Anexo II a la Disposición UOA Nº 60/16 Especificaciones Técnicas RENGLÓN Nº 1: Provisión de renovación de las licencias, soporte y Proxy Appliance para la solución de filtrado de contenido web, seguridad de publicación web y acceso a Internet del Ministerio Publico Fiscal de CABA. Subrenglón Nº 1: 1800 (un mil Ochocientos) usuarios. Renovación de Soporte Técnico para el filtrado web por 3 años. Descripción del Producto: RNW-SVC_BCWF-1K-2499-3Y Código de Producto: BCWF-1000-2499 Número de Serie QYBAV-TZUP9. Subrenglón Nº 2: 800 (ochocientos) Usuarios. Renovación de Soporte Técnico para el filtrado web por 3 años. Descripción del Producto: RNW-SVC-BCWF-500-999-3Y Código de Producto: BCWF-500-999 Número de Serie: Q8CK3-UZCLZ. Subrenglón Nº 3: 1 (un) Renovación del soporte del Software: REPORTER-EE por 3 años Número de Serie: Enterprise-unlimited-perp-2fc5-622f. Se deben incluir las siguientes tareas: Instalación y actualización del software, Configuración general. Subrenglón Nº 4: 2 (dos) Renovaciones del soporte Técnico Standard Plus por 3 años para los Proxy Blue Coat SG600-35-PR Números de Serie: 3812150136 y 4712150280. Para cada proxy se deben incluir las siguientes tareas: quitar el proxy de producción para upgrade, actualizar el software en dicho equipo, verificar
licencias y funcionalidad, pruebas de aceptación del cliente, puesta en producción del equipo migrado y documentación las tareas realizadas. Subrenglón Nº 5: 1 (un) Renovación de Soporte Técnico Standard Plus por 3 años para el Director de Proxy Blue Coat DIRECTOR-510 Numero de Serie: 1612105034. Se deben incluir las siguientes tareas: instalación de software, configuración general y documentación de las tareas realizadas. Subrenglón Nº 6: 4 (cuatro) Renovaciones de soporte Técnico Standard Plus por 3 años para los Proxy Blue Coat SG600-10-PR Números de Serie: 1512152041, 1512152001, 1512152068 y 1512152002. Para cada proxy se deben incluir las siguientes tareas: quitar el proxy de producción para upgrade, actualizar el software en dicho equipo, verificar licencias y funcionalidad, pruebas de aceptación del cliente, puesta en producción del equipo migrado y documentación de las tareas realizadas. Subrenglón N 7: 2 (dos) Proxy appliance para el filtrado de contenido, seguridad de publicación en web y acceso a Internet con servicio de soporte y mantenimiento integral por 3 (tres) años. El equipo ofertado deberá cumplir al menos con lo siguiente: 1. Contar con un desempeño recomendado por el fabricante de hasta 400 usuarios por appliance. 2. Deberá contar con al menos 6GB de RAM y 500 GB de Disco Duro 3. Deberá manejar el trafico SSL y que permita descargar estos procesos del CPU principal 4. Deberá contar con 1 interface 10/100/1000BASE-T
5. Deberá permitir la instalación de hasta 2 tarjetas adicionales de puertos 6. Deberá tener la opción de instalar tarjetas de puertos adicionales 10/100/1000BASE-T, 1000BASE-SX o 10GE en Fibra Multimodo 7. Deberá contar con un sistema que permita que el trafico siga fluyendo en modo in-line a pesar de que el equipo este apagado o que haya sufrido una falla grave. 8. Se deben incluir las siguientes tareas: actualización de software, set de reglas básicas (como mínimo cinco (5) reglas y tres (3) layers), prueba de funcionalidad, puesta en producción. La solución de proxy cache deberá cumplir con al menos las siguientes características: La solución deberá ofrecer mecanismos de autenticación tales como: archivos locales de passwords, NTLM/IWA, LDAP (Active Directory, Novell edirectory, SunOne), CA etrust SiteMinder, Oracle COREid, RADIUS y certificados. Estos métodos deben poder ser usados de manera simultánea para ejecutar políticas de autenticación en diferentes bases de datos. La solución deberá soportar autenticación de usuarios de manera transparente basadas en dirección IP o en cookie. La solución de proxy-cache deberá soportar y controlar los siguientes protocolos: HTTP, HTTPS (como proxy forward y reverso), FTP, DNS, SOCKS (v4/v5), IM (AIM, MSN y Yahoo Messengers), TCP-Tunnel, MMS, RTSP, RTMP (Flash), Microsoft Smooth Streaming y QuickTime.
La solución deberá tener la capacidad de entregar peticiones repetitivas desde el cache del appliance por lo que disminuirá el consumo de la conexión a Internet. La solución deberá permitir operar en modo de proxy explícito y proxy transparente. El sistema debe estar en capacidad de crear políticas de control de ancho de banda basadas en la creación manual de clases especificando el ancho de bando mínimo y máximo con la posibilidad de priorizar entre clases. La solución deberá estar en capacidad de des-encriptar, inspeccionar y opcionalmente almacenar en cache el contenido web encriptado (SSL) que pase por el equipo siendo posible aplicar las misma políticas a este tráfico que al tráfico sin encriptación. El proceso de cifrado SSL deberá estar basado en hardware El equipo debe permitir el cache de páginas web en disco duro y memoria RAM, con el fin de hacer más eficiente el uso de los recursos del equipo. El sistema operativo del equipo debe tener la capacidad de borrar paginas obsoletas o poco visitadas por los usuarios con el fin de optimizar los recursos de almacenamiento interno. La solución debe contar mecanismo(s) de protección contra ataques de Negación del Servicio (DoS) La solución debe soportar optimización de trafico de streaming de video/audio a través de un sistema de caching de objetos para archivos de audio/video en demanda o realizando un split de la señal de video para archivos de audio/video en tiempo real. Estas funcionalidades deberán ser compatibles con los formatos de
video/audio más populares en Internet como: MMS, RTSP, Quick Time, Microsoft Smooth Streaming y Adobe Flash. La solución deberá poder modificar las políticas de cache de páginas que utilizan HTTP Streaming para forzar el cache de archivos de video como YouTube La solución deberá estar en capacidad de forzar la utilización de políticas de búsqueda segura para evitar que contenido malicioso se aloje en los primeros resultados de búsqueda en las páginas más populares de búsqueda como Google, Bing o Yahoo. La solución debe soportar la interacción con balanceadores de carga de terceros para permitir la distribución del tráfico entre varios dispositivos de optimización y filtrado de contenido. La solución de filtrado de contenido deberá cumplir con al menos las siguientes características: La solución ofertada deberá ser capaz de evitar la descarga y ejecución de códigos maliciosos, notificando al usuario el bloqueo del acceso a estas páginas. El administrador a su vez contará con la capacidad de monitorear los usuarios y páginas bloqueadas por contener este tipo de códigos maliciosos. El equipo deberá contar con la capacidad de correr bases de datos de filtrado propietarias o de terceros sobre los mismos appliances. Deberá contar con la posibilidad de catalogar las páginas por Dominio, por URL o IP. Categorización en tiempo real de sitios en internet (on-the-fly) que aún no han sido asignados a alguna categoría. Esta categorización en tiempo real deberá ser soportada en múltiples idiomas
Posibilidad de incorporar un sitio en varias categorías al mismo tiempo. Por ejemplo, un sitio de juegos en una página de red social deberá ser catalogado como Redes Sociales y Juegos La solución deberá estar integrada con una solución en la nube de categorización, detección de amenazas y análisis de malware de los sitios no categorizados en tiempo real y se deberán soportar al menos 20 lenguajes. El software de filtrado debe estar integrado al equipo (appliance), no deberá hacer uso de un equipo externo o independiente para el procesamiento de peticiones o almacenamiento de las bases de datos de filtrado. Permitir bloqueo de amenazas en páginas categorizadas como Phishing, botnets, malware, pornografía, Proxy anónimos, programas no deseados, spam, hacking y tráfico de aplicaciones que se enmascaran en puertos 80 y 443. Permitir el bloqueo y filtrado de tipos de archivos específicos tales como.mp3,.exe, etc. por medio de la extensión del archivo o el tipo de contenido indicado en el encabezado de HTTP (MIME- Type). Detectar y bloquear archivos ejecutables independientemente de la extensión del archivo examinando los primeros bytes del archivo descargado. La actualización de la base de datos para el filtrado de contenido debe realizarse en tiempo real y de manera automática. El motor de análisis de contenido deberá soportar el idioma español, de modo que la base de datos de filtrado de contenido y sus actualizaciones estén debidamente regionalizadas al idioma mencionado.
Permitir personalización detallada de políticas de control de acceso de forma visual en el equipo a través de diferentes parámetros como: direcciones IP, grupos de subredes, protocolos, URLs, categorías, navegador utilizado por el usuario, atributos, grupos y usuarios de directorio activo de Microsoft o LDAP. Permitir el uso de expresiones regulares y tener la capacidad de agregar nuevas expresiones. Permitir la creación de categorías de filtrado personalizadas así como la creación de listas blancas y negras de filtrado URL La solución ofertada deberá soportar un cliente de filtrado de contenido, el cual pueda ser instalado en equipos que salen de compañía como laptops. Estos clientes servirán para reforzar la política de navegación a Internet cuando estos usuarios se encuentren navegando a Internet fuera de la organización. Se debe soportar el control de aplicaciones Web en páginas como redes sociales o correo electrónico y tomar acciones dentro de las mismas como por ejemplo permitir acceso a Facebook pero no a postear mensajes o fotos, o permitir acceso a Hotmail pero no a enviar documentos adjuntos en los correos Las actualizaciones de las aplicaciones y operaciones soportadas deberán estar incluidas en la actualización de la base de datos de filtrado Web Se debe detectar y controlar el uso de aplicaciones instaladas en los Smartphone o Tablet de los usuarios que se conectan a la red inalámbrica de la compañía y que también requieren acceso a Internet. Por ejemplo, que se permita tener un control granular cuando el usuario accede a Facebook a través del navegador de
su móvil pero también a través de la aplicación de Facebook instalada en su Smartphone o Tablet El monitoreo y los reportes deberán cumplir con al menos las siguientes características: La solución ofertada deberá estar en capacidad de integrarse con sistemas de monitoreo y reporteo centralizado del uso que dan los usuarios a la navegación a Internet. El sistema de reportes centralizado deberá ofrecer más de 40 reportes pre-configurados y la habilidad de construir reportes personalizados. Los reportes predefinidos deberán proporcionar información del uso que dan los usuarios a la conexión a Internet, amenazas de seguridad bloqueadas y uso del ancho de banda La solución deberá estar en capacidad de soportar un sistema de administración centralizado que deberá soportar la administración de hasta 300 dispositivos de filtrado de contenido. La solución deberá generar bitácoras (logs) de al menos los siguientes protocolos: http, HTTPS, ftp, TCP-Tunnel, IM, Streaming, SSL. El formato de estas bitácoras debe ser personalizable La carga de bitácoras al sistema de reportes se deberá hacer utilizando al menos los protocolos http o ftp con la opción de habilitar encriptación. Estas bitácoras deberán poder ser cifradas con certificados digitales para garantizar la no alteración de estos datos. La herramienta de análisis y reportes deberá contar con soporte de Windows Server 2003 o 2008 de 64 bits, Linux o ambientes virtualizados en VMWare
El sistema de reportes deberá permitir exportar la información de los reportes en formatos de CSV y PDF. La solución debe tener la capacidad de generar registros de todos los accesos y eventos del sistema operativo. Al generase una alarma en hardware como la CPU, disco duro, memoria, temperatura, etc., esta alarma debe poder ser exportada a través de Syslog o correo electrónico. La solución debe ser capaz de monitorear el estado del hardware y sus componentes, generando estadísticas en tiempo real de la temperatura de los CPU s, fuentes de poder, ventiladores, interfaces de red, discos duros, etc. La solución debe contar con un mecanismo backup o almacenamiento de la configuración que permita recuperar el estado del equipo en caso de desastre. La solución debe generar alertas y notificaciones de falla automáticas al menos por medio del correo electrónico. La solución de antimalware/antivirus deberá cumplir con al menos las siguientes características: La solución de filtrado de contenido deberá poder ser integrada con soluciones de Gateway de Antimalware/Antivirus mediante protocolo ICAP y ICAP seguro La solución de Gateway de antimalware deberá escanear el 100% del contenido que se descarga desde Internet sin tener una disminución en el desempeño de la solución de filtrado de contenido. No se aceptarán soluciones que escaneen contenido de manera selectiva con base en la reputación de la página Web ya que esto presenta un alto nivel de riesgo al no bloquear códigos maliciosos en páginas con alta reputación
Para garantizar que la solución de Gateway de antimalware/antivirus escanee el 100% del tráfico y no impacte del desempeño de la solución de filtrado de contenido, esta solución deberá ser implementada en un appliance de propósito específico independiente de la solución de filtrado de contenido. No se aceptarán soluciones instaladas en servidores de propósito general. Se deberá poder escoger el motor de antimalware que se desee instalar en el appliance de acuerdo a las mejores prácticas de seguridad y deberá poder escoger entre al menos 4 de los fabricantes más renombrados en este tipo de soluciones de Gateway de antimalware/antivirus actuales (Kaspersky, Mcafee, Sophos o Panda) Se debe garantizar que el contenido encriptado mediante HTTPS pueda ser escaneado por la solución de antimalware garantizando que no se envié código malicioso mediante este protocolo. Esta integración deberá realizarse a través de ICAP Seguro En caso que el archivo a descargar sea demasiado grande o se tengan limitaciones en el ancho de banda hacia Internet, la solución deberá tener mecanismos para indicarle al cliente que el contenido está siendo escaneado por la solución de antimalware. Esto puede ser implementado a través de una página de espera o enviar a una tasa de transferencia menor unos poco bytes descargados del archivo al navegador para que este no muestre un mensaje de error de la descarga La solución de filtrado de contenido deberá poder ser configurable para evitar el escaneo en la solución de antimalware de archivos infinitos como streaming en tiempo real de video o audio, banners
informativos (stock tickers), etc. Por otra parte, la solución deberá informar al administrador si se sobrepasa el umbral de estas conexiones infinitas o demasiado lentas en la solución de antimalware y deberá estar en capacidad terminar estas conexiones en caso que estas empiecen a afectar el desempeño de la solución. En la solución de antimalware debe poder configurarse un tiempo máximo de escaneo para los archivos, luego de superado este umbral se podrá definir si este archivo es entregado o bloqueado al cliente La solución de antimalware deberá estar en capacidad de limitar los archivos a escanear por su tamaño (comprimido o sin comprimir), número de documentos en el archivo, número de capas de compresión en el archivo, archivos protegidos por contraseña, entre otras y permitir bloquear o entregar los archivos en caso que se supere uno de estos parámetros. La solución de antimalware deberá estar en capacidad de soportar la habilitación de parámetros de heurística para incrementar la exactitud de detección de amenazas de la solución. La solución deberá cumplir con al menos las siguientes características adicionales: La solución deberá soportar administración multi-sesión (múltiples administradores utilizando el servicio de administración). Las cuentas de los administradores de la solución podrán ser autenticadas como usuarios del Directorio Activo, RADIUS, LDAP o cuentas locales.
La solución deberá estar basada en una plataforma de hardware de propósito dedicado y deberá integrar todas las licencias correspondientes para su uso y administración. El sistema operativo debe ser propietario, seguro y de propósito específico para los dispositivos. No se aceptarán soluciones basadas en sistemas operativos de propósito general basado en Unix, Linux o Windows. La solución propuesta deberá soportar IPv6, soportando la comunicación tanto de clientes como de servidores en IPv6 (dualstack) y deberá soportar servicios de translación entre redes IPv4 e IPv6 Dimensionamiento de la solución La solución deberá soportar hasta 400 usuarios totales con una concurrencia esperada del 50% de usuarios Aclaración: La fecha de vencimiento de las licencias y soportes correspondientes deberá ser la misma fecha para todos los subrenglones.