PLIEGO ABSOLUTORIO DE CONSULTAS Adjudicación Directa Selectiva N 001-2006-COFIDE Contratación del Servicio Sistema Integral de Seguridad Perimetral de COFIDE EMPRESA GMD S.A. CONSULTA N 01 (Ref.: Pág. 14 numeral 5.2) Confirmar que la experiencia del postor se acreditará con comprobantes de pago cancelados/copia del contrato y su respectiva conformidad de entrega por equipos de la misma marca de los se proponen en este concurso. Respuesta a la Consulta N 01 La experiencia del postor se acreditará con copia simple de los comprobantes de pago cancelados o, en su defecto, con copia del contrato y su respectiva conformidad de entrega. No se aceptarán declaraciones juradas Se calificará el monto facturado acumulado por el postor durante los últimos 05 años, por la venta de equipos de seguridad perimetral y/o comunicaciones similares, este proceso no especifica marca alguna de equipos, por lo que la acreditación de experiencia se circunscribe a aquellos equipos cuyas características técnicas son iguales o equivalentes a las requeridas en las bases. CONSULTA N 02 (Ref.: Pág. 27 Anexo N 04) Considerando que COFIDE tiene muchos usuarios y un alto trafico interno; el rendimiento de 400 Mbps de inspección de paquetes no proveerá escalabilidad necesaria, confirmar si se requiere no menos 500Mbps. Respuesta a la Consulta N 02 Referirse a la respuesta de la consulta 12. CONSULTA N 03 (Ref.: Pág. 15 numeral 5.2) Confirmar que el curso certificado de Networking para 02 personas con 40 Hrs como mínimo, podrá ser el Cisco Certified CCNA. Respuesta a la Consulta N 03 El curso de certificación de Networking deberá ser brindado por el fabricante. No necesariamente será el curso CISCO Certified CCNA. CONSULTA N 04 (Ref.: Pág. 15 numeral 5.2) Confirmar que las funciones solicitadas del Analizador de Tráfico (Sniffer) están referidas a solucionar temas de conectividad y comunicaciones en la LAN?
Respuesta a la Consulta N 04 Las funciones del software del Analizador de tráfico (Sniffer), está referidas al monitoreo de las funciones de conectividad y comunicaciones en la LAN. CONSULTA N 05 (Ref.: Pág. 15 numeral 5.2) Confirmar que las funciones solicitadas del Analizador de Vulnerabilidad están referidas a escaneo de vulnerabilidades y detección de parches faltantes. Respuesta a la Consulta N 05 Las funciones solicitadas del Analizador de Vulnerabilidad, están referidas al escaneo de vulnerabilidades y detección de parches faltantes. EMPRES ADEXUS PERU S.A CONSULTA N 06: En referencia al Curso de Certificación de Networking, este deberá darse por la marca o fabricante ofrecidos, certificando el mismo o deberá ser un curso certificado dado por el postor? Respuesta a la Consulta N 06 El curso de certificación de Networking deberá ser brindado por el fabricante. EMPRESA : COSAPIDATA S.A. CONSULTA N 07 (Ref.: Pág. 27 Anexo N 04) El equipo deberá incluir la capacidad de trabajar en modo ruteado o modo transparente (firewall L2). El requerimiento propuesto indica la operación del firewall en un modo no seguro ya que al trabajar en modo transparente para cualquier marca o tecnología en firewalls que lo soporte se desactivan múltiples funciones de seguridad que hacen vulnerable el perímetro o la zona en la red protegida por el firewall y no permitirían la aplicación de todos los requerimientos exigidos por las bases. Se pide confirmar que no se solicitará funcionalidades en modo transparente pues significan un riesgo de seguridad para la red a implementar. Respuesta a la Consulta N 07 Se solicita que el equipo tenga la capacidad de trabajar en modo ruteado o modo transparente (Firewall L2). CONSULTA N 08 Incluido el manejo de IPSEC y SSL para el acceso remoto. En SSL deberá permitirse el manejo de un portal con servicios WEB, y traslación de puertos por tipos de usuarios.
Las tecnologías de VPN por SSL han revolucionado el concepto de acceso remoto seguro a los recursos corporativos, extendiendo su aplicación no sólo a servicios web, sino a servicios TCP que flexibilizan los accesos e incrementan la productividad del negocio. Podría darse el caso que el portal web sea optativo o parte de una solución superior puesto que la conectividad del tipo SSL brindaría una conexión segura a diferentes tipos de servicios cumpliéndose los temas de seguridad y confiabilidad sin necesidad de un portal. Se pide confirmar que se aceptarán soluciones superiores al requerimiento en un equipo individual que se integren al firewall y permitan acceder a aplicaciones web, tcp, integrarse con el directorio de usuarios, crear interfaces por perfiles y verificar la seguridad existente en el punto remoto de conexión ya que estos serían una brecha de seguridad al conectarse una PC infectada a la red corporativa. Respuesta a la Consulta N 08 La provisión de un sistema redundante con alta disponibilidad está compuesta por: 02 Firewall-IDP/IPS externo en alta disponibilidad. 01 Switch de Comunicaciones L2. Se aceptarán soluciones superiores que formen parte del alcance de la solución requerida sólo para el caso específico de servicio de SSL el mismo que deberá ser ofertado con alta disponibilidad (02 equipos redundantes). Asimismo, todos los componentes de hardware y software de los equipos Firewall-IDP/IPS externo en alta disponibilidad deberán ser del mismo fabricante. CONSULTA N 09 Se solicita como característica que el software de cliente VPN sea sin costo y que soporte Windows 98/ME/NT/2000/2003/XP e Intel basado en Linux Distributions. Confirmar que es necesario el soporte en los sistemas operativos 98/ME/NT y sobre Intel basado en Linux Distributions. Respuesta a la Consulta N 09 Se solicita licenciamiento de software cliente VPN, ilimitado, sin costo para Windows 98/ME/NT/2000/2003/XP, Intel-based Linux Distributions. CONSULTA N 010 Se solicita como característica que el sistema de seguridad ofertado soporte un licenciamiento de 256 usuarios. Podrían ser de 250 usuarios. Respuesta a la Consulta N 10 Se solicita que el sistema ofertado debe poseer licenciamiento con un mínimo de 256 usuarios, hosts y tiempo de uso como firewall.
CONSULTA N 11 Soporte e inspección de estado de ciertos protocolos. CTIQBE y TAPI/JTAPI son protocolos propietarios de CISCO y se podrían inspeccionar si se abren los puertos necesarios pero bajo esta premisa no deberían mencionarse al ser protocolos propietarios. Respuesta a la Consulta N 11 El soporte e inspección de estado de los protocolos CTIQSE, TAPI/JTAPI, MGCP y SCCP serán considerados como opcionales a las características técnicas de los equipos. CONSULTA N 12 Especificaciones Técnicas. Las especificaciones técnicas solicitadas en referencia a Sistemas Integral de seguridad Perimetral favorecen a la marca CISCO Systems., por tal motivo se estaría beneficiando a un solo tipo de producto, contraviniendo de esta manera con el espíritu de la Ley de Contrataciones y Adquisiciones del Estado y su Reglamento. Para verificar lo anteriormente escrito, los invito a revisar de CISCO Systems: -CISCO ASA 5520 Con la finalidad de garantizar la transparencia del presente proceso y permitir la libre competencia y participación de diversas marcas, le agradeceremos se sirvan replantear las bases del presente concurso de manera que esta sea una Adjudicación Directa Pública QUE ASEGURE LA NO ADQUISICIÓN SOLUCIONES DE MUY BAJA PERFORMANCE, EFICIENCIA Y SOBRE TODO BAJO NIVEL DE SEGURIDAD. En todo caso, si no es posible confirmar lo solicitado, le agradeceremos se sirvan adjuntar en la absolución de consultas el estudio de mercado donde se muestren las marcas y modelos de soluciones ha comprar que cumplen con las características te cnicas solicitadas en las especificaciones técnicas de las bases del presente concurso. Respuesta a la Consulta N 12 En atención a garantizar la transparencia del presente proceso y permitir la libre competencia y participación de diversas marcas, las especificaciones técnicas de los equipos Firewall-IDP/IPS externo en Alta disponibilidad (02 Unidades), quedarán establecidas, por: Firewall-IDP/IPS externo en Alta disponibilidad (02 Unidades) Sistema operativo basado en código cerrado altamente seguro y certificado. - Incluido Procesamiento en la inspección de paquetes(firewall
throughput) no menor de 500 Mbps - Soporte de 125,000 conexiones concurrentes como mínimo - Incluido mecanismos de encriptación DES, 3DES y AES, 220 Mbps - Incluido 4 Puertos 10/100/1000 GigaEthernet, y 1 fastethernet 10/100 para red interna, pública, y dmzs. - El equipo ofertado deberá soportar configuración redundante con failover statefull para firewall e IPSEC, permitiendo alta disponibilidad. - El equipo deberá incluir la capacidad de trabajar en modo ruteado o modo transparente (firewall L2) - Manejo de Calidad de servicio: priorización y limitación de ancho de banda por aplicación atravesando el firewall. - El sistema de seguridad ofertado debe poseer licenciamiento con un mínimo de 256 usuarios, hosts y tiempo de uso como firewall. - Licenciamiento de Software cliente VPN, ilimitado, sin costo para Windows 98/ME/NT/2000/2003/XP, Intel-based Linux Distributions. - El sistema de seguridad deberá incluir mecanismos de detección de ataques en línea a manera de firmas (IPS), realizado en hardware permitiendo un throughput no menor a 220 Mbps. - Incluido manejo de túneles IPSEC red a red, para conexión con routers, firewalls similares, u equipos vpn en configuraciones donde las IPs de los equipos remotos: son estáticas o dinámicas. - Incluido manejo de IPSEC y SSL para el acceso remoto. En SSL deberá permitirse el manejo de un portal con servicios WEB, y traslación de puertos por tipo de usuario. (Se aceptarán soluciones superiores que formen parte del alcance de la solución requerida sólo para el caso específico de servicio de SSL el mismo que deberá ser ofertado con alta disponibilidad (02 equipos redundantes)). - El Software cliente VPN proporcionado deberá permitir trabajar sobre equipos NAT, permitiendo split ip y dns. - Chasis diseñado para su instalación en rack - Incluida interacción con detectores de intrusos externos para del drop y bloqueo de paquetes - Incluido manejo de NAT, PAT, y mapeo de múltiples hosts internos en una dirección global para servicios TCP y UDP. - Incluido manejo de NAT basado en políticas, traslación a ip global dependiendo el ip origen y destino. - Incluido manejo de PAT para trafico ESP, PPTP, H.323v3, H.323v4, SIP - Incluido manejo de inspección de estado para tráfico ICMP via NAT. - Soporte de backups automáticos manteniendo sesiones TCP, UDP en especial http. - Incluido manejo DHCP como relay, server y cliente. - Soporte de Inspección de Estado para: Protocolos Básicos: DNS, FTP, HTTP, ICMP, IPSEC, PPTP, SMTP, TFTP Voice over IP: H.323v3/4, SIP, (Opcionales: CTIQBE, TAPI/JTAPI, MGCP, SCCP) Multimedia: Netshow, RTSP, VDO Live Database y Directory: ILS, LDAP, Sun RPC, Management: ICMP, RSH, SNMP
- Incluido manejo de 802.1q para el manejo de Virtual LANs. - Soporte de algoritmos de ruteo dinámico como RIP y OSPF Dynamic Routing - El equipo deberá permitir trabajar con Base de datos externas para: filtrar URLs, definir políticas de firewall por usuario, autentificar y autorizar el acceso a su sistema de Administración. - Capacidad de administración y gestión basado en los protocolos telnet, SSH, https, radius - El equipo deberá contar con una interfase gráfica interna, accesible en modo seguro, que permita la configuración de las funciones de firewall-vpn, monitorear estadísticas de sesiones vpn, ataques detectados por las firmas IDS/IPS, y visualizar logs de ataques. - Incluido manejo de IGMPv2, Stub multicast routing, multicast proxy, configuración de rutas multicast, y PIM (Opcional) - Incluido manejo de filtros para trafico multicast (Opcional) - Incluido manejo de NAT y PAT sobre multicast source address (Opcional) - Incluido el manejo de niveles administrativos para la operación y manejo del equipo, personalizables. - El equipo debe incluir el manejo de protocolo de sincronización de tiempo para redes, Standard NTP - El equipo debe incluir protección contra ataques ICMP para si mismo. - El equipo debe incluir protocolo para interactuar con servidores con base de datos para filtrar contenido http, https y ftp con server Web Sense o equivalente. Asimismo, todos los componentes de hardware y software de los equipos Firewall-IDP/IPS externo en alta disponibilidad deberán ser del mismo fabricante. Respecto a las mejoras técnicas que superen los requerimientos, se calificará: con 04 puntos al Procesamiento en la inspección de paquetes mayor a 550Mbps y 02 puntos al Soporte mayor a 300,000 conexiones concurrentes. CONSULTA N 13 (Ref.: Pág. 30 Anexo N 04) Al referirse a mecanismos de autenticación de usuarios del equipo switch L2, se solicita que el switch incluya la capacidad de autentificar el acceso de usuarios vía el algoritmo 802.1x y autorizar su acceso a una VLAN. Indicar si esta autenticación se realizará a través del puerto del switch y/o a través de la dirección MAC del equipo conectado. Respuesta a la Consulta N 13 Se solicita que el switch incluya la capacidad de autentificar el acceso de los usuarios vía algoritmo 802.1x y autorizar su acceso a una vlan para evitar ataques man-in-the-middle, denial-of-service via ip spoofing. La autenticación es independiente del puerto del switch y de la mac address.
CONSULTA N 14 (Ref.: Pág. 30 Anexo N 04) Al referirse a capacidades de filtrado del equipo switch L2 se solicita que este incorpore la capacidad de filtrar paquetes en cada puerto, basado en dirección origen-destino MAC, IP, puertos TCP/UDP con manejo de tiempo fijo o con rangos de tiempo y frecuencia. Aclarar que esto indica que el equipo podrá configurar Listas de Control de Acceso basado en parámetros como MAC, IP, puertos TCP/UDP y que estas podrán ser configurados de acuerdo a un horario preestablecido. Respuesta a la Consulta N 14 Se podrá configurar listas de control de acceso aplicados de acuerdo a un horario preestablecido para filtrar paquetes en cada puerto, basado en dirección origen-destino MAC, IP, puertos TCP/UDP. CONSULTA N 15 (Ref.: Pág. 30 Anexo N 04) Se solicita como característica del equipo switch L2 respecto a la disponibilidad que el mismo incorpore capacidad de detectar transmisiones unilaterales, sea por problemas en el cableado o puerto. El equipo deberá tener algún mecanismo para detectar y evitar la continua reconvergencia del Spanning Tree. Explicar más este punto. Respuesta a la Consulta N 15 Este punto se refiere a la funcionalidad de detección de errores en la comunicación debido a la transmisión unidireccional por fallas en el cableado o medio de transmisión. Lo cual puede ocasionar daños en la estabilidad de la comunicación entre los equipos. Spanning Tree: El Spanning Tree (STP) es un protocolo que gestiona el acoplamiento, este protocolo es parte del estándar de IEEE 802.1 para el Media Access Control tiende un sobre puente. Usando el algoritmo de árbol que atraviesa, STP proporciona redundancia de la trayectoria mientras que previene los lazos indeseables en una red que son creados por las trayectorias activas múltiples entre las estaciones. Los lazos ocurren cuando hay rutas alternativas entre los anfitriones. Para establecer redundancia de la trayectoria, STP crea un árbol que atraviese todos los interruptores en una red extendida, forzando las trayectorias redundantes en un recurso seguro, o bloqueado, estado. STP permite solamente una trayectoria activa a la vez entre dos dispositivos de la red (éste previene los lazos) pero establece los acoplamientos redundantes como reserva si el acoplamiento inicial falla. Si los costes de STP cambian, o si un segmento de la red en el STP llega a ser inalcanzable, el algoritmo del árbol que atraviesa configura de nuevo la topología del árbol que atraviesa y restablece el acoplamiento activando la
trayectoria espera. Sin atravesar el árbol en lugar, es posible que ambas conexiones pueden ser simultáneamente vivas, que podrían dar lugar a un lazo sin fin del tráfico en el LAN. Este algoritmo cambia una red física con forma de malla, en la que se pueden formar bucles, en una red lógica en árbol en la que no se puede producir ningún lazo. Los Bridges se comunican mediante Bridge Protocol Data Units (B.P.D.U's). El bridge con la prioridad más alta (el número más bajo de prioridad numérico) se constituye en la raíz. Este bridge raíz establece el camino de menor coste para todas las redes; cada puerto tiene un parámetro configurable: el Span path cost. Todos los demás caminos son bloqueados para propósitos de bridge. El árbol de expansión (Spanning tree) permanece efectivo hasta que ocurre un cambio en la topología. Esto sucede cuando se da cuenta de ello. El máximo de tiempo de duración del árbol de expansión es de cinco minutos. Cuando ocurre uno de estos cambios, sucede que o bien el actual bridge raíz ha redefinido la topología del árbol de expansión o se ha elegido un nuevo bridge raíz. Obtenido de "http://es.wikipedia.org/wiki/spanning_tree" Siendo el día 25 de abril del 2006 y habiéndose absuelto las consultas recibidas, el Comité Especial acordó ponerlas en conocimiento de los postores a través del SEACE.