization e Accounting); Deverá implementar Private VLAN ou funcionalidade similar que permita segmentar uma VLAN em subdomínios: uma VLAN primária e múltiplas VLANs secundárias; Deverá suportar o padrão IEEE 802.3ad (Link Aggregation), suportando no mínimo 4 (quatro) portas por grupo; Deverá implementar HTTPS para gerenciamento gráfico (navegação segura); Deverá possuir capacidade de exportar as mensagens de log geradas pelo equipamento para um servidor syslog externo; Atingir 100% de throughput switching bandwidth sem degradação do desempenho do switch (por exemplo: switch de 48 portas de 1 Gbps + 2 uplinks 10 Gbps + 2 portas stacking 10 Gbps x 2 = 176 Gbps); Os switches devem atender, no mínimo, as seguintes características: RFC 1812 (IP v4); RFC 2131 (DHCP); RFC 2236 (IGMP v2); RFC 2460 (IP v6); RFC 3413 (SNMP v3); Implementar roteamento estático para os protocolos IPv4 e IPv6; 1.6 SWITCH CORE TIPO II Deve suportar autonegociação de velocidade, modo duplex e MDI/MDIX; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 19/53

20 1.6.2 Deverá possuir 48 portas padrão 01 Gigabit Ethernet padrão SFP (compatível com o padrão IEEE 802.3z) sem oversubscription; Além dos demais transceivers citados nos itens 1.6.2, e 1.6.4, deverão ser fornecidos, para cada Switch Core Tipo II, 02 (dois) transceivers, do tipo SFP, devendo implementar IEEE z compatível com o padrão 1000BASE-T; Não serão aceitas portas combinadas (combo) e equipamentos/dispositivos externos, tais como, conversores de fibra óptica para RJ-45, para interligação do Switch Core Tipo II para cabeamento UTP; Deverão ser fornecidos transceivers ópticos para instalação no modulo de Interface 01 Gigabit Ethernet, padrão SFP, para fibras multimodo, sendo que o número de transceivers deverão ser iguais ao número de uplinks definidos por localidade, conforme com o item do Termo de Referência. Os transceivers devem ser do mesmo fabricante do switch; Os demais transceivers, exceto os do item , deverão implementar IEEE 802.3z compatível com 1000BASE-SX; Deverá permitir ser montado em rack padrão de 19 (dezenove) polegadas, incluindo todos os acessórios necessários; Deve suportar Qualidade de Serviço (QoS) com Leitura, Classificação e marcação de pacotes, baseada nos padrões IEEE 802.1p (CoS), DSCP, "Traffic Policing" e "Traffic Shaping" Possuir fonte de alimentação com redundância interna AC bivolt, com seleção automática de tensão (na faixa de 100 V a 240 V) e frequência (de 50/60 Hz). As fontes deverão possuir alimentação independente, a fim de permitir a sua conexão a circuitos elétricos distintos; Deverá permitir troca da fonte redundante sem interrupção do funcionamento do switch; Deverá possuir capacidade de exportar as mensagens de log geradas pelo equipamento para um servidor syslog externo; Deverá possibilitar a obtenção da configuração do equipamento através do protocolo SNMP; Deverá implementar VLANs por porta; Deverá possuir LEDs para a indicação do status das portas e atividade; Deverá suportar protocolo SSH para gerenciamento remoto, implementando pelo menos o algoritmo de encriptação de dados 3DES; Deverá implementar SSH para acesso à interface de linha de comando; Deverá implementar DHCP Client, DHCP Relay, DHCP Server em múltiplas VLANs; Deverá implementar roteamento estático; Deverá suportar Jumbo Frames de, no mínimo, 9198 Bytes; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 20/53

21 Deverá implementar roteamento e comutação wire-speed em transmissões de tráfego de camada 2 ou camada 3 sem degradação de performance; Deverá computar next-hop camada 3, adjacência camada e verificar policies de QoS e segurança (ACL) sem comprometer a taxa de desempenho das portas envolvidas no equipamento; Deverá comutar (camada 2) e rotear (camada 3), além de executar QoS e segurança (com ACL) sem qualquer comprometimento da taxa de desempenho das portas envolvidas no equipamento; Deverá sustentar a mesma taxa de transferência de pacotes por segundo, independentemente se o tráfego estiver sendo comutado (camada 2) ou roteado (camada 3), ou possuir tratamento especial para fins de segurança (ACL) ou qualidade de serviço (QoS); Deverá suportar o padrão IEEE 802.3ad (Link Aggregation), suportando no mínimo 4 (quatro) portas por grupo; Deverá implementar limitação de endereços MAC por porta. Os endereços MAC podem ser aprendidos automaticamente ou configurados manualmente; Deverá implementar listas de controle de acesso (ACLs), baseadas em endereços MAC de origem e destino, endereços IP de origem e destino, portas TCP e UDP; Deverá implementar a criação de listas de acesso baseadas em endereços IP para limitar o acesso ao elemento de rede via Telnet ou SSH, possibilitando a definição dos endereços IP de origem das respectivas sessões; Deverá implementar definição de grupos de usuários, com diferentes níveis de acesso; Deverá implementar e suportar TACACS+ ou similar; Deverá implementar mecanismos de AAA (Authentication, Authorization e Accounting); Atingir 100% de throughput switching bandwidth sem degradação do desempenho do switch (por exemplo: switch de 48 portas de 1 Gbps + 2 uplinks 10 Gbps + 2 portas stacking 10 Gbps x 2 = 176 Gbps); Deverá possuir altura de no máximo 1 RU; Deverá implementar HTTPS para gerenciamento gráfico (navegação segura); Os switches devem atender, no mínimo, as seguintes características: RFC 1812 (IP v4); RFC 2131 (DHCP); RFC 2236 (IGMP v2); RFC 2460 (IP v6); RFC 3413 (SNMP v3); Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 21/53

22 Implementar roteamento estático para os protocolos IPv4 e IPv6; 1.7 SWITCH CORE TIPO III Possuir 48 portas Gigabit Ethernet 10/100/1000BaseT não combinadas, com conectores RJ45; Implementar o padrão 802.3at (Power over Ethernet plus PoE+) para as 48 portas do item 1.7.1, simultaneamente; Todas as 48 portas deverão funcionar com disponibilidade para 802.3af (Power over Ethernet PoE) e 802.3at (Power over Ethernet plus PoE+), simultaneamente; Deverá implementar empilhamento físico através de porta dedicada, com todos os cabos de empilhamento necessários, permitindo velocidade de empilhamento de, no mínimo, 40Gbps full-duplex (80Gbps total); Deve suportar autonegociação de velocidade, modo duplex e MDI/MDIX; Possuir, no mínimo, 04 (quatro) portas não combinadas 1 Gigabit Ethernet UTP; Deverá permitir ser montado em rack padrão de 19 (dezenove) polegadas, incluindo todos os acessórios necessários; Deve suportar Qualidade de Serviço (QoS) com Leitura, Classificação, e marcação de pacotes, baseada nos padrões IEEE 802.1p (CoS), DSCP, "Traffic Policing" e "Traffic Shaping"; Possuir fonte de alimentação redundante interna AC bivolt, com seleção automática de tensão (na faixa de 100 V a 240 V) e frequência (de 50/60 Hz). As fontes deverão possuir alimentação independente, a fim de permitir a sua conexão a circuitos elétricos distintos; Deverá possuir capacidade de exportar as mensagens de log geradas pelo equipamento para um servidor syslog externo; Deverá possibilitar a obtenção da configuração do equipamento através do protocolo SNMP; Deverá implementar VLANs por porta; Deverá possuir LEDs para a indicação do status das portas e atividade; Deverá suportar protocolo SSH para gerenciamento remoto, implementando pelo menos o algoritmo de encriptação de dados 3DES; Deverá implementar SSH para acesso à interface de linha de comando; Deverá implementar DHCP Client, DHCP Relay, DHCP Server em múltiplas VLANs; Deverá implementar roteamento estático; Deverá suportar Jumbo Frames de, no mínimo, 9198 Bytes; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 22/53

23 Deverá implementar roteamento e comutação wire-speed em transmissões de tráfego de camada 2 ou camada 3 sem degradação de performance; Deverá computar next-hop camada 3, adjacência camada e verificar policies de QoS e segurança (ACL) sem comprometer a taxa de desempenho das portas envolvidas no equipamento; Deverá comutar (camada 2) e rotear (camada 3), além de executar QoS e segurança (com ACL) sem qualquer comprometimento da taxa de desempenho das portas envolvidas no equipamento; Deverá sustentar a mesma taxa de transferência de pacotes por segundo, independentemente se o tráfego estiver sendo comutado (camada 2) ou roteado (camada 3), ou possuir tratamento especial para fins de segurança (ACL) ou qualidade de serviço (QoS); Atingir 100% de throughput switching bandwidth sem degradação do desempenho do switch (por exemplo: switch de 48 portas de 1 Gbps + 2 uplinks 10 Gbps + 2 portas stacking 10 Gbps x 2 = 176 Gbps); Deverá implementar capacidade de autenticar ao menos 2 (dois) dispositivos 802.1x por porta, para suporte à autenticação de sistemas operacionais virtualizados; Deverá implementar autenticação de dispositivos baseado no endereço MAC, via servidor RADIUS ou TACACS; Deverá implementar limitação de endereços MAC por porta. Os endereços MAC podem ser aprendidos automaticamente ou configurados manualmente; Deverá implementar TACACS+ ou similar; Deverá implementar mecanismos de AAA (Authentication, Authorization e Accounting); Deverá implementar Private VLAN ou funcionalidade similar que permita segmentar uma VLAN em subdomínios: uma VLAN primária e múltiplas VLANs secundárias; Deverá implementar listas de controle de acesso (ACLs), baseadas em endereços MAC de origem e destino, endereços IP de origem e destino, portas TCP e UDP; Deverá implementar a criação de listas de acesso baseadas em endereços IP para limitar o acesso ao elemento de rede via Telnet ou SSH, possibilitando a definição dos endereços IP de origem das respectivas sessões; Deverá implementar definição de grupos de usuários, com diferentes níveis de acesso; Deverá suportar o padrão IEEE 802.3ad (Link Aggregation), suportando no mínimo 4 (quatro) portas por grupo; Deverá possuir altura de no máximo 1 RU; Deverá implementar HTTPS para gerenciamento gráfico (navegação segura); Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 23/53

24 Os switches devem atender, no mínimo, as seguintes características: RFC 1812 (IP v4); RFC 2131 (DHCP); RFC 2236 (IGMP v2); RFC 2460 (IP v6); RFC 3413 (SNMP v3); Implementar roteamento estático para os protocolos IPv4 e IPv6; 2 MODULO WI-FI 2.1 ACCESS POINT INDOOR Deve atender aos padrões IEEE a, b, g, n e ac Deve possuir certificação da Wi-Fi Alliance para a, b, g, n e ac Deve ser homologado pela ANATEL Deve ser capaz de operar simultaneamente nos padrões a/n/ac (5Ghz) e b/g/n (2.4Ghz), através de rádios independentes (Dual Radio AP) Os Pontos de Acesso poderão estar diretamente ou remotamente conectado a Controladora Wi-Fi, inclusive via roteamento da camada de rede Deve possuir, no mínimo, duas interfaces IEEE 802.3, 10/100/1000BaseT, autosensing, auto MDI/MDIX, com conectores RJ-45 para a rede local Deve possuir, pelo menos, uma porta de console para gerenciamento via linha de comando (CLI comand line interface) com conector RJ-45, Serial over Ethernet Deve possuir a capacidade de selecionar automaticamente o canal de transmissão, sem necessidade de reinicialização do AP Deve permitir o ajuste dinâmico do nível de potência de modo a otimizar o tamanho da célula de RF, sem a necessidade de reinicialização do AP Possuir LED que indique, no mínimo, estado de operação ligado / desligado Deve possuir, no mínimo, 03 (três) antenas integradas para frequência de 2,4 GHz e no mínimo 03 (três) antenas integradas para frequência de 5 Ghz. Não pode ser antenas destacáveis com conectores RP-SMA Deve implementar as seguintes taxas de transmissão: a) IEEE a: 54; 48; 36; 24; 18; 12; 9 e 6 Mbps b) IEEE g: 54; 48; 36; 24; 18; 12; 9 e 6 Mbps Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 24/53

25 c) IEEE b: 11; 5,5; 2 e 1 Mbps d) IEEE n: 6,5 Mbps até 450 Mbps e) IEEE ac: 6,5 Mbps até 1.3Gbps Diretoria de Finanças e Serviços Logísticos - DFS Deve implementar o protocolo de controle CSMA/CA para acesso ao meio Deve encontrar a Controladora Wi-Fi automaticamente ao ser conectado na rede Não deve haver licença restringindo o número de usuários por ponto de acesso Deve implementar cliente DHCP, para configuração automática de rede Deve ser fornecido acompanhado de kit de instalação que permita fixação do equipamento de acordo com o local de destino do ponto de acesso Deve possuir suporte a Controladoras Wi-Fi redundantes, no caso de falha da Controladora primária, os Pontos de Acesso relacionados deverão se associar automaticamente a uma Controladora secundária Deve suportar, pelo menos, 16 (dezesseis) SSIDs Deve permitir habilitar e desabilitar a divulgação do SSID Deve implementar diferentes tipos de combinação encriptação / autenticação Deve implementar VLANs conforme o padrão 802.1q Deve possuir a funcionalidade Standard Beamforming Deve ter a capacidade de mudar de canal caso seja detectada alguma interferência no canal atual de operação e deve permanecer no novo canal caso a interferência seja persistente Deve implementar a função de análise de espectro nas frequências de 2.4Ghz e de 5Ghz, identificando Pontos de Acesso intrusos (Rogue AP), usuários intrusos (Rogue clients), Redes Ad-Hoc e origens de interferências sejam elas ou não Deve ser compatível com o padrão IEEE 802.3af (PoE) e IEEE 802.3at (PoE+) Todo o controle, configuração e gerência dos Pontos de Acesso deverão ser realizados de forma centralizada através das Controladoras Wi-Fi O Ponto de Acesso não poderá permitir ser configurado a partir da Rede WI-FI Deve fazer a atualização automática de firmware ao ser conectado na Controladora Wi-Fi Deve implementar o padrão Wireless Multi-media QoS (WMM) da Wi-Fi Alliance para priorização de tráfego, suportando aplicações em tempo real, tais como, VoIP, vídeo, dentre outras Deve permitir a limitação da banda por usuários e SSID. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 25/53

26 Deve permitir a atualização remota do sistema operacional e arquivos de configuração utilizados no equipamento via interface ethernet Deve ser capaz de realizar o switching local do tráfego gerado pelos clientes a ele associados, sem a necessidade de conectividade com a Controladora Wi-Fi para o tráfego dos clientes de cada ponto de acesso. Caso haja falha de comunicação com a Controladora, os clientes associados devem continuar tendo acesso à rede, sem a necessidade de reautenticação Deve implementar o protocolo IEEE 802.1X, com pelo menos os seguintes métodos. - EAP: - EAP-TLS - EAP-PEAP - EAP-GTC - EAP-MSCHAPV Deve implementar criptografia do tráfego local Deve implementar a autenticação com geração dinâmica de chaves criptográficas por sessão e por usuário Dever implementar WPA (Wi-Fi Protected Access) com algoritmo de criptografia TKIP Deve implementar WPA-2 (Wi-Fi Protected Access II) com algoritmo de criptografia AES 128 / Deve implementar o padrão IEEE i Deve implementar os seguintes tipos de modulação: b: BPSK, QPSK, CCK a/g/n: BPSK, QPSK, 16-QAM, 64-QAM ac: BPSK, QPSK, 16-QAM, 64-QAM, 256-QAM Deve implementar as seguintes tecnologias de rádio: b: Direct Sequence Spread Spectrum DSSS a/g/n/ac: Orthogonal Frequency Division Multiplexing OFDM n/ac: 3x3 MIMO com até três spatial streams O Ponto de Acesso deve permitir o ajuste da potência de transmissão Deve possuir potencia máxima de transmissão de no mínimo: - IEEE b: 18dBm - IEEE a: 18dBm - IEEE g: 18dBm - IEEE n 2.4Ghz: 18dBm - IEEE n 5.0Ghz: 18dBm - IEEE ac: 18dBm Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 26/53

27 Deve possuir potência de transmissão não inferior a: - IEEE b: 18dBm - IEEE a: 16dBm - IEEE g: 16dBm - IEEE n 2.4Ghz: 14.5dBm - IEEE n 5.0Ghz: 14.5dBm - IEEE ac: 12.5dBm Possuir sensibilidade de recepção de valor menor ou igual a: - IEEE b a 11Mbps: -88dBm - IEEE a a 54Mbps: -76dBm - IEEE g a 54Mbps: -76dBm - IEEE n 2.4Ghz em HT20/MCS15: -70dBm - IEEE n 5.0Ghz em HT40/MCS15: -70dBm - IEEE ac em VHT80/MCS9: -58dBm O ganho das antenas deverá ser no mínimo de: - 2.4Ghz: 3.5dBi - 5.0Ghz: 4.0dBi A irradiação das antenas deverá ser omnidirecional, multibanda, dipolar e integral Deve suportar operação em 3x3 MIMO com diversidade espacial e 3 streams simultâneos, possibilitando a velocidade de 1.3Gbps Deve trabalhar com canais de largura de 20/40/80Mhz no padrão ac e 20/40Mhz no padrão n Deve implementar a agregação de quadros A-MPDU e A-MSDU Devem ser fornecidas todas as licenças que habilitam todas as funcionalidades dos Access Points Os Pontos de Acesso deverão preferir usar a banda de frequência de 5.0Ghz nos casos onde o dispositivo cliente seja compatível com as frequências de 2.4Ghz e a de 5.0Ghz. A escolha da frequência 5.0Ghz deve ser automática e transparente para o usuário O Roaming entre os Pontos de Acesso deverá ser transparente, sem perda da conexão, sem perda de desempenho e velocidade para os usuários Os equipamentos deverão aceitar a autenticação dos usuários com o protocolo 802.1x usando certificado digital e usuário e senha Todos os rádios do equipamento devem processar os dados WiFi dos usuários enquanto a análise de espectro é realizada pelo ponto de acesso de forma simultânea Deve possuir mecanismo de otimização de tráfego multicast para video. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 27/53

28 2.2 ACCESS POINT OUTDOOR Deve atender aos padrões IEEE a, b, g, n e ac Deve possuir certificação da Wi-Fi Alliance para a, b, g, n e ac Deve ser homologado pela ANATEL Deve ser capaz de operar simultaneamente nos padrões a/n/ac (5Ghz) e b/g/n (2.4Ghz), através de rádios independentes (Dual Radio AP) Os Pontos de Acesso poderão estar diretamente ou remotamente conectado a Controladora Wi-Fi, inclusive via roteamento da camada de rede Deve possuir, no mínimo, duas interfaces IEEE 802.3, 10/100/1000BaseT, autosensing, auto MDI/MDIX, com conectores RJ-45 para a rede local Deve possuir, pelo menos, uma porta de console para gerenciamento via linha de comando (CLI comand line interface), Micro USB ou RS232 ou RJ Deve possuir a capacidade de selecionar automaticamente o canal de transmissão, sem necessidade de reinicialização do AP Deve permitir o ajuste dinâmico do nível de potência de modo a otimizar o tamanho da célula de RF, sem a necessidade de reinicialização do AP Possuir LED que indique, no mínimo, estado de operação ligado / desligado Deve possuir, no mínimo, 03 (três) antenas para frequência de 2.4 GHz e, no mínimo, 03 (três) antenas para frequência de 5 Ghz ou, no mínimo, 03 antenas Dual Band (2.4 Ghz e 5 Ghz), conectadas diretamente ao rádio, sem cabo externo Deve implementar as seguintes taxas de transmissão: a) IEEE a: 54; 48; 36; 24; 18; 12; 9 e 6 Mbps b) IEEE g: 54; 48; 36; 24; 18; 12; 9 e 6 Mbps c) IEEE b: 11; 5,5; 2 e 1 Mbps d) IEEE n: 6,5 Mbps até 450 Mbps e) IEEE ac: 6,5 Mbps até 1.300Mbps Deve implementar o protocolo de controle CSMA/CA para acesso ao meio Deve encontrar a Controladora Wi-Fi automaticamente ao ser conectado na rede. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 28/53

29 Não deve haver licença restringindo o número de usuários por ponto de acesso Deve implementar cliente DHCP, para configuração automática de rede Deve ser fornecido acompanhado de kit de instalação que permita fixação do equipamento de acordo com o local de destino do ponto de acesso Deve possuir suporte a Controladoras Wi-Fi redundantes, no caso de falha da Controladora primária, os Pontos de Acesso relacionados deverão se associar automaticamente a uma Controladora secundária Deve suportar, pelo menos, 16 (dezesseis) SSIDs Deve permitir habilitar e desabilitar a divulgação do SSID Deve implementar diferentes tipos de combinação encriptação / autenticação Deve implementar VLANs conforme o padrão 802.1q Deve possuir a funcionalidade Standard Beamforming Deve implementar a função de análise de espectro nas frequências de 2.4Ghz e de 5Ghz, identificando Pontos de Acesso intrusos (Rogue AP), usuários intrusos (Rogue clients), Redes Ad-Hoc e origens de interferências sejam elas ou não Todo o controle, configuração e gerencia dos Pontos de Acesso deverão ser realizados de forma centralizada através das Controladoras Wi-Fi O Ponto de Acesso não poderá permitir ser configurado a partir da Rede WI-FI Deve fazer a atualização automática de firmware ao ser conectado na Controladora Wi-Fi Deve implementar o padrão Wireless Multi-media QoS (WMM) da Wi-Fi Alliance para priorização de tráfego, suportando aplicações em tempo real, tais como, VoIP, vídeo, dentre outras Deve permitir a limitação da banda por usuários e SSID Deve permitir a atualização remota do sistema operacional e arquivos de configuração utilizados no equipamento via interface ethernet Deve ser capaz de realizar o switching local do tráfego gerado pelos clientes a ele associados, sem a necessidade de conectividade com a Controladora Wi-Fi para o tráfego dos clientes de cada ponto de acesso. Caso haja falha de comunicação com a Controladora, os clientes associados devem continuar tendo acesso à rede, sem a necessidade de reautenticação Deve implementar o protocolo IEEE 802.1X, com pelo menos os seguintes métodos. - EAP: - EAP-TLS - EAP-PEAP Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 29/53

30 - EAP-GTC - EAP-MSCHAPV Deve implementar criptografia do tráfego local. Diretoria de Finanças e Serviços Logísticos - DFS Deve implementar a autenticação com geração dinâmica de chaves criptográficas por sessão e por usuário Dever implementar WPA (Wi-Fi Protected Access) com algoritmo de criptografia TKIP Deve implementar WPA-2 (Wi-Fi Protected Access II) com algoritmo de criptografia AES 128 / Deve implementar o padrão IEEE i Deve implementar os seguintes tipos de modulação: b: BPSK, QPSK, CCK a/g/n/ac: BPSK, QPSK, 16-QAM, 64-QAM, 256-QAM Deve implementar as seguintes tecnologias de rádio: b: Direct Sequence Spread Spectrum DSSS a/g/n/ac: Orthogonal Frequency Division Multiplexing OFDM n/ac: 3x3 MIMO com até três spatial streams O Ponto de Acesso deve permitir o ajuste da potência de transmissão Deve possuir potência máxima de transmissão de no mínimo: - IEEE b: 23dBm - IEEE a: 23dBm - IEEE g: 23dBm - IEEE n 2.4Ghz: 23dBm - IEEE n 5.0Ghz: 23dBm - IEEE ac: 23dBm Deve possuir potência de transmissão não inferior a: - IEEE b: 23dBm - IEEE a: 19dBm - IEEE g: 19dBm - IEEE n 2.4Ghz: 18dBm - IEEE n 5.0Ghz: 18dBm - IEEE ac: 15dBm A irradiação das antenas deverá ser omnidirecional, multibanda, dipolar e integral Deve possuir sensibilidade de recepção de valor menor ou igual a: - IEEE b a 11Mbps: -88dBm - IEEE a a 54Mbps: -75dBm Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 30/53

31 - IEEE g a 54Mbps: -75dBm Diretoria de Finanças e Serviços Logísticos - DFS - IEEE n 2.4Ghz em HT20/MCS15: -68dBm - IEEE n 5.0Ghz em HT40/MCS15: -68dBm - IEEE ac em VHT80/MCS9: -60dBm O ganho das antenas deverá ser no mínimo de: - 2.4Ghz: 4.0dBi - 5.0Ghz: 5.0dBi Deve trabalhar com canais de largura de 20/40/80Mhz no padrão ac Deve trabalhar com canais de largura de 20/40Mhz no padrão n Deve implementar a agregação de quadros A-MPDU e A-MSDU nos padrões n/ac Devem ser fornecidas todas as licenças que habilitam todas as funcionalidades dos Access Points Os Pontos de Acesso deverão preferir usar a banda de frequência de 5.0Ghz nos casos onde o dispositivo cliente seja compatível com as frequências de 2.4Ghz e a de 5.0Ghz. A escolha da frequência 5.0Ghz deve ser automática e transparente para o usuário O Roaming entre os Pontos de Acesso deverá ser transparente, sem perda da conexão, sem perda de desempenho e velocidade para os usuários Os equipamentos deverão aceitar a autenticação dos usuários com o protocolo 802.1x usando certificado digital e usuário e senha Em operação deve ser resistente a umidade entre 5% a 95% sem condensação Em operação deve ser resistente a temperaturas entre -40º C a +60º C Em operação deve ser resistente a ventos de até 265 Km/h O Ponto de Acesso deverá ser energizado por cabo UTP, sem perda de funcionalidade Deve possuir certificação IP66 e IP Todos os rádios do equipamento devem processar os dados WiFi dos usuários enquanto a análise de espectro é realizada pelo ponto de acesso de forma simultânea Não será permitida a utilização de equipamentos de uso indoor em ambientes externos mesmo que acondicionados em caixa de proteção externa Deve ter a capacidade de mudar de canal caso seja detectada alguma interferência no canal atual de operação e deve permanecer no novo canal caso a interferência seja persistente. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 31/53

32 Deve possuir mecanismo de otimização de tráfego multicast para video. 2.3 CONTROLADORAS WI-FI, SISTEMA DE GERENCIA E RELATÓRIOS A solução Wi-Fi deverá permitir a instalação de certificados digitais assim como as cadeias de certificação e a lista de certificados revogados. A CONTRATANTE irá disponibilizar todos os certificados a serem instalados nos equipamentos Wi-Fi A solução Wi-Fi deverá ser compatível com os seguintes formatos de certificados digitais: DER, PEM, P12, PFX, PKCS12 E PKCS A solução Wi-Fi deverá ser fornecida com recursos para implementar o mecanismo de autenticação através de portal Web para usuários visitantes temporários A solução Wi-Fi deverá permitir a criação de um perfil de usuário para o gerenciamento de usuários visitantes temporários. Este perfil de usuário deverá ter o privilégio somente para criar, alterar e remover usuários A solução Wi-Fi deverá permitir a criação de múltiplos SSIDs com parâmetros individuais de segurança (criptografia / autenticação) A solução Wi-Fi deverá permitir a criação de SSID único com parâmetros individuais de segurança (criptografia / autenticação) por grupos de Pontos de Acesso A solução Wi-Fi deverá permitir a criação de conjuntos específicos de regras de firewall para cada SSID criado A solução Wi-Fi deverá emitir no mínimo os relatórios abaixo: a) Consumo dos recursos das Controladoras (CPU, memória, disco e throughput) b) Destinos mais acessados (aplicações, endereços IP, redes internas) c) Quantitativo e listagem de usuários (por localidade, ponto de acesso, total) d) Quantitativo e listagem de usuários por Controladora e) Quantitativo e listagem de usuários por SSID f) Quantitativo e listagem de usuários por VLAN g) Quantitativo e listagem de usuários usando a frequência de 2.4Ghz h) Quantitativo e listagem de usuários usando a frequência de 5.0Ghz i) Quantitativo e listagem de usuários por Sistema Operacional cliente j) Quantitativo e listagem de cada tipo de dispositivo cliente k) Quantitativo e listagem de Controladoras Wi-Fi e de Pontos de Acesso (total e por localidade) Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 32/53

33 l) Listagem de usuários contendo: IP, VLAN, SSID, Ponto de Acesso, forma de aut enticação, uso da rede, frequência utilizada e tipo de dispositivo cliente m) Uso da rede por SSID n) Uso da rede por usuário o) Uso da rede por VLAN p) Uso da rede por Controladora q) Uso da rede por usuários na frequência de 2.4Ghz r) Uso da rede por usuários na frequência de 5.0Ghz s) Uso da rede por tipo de dispositivo cliente t) Uso da rede por grupos de pontos de acesso u) Uso da rede por tipo de Sistema Operacional dos clientes v) Relação de Pontos de Acesso invasores (Rogue Aps) w) Sumário da rede Wi-Fi x) Top 10 de usuários y) Uptime dos Pontos de Acesso e das Controladoras Wi-Fi Os relatórios deverão ser exportados no mínimo nos formatos PDF ou CSV A solução Wi-Fi deverá permitir a geração de relatórios com informação histórica de pelo menos 360 dias A solução Wi-Fi deverá permitir o acesso WEB ao sistema de emissão de relatórios para que a CONTRATANTE possa visualizar e gerar relatórios A solução Wi-Fi deverá prover mecanismos que permita o rastreamento e localização de clientes Wi-Fi A solução Wi-Fi deverá possuir ferramentas de debug e log de eventos para a depuração e gerenciamento A solução Wi-Fi deverá permitir a comutação central (tráfego dos clientes passando pela Controladora) e a comutação local (tráfego dos clientes não passando pela Controladora) em paralelo Toda a solução Wi-Fi deverá ser fornecida com todos os acessórios necessários para operacionalização dos equipamentos, tais como: softwares, licenças para todas as funcionalidades, cabos de console, cabos de energia elétrica, documentação técnica e manual que contenham informações suficientes para possibilitar a instalação, configuração e operacionalização dos equipamentos A solução Wi-Fi deverá permitir o bloqueio da comunicação entre usuários em um mesmo SSID, permitindo o isolamento dos usuários A solução Wi-Fi deverá ter recursos para ajustar dinamicamente os canais, parâmetros de rádio frequência e potencia dos rádios. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 33/53

34 As Controladoras deverão implementar o protocolo de autenticação para controle do acesso administrativo ao equipamento com mecanismos de AAA As Controladoras deverão suportar os protocolos SMTP, SNMP e NTP As Controladoras deverão implementar os padrões 802.1q, 802.1d e 802.3ad As Controladoras deverão suportar configuração de Radius Server e Tacacs Server Cada Controladora deverá suportar no mínimo 1000 Access Points conectados Cada Controladora deverá suportar no mínimo clientes Wi-Fi As Controladoras deverão manter a sua configuração em memória não volátil Cada Controladora deverá oferecer Throughput mínimo de tráfego cabeado de 20 Gbps Cada Controladora deverá suportar, no mínimo, 4000 VLANs As Controladoras deverão possuir fontes redundantes com seleção automática de tensão ( VAC) As Controladoras deverão permitir a gravação de eventos por meio do protocolo syslog As Controladoras deverão possuir LEDs para a indicação do status das portas e atividade As Controladoras deverão possuir, no mínimo, 02 (duas) interfaces SFP+ ou XFP 10Gbps (10GBASE-SR) As Controladoras deverão possuir, no mínimo, 02 (duas) interfaces no padrão 10/100/1000BASE-T ou SFP Deve implementar listas de controle de acesso (ACL) baseadas em protocolos e endereços Deve possuir recurso para implementar mecanismo para contenção de Pontos de Acesso invasores (Rogue AP) Implementar suporte a assinaturas de ataques de RF e prevenção de intrusão para ajudar ao administrador a customizar arquivos de assinatura de ataques para rapidamente detectar ataques de RF mais comuns tais como: denial of service (DoS), Netstumbler e FakeAP; Implementar qualidade de serviço com a marcação de pacotes utilizando Diffeservice e suporte a 802.1p, para QoS Deve permitir visibilidade e controle das aplicações, permitindo a priorização de aplicações críticas, redução na prioridade de aplicações menos críticas e o bloqueio de aplicações não permitidas já na camada de acesso. Deve ter a capacidade de identificar, no mínimo, 1000 (um mil) aplicações diferentes. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 34/53

35 Deve implementar técnica de inspeção de pacotes para controle de aplicações que não utilizam portas fixas ou que utilizam protocolo TCP porta 80 ou Permitir, opcionalmente, a reserva automática de banda da rede WLAN para o controle de admissão de chamada de voz O equipamento deve também ser capaz de operar em topologia do tipo 1+1, onde temos um equipamento ativo e um segundo redundante, com outro equipamento do mesmo tipo. Neste tipo de topologia, para redução no tempo de indisponibilidade dos serviço deve ser implementada persistência de sessão entre Aps e as controllers primária e standby, resultando na comutação entre controladoras com no máximo 1 (um) segundo de tempo de interrupção do serviço. Também é garantida a sincronização automática de configurações estre a Controladora ativa e a redundante As controladoras deverão suportar redundância em camada 3, ou seja, quando a controladora de um Centro de Processamento se tornar indisponível, todos os Access Points associados a ela deverão automaticamente se associar a outra controladora localizada em outro Centro de Processamento para que o serviço não sofra indisponibilidade. As controladoras devem funcionar no modo ativoativo. 3 MODULO SEGURANÇA (NAC -NETWORK ACESS CONTROL) Módulo de segurança contemplando controle de acesso de usuários à rede através da tecnologia NAC/802.1x para os dispositivos compatíveis com está tecnologia e para os não compatíveis; e conformidade dos dispositivos finais através de políticas de segurança da informação predefinidas para os dispositivos passiveis de conformidade. O módulo deverá ser de uso exclusivo da DATAPREV e ser residente no site da DATAPREV e deverá possuir no mínimo os componentes descritos a seguir, para atender as funcionalidades necessárias para provimento dos serviços previstos nesta especificação: - Console de Gerenciamento - Servidor da Solução - Portal de Gestão de Visitantes Captive Portal - Cliente da Solução - Controle de Acesso à Rede - Verificação de Postura 3.1 CONSOLE DE GERENCIAMENTO Console administrativo de gestão de toda solução de segurança. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 35/53

36 3.1.1 Administração centralizada por console único de gerenciamento com interface gráfica intuitiva e fácil de usar, acessível via web Deve ser capaz de ser distribuída como um serviço gerenciado Deve conter mecanismo de comunicação em tempo real entre servidor e clientes, para entrega de configurações e políticas Possuir integração com Open LDAP, para importação da estrutura organizacional Possibilidade de aplicar regras diferenciadas baseando na localidade lógica da rede Possibilidade de aplicar regras diferenciadas por grupos de usuários e maquinas Possuir recursos para realização de backups da base de dados Capacidade de criação de contas de usuário com diferentes níveis de acesso de administração e operação Atualização remota e incremental da versão do software cliente instalado Nas atualizações das configurações deverá ser possível realizá-las sem utilizar login scripts, agendamentos ou tarefas manuais ou outros módulos adicionais que não sejam parte integrante da solução Possuir tecnologia que seja capaz de descobrir automaticamente as estações da rede que não possuem o cliente instalado Deve possuir ferramenta que identifique estações e servidores que não possuem o cliente instalado e direcioná-los para a instalação Deve possuir interface para construção de regras customizadas de classificação de dispositivo com suporte a operadores lógicos Deve possuir uma base de regras e categorias pré-configuradas. 3.1 SERVIDOR DA SOLUÇÃO Características mínimas dos servidores do módulo de segurança Deve ser fornecida em dispositivos dedicados para implementar plataforma de NAC com fornecimento de hardware e software Permitir a instalação de Servidores de Gerenciamento adicionais fornecendo assim a possibilidade de trabalhar em modo de Load Balance e Failover Possuir recursos nativos para a replicação do banco de dados entre os servidores de gerenciamento O servidor de gerenciamento deverá permitir o uso de banco de dados relacional. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 36/53

37 3.2.5 Deve implementar autenticação 802.1x para os usuários da rede sem fio, utilizando os seguintes métodos EAP: EAP-TLS, PEAP-MSCHAPv2, PEAPGTC e EAP-MD Deve prover servidor Radius com suporte aos métodos EAP Deve implementar autenticação Radius baseada em endereço MAC (Radius-based MAC authentication) dos dispositivos clientes Deve implementar base de dados interna centralizada para registro dos endereços MAC dos dispositivos que serão autenticados por esta funcionalidade Deve permitir a carga de um arquivo contendo uma lista de endereços MAC permitidos a partir de um único ponto de cadastramento O servidor deverá conter mecanismo de comunicação em tempo determinado pelo administrador entre o cliente e servidor, ou quando houver uma alteração de status por parte do cliente Deve suportar redirecionamentos dos logs para um servidor de Syslog da CONTRATANTE Utilizar os protocolos HTTP e HTTPS para comunicação entre console de gerenciamento e o cliente gerenciado Deve permitir interoperabilidade com mínimo 3 fabricantes de tecnologia MDM (Mobile Device Management) do mercado A solução deverá implementar validação de certificados digitais atendendo as seguintes caraterísticas: - Suportar o cadastramento de CA (Certificate Authority) externos; - Suportar consulta periódica da lista de revogados CRL (Certificate Revogation List) via HTTP; - Suportar o protocolo OCSP (Online Certificate Status Protocol) para verificação do estado do certificado. 3.3 PORTAL DE GESTÃO DE VISITANTE CAPTIVE PORTAL Ferramenta para gerenciar os processos de credenciamento, autenticação, autorização e contabilidade de usuários visitantes, no uso da internet, através de uma portal web segura Deve suportar, no mínimo, 500 (quinhentos) visitantes conectados simultaneamente na rede via portal web O serviço web de autenticação (Captive Portal) deve ser fornecido e hospedado dentro da solução ofertada, além de permitir que as requisições possam ser redirecionadas para um serviço externo(internet) Deve realizar a autenticação dos autorizadores em base externa do tipo Open LDAP e atribuir o privilégio ao autorizador de acordo com perfil do usuário. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 37/53

38 3.3.4 Deve permitir que as contas de usuários visitantes sejam gerenciadas internamente pela solução, não havendo necessidade de integração com o Open LDAP da CONTRATANTE Deve implementar as funcionalidades de geração aleatória de lotes de credenciais temporárias O licenciamento deve ser do tipo subscrição ou perpétuo Deve implementar a importação e exportação da relação de credenciais temporárias através de arquivos txt ou csv Deve permitir a criação de perfis de acesso para as credenciais temporárias com diferentes privilégios de acesso à rede Deve permitir a criação de perfis de validade das credenciais, baseando o início da validade na criação da conta ou no primeiro login da conta Deve permitir que o visitante crie sua própria credencial temporária ( selfservice ) através da portal web, sem a necessidade de um autorizador Deve permitir a customização do formulário de criação de credenciais, a ser preenchido pelo autorizador, especificando quais informações cadastrais dos visitantes são obrigatórias ou opcionais e permitindo criar campos novos Deve permitir a customização do nível de segurança da senha temporária que será gerada ao visitante, especificando a quantidade mínima de caracteres e o uso de caracteres especiais e números para compor a senha Deve permitir configurar o número máximo de erros de login antes de bloquear a conta do usuário visitante. Este requisito pode ser atendido por qualquer componente da solução Deve permitir configurar o número máximo de dias decorridos antes de exigir a troca da senha do usuário visitante Deve permitir a troca da senha pelo próprio visitante diretamente na portal web (captive portal) Deve exigir que o usuário visitante aceite o Termo de uso da rede a cada login ou apenas no primeiro login Deve implementar o envio das credenciais aos usuários registrados através de mensagens SMS (Short Message Service), ou impressão local; Deve implementar funcionalidades de Classificação Automática de Dispositivos ( Device profiling ), de forma a descobrir, classificar e agrupar os dispositivos conectados na rede, permitindo extrair informações de contexto que devem ser usadas na aplicação de políticas de acesso Deve permitir a atualização das categorias de Classificação de Dispositivos, pelo fabricante Deve permitir que o administrador cadastre manualmente um determinado dispositivo em uma categoria. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 38/53

39 Deve possuir base de regras e categorias de dispositivos préconfigurada Deve suportar mecanismo de atualização das regras e categorias préconfiguradas Deve ser suportado, no mínimo, pelos seguintes navegadores de Internet: Microsoft Internet Explorer, Mozila Firefox, Safari e Chrome; operando em PCs e dispositivos móveis Deve permitir a customização das páginas web do portal, com a inclusão de imagens, instruções em texto e campos de texto que devem ser preenchidos pelos clientes Deve possuir suporte aos idiomas Inglês, Espanhol e Português do Brasil ou permita inclusão/criação de um ou mais pacotes de destes idiomas e outros. 3.4 CLIENTE DA SOLUÇÃO Características dos clientes/agentes finais que acessam o servidor da solução e realiza tarefas de posturas/controle de acesso A solução deverá suportar autenticação 802.1X, com múltiplos fatores de autenticação, por meio de certificados digitais com uso de tokens, em conjunto com qualquer equipamento de rede que esteja de acordo com o padrão, independente do fabricante Permitir a instalação remota do software cliente por login-script, Group Policy (GPO) e Web Instalação e atualização do software sem a intervenção do usuário Suportar máquinas com arquitetura 32-bit e 64-bit O cliente para instalação em estações de trabalho e servidores deverá possuir compatibilidade com os sistemas operacionais, incluindo Windows Vista, Windows 7, Windows 8/8.1, Windows 10, LINUX e Macintosh Operating System (Mac OS) O agente e as políticas devem impossibilitar que usuário desativem o agente e/ou serviços, alterem políticas, reconfigurem o cliente ou mudem funcionalidades ou comportamento, a fim de garantir que a política de segurança esteja sendo utilizada todo o tempo Para máquinas que necessitem acessar a rede e para as quais não for possível ou desejável se instalar o agente definitivo, a solução deverá permitir a utilização de um agente sob demanda O agente da solução deve ter uma interface simples e intuitiva A solução deverá ter a opção de desativar a interface wireless quando a interface LAN estiver em uso Deverá funcionar com agente único nos dispositivos finais. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 39/53

40 O agente de solução deve ter baixo consumo de recursos, a fim de evitar perda de performance nos dispositivos finais Possibilidade de instalação dos clientes em servidores da rede e em estações de trabalho de forma remota Fornecimento de agente sob demanda, via web, para maquinas não gerenciadas (que não possuem agentes). 3.5 CONTROLE DE ACESSO À REDE Serviços mínimos de controle de acesso à rede exigido pelo módulo de segurança Deve implementar os serviços de autenticação, contabilização e autorização para 6.000(Cinco mil) usuários com no mínimo 3 dispositivos simultâneos, sendo acessos via rede cabeada e rede sem fio (wireless) e 500 (quinhentos) usuários visitantes gerenciados pelo Captive Portal A solução deve integrar de forma transparente com dispositivos de segurança, switches, roteadores e pontos de acesso wireless, desde que estes possuam suporte e licenciamento para as tecnologias necessárias a aplicação dos controles, tais como RADIUS, SNMP e 802.1x Possibilidade de bloquear a comunicação ponto a ponto entre máquinas que estiverem em conformidade (postura) com as políticas de controle de acesso à rede e maquinas que não estiverem em conformidade com as políticas do controle de acesso à rede Suportar protocolos EAP(autenticação extensível), PAP(autenticação de senha) e CHAP(autenticação de handshake de desafio) Possibilidade de autenticação e cliente por demanda A solução deverá tomar ações como: abrir e fechar a porta do switch e/ou trocar de VLAN Possuir integração com o serviço DHCP Suporte ao protocolo PEAP( Autenticação Extensível Protegido) para autenticação do cliente por demanda A solução deverá permitir o controle do acesso de usuários que se conectem na rede corporativa interna via LAN, WLAN e VPN Deve implementar funcionalidades de Classificação Automática de Dispositivos ( Device profiling ), de forma a descobrir, classificar e agrupar os dispositivos conectados na rede permitindo extrair informações de contexto que devem ser usadas na aplicação de políticas de acesso Deve ser capaz de identificar dispositivos de redes que não são capazes de realizar autenticação, como catracas, câmeras de vigilância, detectores de fumaça, impressoras, etc e criar políticas de acesso a rede para esses dispositivos através do endereço MAC da interface de rede. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 40/53

41 Deve implementar autenticação via portal web para os usuários da rede wireless que não puderem se autenticar via 802.1X. Utilizar os recursos do padrão IEEE 802.1x, compatíveis com esse padrão, de forma integrada, por intermédio de um appliance que realize validação/autenticação em conformidade com o referido padrão em redes locais LAN Para acessos a partir de máquinas pessoais(byod) via rede privada virtual (Virtual Private Network - VPN) empregando Security Socket Layer - SSL, deve ser usada proteção sob demanda integrada ao concentrador de rede privada virtual (Virtual Private Network - VPN), ou ao gateway para validação entre esse concentrador e a rede local A solução deverá permitir a criação regras para diferenciação de dispositivos corporativos e pessoais, possibilitando a adoção de políticas de BYOD (Bring Your Own Device) Deverá prover portal para os usuários cadastrarem e gerenciarem os seus próprios dispositivos para uso na rede. 3.6 VERIFICAÇÃO DE POSTURA Características mínimas das conformidades/posturas dos dispositivos finais a serem gerenciadas. Deve implementar funcionalidades de avaliação de postura de segurança (NAC/NAP) nos dispositivos clientes Deve permitir a Avaliação de Postura de Segurança através de Agente instalado permanente ou Agente temporário (Java ou ActiveX) Os agentes devem permitir a verificação dos seguintes itens: atualizações do sistema operacional, estado e atualizações dos softwares de firewall, anti-virus, anti-spyware Deve implementar mecanismo de isolamento ou quarentena dos dispositivos que estiverem em desacordo com as políticas de segurança Caso o dispositivo do usuário não esteja de acordo com as políticas de segurança, deverá prover mecanismo de remediação que permita ao usuário atualizar seu dispositivo Deve implementar relatórios com as informações referentes aos resultados da verificação de postura dos dispositivos clientes Os seguintes fabricantes de anti-virus devem ser suportados: Symantec, McAfee, Kaspersky e Trend Micro O licenciamento deve ser do tipo subscrição ou perpétuo Deverá efetuar as verificações de conformidade(postura) dos dispositivos que acessem a rede corporativa de forma a permitir, bloquear ou redirecionar as conexões de acordo com as políticas de segurança implementadas. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 41/53

42 3.6.9 Possibilidade de interagir de forma transparente com o firewall pessoal utilizado nas estações de forma a fazer postura indicando para ferramenta se o firewall está ativado ou desativado A solução deverá permitir a entrega de agente temporário para checagem de conformidade de máquinas não gerenciadas ou de terceiros que acessem a rede A solução deve permitir a configuração de políticas para usuários on-line (quando o usuário está dentro e/ou comunicando-se remotamente com a rede corporativa) e não impactar no comportamento da estação para usuários offline (quando o usuário está fora e/ou desconectado da rede corporativa). 4 MODULO FILTRO DE CONTEÚDO - PROXY Módulo de filtro de conteúdo web contemplando filtragem de conteúdo web através da tecnologia PROXY para os dispositivos compatíveis com esta tecnologia. Este módulo permite controle administrativo sobre conteúdos consumidos da internet e que estes estejam em conformidade com as políticas de segurança da informação da Dataprev. O módulo deverá ser de uso exclusivo da CONTRATANTE, ser residente no site da mesma e deverá possuir no mínimo os componentes descritos a seguir, para atender as funcionalidades necessárias para provimento dos serviços previstos nesta especificação: - Requisitos Gerais do Serviço de Filtragem de Conteúdo - Controle de acesso à Internet - Categorização de sites web - Relatórios - Atualizações - Serviços de Suporte Técnico 4.1 REQUISITOS GERAIS DO SERVIÇO DE FILTRAGEM DE CONTEÚDO O serviço de filtragem de conteúdo deverá ser composto de toda a infraestrutura de hardware e software, especializado e específico (Appliance) com sistema operacional especializado, sistemas de banco de dados, se necessário, geradores de relatórios, e afins, além das licenças necessárias para solução, considerando ainda a integração da solução à infraestrutura da CONTRATANTE; Não serão aceitos equipamentos de propósito genérico (PCs ou servidores) sobre os quais podem instalar-se e/ou executar um sistema operacional regular como Microsoft Windows, FreeBSD, SUN solaris, Apple OS-X o GNU/Linux; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 42/53

43 4.1.2 O serviço deve garantir desempenho pleno na filtragem de conteúdo no tráfego de acesso à internet de no mínimo 500 Mbps (Trezentos megabits por segundo), por site, para 6.000(Seis mil), funcionamento em alta disponibilidade, distribuídos em três centro de processamento da CONTRATANTE, suportando topologias ativo-passivo e ativo-ativo; O funcionamento do serviço deverá ser independente de conexão direta ou permanente com o site ou servidores do fornecedor ou fabricantes dos equipamentos que suportam o serviço de filtragem; O serviço deve implementar a funcionalidade de filtro de URL HTTP e HTTPS; O serviço deve implementar a funcionalidade de filtro de conteúdo HTTP; O serviço deve ter funcionalidade de proxy transparente e explícito HTTP, HTTPS e FTP O serviço deve permitir o funcionamento simultâneo em modo proxy explícito e modo proxy transparente, cada qual em um segmento de rede distinto; O serviço deve garantir o monitoramento do tráfego internet independente de plataforma, sistema operacional ou aplicação utilizada pelos usuários; O serviço deve permitir o monitoramento do tráfego internet sem bloqueio de acesso aos usuários; O serviço deve bloquear as tentativas de acesso proibidas pela política antes que ocorra o carregamento da página solicitada, exibindo mensagem customizada para o bloqueio; O serviço deve integrar-se aos serviços de diretório OpenLDAP, Active Directory da Microsoft, Samba ver 3 e ver 4, permitindo a autenticação transparente de usuários e o reconhecimento de contas e grupos de usuários cadastrados; O serviço deve permitir a autenticação via protocolo NTLM v2; O serviço deve permitir a utilização de autenticação básica via HTTPs; O serviço não deve instalar nem executar agentes, módulos ou scripts nas estações de trabalho para prover qualquer serviço. O serviço deve ser transparente ao usuário final; O serviço deve prover redundância em todos os equipamentos que compõem a solução de Filtro de Conteúdo com a mesma capacidade do equipamento principal; O serviço deve garantir que caso ocorra falha ou mal funcionamento em qualquer equipamento da própria solução, isso não implique em interrupção dos serviços da rede da CONTRATANTE; O serviço deve permitir a administração remota, protegida por autenticação usuário/senha e utilizando protocolo HTTPS; O serviço deve possuir console de monitoração em tempo real que exiba status do funcionamento, além de informações sobre fluxo corrente, volume de dados trafegados,categorias, usuários e sites mais acessados; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 43/53

44 O serviço de filtragem de conteúdo deverá ser capaz de reter dados e logs nos modos online e off-line, onde: Os dados de log deverão ser mantidos nos discos internos da SOLUÇÃO, disponíveis para consulta imediata por um período mínimo de 365 (trezentos e sessenta e cinco) dias; No modo Off-line, os dados deverão ser arquivados em mídias externas de backup sem acesso direto pela SOLUÇÃO, e que precisam ser restaurados e reativados para consulta quando necessário, desde que seja realizado via rede não será necessário o fornecimento de storage O serviço deve possuir sistema de backup automático das regras de acesso e demais configurações necessárias à restauração completa da solução em caso de falha; Caso o produto ofertado não possua backup automático, será permitida a criação de backup manual e sua automatização via script das regras e configurações desde que a CONTRATADA implemente e suporte esse novo tipo de backup O produto ofertado deverá ser capaz de inspecionar tráfego SSL; Suportar active/passive mode FTP over HTTP; Possuir a capacidade de utilizar o proxy com o método CONNECT para portas HTTP; O hardware e software para solução de proteção WEB, console de gerenciamento e console de monitoração devem ser do mesmo fabricante; Caso o produto necessite de solução de banco de dados para geração de relatórios, logs ou qualquer funcionalidade do sistema, o sistema de banco de dados, assim como a sua licença deverá ser fornecida sem ônus para a Dataprev; 4.2 CONTROLE DE ACESSO À INTERNET As regras de acesso à Internet devem se basear tanto na requisição quanto na resposta HTTP; O serviço deve permitir criação de regras por rede IP, Sub-rede, endereços IP de origem e de destino; O serviço deve permitir criação de regras de acesso por usuários (autenticados e não-autenticados) e grupos de usuários; O serviço deve permitir aplicação de regras de acesso por tipo de aplicação utilizada no acesso, por porta lógica utilizada na conexão e por protocolo; O serviço deve permitir criação de regras baseadas em períodos do dia e permitir que políticas diferentes sejam definidas por horário do dia e por dia da semana, para usuários e grupos; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 44/53

45 4.2.6 O serviço deve permitir a criação de regras baseadas em tempo de conexão consumido, por usuário ou grupo de usuário, ou por volume de dados por usuário; O serviço deve possuir controle de downloads/uploads de arquivos pelo nome, tipo ou extensão do arquivo; O serviço deve possuir controle de acesso à Internet por domínio, exemplo: gov.br, org.br; O serviço deve possuir controle de acesso à Internet por categorias de sites web; O serviço deve possuir controle de acesso à Internet por lista de sites web proibidos (blacklist) customizável; O serviço deve possuir controle de acesso à Internet por lista de sites web permitidos (whitelist) customizáve; O serviço deve possuir controle de acesso/execução de aplicações ActiveX, aplicativo flash ou arquivos Java da Internet, permitindo somente a execução daqueles permitidos pela CONTRATANTE; O serviço deve possuir painel de visualização das atividades web, demonstrando em tempo real a utilização dos serviços internet e o consumo da banda de acesso; O serviço deve possuir mecanismo automático para detecção e bloqueio em tempo real de tráfego (inbound/outbound) originado por códigos maliciosos tipo malwares ou spywares; O serviço deve possuir mecanismo automático para detecção de tráfego tunelado na porta 80; O serviço deve permitir que as páginas de erro e bloqueio sejam customizáveis para permitir utilizar variáveis do sistema na notificação que contenham no mínimo informação sobre: Usuário(credencial utilizada); Rede de origem (Ip da estação do usuário); Rede de destino (URL acessada); Política utilizada (Perfil do usuário); Categoria da URL; Proxy Utilizado (Hostname ou IP do Appliance); Url para página de suporte; Arquivo bloqueado; O serviço deve possuir compatibilidade com filtros de busca segura (safesearch filters), oferecidos por sites web de busca; O serviço deve permitir a definição e aplicação das regras por meio de expressões regulares; O serviço deve permitir a liberação/bloqueio de componentes específicos de sites de redes sociais, tais como chat e comentários do site ou postagem no site Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 45/53

46 O serviço deve permitir a liberação/bloqueio de canais específicos do site Dimensionamento de largura de banda para usuários, grupos de usuários e sites ou categorias de sites, por origem e destino; Deve permitir, bloquear ou limitar o acesso (com base no tempo e / ou largura de banda) para milhões de sites e páginas da web; 4.3 CATEGORIZAÇÃO DE SITES WEB O serviço deve conter base com no mínimo 60( sessenta ) milhões de URL s cadastradas, e pelo menos 75 (setenta e cinco) categorias previamente definidas e possibilidade de criação de novas categorias personalizadas; O serviço deve permitir a classificação/categorização de sites de acordo com o assunto; O serviço deve possuir no mínimo as seguintes categorias (ou similares): gov, saúde, educação, finanças, ódio, software ilegal, AVI ou MPEG), Organizações sem fins lucrativos, Phishing, profanação, Religião, Compartilhamento de recursos, Spyware/Adware, Comércio de Ações (Bolsa de valores), Telefone pela Web, anonymizer, pornografia, nudez, sites maliciosos, webmail, blog/fotolog, jogos, hacking, racismo, comunidades virtuais, rádio e tv, streaming, instant messaging, chat, sites de download, storage online, P2P, medias sociais, sites maliciosos e acesso remoto; O serviço deve possibilitar que URLs não cadastradas possam ser enviadas ao fabricante para a devida categorização; O serviço deve permitir à CONTRATANTE reclassificar, a seu critério, os registros de site web que julgar necessários O serviço deve possibilitar que URLs não cadastradas possam ser Bloqueadas; O serviço deve possibilitar que URLs não cadastradas possam ser categorizadas manualmente; As URLs não cadastradas que forem enviadas para categorização devem ser categorizadas em um período de no mínimo 4 horas. 4.4 RELATÓRIOS FILTRO DE CONTEÚDO PROXY O serviço deve gerar log para todo e qualquer acesso, onde conste: data e hora do acesso, endereço IP da estação cliente, usuário, URL de destino da requisição, categoria do site, tamanho do objeto solicitado (em bytes) e ação tomada pela solução (bloqueado, permitido); O serviço deve disponibilizar ferramenta para geração de relatórios, fornecendo informações gerenciais a partir dos logs gerados pela Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 46/53

47 solução, permitindo a extração de informações detalhadas sobre usuários, sites e categorias acessadas, rede de origem, IP de origem, grupos de usuários, protocolos e tempo de navegação; O serviço deve permitir a criação de usuários com níveis diferentes de permissão de acesso aos relatórios; O serviço deve permitir a customização de relatórios fornecendo apenas informações restritas a grupos de usuários definidos previamente ou de grupos de usuários existentes no Serviço de Diretório da CONTRATANTE; O serviço deve permitir a customização de relatórios fornecendo apenas informações restritas a grupos de endereços IPs, de redes IPs, identificação de usuário e grupos de usuários; A solução deve prover a geração de relatórios, com as seguintes informações: Quantidade de acessos autorizados, bem como a quantidade de bytes trafegados, permitindo a visualização por usuário, grupo de usuário, IP de origem, aplicação e URL completa acessada; Utilização da Internet por períodos do dia; Tempo de utilização da Internet por usuários e categorias; Quantidade de tentativas de acesso ao conjunto de sites das categorias bloqueadas, durante um período de tempo, incluindo detalhes do usuário, IP, datas e horas das tentativas de acesso; Lista com os sites mais acessados; Lista com as categorias mais acessadas; Lista com os usuários mais ativos; Lista com os grupos de usuários mais ativos; Lista dos usuários que tiveram mais requisições bloqueadas O serviço deve oferecer templates pré-formatados de relatórios com, no mínimo, as seguintes opções: Sites mais acessados; Sites mais acessados por volume de dados; Usuários com maior volume de dados; Usuários com maior número de acessos; Usuários com maior número de acessos por categoria de URL; Usuários com maior número de acessos por URL; Grupos com maior volume de dados; Grupos com maior número de acessos; Grupos com maior número de acessos por categoria de URL; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 47/53

48 Grupos com maior número de acessos por URL; Endereço de rede com maior volume de dados; Endereço de rede com maior número de acessos; Endereço de rede com maior número de acessos por categoria de URL; Endereço de rede com maior número de acessos por URL; Categorias mais acessadas; Sites maliciosos mais acessados; Volume de dados por Rede; Utilização de banda por site; Utilização de banda por categoria de URL; Sites bloqueados por categoria de URL; O serviço deve exportar relatórios para, no mínimo, os formatos PDF ou CSV; O serviço deve possibilitar a automatização no envio a usuários prédefinidos ou publicação de relatórios; Todos os relatórios devem permitir a visualização completa dos dados, não sendo permitida pela ferramenta, restrições em relação à quantidade de dados visualizados, salvo as relativas ao período de retenção dos registros Os requisitos dos itens e podem ser atendidos por outro software desde que a CONTRATADA seja responsável pela implementação, transferência de conhecimento e suporte O serviço deve permitir geração de log baseado em pesquisa de usuário pré-determinado com filtro de data e hora para identificar os acessos do objeto pesquisado O serviço deve permitir geração de log baseado em pesquisa de grupo de usuários pré-determinado com filtro de data e hora para identificar os acessos do objeto pesquisado O serviço deve permitir geração de log baseado em pesquisa de endereço IP de origem, rede de origem, Sub-rede de origem com filtro de data e hora para identificar os acessos do objeto pesquisado O serviço deve permitir geração de log baseado em pesquisa de endereço IP, URL e domínio de destino com filtro de data e hora, para identificar qual usuário acessou o objeto pesquisado. 4.5 ATUALIZAÇÕES Durante o período de prestação do serviço a base de sites web deve ser atualizada automaticamente pela solução, via Internet. A periodicidade de atualização deve ser customizável; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 48/53

49 4.5.2 A atualização da base de sites web deve transcorrer de forma transparente, sem comprometer a execução dos serviços; A ausência de atualização da base de sites web, por qualquer motivo, não deve interromper nem comprometer funcionalidades da solução; Durante o período de prestação do serviço, os sites web devem ser atualizados, sempre na categoria que reflita o seu conteúdo mais recente, ou seja, em caso de modificação, deve ser reclassificado para a categoria pertinente; Durante o período de prestação do serviço, sites web de phishing, spyware ou que tenham sido usados para hospedar códigos maliciosos, devem retornar à categoria original depois de descontaminados ; Além das atualizações da base de URLs, o serviço também deve prover as atualizações das versões dos softwares e firmwares dos hardwares fornecidos, sempre que novas versões forem disponibilizadas. 4.6 CACHE Caso a solução possua a funcionalidade de Cache nativamente, a mesma deverá ser fornecida habilitada, atendendo as características mínimas descritas nesta sessão:" Deve ser capaz de criar lista de destinos que poderão pular as regras de proxy/cache e políticas baseadas no mínimo em: Endereço IP; CIDR; Domínio; Hostname completo ou parte Possuir a funcionalidade de eliminar o conteúdo do Cache (limpar o Cache); Capacidade de criar listas de um ou mais domínios, endereços IPs que não deverão ser armazenados em Cache; Possuir cache DNS; Possuir funcionalidade de limpeza do cache DNS; 4.7 HARDWARE A solução deverá ser instalado em rack de 19 (dezenove) polegadas padrão EIA 310D (fornecido pela Dataprev), incluindo todos os acessórios necessários para a instalação do appliance no rack Deve possuir altura máxima de 4U, por equipamento. Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 49/53

50 4.7.3 A plataforma de hardware deve permitir a instalação/substituição de discos rígidos e fonte de alimentação sem ter que remover o aparelho do rack A plataforma de hardware deve ter múltiplas CPUs ou, pelo menos, uma CPU com múltiplos núcleos Deve possuir RAID 5 + spare ou RAID 6 ou RAID 10, provendo redundância dos dados, caso a solução não possua sistema de redundância o disco deverá ser SSD Possuir no mínimo 2 (duas) fontes de alimentação internas redundantes AC bivolt, com seleção automática de tensão, entre 100 e 230 V, e de frequência, entre 50 e 60 Hz. As fontes deverão possuir alimentação independente, a fim de permitir a sua conexão a circuitos elétricos distintos Possuir cabo de alimentação para cada fonte com comprimento mínimo de 1,80 m (um metro e oitenta centímetros) Uma fonte deve ser capaz de sustentar a carga de todo o equipamento com todas as portas ativas As fontes de alimentação e os discos rígidos devem ser hot swappable, exceto em caso de disco SSD Deve vir acompanhado de todos os acessórios indispensáveis para a sua perfeita instalação e funcionamento Deve possuir configurações de CPU e memória (RAM e Flash) suficientes para a implementação de todas as funcionalidades descritas nesta especificação O fluxo de ar dos equipamentos não pode ser lateral O equipamento deve ser entregue com a saída de ar voltada para a parte traseira do rack, conforme ilustração abaixo Deverão ser fornecidos todos os cabos, de até 10 metros, conectores ópticos e transceptores necessários para todas as interfaces e portas do equipamento, sendo que o comprimento adequado de cada cabo e os tipos de conectores para fibra (SC/LC) serão especificados pela Contratante no momento do pedido de compra Para interface 1000BASE-T deverá ser adotado cabeamento CAT6 e para interface de fibra se disponível deverá ser adotado cabeamento composto por fibras multimódo especificado posteriormente homologado pela Anatel Os cabos deverão ser fornecidos já conectorizados e deverão ser testados e certificados conforme especificação do fabricante. O certificado poderá ser emitido pelo fabricante, fornecedor do cabo ou pela contratada Os discos deverão suportar os logs, para (Seis mil) usuários com utilização de 8 (oito) horas por dia, 5 (cinco) dias úteis em um período de 365 (trezentos e sessenta e cinco) dias, sendo mantidos os logs na SOLUÇÃO, para consulta imediata; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 50/53

51 O equipamento deve possuir 4 (interfaces) 1GigE (Gigabit Ethernet), para cabeamentos Cobre (10Base-T, 100Base-TX ou 1000Base-T) Todos as interfaces de redes fornecidos no equipamento devem estar habilitadas e com os respectivos módulos Gbic fornecidos Deve implementar SNMP v1, v2 e v3 para leitura e envio de traps O hardware e software fornecido não podem constar, no momento da apresentação da proposta, em listas de end-of-sale, end-of-support, endof-engineering-support ou end-of-life do fabricante, ou seja, não poderão ter previsão de descontinuidade de fornecimento, suporte ou vida, devendo estar em linha de produção do fabricante; Deve possuir suporte a NTP; Se disponível o sistema de cache, os discos internos deverão suportar cache para 6000 usuários com múltiplas sessões, Caso o produto necessite de solução de banco de dados para qualquer funcionalidade do sistema, o hardware para o BD, assim como o SO deverá ser fornecido atendendo as especificações: , 4.7.1, 4.7.2, 4.7.3, 4.7.4, 4.7.5, 4.7.6, 4.7.7, 4.7.8, 4.7.9, , , , , , , , , ; Caso o gerenciamento não seja no próprio appliance o hardware, assim como o SO deverá ser fornecidos atendendo a especificações: , 4.7.1, 4.7.2, 4.7.3, 4.7.4, 4.7.5, 4.7.6, 4.7.7, 4.7.8, 4.7.9, , , , , , , , , ; Caso a solução necessite de sistema de Storage externo, a contratante deverá fornecer o sistema atendendo a especificações: , 4.7.1, 4.7.2, 4.7.3, 4.7.4, 4.7.5, 4.7.6, 4.7.7, 4.7.8, 4.7.9, , , , , , , , , , ; 4.8 GERENCIAMENTO A administração do appliance deve ser inteiramente através de interface gráfica de gerenciamento fornecida pelo fabricante da solução ou via Web. Não serão aceitos softwares de terceiros; Deve permitir a configuração de políticas de forma gráfica; Deve possuir suporte para histórico de arquivos de configuração; Acesso concorrente de administradores; Definir perfis de acesso à console com permissões granulares como: acesso de escrita, acesso de leitura, criação de usuários, alteração de configuração, gerar relatórios, usuários para categorização manual; Autenticação integrada aos serviços de diretório OpenLDAP, Active Directory da Microsoft, Samba ver 3 e ver 4; Backup das configurações e rollback de configuração para a última configuração salva; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 51/53

52 4.8.8 Geração de logs de auditoria, informando a configuração realizada, o administrador que a realizou e o horário da alteração; Deve possuir visualização em tempo real de tráfego por cliente/destino, utilização de aplicações, políticas Deve permitir verificar informações detalhadas de cada administrador que estiver logado na solução; Deve permitir personalização na interface gráfica e a criação de vários painéis com diferentes configurações; Caso o gerenciamento não seja diretamente no appliance, a solução de gerenciamento deverá ser redundante; Caso o gerenciamento não seja no próprio appliance o SO e o sistema deverão ser fornecidos; 4.9 ANTIVÍRUS e PREVENÇÂO de MALWARES e AMEAÇAS Deve ser capaz de inspecionar tráfego HTTP, HTTPS e FTP; Deve possuir atualização automática ou manual das assinaturas Deve ser capaz de inspecionar arquivos compactados (.zip,.tar. rar. Gzip) com vários níveis de compressão; Deve possuir no mínimo 2 milhões de assinaturas de reconhecimento ou ser certificada por certificadora independente de AV, que ateste a efetividade mínima de 90 % da funcionalidade de AV da solução; Capacidade de realizar monitoramento em tempo real (real-time) por heurística correlacionando com a reputação de arquivos; Capacidade de verificar a reputação de arquivos, correlacionando no mínimo as seguintes características: Origem confiável; Origem não confiável; Tempo de existência do arquivo na internet; Comportamento do arquivo; O serviço deve permitir que as páginas de erro e bloqueio informe o arquivo bloqueado; Permitir configurar ações a serem tomadas na ocorrência de ameaças, incluindo Reparar, Deletar, Mover para a Área de Isolamento e Ignorar; Capacidade de detecção em tempo real de vírus novos, desconhecidos pela vacina com opção da sensibilidade da detecção (baixo, médio e alto); Atualização automática das assinaturas dos servidores de gerenciamento via Internet, com periodicidade mínima diária; Deve realizar atualização para detecção de ameaça do tipo dia zero; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 52/53

53 Possuir uma base de pelo menos 1000 assinaturas de ataques atualizada periodicamente; Proteger em tempo real contra pelo menos as seguintes ameaças: vírus, trojans, worms, spywares, phishing, cross-site scripting, malware; Caderno de Especificações Técnicas Contratação de Solução de Comunicação Unificada 53/53