Practica 10

LOTE I - HARDWARE Y SOFTWARE PARA LA
Lugar de Instalación
SEGURIDAD DE LA INFORMACIÓN
TÉRMINOS DE REFERENCIA PARA OFERENTES: CONDICIONES
N/A
GENERALES APLICABLES PARA TODOS LOS PRODUCTOS Y SOLUCIONES
DEL LOTE IDE REFERENCIA PARA IMPLEMENTACIÓN DE POLÍTICAS DE
TÉRMINOS N/A
SEGURIDAD DE LA INFORMACIÓN
SOLUCIÓN PARA POLÍTICAS Y CONTROL DE ACCESO PARA ENTORNOS Site Primario
VIRTUALES / HÍBRIDOS
FILTRADO DE CONTENIDO WEB Site Primario
SOLUCIÓN DE EVALUACIÓN Y GESTIÓN DE VULNERABILIDADES Site Primario
SOLUCIÓN PARA PROTECCIÓN DE CORREO ELECTRÓNICO EN LA NUBE Site Primario
SOLUCIÓN DE PREVENCIÓN DE INTRUSOS DE RED Y ANÁLISIS DE 1 Site Primario / 1 Site
COMPORTAMIENTO DE AMENAZAS DE RED Secundario
SOLUCIÓN DE RED INALÁMBRICA SEGURA Site Primario
SOLUCIÓN DE CONTROL ACCESO A RED (NAC) Site Primario
SOLUCIÓN CENTRALIZADA PARA PROTECCIÓN DE AMENAZAS Site Primario
AVANZADAS PARA PUNTOS FINALES
MONITOREO Y DIAGNOSTICO DE REDES DE DATOS Site Primario
PROTECCIÓN DE REDES VIRTUALES Site Primario
PROTECCIÓN DE RED PERIMETRAL (NGF) – CANTIDAD: (4) 2 PARES EN
2 Site primario / 2 site
ALTA
secundario
DISPONIBILIDAD
1
TÉRMINOS DE REFERENCIA PARA OFERENTES: CONDICIONES GENERALES APLICABLES
PARA TODOS LOS PRODUCTOS Y SOLUCIONES DEL LOTE I
Requerimiento Descripción
 La ejecución del proyecto deberá ser realizada por una empresa
privada de prestigio, que sea especialista en soluciones y productos
de seguridad tecnológica.
 La empresa oferente debe ser especialista en la venta e
implementacion en soluciones de seguridad.
 La empresa ofertante debe contar con por lo menos (2) personal
técnico capacitado por cada solución ofertada.
 Personal con títulos de ingeniería de Sistemas, Informática,
Software.
 5-10 años de experiencia gerencial en seguridad de la información.
 Experiencia profesional mínima de cinco (5) años en implementar
y/o gestionar proyectos de SGSI aplicando la norma ISO/IEC
27001, con un mínimo de dos (02) proyectos
Perfil del Oferente
 Certificación Lead Auditor ISO 27001 (o curso de formación
aprobado por entidad internacional)
 Certificación Lead Implementar ISO 27001 (o curso de formación
aprobado por entidad internacional)
 Certificación en gestión de plataformas y servicios tecnológicos
basados en ITIL
 implementación y gestión de UTM, Firewalls, DLP, IPS y VPN
 Más de 3 años de experiencia en documentación de políticas y
procedimientos de seguridad
 Certification Lead Incident Manager ISO/IEC 27035
EL oferente deberá contar con las certificaciones minimas siguientes:
 Certified CompTI A +
 Certified CompTIA Network +
 Comptia Cybersecurity analyst (csa+)
Certificaciones del  Certified ITIL v3 Foundation
oferente  Certified Ethical Hacker – CEHv7
 Certified Information Security Auditor - CISA
 Certified Network Defense Architect - CNDA
 CompTIA Cybersecurity Analyst (CySA+)
Compromiso de ofrecer En los casos de las soluciones que necesitan funcionar de manera
Soluciones completas, coordinadas y/o integradas, se deben incluir y describir explícitamente todos
integradas y funcionales los componentes de hardware, software, suscripciones, servicios, soporte y
cualquier otro elemento que sea necesario para que estas soluciones
funcionen adecuadamente incluyendo todos los elementos y servicios de
integración entre ellas .
Solución llave en mano Es un requerimiento obligatorio de que todas las soluciones requeridas sean
instaladas y configuradas de manera tal que se cumplan los objetivos de
funcionalidad de la solución completa, en un formato llave en mano que
incluya todos los elementos necesarios para su puesta en funcionamiento
integral
2
 Debe incluirse y describirse explícitamente la Garantía, el Soporte
y Mantenimiento Técnico a todas las soluciones tanto de Hardware,
Soporte Tecnico incluyendo la sustitución de piezas, como de Licencias de Software,
,Mantenimiento y incluyendo actualización de estos, servicios de suscripción, y
entrenamientos del cualquier otro elemento necesario en cada una de las soluciones
Fabricante propuestas.
 Los soportes deben ser por un tiempo de 2 años a partir de la puesta
en marcha de la solución con un tiempo de respuesta de 4 horas y
cobertura 24x7 para todas las soluciones requeridas.
 Debe incluir entrenamientos oficiales para 2 técnicos ya sea virtual o
situ, pero directamente con el fabricante, para todos los productos y
soluciones ofertados.
 Debe Proveer una mesa de ayuda el cual le permita a nuestra
institución a realizar solicitudes en cualquier momento.
 Debe incluir soporte local por 1 año con un tiempo de respuesta de

4 horas y cobertura 24 x 7.
 Debe incluir todos los costos de instalación, configuración y
afinamiento de la solución.
Soporte Tecnico del  El suplidor debe tener una mesa de ayuda el cual le permita a
Oferente nuestra institución a realizar solicitudes en cualquier momento a
través de internet, correo o teléfono.
 El suplidor debe tener herramientas de conexión remota segura para
brindar soporte a nuestra institución sin necesidad de instalar
ninguna aplicación en el computador.
 Las ofertas técnicas deben ser presentadas en el formulario de
cumplimiento en un formato de manera tal que, al lado de cada
requerimiento técnico, en su línea correspondiente, se documente la
referencia específica a la documentación técnica original de cada
fabricante de los elementos propuestos donde se establece el
cumplimiento o no de cada requerimiento.
Referencia y  Los oferentes deberán presentar la documentación técnica original
Documentación de de cada fabricante para todas las soluciones y elementos ofertados.
Requerimientos  El oferente debe incluir el diseño propuesto de la solución.
Técnicos  El oferente debe incluir el alcance y metodología de servicios
etendiendo a lso requerimientos especificados en el pliego.
 Debe incluir un plan de actividades de proyectos que indiquen los
hitos y tareas del proyecto.
Autorizaciones y  Los oferentes deberán proveer documentación de cada fabricante de

Certificaciones de los las soluciones propuestas donde se establezca explícitamente que el
fabricantes de todas las proveedor está autorizado legalmente por el fabricante para ofertar
soluciones ofertadas las soluciones.
 El oferente debe incluir una carta del fabricante donde se indique

que los productos ofertados son en en calidad nuevos, no son
reparados, usados remanufacturados o descontinuados.
3
 Los oferentes deben incluir la carta del fabricante donde se indique

el nivel de certificación.
Debe incluirse y describirse explícitamente la asignación de un gerente de

Gerente de Proyecto proyectos certificado PMP
Plan de Trabajo Debe incluirse y describirse explícitamente el Project Plan en formato de

MS Project para la implementación de todas las soluciones ofertadas en este
lote, así como los currículos del personal que sería asignado al mismo. El
oferente que resulte ganador deberá mantener y actualizar este Project Plan
con periodicidad semanal, y deberá justificar por escrito cualquier cambio
que ocurriese con respecto al original.
4
Términos de Referencia Para implementación de Políticas de Seguridad de la Información
Realizar un es un estudio formal con respecto a los niveles de seguridad
implementados actualmente por la entidad y aquellos hacia los cuales se desea
llegar en un futuro cercano a implementar
El oferente debe realizar el análisis bajo tres perspectivas: procedimental,
tecnológica y de talento humano y de esta manera se presentarán los resultados
de esta actividad.
 Documentación de Nivel 1
Documentos de: Estructura de gestión, incluyendo la política de
seguridad de la información, los objetivos de control y los controles
procedimentales.
Análisis
Procedimientos acotados para implantar al detalle los
controles procedimentales necesarios. Describen quién, qué, cuándo y
donde se localizan los procedimientos de seguridad y los controles.
Documentos con tareas o actividades específicas que incluyen mayor
detalle en instrucciones de trabajo, formularios, flujogramas, normas
de servicios y manuales de sistemas.
Registros de las actividades ejecutadas en conformidad con los niveles
de la documentación de nivel 1, 2 y 3 y lo exigido para un SGSI.
El oferente emplear los criterios de cumplimiento establecidos en la norma
ISO 27001 establecidos por la organización internacional de estándares
ISO, específicamente en los aspectos y mejores prácticas que deberían tener
las organizaciones para tratar los temas de seguridad de la información
 Realizar un inventario de los activos de información que apoyan
los diferentes procesos de negocio.
 Definir el Instructivo para el proceso de inventario de activos de
información
 Formular las recomendaciones para la revisión, gestión y actualización
del inventario de activos de información.
 Definir el instructivo de clasificación de activos de información
Gestión de Activos de  Definir los niveles de clasificación y de confidencialidad, y las
Información recomendaciones de manejo asociadas en cuanto a :
o Acceso permitido.
o Esquema de publicación.
o Restricciones en la publicación electrónica.
o Almacenamiento y archivado.
o Disposición y destrucción.
Determinar las amenazas potenciales asociadas a los sistemas de información
de la institución para determinar la probabilidad de que una amenaza se
materialice en un ataque a los sistemas de información a través de una
vulnerabilidad, y el impacto que esto puede tener en la Entidad.
Gestión de Riesgos (Análisis y  Implementar e Identificar los controles necesarios para minimizar o
Evaluación de Riesgos) transferir los riesgos identificados y priorizados. Controles a nivel de
tecnología o procedimientos.
 Implementar y llevar a cabo el análisis de amenazas basado en un
análisis cuidadoso de todos los actores que interactúan con los
sistemas, las posibles vulnerabilidades de los sistemas, y de los
controles de seguridad existentes.
5
 Implementar y llevar a cabo un análisis de controles para identificar y
medir de manera cualitativa, el desempeño y las capacidades de los
controles de seguridad
 Para el implementación y Análisis de Controles se deberá incluir los
catorce (14) dominios cubiertos por la norma, haciendo énfasis en:
o Definición e implementación del esquema de Autenticación,
Autorización y Auditoria (AAA) para el control de acceso a
los sistemas de información y plataforma tecnológica.
o Definición e implementación n de seguridad perimetral para
la conexión a Internet y conexiones a redes WAN.
o Definición e implementación de conectividad segura
(Encriptación, VPN, Acceso Remoto).
o Definición de controles de seguridad para la red interna.
o Definición del esquema de monitoreo de la seguridad en la
infraestructura.
Gestión de Riesgos (Análisis y o Definición e implementación del sistema de administración
Evaluación de Riesgos) Centralizada de controles de seguridad
 Realizar un análisis de vulnerabilidades para determinar las debilidades
reales existentes en los sistemas de información, en sus componentes
Tecnológicos (software, hardware), humano y organizacional
 Determinar las fallas existentes en los sistemas de información que
pueden ser utilizadas para vulnerar efectivamente su seguridad física y
lógica.
 Entregar e implementar todos los ítems descritos para la
implementación en la red, con sus características y la descripción
técnica de la función de cada uno de ellos en la arquitectura propuesta
y las interacciones que existen entre los elementos de la arquitectura
 Realizar un análisis de impacto para lo cual se deberá realizar un
estudio cuidadoso de la Entidad y su dependencia de la tecnología, la
misión del sistema de información, su criticidad, y la sensibilidad de
la información que contiene. A partir de este estudio, se deberá
determinar el impacto cualitativo y cuantitativo por pérdida de
integridad, disponibilidad y confidencialidad para los sistemas de
información y para cada uno de sus componentes
 Realizar una matriz de niveles de riesgo, en la que se refleje la
probabilidad de que un actor intente materializar una amenaza
utilizando una vulnerabilidad dada, la magnitud del impacto en caso de
que se vulnere el sistema, y el nivel de desempeño de los controles
planeados o existentes, para reducir o eliminar el riesgo.
 Hacer entrega de toda la documentación en donde quede plasmado el
producto de todas las actividades exigidas en los presentes:
o Informe de identificación de controles necesarios para
mitigar o transferir el riesgo.
o Informe completo del análisis de amenazas.
o Informe completo de las vulnerabilidades
Gestión de Riesgos (Análisis y
o Arquitectura de seguridad
Evaluación de Riesgos)
o Informe de los resultados del análisis de impacto.
o Matriz de niveles de riesgo
Elaborar y definir las Políticas, Normas y Procedimientos de seguridad que

reflejen las necesidades de seguridad de la información para la institución.
6
 Los dominios mínimos sobre los cuales se deberá desarrollar las políticas,
Elaboración de Políticas de normas y procedimientos, con base en las normas ISO
Seguridad de la Información o Políticas de Seguridad corporativa.
o Organización de seguridad.
o Clasificación y control de activos.
o Seguridad del personal.
o Seguridad Física.
o Administración de Redes y Computadores.
o Sistemas de Control de Acceso.
o Mantenimiento y desarrollo de sistemas.
o Cumplimiento de políticas y normatividad legal
 Definir la estructura de seguridad a lo largo y ancho de la Empresa que debe

incluir las responsabilidades directas e indirectas de los funcionarios en
Definición de Políticas de seguridad de la información
Seguridad de la Información  Definir los procesos para la continuidad y el mantenimiento del esquema de
Políticas de Seguridad a implementar, a través de la definición de los
procedimientos necesarios para el manejo de documentación, control de
cambios y versiones, definiendo los roles y las responsabilidades del
personal involucrado en el mantenimiento de las políticas de seguridad.
Entregables
o Documento de políticas, normas y procedimientos de
Seguridad Informática (De acuerdo a los requerimientos
exigidos en estos pliegos).
o Documento del proceso de mantenimiento, revisión,
actualización y aprobación de políticas.
Definir el proceso de seguridad informática y de atención de incidentes, así

como los procedimientos específicos para la institución.
Elaborar y definir de procedimientos para administradores:

o Procedimiento de Alta, Baja y Modificación de usuarios.
o Procedimiento de Backup y recuperación de información.
o Procedimiento de Atención de Problemas.
o Procedimiento de Manejo de Eventos.
Definición de procedimientos para usuarios
Gestión de Incidentes o Procedimiento de Solicitud de acceso a recursos
Informáticos.
o Procedimiento de escalamiento ante problemas de
seguridad.
Generación de Manuales de soporte procedimental para respuesta a incidentes.
Elaborar la documentación para el proceso que contenga:
o Análisis de capacidades de detección, contención y
recuperación frente a incidentes.
o Definir la clasificación de incidentes.
o Procedimientos de declaración y mecanismos de notificación
de incidentes.
o Definición del procedimiento de Atención y Escalamiento de
incidentes.
7
o Procedimientos de seguridad informática (recopilación,
manejo, almacenamiento, procesamiento y protección de la
evidencia digital).
o Contingencia y Recuperación frente a incidentes.
o Plan de Pruebas y simulacros
Elaborar e l plan de Continuidad del Área de Tecnologías de la
Información los siguientes elementos: Definición del problema.
o Objetivos y requerimientos del plan de continuidad.
o Costos de ejecución del plan de continuidad.
Plan de Continuidad de o Definición del comité de maneja del plan de continuidad.
Información y Tecnología o Políticas de continuidad del área de tecnología.
Elaborar y definir el plan con los requerimientos funcionales mediante los

siguientes elementos
o Análisis de Riesgos y controles solicitado anteriormente.
o Estrategias alternativas de continuidad.
o Selección de estrategias con base en el análisis costo
beneficio.
o Análisis de impacto del negocio y funciones del negocio
sensibles al tiempo
Para el diseño del plan se deberán definir los siguientes elementos
o Alcance del plan y objetivos.
o Definición de tareas y responsables.
o Principales componentes del plan.
o Análisis de escenarios para la ejecución del plan.
o Definir los procedimientos para escalar, notificar y activar
el plan de continuidad
Elaborar y definir los tiempos mínimos de recuperación, tiempos máximos de
tolerancia aceptados por los procesos, y estimar los recursos mínimos de
operación y tiempos de entrega del servicio requeridos por la institución para
mantener en operación sus procesos críticos:
o Entregables Plan de acciones e inversiones que ayuden a
mejorar la continuidad de los procesos más críticos.
o Documento de resultados de requerimientos funcionales.
Plan de Continuidad de o Documento de resultados del diseño del plan.
Información y Tecnología o Documento del plan y elementos para la implementación.
o Análisis de impacto del negocio y funciones del negocio
sensibles al tiempo.
o Programa de administración del plan de continuidad.
o Procedimientos de respuesta a emergencias.
o Procedimientos detallados de reanudación, recuperación y
restauración.
o Tiempos mínimos de recuperación, tiempos máximos de
tolerancia aceptados por los procesos, y estimar los recursos
mínimos de operación y tiempos de entrega del servicio
requeridos.
Llevar a cabo el entendimiento del estado actual del negocio en cuanto a
cultura de Seguridad de la Información:
o Elabora ración Políticas de seguridad Corporativas y su
nivel de cumplimiento.
o Elaborar un plan educativo de cultura en seguridad
informática.
8
o Identificación de planes de capacitación en seguridad de la
información que necesite la institución.
Presentación del Plan de Sensibilización
Elaborar Plan de Promoción
Proceso de Elaborar Plan de Comunicación y divulgación
Administración Elaborar y definir el procedimiento de Gestión y Monitoreo del proceso
de la Cultura de Elaborar y definir los Indicadores del proceso
Seguridad de la
Información Definir Recursos Humanos con la definición de los roles y las
responsabilidades asociadas al proceso.
Elaborar y Desarrollar un plan de manejo del cambio
Entregables
Documentación del proceso de Administración de la Cultura de Seguridad de
la Información.
o Plan de Sensibilización.
o Plan de Promoción.
o Plan de Comunicación y divulgación
 Ejecutar el plan de sensibilización definido en la etapa anterior
 Divulgar y comunicar las mejores prácticas de seguridad que apliquen
a la entidad, así como las políticas de Seguridad definidas en el
Implementación del proyecto
Proceso de
 Deberán realizarse charlas y talleres de sensibilización en seguridad de
Administración de la
la información a todo nivel de la organización.
Cultura de Seguridad de
 NOTA: En coordinación con la institución se debe Se debe definir en
la
este punto cuales son las charlas que desarrollar, grupos objetivo y
Información
contenido de estas
Para la ejecución de la promoción se deberá suministrar el diseño y desarrollo
de los siguientes materiales:
o Comunicados físicos y digitales
o Afiches promociónales
Presentar una propuesta de arquitectura de seguridad para mitigar los riesgos
tecnológicos sobre la Información y definir las prioridades para la
implementación de los controles de la arquitectura diseñada.
Con base en el análisis de riesgo, llevar a cabo un análisis, selección y diseño

de la arquitectura de seguridad informática (como mínimo para redes,
aplicaciones, servidores, bases de datos, controles de seguridad y
administración).
Definir las prioridades para la implementación de los controles de la
arquitectura de los productos adquiridos
Arquitectura de Definición del esquema de Autenticación, Autorización y Auditoria
Seguridad Definición de los controles de seguridad perimetral
Definición de conectividad segura
Definición de esquema de monitoreo
Definición de esquema de monitoreo
Entregables
o Diseño de la arquitectura que contiene todos los ítems
descritos para la implementación de estos en la
infraestructura de IT
o Diagramas del diseño del modelo de arquitectura
9
o Definición de prioridades para la implementación de los
controles de la arquitectura diseñada
El diagnóstico del cumplimiento de la estrategia de Gobierno en Línea tiene
como propósito determinar el estado de avance de su implementación en la
entidad para formular planes de acción que faciliten el logro de los objetivos de
la estrategia en cada uno de sus componentes
Diagnóstico del cumplimiento Entregables

de la estrategia de Gobierno en o Diagnóstico estado actual sobre uso e implementación de las
Línea tecnologías de la información y comunicación en el estado
dominicano (NORTIC A1:2014)
o Diagnóstico estado actual de la norma para la seguridad de
las tecnologías de las información y comunicación en el
Estado Dominicano (NORDIC A7 :2017)
o Diagnóstico estado actual sobre la publicación de datos
abiertos del Gobierno Dominicano, de cara a fortalecer los
Diagnóstico del cumplimiento mecanismos de transparencia y acceso a la información del
de la estrategia de Gobierno en Estado dominicano. (NORTIC A3:2014)
Línea
Plan De Trabajo
o Metodología de Trabajo
o Conformación de equipo de trabajo
o Cronograma general de actividades
o Esquema de aseguramiento de calidad
o Procedimiento sugerido de control de cambios
Gestión de Activos de Información (levantamiento, inventario y
clasificación de activos de información e índice de información clasificada
y reservada
Informe de resultados del levantamiento de información, instructivo para el
proceso de inventario de activos de información, inventario de activos de
información, instructivo de clasificación de activos de información y su nivel
de clasificación y confidencialidad, activos de información clasificados según
inventario e instructivo de clasificación, caracterización de Usuarios, índice de
información Clasificada y Reservada y recomendaciones para la revisión,
Resultados O Productos gestión y actualización de la clasificación de la información
Esperados Gestión de Riesgos (Análisis y Evaluación de Riesgos
Informe completo del análisis de amenazas, informe completo del análisis
de vulnerabilidades, informe de los resultados del análisis de impacto, matriz
de niveles de riesgo e informe de identificación de controles necesarios para
mitigar o transferir el riesgo y arquitectura de seguridad sugerida, diseño
de requerimientos de equipos necesarios para la implementación de la
arquitectura de seguridad y análisis de impacto
Definición de Políticas de Seguridad de la Información
Informe y documentación que incluya: Políticas, normas y procedimientos para
los dominios contemplados en las normas ISO 27001 y el “Proceso de
mantenimiento, revisión, actualización y aprobación de políticas de seguridad de
la información”
Gestión de Incidentes
Análisis de capacidades de detección, contención y recuperación frente a
incidentes, Clasificación de incidentes (tipos y niveles de servicio asociados),
10
procedimientos de declaración y mecanismos de notificación de incidentes,
procedimiento de Atención y Escalamiento de incidentes, procedimientos de
informática forense (recopilación, manejo, almacenamiento, procesamiento y
protección de la evidencia digital), contingencia y recuperación frente a
incidentes, plan de pruebas y simulacros y Manuales de soporte procedimental
para respuesta a incidentes.
Plan de Continuidad de Información y Tecnología

Documento “Plan de Continuidad de Información y Tecnología” que incluya,
entre otros: Metodología, Plan de acciones e inversiones que ayuden a mejorar
la continuidad de los procesos más críticos, Plan de requerimientos funcionales,
resultados del diseño del plan, Plan de implementación, análisis de impacto del
negocio y funciones del negocio sensibles al tiempo, programa de
administración del plan de continuidad (mantenimiento y actualización),
procedimientos de respuesta a emergencias, procedimientos detallados de
reanudación, recuperación y restauración, tiempos mínimos de recuperación,
tiempos máximos de tolerancia aceptados por los procesos, y estimación de
recursos mínimos de operación y tiempos de entrega del servicio requeridos.
Proceso de Administración de la Cultura de Seguridad de la
Información
Documento “Plan de Implementación del Proceso de Administración de la
cultura de seguridad de la información” que incluya, entre otros: Ejecución del
Plan de Talleres de sensibilización, Diseño y desarrollo de Comunicados físicos
y digitales, una cartilla pedagógica para la promoción de la sensibilización,
afiches promociónales y un programa de Autoaprendizaje mediante.
Definición de Arquitectura de Seguridad
Resultados o Productos
Esperados Documento “Arquitectura de seguridad de la información” que incluya, entre
otros: Diagramas del diseño del modelo de arquitectura (redes, aplicaciones,
servidores, bases de datos, controles de seguridad y administración), definición
de prioridades para la implementación de los controles de la arquitectura
diseñada, definición del esquema de Autenticación, Autorización y Auditoria,
definición de controles de seguridad perimetral, definición de conectividad
segura, definición del esquema de monitoreo y definición del esquema de
administración centralizada de la seguridad
Diagnóstico del cumplimiento de la estrategia de Gobierno en Línea
Documento informe que muestre el estado actual y las recomendaciones para
fines de cumplimiento de las siguientes normas
 NORTIC A1:2014
 NORDIC A7 :2017
 NORTIC A3:2014
11
SOLUCIÓN PARA POLÍTICAS Y CONTROL DE ACCESO PARA ENTORNOS VIRTUALES /
HÍBRIDOS – CANTIDAD: 50 LICENCIAS PERPETUAS PARA MAQUINAS VIRTUALES Y 8
LICENCIAS PERPETUAS CPU SOCKET
CARACTERÍSTICAS REQUERIMIENTOS
La Soluciones debe ser Secure Multi-Tenancy tanto para redes de trabajo interna o
externa
La solución debe poder definir y forzar separación de responsabilidades basado en
usuarios o reglas de infraestructuras
La solución debe proveer soporte para para cumplimiento de regulaciones NIST, PCI,
SOX, HIPAA, CJIS, etc
La solución debe proveer soporte para mitigación de amenazas consistentes (APT)
Características Generales sus siglas en inglés Advanced Persistent Threat de manera de prevenir cualquier daño
causado por un usuario privilegiado.
Soporte para implementación de autenticación segura.
La solución debe proveer registros detallados calidad de auditoría de la actividad de
usuarios con privilegios desde una consola central
La solución debe proveer un factor secundario de aprobación para el monitoreo y
control de acciones de usuarios, tales como borrar, mover, copiar clonar o apagar los
equipos virtuales.
Capacidad de ofrecer Habilitar la segregación lógica de objetos de recursos de infraestructura virtual a un
múltiples redes a través nivel granular y por unidad de negocio o de otra definición. Soporta múltiples
del hipervisor agrupaciones y persistencia con VMX incrustación de etiqueta.
Permitir a los clientes compartir la misma infraestructura virtual entre grupos

Generar registros de
separados, aplicaciones y funciones de cada uno con su propia política de control de
auditoría de calidad
acceso independiente.
Utiliza el formato syslog estándar de la industria para una máxima compatibilidad
Asegurar que los registros con las infraestructuras existentes de agregación de registro, sistemas de
son compatibles con syslog notificación, y herramientas de 3 ª parte.
y se integra con SIEM Integración con herramientas de correlacionador de eventos de seguridad
galardonados en el en los cuadrantes de evaluación (SIEM)
Provee un Segundo factor Provee la habilidad de requerir un segundo factor de autenticación para el acceso al
de autenticación ambiente virtualizado
Endurecimiento
(Hardening) de los
Proporciona la capacidad de definir las configuraciones de seguridad de host
hypervisores basado en las
estandarizados VMware ESX y ESXi.
políticas seguridad del
cliente.
Habilitación de
cumplimiento de la Habilitación de cumplimiento de la configuración continua
configuración continua
• La solución debe tener la capacidad de realizar el decomiso de máquinas virtuales
de forma rápida y segura
Cifrado • La solución debe tener la capacidad de cifrar las máquinas virtuales que sean
extraídas y colocados en dispositivos portables.
• La solución debe permitir cifrar daros en equipos Windows, Linux, Vms
12
 La solución debe proveer un servidor de llaves de cifrado (key management

for encryption) el cual permita tener multitenencia de acceso, así como
también cubrir otras necesidades y responsabilidades alrededor del ambiente
virtualizado.
 La solución debe permitir la revocación de acceso de equipos no virtualizado
de formar rápida y segura
 La solución debe permitir mover datos de manera segura entre equipos
virtualizado
 Provide protection against potential virtual machine exfiltration
 La solución debe tener la capacidad de aprovechar la tecnología de
aceleración de cifrado de los procesadores
Cifrado de datos en
Cifrado de todos los datos almacenados o prevenir la fuga de datos sensitivos
reposo
La solución debe ser capaz de cifrar toda la data almacenada en las particiones
Cifrado de todos los datos
incluyendo sistema operativo, sistema arranque (Boot) y Swap
Nivel de cifrado de 256 bit La solución debe estar aprobada por el Instituto Nacional Tecnológico de estándares
o mayo y Tecnología por su sigla en inglés (NIST)
La solución debe tener la capacidad de enviar las bitácoras a un sistema de gestión
Bitácoras de bitácoras o a un correlacionado de eventos de seguridad de forma automática y
para fines de auditoria.
La solución debe manejar
la aceleración
criptográfica compatibles La solución debe detectar y ajustar el desempeño del procesador de forma
con los procesadores AES automática durante el proceso de cifrado y descifrado.
NI, siempre y cuando sea
soportado
Soporte para equipos
La solución debe proveer cifrado tanto por equipos físicos y virtuales.
físicos y virtuales
Toda la comunicación dentro de la solución debe proporcionar una comunicación
La solución debe tener
segura en las redes públicas restrictivas y el uso de los puertos configurados para la
una comunicación segura
comunicación
Fácil de implementación La solución no debe ser compleja al momento de implementar
Soporte para servicios en La solución debe soportar administración hibrida para servicios manejados
la nube o en la premisa localmente o en la nube
Capacidad para generar reportes, de actividad de acceso y cambios de la interface de

Generación de reportes
administración.
13
Todas las
Capacidad para realizar todas las funciones dentro de la interface de Administración
funcionabilidades deben
y la consola via este API
ser a través de API
La solución debe tener la capacidad de auditar todos los procesos que involucra la
Auditoria
administración de la solución
La solución debe ser una
La solución debe ser una herramienta ligera basada en servicios web
herramienta ligera
La solución no debe
La implementación de esta solución no debe crear un punto de falla en la red
proveer un punto de falla
Proveer alta El servidor de llaves debe soportar una arquitectura en alta disponibilidad, en dado
disponibilidad para el caso de un fallo algún componente no debe requerir intervención manual con el fin
servidor de llaves. de continuar las operaciones.
Escalabilidad de
La solución debe permitir crecimiento de forma horizontal, solamente agregando
crecimiento de forma
servidores y dispositivos, sin cambiar la arquitectura
horizontal
Administración basada en Administración basada en roles, de manera que pueda segregar funciones tales
roles como monitoreo, operador entre otros
Consola de Centralizada Capacidad para gestionar de forma centralizada la solución desde una única consola
La solución deberá permitir la manejar el ciclo de vida de las llaves, como parte del
proceso de rotación de las mismas, dicho procedimiento no debe causar ninguna
pérdida de datos durante este proceso.
Rotación, Generación y Por otra parte, si ocurriera un corte de energía u otra interrupción durante este proceso
restauración de llaves de regeneración de claves no deben dar lugar a la pérdida de acceso a datos, y una
copia de seguridad durante el proceso de almacenamiento no deben dar lugar a la
pérdida de acceso a datos en un momento posterior cuando se ha realizado la
recuperación de la copia de seguridad
Soporte para integrarse
con diferentes La solución debe tener la habilidad de manejar múltiples proveedores de servicio
proveedores de servicios simultáneamente (Public Cloud IaaS hosting)
de nube
14
FILTRADO DE CONTENIDO WEB
CARACTERISTICAS VALORES MÍNIMOS
Arquitectura y diseño: Capacidad para 2,000 usuarios.
La solución puede correr sobre un appliance físico o virtual.
Detección, Filtrado y Protección:
La solución tiene métodos de detección compatibles con RFC 2616
La lista de filtrado de URL es basada en categorías y reputación
La base de datos local en la solución para el filtrado de URL tiene más de 45
millones de URL
La solución debe integrarse con un sistema de reputación de archivos, URL y tráfico
en la nube
Este sistema de reputación de tráfico, archivos y URL en la nube debe estar basado
en categorías y poder tener un mínimo de 80% MAS de información de filtrado que
se tiene en la base local
La solución debe constar con al menos 95 categorías de sitios para filtrado de URL
La solución permite la creación de categorías personalisadas
La solución permite redefinir las categorías de sitios para filtrado d URL
La solución permite la creación de listas blancas y listas negras de URL por adición
manual
La solución permite los administradores controlar la carga de archivos y descargas a
las categorías o de los sitios
Administración:
La solución debe poder administrar múltiples appliances
Administración de Trafico:
Funcionalidades La solución debe poder utilizar controles de QoS y ancho de banda por usuario y/o
categoría, a través de la utilización de cuotas de utilización web por tiempo o por
volumen (BW).
Políticas:
La solución puede crear políticas basadas en servicios de grupos de directorios, y ser

aplicadas por grupos de usuarios La solución puede integrarse y aprovechar los
servicios de directorio como Microsoft Active Directory.
Detección, Filtrado y Protección:

La solución tiene un módulo de antimalware que utiliza un escáner de
comportamiento heurístico que analiza el comportamiento potencial - o "intención" -
de código móvil en tiempo real, mientras el tráfico pasa por la solución
Ya sea una página HTML, JavaScript, las aplicaciones Java, un ejecutable de
Windows, el control ActiveX, archivo PDF, Adobe Flash SWF o un archivo
multimedia, la solución debe realizar un análisis proactivo en tiempo real de la
inspección de contenido para dar a conocer cualquier código embebido,
desbordamiento de buffer o exploits.
La solución integra completamente la detección de malware, inspección SSL y
validación de certificados en una misma plataforma de hardware
La solución debe constar con las siguientes funcionalidades:
Antivirus de Gateway, antimalware y el escaneo antispyware
Escaneo de contenido de salida para detener la pérdida de la propiedad intelectual y
apoyar el cumplimiento regulatorio
Media-Type content filtering
15
Gestión de certificados
La aplicación de políticas flexibles
Reporteria:
La solución contiene un módulo de reporteria que ofrezca visibilidad, posibilidad de
hacer drill-down, además de capacidades de procesamiento fuera de línea y de gran
alcance.
La solución permite tener una vista rápida de usando drill-down sobre la actividad
del malware con datos adicionales, y acceder a ellos con solo hacer un click en un
enlace activo. (Nombre de usuario, IP del usuario, dirección detallada ...)
La solución consta con reportes avanzados que muestre las actividades y detecciones
del sistema de reputación, actividad de malware y el trabajo que se hace en las
diferentes aéreas de protección.
La solución consta con un reporte que muestre la utilización del ancho de banda de
la solución. La solución permite generar reporte del top categorías utilizadas, tiempo
consumido por categoría y ancho de banda.
Reputación:
La solución consta con un sistema de localización y de reputación de URL,
categorización por tipo de tráfico y localización geográfica (de la fuente y destino).
Antivirus:
La solución debe constar con 3 motores de antivirus distintos para detección, y debe
permitir seleccionar si usarlos todos o selectivamente.
Categorización:
La solución ofrece categorización del contenido web en tiempo real.
Métodos de Operación:
La solución tiene la opción de operar de modo transparente en línea.
Bloqueo:
Debe permitir el bloqueo de sitios maliciosos por URL.
Métodos de Operación: ----
La solución soporta modo proxy
Compatibilidad en Idiomas:
Soporta búsqueda y filtrado en varios idiomas incluyendo español
Personalizaciones de Bloqueo de Paginas:
Permite bloqueo de sitios web por categoría, y ser personalizable por sitio especifico.
Categorización personalizada:
La solución proporciona la capacidad de anular la categorización de productos a nivel
local
Caching:
La solución soporta caching de páginas web para mejorar el rendimiento en el acceso
a las mismas
Registros:
La solución debe soportar la exportación de los logs a producos de terceror via
HTTP,HTTPS,FTPo SCP.
Compatibilidad en Idiomas:
admite el filtrado de nombres de URL escritas en alfabetos no latinos
16
Conectividad:
La solución soporta IP v6
Soporte para varios tips de escaneo:
permite escanear / filtrado de contenido Web malicioso, como virus, phishing, XSS,
etc
Navegadores soportados
Soporta Internet Explorer, Firefox, Safari, Opera, Chrome,
Autenticación
La solución soporta los siguientes métodos de autenticación para usuarios
administradores:
LDAP
Radius
Integrated User Database·NTLM via UID or Group Attributes (Active Directory)
Kerberos
Acciones (Detección, Filtrado y Protección)
Debe tomar las siguientes acciones en sus políticas de detección y protección:
 Permit
 Block
 Allow
 Redirect
 Monitor
Dashboard y Reporteria
Debe constar con dashboards para monitorear la utilización de CPU, memoria y
demás recursos de sistema
Soporte a Virtualización
La solución debe poder instalarse en emuladores de máquinas virtuales
SO Base
La solución debe ser basada en sistema operativo propietario del fabricante
Actualización
La solución debe poder actualizarse automáticamente, las definiciones de sus motores
de antivirus y su base de datos de filtrado URL
Escaneo SSL
La solución debe proveer los siguientes modos de verificación de certificado:
 Self–signed certificates
 Expired Certificates
 Revoked Certificates
 Length of Certificate chains
 Trusted Certificates
Acceso a Logs y Registros Integraciones
Los logs y registros deben poder ser acusados desde la interfaz gráfica.
Interfaz Gráfica Administración
Herramienta debe tener la capacidad con herramientas tipo CASB
Herramientas de Network DLP Monitor/Prevent
17
Se desea que la herramienta se integre con solucomes de Endpoint si es posible del
mismo fabricante.
Se desea que el licenciamiento del l fabricante de esta solución sea flexible, de manera
que nos permita realiza varias configuraciones e instalaciones sin necesidad de incurir
en gastos de licenciamiento adicional.
18
SOLUCIÓN DE EVALUACION Y GESTION DE VULNERABILIDADES
Arquitectura y diseño: Capacidad para 512 IP
Proporcionar una plataforma para la gestión integral del ciclo de vida de
vulnerabilidades, con el fin de reducir el tiempo para identificar causas y evaluación
del impacto de las nuevas amenazas
Proporcionar rehabilitación y auditoría dependiendo de la prioridad por combinación
de vulnerabilidad de la información, la gravedad y la criticidad de activos de red, con
el fin de identificar, clasificar e identificar soluciones a vulnerabilidades de los
sistemas y dispositivos de red. La solución
debe tener la capacidad de implementarse en ambientes virtualizados o físicos.
Integración con organizaciones de investigación de amenazas:
Proporcionar alertas de amenazas apoyados por una organización de investigación
mundial
Proporcionar informe de fallas Proporcionar evidencia de activos "no vulnerable" a
través de pruebas concluyente: tales como fallas en los análisis.
Resultado de análisis
Los resultados del análisis enviado a la base de datos en la red los datos deben ser
cifrada
Información en reposo de los análisis de vulnerabilidades.
Todos los datos de exploración deben mantenerse dentro de las instalaciones del
cliente en todo momento, eliminando la necesidad de enviar cualquier análisis de los
datos de las vulnerabilidades a la "nube" para cualquier tipo de procesamiento
Todos los datos de exploración deben mantenerse dentro de las instalaciones del
cliente en todo momento, eliminando la necesidad de enviar cualquier análisis de los
Funcionalidades
datos de las vulnerabilidades a la "nube" para cualquier tipo de procesamiento
Centralización de análisis
Proporcionar instalaciones de gestión y presentación de informes centralizadas
distribuidas la WAN
Opciones de implementación
Facilitar opciones de implementación que incluyen escenarios basados en Hardware
o Software
Actualizaciones
Actualizar automáticamente las vulnerabilidades de la biblioteca de la herramienta
Métricas de análisis
Métricas de apoyo basados puntuación de riesgo
Proporcionar conjuntos de vulnerabilidades basadas en patrones predefinidos
cumplimientos populares
Autenticación
Apoyar el almacenamiento seguro de credenciales para su uso en análisis autenticado.
Esto debe incluir los sistemas Windows, UNIX, o cualquier activo de infraestructura,
tales como dispositivos de Red, etc
Funcionamiento
Proporcionar personalizable sistema basado en normas para el seguimiento de activos
Individual a través de IP cambia. Las reglas deben seguir activos cualquier
combinación de los métodos de detección, incluyendo la dirección IP, nombres de
host, nombres DNS y direcciones MAC
19
Gestion de tiempo
Permitir la creación y ejecución de exploraciones en paralelo entre tener sus propios
horarios singulares y ajustes
Correlación de información de amenazas
El análisis de la vulnerabilidad solución debe tener la integración con fuentes de
amenazas, lo que permite la información de vulnerabilidad son correlacionada con
información de amenazas en tiempo real, para informar cliente los objetivos más
probables de explotación de una nueva vulnerabilidad, sin la necesidad de pruebas
adicionales. Resultados relacionados deben ser presentados con base en el sistema
puerto operativo, Service Banner o propia vulnerabilidad.
Gestion
Permitir la modificación de parámetros para los administradores para cumplir
necesidades específicas de negocio
Proporcionar un mecanismo para el flujo de trabajo integrado que asigna y rastrea las
entradas para la remediación de los administradores examinar el análisis
vulnerabilidades;
Permitir el acceso seguro a la base de datos de backend para que minería de datos
Segregación de funciones
Posibilidad de acceder a la configuración basada en la separación de funciones, cómo
tener un perfil con autorización para acceder a la configuración global y otros con
permiso para realizar escaneos diarios
Integraciones y administración
Permitir la modificación de parámetros para los administradores para cumplir
necesidades específicas de negocio
Proporcionar un mecanismo para el flujo de trabajo integrado que asigna y rastrea las
entradas para la remediación de los administradores examinar el análisis
vulnerabilidades;
Permitir el acceso seguro a la base de datos de backend para que minería de datos
Auditoria
Proporcionar prueba de auditoría detallada para el acceso y las acciones del usuari+o
Apoyar el uso de modelos para su inclusión en las auditorías NIST en consecuencia
Navegadores soportados
Soporta Internet Explorer, Firefox, Safari, Opera, Chrome,
Paneles
Proporcionar paneles pre-construidos que cumplen con la siguiente información:
-Proporcionar tableros ejecutivos que incluyen puntuación con las tendencias de
seguridad para controlar el progreso de la postura de seguridad de organización en el
tiempo
-Elaborar informes detallados para clasificar las vulnerabilidades al riesgo
Apoyar el uso de filtros para seleccionar y organizar los resultados en informes
Reportes
Cuadros de mando e informes generados por el Vulnerability Manager debe
proporcionar vínculos a las descripciones detalladas de las vulnerabilidades
encontradas. Cada vulnerabilidad debe ser correlacionada con la norma referencia,
como CVE, SANS y IAVA
20
Una descripción detallada de la vulnerabilidad debe incluir pasos recomendados para
la rehabilitación y, si es posible, todas las recomendaciones de base de conocimientos
en línea y un enlace al artículo apropiado;
Proporcionar informes ejecutivos para el análisis de las medidas globales de
seguridad, así como el análisis de tendencias
Permitir informes personalizados con las mismas secciones de un análisis de
vulnerabilidad informe estándar. Permitir la posibilidad que están programadas para
llevarse a cabo de acuerdo a la voluntad de administrador y enviado a los usuarios
finales específicos;
Permitir la generación de informes agrupados por equipo o responsable cada activo.
Tenga configurar informe personalizado con la Asistente configuración (Asistente);
Los informes pueden incluir el análisis de los datos de varias vulnerabilidades
exploraciones.
Proporcionar opciones avanzadas de informes para permitir la categorización unidad
de negocio de plataforma de datos, la ubicación geográfica o rango de direcciones IP,
con el fin de proporcionar ideas sobre violaciones de política, vulnerabilidades,
acciones de remediación, y los cambios en los perfiles de riesgo
El proceso de exploración normalmente debería tener un impacto mínimo en la red.
Administración de ancho de banda
Permitir ajuste de rendimiento para ajustar la cantidad de ancho de banda consumida
en la red durante la exploración análisis de vulnerabilidad, tanto para llevar a cabo
exploraciones menos recursos, como para realización de análisis más rápidos que
consumen más recursos
Integración
Activación de la conexión directa con Microsoft Active Directory Import cuentas de
equipos (estaciones de trabajo y servidores, por ejemplo)
Soporte para OS
Contar con el apoyo de los principales sistemas operativos disponibles Microsoft,
Linux, Apple.
Credenciales para análisis de escaneos de vulnerabilidades
Debe incluir exploración con credenciales y sin credenciales. También la utilización

de mecanismos para elevar privilegios de no tener una cuenta como “root;
Estatus del análisis o exploración

Proporcionar información detallada sobre el progreso de la exploración
Soporte para uso de scripts
Apoyo escribir scripts personalizados
Planillas preconfiguradas
Proporcionar plantillas ya preparadas para los modelos más populares de las normas
en consecuencia
Priorización de análisis de escaneos
Apoyar la aplicación de los análisis de prioridad, lo que permite cheques importantes
pueden ocurrir a toda velocidad, mientras que oros análisis se realiza más lentamente
Roles
Realización de controles dirigidos (para un conjunto particular o individualmente);
21
Clasificaciones de las vulnerabilidades
Vulnerabilidades análisis, clasificación y agrupación según Realizar con CVSS y
formatos CVE
Exclusiones de activos
Permitir especificar exclusiones para cada análisis, las prevenciones de los sistemas
críticos están mal analizados
Soporte análisis de vulnerabilidad de servicios WEB
Realizar escaneo con secuencias de comandos Web para detectar vulnerabilidades de
las aplicaciones de servidor; tales como:
Microsoft Internet Information Server (IIS); Apache; Java; JBoss; Tomcat
Soporte para Common Vulnerabilities and Exposures. Adicional la descripción de la
vulnerabilidad debe tener al meno el (Número CVE)
Soporte para análisis de vulnerabilidades de equipos móviles
Proporcionar información sobre las vulnerabilidades de los dispositivos móviles
conectados a red interna a través de la red inalámbrica, para los siguientes sistemas
operativos: Windows 10, IOS, Android
Se esprera que la soluicion sea capaz de integrarse con soluciones o herramientas de
terceros
 Antivirus.
Integraciones con  Network Acces Control.
Terceros  Gestión de Cuentas Privilegiadas.
 Mobility Device Management
 Microsoft WSUS and SCCM
 Security Information Event Management (SIEM)
SOLUCIÓN PARA PROTECCIÓN DE CORREO ELECTRÓNICO EN LA NUBE

Características Requerimientos
 La solución debe proveer la protección de correo para Microsoft Exchange
Online en ambiente de nube para 2000 buzones de correo electrónico.
 La solución debe ser flexible y escalable en su modelo de licenciamiento
 La solución debe proveer servicio de protección de correo entrante y
saliente.
 El sistema debe detectar, mitigar y bloquear las amenazas avanzadas que se
Generales de la solución dirigen a las por medio del correo electrónico
 La solución debe proveer el registro de correo para su búsqueda
 La solución debe permitir mensajes seguros a través de (TLS)
 La solución debe tener la capacidad de poder analizar paginas o links
embedidos dentro de los mensajes de correo eletroninoco.
la solución.
22
La solución deberá proveer un módulo complementario que ofrece servicios en la

nube para detectar ataques conocidos y nuevos, nunca vistos, que usan adjuntos
Anti-Malware
maliciosos y URL, incluidas amenazas de día cero, ransomware, malware
polimórfico, documentos con armas y ataques de phishing de credenciales
La solución debe tener la capacidad de retener mensajes adjuntos hasta que se

Protección de Archivos
reciba un veredicto del análisis de (SANDBOX ) indicando que dichos adjuntos
Adjuntos
están limpios , en dado caso que estén infectados deberá enviarlo a la cuarentena.
 La solución debe ser capaz de analizar los mensajes que contengan

direcciones WEB (URLs) que son maliciosos y colocarlos inmediatamente
en cuarentena. En dado caso que el usuario realice un clic en la url este
deberá redireccionarlo y bloquear la página con el contenido o archivo
malicioso.
 La solución deberá realizar análisis predictivo de manera de identificar de
URL Defense forma preventiva las URL sospechosas en función de los patrones de tráfico
del correo electrónico
 La solución debe tener la capacidad de comprobar si existe un
comportamiento sospechoso, secuencias de comandos, fragmentos de
código malintencionados y redirecciones a otros sitios maliciosos
La solución deber ser capacidad de realizar gráficos de amenazas de basada

inteligencia artificial y la correlación de eventos la cual Le proporciona datos
importantes sobre las amenazas dirigidas tales como
Identificación de malware.
 Ataques dirigidos a la infraestructura

 Correlación de información de contenido no deseado.
 La solución debe ser capaz de realizar búsquedas por:
 Dirección IP
 Dominio
 Hash
Capacidad de Protección
 ID de firma ET
 Texto del mensaje
La solución debe proveer la protección de correo electrónico tomando como

referencia la RFC 821 para manejar adecuadamente los mensajes y eliminar los que
no sean compatibles
La solución debe permitir a los administradores ver los métodos de ataque y las
técnicas utilizadas, a quién se dirige y los hashes de los adjuntos.
Capacidad de Protección
La solución debe proveer la protección de correo electrónico tomando como
referencia la RFC 821 para manejar adecuadamente los mensajes y eliminar los que
no sean compatibles
La solución debe permitir a los administradores ver los métodos de ataque y las
técnicas utilizadas, a quién se dirige y los hashes de los adjuntos.
23
La solución debe proveer panales que permitan visualizar las amenazas rápidamente
con una vista en tiempo real de los ataques, el objetivo y el estado de cada amenaza.
Paneles La solución debe proveer paneles que proporcionen información específica sobre
qué usuarios han recibido y / o hecho clic en las URL de correos electrónicos
sospechosos, y si los clics se produjeron antes o después de la amenaza.
La solución debe incluir un reporte que proporciona datos a nivel de organización,
amenaza y usuario para ayudarlo a priorizar las alertas y tomar medidas.
Reportes
La solución debe proveer reportes que provean información forense detallada sobre
las amenazas individuales.
 2000 buzones
Licenciamiento
 Aprovisionamiento de servicio en la nube.
24
SOLUCION DE PREVENCIÓN DE INTRUSOS DE RED Y ANÁLISIS DE COMPORTAMIENTO DE
AMENAZAS DE RED – CANTIDAD: 2
Características
Equipamiento basado Appliance , equipado con procesamiento y memoria compatible con análisis de tráfico.
Equipo basado en SSD (Solid State Drive) sin disco duro (Hard Disc) con arquitectura ASIC (Application Specific
Integrated Circuit) y FPGA (Field Programmable Gate Array), es decir, el equipo deberá ser desarrollado, tanto de
software como de hardware para funcionalidad exclusiva de Network Intrusion Prevention.
Equipamiento que admite la integración con TACACS +, LDAP, Active directory para la autenticación de usuarios
y administradores.
Equipamiento compatible con la tecnología que permite una inspección inteligente basado en el análisis estadístico
de flujo de datos en la red, optimizando el proceso para identificar y proteger contra ataques.
Equipamiento que soporta monitoreo y protección de los segmentos de la red en modo transparente y funcionamiento
en la segunda capa del modelo OSI (Modo Bridge) - Interfaces de vigilancia y protección que no requiere de dirección
IP.
Equipamiento que soporta la instalación en Inline Mode sin bloquear los ataques, es decir, una vez instalado en Inline
Mode el dispositivo puede ser configurado para no bloquear ataques específicos o todos los ataques, simplemente
alertar
Soporta funcionalidad de firewall transparente, permitiendo la creación de reglas para filtrar el acceso en la Capa 3
Modos de implementación:
1. Inline Mode: monitorea y protección de los segmentos de datos, con tráfico activo de red pasando por él, lo que
permite prevenir los ataques de estos segmentos y bloqueando en tiempo real, las acciones de prevención son
altamente granulares.
2. SPAN Mode: monitoreo y protección de los HUBs y / o puertos SPAN de switches, siendo el tráfico de red
reflejando en él, lo que le permite monitorear el tráfico de ataques y responder en tiempo real, altamente granulares
las acciones preventivas que pueden ser tomadas.
3. TAP Mode: monitoreo y protección de las comunicaciones de red en ambas direcciones en Full-Duplex,
permitiendo monitorear el tráfico de ataque por estas comunicaciones, manteniendo un estado de estas y de
respondiendo en tiempo real, siendo altamente granular en sus medidas preventivas
La solución soporta la creación, configuración y mantenimiento de Virtual IPS y Virtual Firewall a través de VLAN
Tag (802.1q) o bloque de direcciones (CIDR - Classless Inter-Domain Routing), así como la creación, configuración
y mantenimiento de Port Clustering a través de agrupación interfaces físicas en una única Virtual Interface.
La solución posee Built-in Network TAP
Equipamiento con soporte de monitoreo, protección, decodificación, análisis y bloqueo de trafico de aplicaciones de
Instant Messenger y P2P (Peer-to-Peer), tales como: AOL Instant Messenger, AOL Instant Messenger Express,
MSN Messenger, Yahoo! Messenger, ICQ, ICQ2Go, Bittorrent, Azureus, DirectConnect, eDonkey, eMule, Overnet,
FileNara, Enppy, MyNapster, Gnucleus, Morpheus, Bearshare, Limewire, Phex, Swapper, Xolox, Mutella, Mxie,
Ares, Shareaza, Grokster, Groove, Kazaa, Blubster, Piolet, RockItNet, OpenLITO, WinMX, Gnutella, Kazaa,
eDonkey, BitTorrent, SoulSeek, DirectConnect, JAP Anonymizer, etc.
Alta-Disponibilidad Y Redundancia:
Soporta fuente redundante de energia
Soporta detección de fallas del equipo
Soporta deteccion de falla del link
Soporta corriente alterna (AC – Alternating Current) o Corriente continua (DC – Direct Current)
Soporta Fail-close y Fail-open7 (Layer-2 e Hardware)
Soporta HA (High Availability – Alta-disponibilidad) activo-pasivo
Soporta HA (High Availability – Alta-disponibilidad) activo-activo – utilizando una (01) a dos (02) interfaces por
equipamento de HA Pair.
Soporta HA (High Availability – Alta-disponibilidad) Statefull Failover
Soporta balanceo de carga a través de un equipo
25
Soporta balanceo de carga a través de dos equipos
Gestion De Tráfico (Traffic Management)
Soporta Rate Limiting:
Optimización de la cantidad de tráfico permitido a través de una interfaz de red, basada en las limitaciones de ancho
de banda impuestas a los protocolos de red
Soporte de Red
 Soporta ruteo de tráfico asimetrico

 Soporta monitoreo, protección, descodificación, análisis y bloqueo de ataques a través de:
 Segmentos con VLANs, incluido frames 802.1q.
 Soporta monitoreo, protección, decodificacion, análisis y bloqueo de ataques a través de:
 Tráfico con IPv6 nativo.
 Tráfico con SIT.
 Tráfico de túneles: V4-in-V4, V4-in-V6, V6-in-V4 e V6-in-V6.
 Tráfico con criptografia SSL (Secure Sockets Layer) con certificados PKCS12.
Protección DOS/DDOS
Soporta firmas de vulnerabilidades a los ataques de DoS (Denial of Service), tales como:
boink, bonk, jolt, land, latierra, nestea, newtear, pimp, ping-of-death, reset-tcp, rose, rst_flip, smurf, snork,
teardrop, winnuke, etc.
Soporta firmas para vulnerabilidades de ataques DDoS (Distributed Denial of Service), tales como: Trinoo,
Stacheldraht, Trinity, TFN, TFN2K, etc.
Soporta firmas basadas en thresholds
Soporta DoS/DDoS Profiles y Self-Learning
Monitoreo, proteccion, decodificacion, análisis y bloqueo de anomalias o desequilibrio de trafico
ICMP ECHO Anomalies (type:8/code:0 e type:0/code:0).
TCP Control Segment Anomalies (SYN, SYN-ACK, FIN and RST)
Monitoreo, protección, decodificacion, análisis y bloqueo de ataques DoS/DDoS a través de anomalías de volumen
de tráfico:
Monitoreo, protección, decodificacion, análisis y bloqueo de ataques:
 TCP SYN e ACK Flood
 UDP Flood
 ICMP Flood
 Soporta firmas basadas en ataques a DNS
Tecnologías de detección y prevención:
Soporta monitoreo, protección, descodificación e análisis stateful inspection, manteniendo el estado de sesiones
monitoreadas, pudiendo optar también por monitoreo y protección stateless inspection
Soporta monitoreo, proteccion, decodificacion y analisis de ataques independente a Sistemas Operativos
Soporta identificacion pasiva de sistemas operativos que los sistemas monitoreados e protegidos
Soporta monitoreo, protección, decodificacion y análisis de tráfico en dirección servidor-cliente, para la detección y
bloqueo de exploits originados en servidores y direccionado a los clientes (drive-by attacks).
Soporta los siguientes tipos de ataques:
26
1. Reconnaissance:
Port Scan
Ping Sweep
Services Probe.
2. Exploits:
Buffer Overflow
SQL Injection
Cross Site Scripting
Worms:
Slapper y variaciones.
Slammer y variaciones.
Blaster y variaciones.
Sasser y variaciones.
Zotob y variaciones.
Confinker y variaciones.
Trojans:
BackOrifice 2000.
Dagger.
Infector 1.7.
Botnets:
Agobot.
Al3na Monster
Floodnet.
3. DoS (Denial of Service) y DDoS (Distributed Denial of Service):
Land
Jolt
Teardrop
4. Policy Violations:
Brute-force Attacks.
Soporta as siguientes técnicas de monitoreo, protección, decodificación y análisis:
1. Statefull Traffic Inspection:
IP defragmentation – defragmentacion de paquetes IP fragmentados y/o coincidentes.
TCP stream reassembly – remontagem dos pacotes TCP fragmentados e/ou sobrepostos e dos fluxos (Flows) TCP
Detailed Protocol Analysis – análisis y decodificacion de 200 protocolos de red (Layer-2 to Layer-7 – capa 2 a capa
7), permitiendo un monitoreo, protección, decodificacion y análisis de ataques desconocidos y/o múltiples variantes
de un ataque sin actualización de firmas. Entre los protocolos están incluidos: HTTP, DCE-RPC, MS-RPC, SUN-
RPC, TELNET, FTP, GPRS,SIP, SSL,NetBIOS, CIFS.
Advanced Evasion Protection – protección y resistencia a las técnicas de evasión (False-negatives) y/o ataques
dirigidos a equipamiento. Entre estas protecciones están incluidos:
Fragmentación de paquetes en Layer-7 (capa 7): DCE-RPC, MS-RPC, SUN-RPC, NetBIOS, NamedPipes, TDS, etc.
27
 Códigos Polimórficos (Polymorphic Shellcode).

 SNMP Flood.
 Superposición de paquetes (Packet Overlapping),
 RPC Record Marking e RPC Encryption
 Herramientas de evasion: whisker, libwhisker, nikto, fragroute, fragrouter, etc.
 Stealth Port Scan: Nmap, Hping2, Hping3, etc.
 DoS (Denial of Service) a través de False-positive Flood y conexiones stateless: Snot, Stick, IDS-Wakeup,
NNG, etc.
Protocol Tunneling - análisis y decodificacion de protocolos encapsulados en el tráfico:

VLANs, incluindo frames 802.1q.
IPv6 nativo.
Túneles: V4-in-V4, V4-in-V6, V6-in-V4 e V6-in-V6.
SSL (Secure Sockets Layer) con certificados PKCS12.
Heuristics Analysis – detección y análisis basado en procedimientos heurísticos, utilizando datos que se muestran,
lógica computacional, algoritmos matemáticos y algorítmos selectivos para evaluar y detectar nuevos ataques con
alto desempeño y precision, en tempo real.
Protocol Normalization – verificacion de conformidad RFC e/ou especificaciones de protocolos, tales como: RFC
1034, RFC 1035, RFC 1050, RFC 1057, RFC 1112, RFC 114, RFC 1194, RFC 1196, RFC 1288, RFC 1329, RFC
742, RFC 760, RFC 765, RFC 768, RFC 777, RFC 791, RFC 792, RFC 793, RFC 826, RFC 912, RFC 931, RFC
950, RFC 951, RFC 959, , IEEE 802.1q. Informacion adicional : https://www.rfc-
editor.org/search/rfc_search.php
2. Signature Detection:
Pattern Matching Signatures – Firmas de los patrones de datos comparables (Pattern Matching)
Open Source Signatures – firmas basadas en el estandard abierto (también conocidas como firmas basadas en
OpenSource o SNORT), permitiendo tanto la creacion de nuevas firmas como la importación de las mismas
Vulnerability Based Signatures – firmas basadas en vulnerabilidades, permitiendo el monitoreo, protección,

decodificacion y análisis de ataques desconocidos y/o múltiples variantes de un ataque sin actualización de firmas
User Defined Signatures – firmas creadas por el administrador, posibilitando la creación de REGEX (Regular
Expression) o procesos automáticos de creación de firmas a partir de un tráfico capturado de red
3. Anomaly Detection:
Statisticas Anomaly – deteccion y análisis basado en estadísticas por tráfico de protocolos
28
Protocol Anomaly – validacion de campos de cabeceras inválidas, paquetes mal-formados, paquetes ilegaless y
conformidad con RFC y/o especificaciones de protocolos, tales como: RFC 1034, RFC 1035, RFC 1050, RFC 1057,
RFC 1112, RFC 114, RFC 1194, RFC 1196, RFC 1288, RFC 1329, RFC 1349, RFC 1413, RFC 1459, RFC 1531,
RFC 2835, RFC 3376, RFC 354, RFC 3659, RFC 4294, RFC 4306, RFC 4338, RFC 4380, RFC 4443.
https://www.rfc-editor.org/search/rfc_search.php
Application Anomaly – validacion de campos y conformidad del protocolo Layer-7 (capa 7), tales como: HTTP,
DCE-RPC, MS-RPC, SUN-RPC, TELNET, FTP, GPRS,SIP, SSL,NetBIOS, CIFS.
4. Cloud Security:
Monitoreo, protección, decodificacion y análisis stateless de ataques desconocidos y/o múltiples variantes de un
ataque a través de utilización de tecnología en la nube (Cloud Computing), sin actualización de firmas.
Monitoreo, protección, decodificacion y análisis basado en comportamiento con la tecnología en la nube (Cloud
Computing) para identificar códigos maliciosos originados en servidores y direccionado a los clientes (drive-by
attacks)
Monitoreo, protección, decodificacion y análisis basado en puntaje de reputación (Score Reputation) de

identificadores, tales como: la dirección IP, URL (Uniform Resource Locator) y dominio.
Configuración de Políticas:
Soporta creación, configuración y mantenimiento de políticas diferenciadas por Virtual IPS y Virtual Firewall:
1. En la Interface física del equipo.
2. Segmento de monitoreo y protección.
3. Bloque de direcciones (CIDR – Classless Inter-Domain Routing).
4. VLAN Tag (802.1q).
Soporta creación, configuración y mantenimiento de políticas diferenciadas por Port Clustering a través de
agrupación de múltiples interfaces físicas en una única Virtual Interface, siendo también posible la creación,
configuración y mantenimiento de políticas diferenciadas por Virtual IPS e Virtual Firewall pertenecientes a una
única Virtual Interface.
Soporta edición, configuración y mantenimiento de múltiples eventos, posibilitando el ajuste granular de estos,
Soporta ajuste granular de firmas (On/Off)
Soporta ajuste granular de bloqueo (On/Off)
Soporta ajuste de severidad granular (Alta, Média, Baja e Información)
Soporta conjuntos de respuestas para cada firma con configuración granular.
Soporta búsqueda por ataques, a través de interface gráfica, por:
1. Nombre de ataque.
2. Aplicaciones afectadas por el ataque.
3. Referencias para el ataque, que puede ser a través de la identificación:
CVE (Common Vulnerability Exposure)
BID (Bugtraq Identification)
CERT (Computer Emergency Response Team)
29
ArachNIDS
4. Nuevos ataques (actualización):
Última actualización
Entre las actualizaciones X e Y.
Entre las fechas X e Y.
5. Família de equipos
Soporta creación, configuración y manipulación de captura de tráfico
Soporta políticas pré-configuradas específicas para los perfiles:
1. Interface interna del Firewall.
2. Interface externa de Firewall.
3. Segmento DMZ.
4. Segmento interno.
5. Servidor WEB.
6. Servidor Email.
7. Servidor DNS.
8. Servidor de arquivos.
9. Servidor Windows.
10. Servidor Solaris.
11. Servidor Unix.
12. Servidor Linux.
13. Bloqueo de Intrusion Prevention System.
Soporta políticas específicas y diferenciadas para trafico Inbound y trafico Outbound
Soporta creación de reglas y grupos de reglas de Firewall a través de:
1. direccionamiento IP.
2. Puerto de comunicación.
3. Protocolo de conexion.
Soporta la visualización de personalización a los ataques de la política, a través de los indicadores:
1. Si el ataque fue personalizado como parte de una política Default.
2. Si el ataque fue personalizado a través de un editor de reglas.
3. Si el ataque fue personalizado a través de un editor de políticas.
4. Si el ataque fue personalizado a través de actualización de la configuración y a través de la actualización global.
Soporta visualización de informes detallados sobre los ataques de la política, tales como:
1. Nombre del ataque.
2. Descripción del ataque, con los campos:
Nombre
Tipo de vulnerabilidades
Categoría de impacto
Sub-categoria de impacto
Severidad
3. Descripción de la firma.
4. Aplicacion impactada.
5. Probabilidad de False-positive y False-negative.
30
6. Direccion del ataque.
7. Família de equipamentos.
Soporta visualización y clasificación, ascendente y descendente, a través de columnas:
1. Ataque habilitado.
2. Alerta habilitado.
3. Nombre del ataque.
4. Número de identificación del ataque.
5. Severidad.
6. Customizado.
7. Captura de paquetes.
8. Medidas de respuesta.
9. Bloqueo.
10. Notificación.
Soporta funcionalidades de exportar (Export) e importar (Import) políticas
Bloqueo de Ataque, Trafico Malicioso o Indeseado
Soporta creación, configuración y mantenimiento de ACL (Access Control List – Política de Firewall), con las
siguientes respuestas:
1. Allow: Es tráfico es enviado Inline sin montaje o defragmentacion de paquetes.
2. Allow + Intrusion Prevention: El tráfico es enviado Inline para el montaje de paquetes.
3. Drop: El tráfico será descartado, proporcionando un bloqueo de paquetes.
Soporta TCP Reset para:
1. Origen de ataque.
2. Destino de ataque.
3. Origen y destino de ataque.
Soporta ICMP Host Unreachable
Soporta bloqueo (Drop) de paquetes
Soporta cuarentena basada en los siguientes criterios: direcciones del sistema victima; puerto del sistema víctima;
dirección del intruso; puerto del intruso; duración de la cuarentena.
Soporta lista de ataques recomendados para bloqueo, basando esta lista en una probabilidad de desencadenamiento
benigno, es decir, menor probabilidad de False-positive y False-negative
Soporta ajuste de bloqueo inteligente, basado en niveles de menor probabilidad de False-positive y False-negative
Soporta configuración de actualización global de bloqueo para un ataque, propagando esta configuración y
actualización en todas las políticas.
Características de Respuestas
Soporta captura de paquetes para análisis de evidencia en formato PCAP (Packet Capture), permitiendo:
1. Visualizacion automática a través de Wireshark.
2. Configuración de número de bytes en cada paquete a ser capturado:
31
Captura de todos los paquetes
Captura los N primeros bytes
3. Configuración de la duración de la captura:
Captura de solo los paquetes de ataque
Captura de N paquetes de ataque
Captura por tiempo de duración de ataque
Captura el resto de flujo de ataques
Soporta envio de SNMP Trap.
Soporta envío de e-mail
Soporta respuesta definida para el usuario (Script)
Soporta integracion con ambiente de SYSLOG
Hardware
Equipo basado en SSD (Solid State Drive) con arquitectura ASIC (Application Specific Integrated Circuit) y FPGA
(Field Programmable Gate Array), es decir, el equipo deberá ser desarrollado, tanto de software como de hardware
para funcionalidad exclusiva de Network Intrusion Prevention.Segmentos de protección.
Módulos de conectividad
 8-12 Network I/O Expansion Module (without Built-In Fail-Open)

 6- 8 Network I/O Expansion Module (with Built-In Fail-Open)
 Soporte para conectividad a 10GE
 Deben incluir todos los transceiver necesarios según su propuesta técnica.
 Capacidad de manejo Fail Open Kit de Bypass en Cobre
 Capacidad de manejo Fail Open Kit de Bypass de Fibra.
 Fuente de Poder Redundante
 Procesamiento hasta 5 Gbps
 Consola de Administración por separado al appliance o sensor de monitoreo
 Capacidad Port Clustering
 Virtual IPS
 Funcionalidad de Internal Firewall
 Soporte para procesamiento hasta 5Gbps
Arquitectura
Consola de Administración por separado al appliance o sensor de monitoreo
Debe mantener el estado de al menos 10,000,000 conexiones concurrentes (esto será definido por cliente)
Debe contar con un servidor de administración central para controlar la cantidad de sensores requeridos. En este
servidor se deben guardar tanto información de alertas como de la configuración de los sensores y el sistema de
administración.
Se desea poder integrar la solución de IPS con la de Proteccion de Puntos Finales.
Debe permitir programar los mantenimientos de la base de datos desde la misma consola.
Los sensores deben estar diseñados para montarse en un rack. Deben incluir los aditamentos necesarios para ser
montados y cumplir con los estándares de dimensiones para este propósito.
32
la Solución se debe encontrar dentro del Cuadrante de Lideres de Gartner vigente. Presentar certificación Vigente
IPS de NSSLabs.
Administración e Integración
Soporta sincronización de horario a través de NTP (Network Time Protocol)
Soporta actualización:
1. Online: automática y/o manual del contenido de seguridad del producto a través de Internet, pudiendo ser realizada
sin interferencia del usuario.
2. Offline: automática y/o manual del contenido de seguridad del producto a través de paquetes de actualización
importados por el administrador, sin conexión con Internet.
Soporta autenticación de usuarios y administradores a través:
1. Autenticación local: usuarios y administradores cargados por el administrador
2. Autenticación LDAP: usuarios y administradores importados/integrados con el Windows AD (Active Directory),
permitiendo:
SSL (Secure Sockets Layer)
Non-SSL (Secure Sockets Layer)
3. Autenticación RADIUS: usuarios y administradores importados/integrados con servidor RADIUS, permitiendo:
PAP (Password Authentication Protocol)

CHAP (Challenge Handshake Authentication Protocol)
EAP-MD5 (Extensible Authentication Protocol-MD5)
Soporta asignación de perfiles para usuarios y administradores, tales como:
1. Administrador IPS (Intrusion Prevention System).
2. Administrador de cuentas del portal de seguridad.
3. Operador NOC (Network Operation Center).
4. Generador de informes.
5. Especialista en seguridad.
6. Administrador de sistema.
7. Super usuario.
8. Perfil nulo.
Soporta asignación de usuario para:
1. Dominio raíz o Grupo global.
2. Sub-dominios o Sub-grupos.
3. Dominios o Grupos superiores.
4. Dominios o Grupos inferiores.
Soporta personalización de la consola de administración para exhibir logo de la empresa y mensajes a los usuarios y
administradores al momento de autenticación
Soporta consola de administración con modalidad Agentless, esto es, sin necesitar una instalación previa del software
de consola de administración
Soporta creación de ACL (Access Control List – Lista de Control de Acceso), especificando las direcciones IP que
se les permite comunicarse con la dirección.
Soporta comunicación cifrada entre el administrador y el equipo, con las siguientes características:
33
1. SSL (Secure Sockets Layer) con RC4 y MD5 (Message-Digest algorithm 5).
2. SSL (Secure Sockets Layer) con MD5 (Message-Digest algorithm 5).
3. SSL (Secure Sockets Layer) de criptografia de 128-bit.
Soporta SNMPv3 (Simple Network Management Protocol Version 3) de 56-bit DES (Data Encryption Standard) y
MD5 (Message-Digest algorithm 5)
Soporta terminal remoto de CLI (Command Line Interface) a través de SSH (Secure Shell)
Soporta administracion a través de:
1. Administración Centralizada – una única instancia de administracion centralizada
, no instancia de Administración Jerárquica.
2. Administración Jerárquica – una sola instancia de gestión jerárquico es responsable de la centralización de varias
instancias de gestión centralizada, siendo ella responsable de centralizar todas las funciones de gestión.
Soporta definicion de políticas personalizadas para:
1. Dominio raiz o Grupo global.
2. Sub-domínios o Sub-grupos.
3. Dominios o Grupos superiores.
4. Dominios o Grupos inferiores.
5. Equipamientos.
6. Interfaces físicas o virtuales.
7. Grupo(s) de interfaces.
8.Soporta almacenamiento de base de datos relacionales.
9.integración con un sistema de gestión Vulnerabilidades y Administración
34
SOLUCIÓN DE RED INALÁMBRICA SEGURA – CANTIDAD: 2 CONTROLADORAS Y 20
PUNTOS DE ACCESO INALÁMBRICOS
 Rendimiento de por lo menos 20 a 40 Gbps con la funcionalidad de
firewall habilitada para tráfico IPv4 y IPv6, independiente del
Requisitos mínimos tamaño del paquete.
 Soporte a por lo menos 135K nuevas conexiones por segundo
 Tener al menos 15 a 25 interfaces 1Gbps
 Soporte para alta disponibilidad
 Soporte para 128 AP
Las funcionalidades de protección de red que conforman la plataforma de
seguridad pueden ejecutarse en múltiples dispositivos siempre que cumplan
todos los requisitos de esta especificación
La plataforma debe estar optimizada para análisis de contenido de
aplicaciones en capa 7
Todo el equipo proporcionado debe ser adecuado para montaje en rack de 19
", incluyendo un rail kit (si sea necesario) y los cables de alimentación
La gestión del equipo debe ser compatible a través de la interfaz de
administración Web en el mismo dispositivo de protección de la red
Características Los dispositivos de protección de red deben soportar 4094 VLANs Tags
Generales 802.1q
Los dispositivos de protección de red deben soportar agregación de enlaces
802.3ad y LACP
Los dispositivos de protección de red deben soportar agregación de enlaces
802.3ad y LACP
Los dispositivos de protección de red deben soportar Policy based routing y
policy based forwarding;
Los dispositivos de protección de red deben soportar encaminamiento de
multicast (PIM-SM y PIM-DM)
Los dispositivos de protección de red deben soportar DHCP Relay
Los dispositivos de protección de red deben soportar DHCP Server
Los dispositivos de protección de red deben soportar sFlow
Debe soportar el balanceo de enlace hash por IP de origen
Debe soportar el balanceo de enlace por hash de IP de origen y destino
Debe soportar balanceo de enlace por peso. En esta opción debe ser posible
definir el porcentaje de tráfico que fluirá a través de cada uno de los enlaces.
Debe ser compatible con el balanceo en al menos tres enlaces.
Debe implementar balanceo de enlaces sin la necesidad de crear zonas o uso
de instancias virtuales
Debe soportar modo capa - 2 (L2) para la inspección de datos y visibilidad
en línea del tráfico
Debe soportar modo capa - 3 (L3) para la inspección de datos y visibilidad
en línea del tráfic
Debe soportar el modo mixto de Sniffer, L2 y L3 en diferentes interfaces
físicas
La configuración de alta disponibilidad debe sincronizar: Configuraciones,
incluyendo, pero no limitando, políticas de Firewalls, NAT, QoS y objetos
de la red
35
Debe existir la opción de un Servicio de Soporte que ofrezca a los clientes un
chequeo de salud periódico con un informe de auditoría mensual
Características personalizado del controlador y de los AP (WI-FI)
Generales
Debe soportar controles de zona de seguridad
Debe contar con políticas de control por puerto y protocolo
Control por Política Contar con políticas por aplicación, grupos estáticos de aplicaciones, grupos
dinámicos de aplicaciones (en base a las características y comportamiento de
las aplicaciones) y categorías de aplicaciones
Control de políticas por usuarios, grupos de usuarios, direcciones IP, redes y
zonas de seguridad
Firewall debe poder aplicar la inspección UTM (control de aplicaciones y
filtrado web como mínimo) directamente a las políticas de seguridad en vez
de usar perfil obligatoriamente
Además de las direcciones y servicios de destino, los objetos de servicio de
Internet deben poder agregarse directamente a las políticas de firewall
Debe soportar el almacenamiento de bitácoras (logs) en tiempo real tanto para
entorno de la nube como entorno local (on-premise
Debe soportar el protocolo de la industria 'syslog' para el almacenamiento
Control por Política usando formato Common Event Format (CEF)
Debe existir una manera de evitar que el almacenamiento de logs en tiempo
real no supere la velocidad de subida de los mismos (upload)
Debe soportar el protocolo estándar de la industria VXLAN
Los dispositivos de protección de red deben tener la capacidad de reconocer
las aplicaciones, independientemente del puerto y protocolo
Debe ser posible liberar y bloquear aplicaciones sin necesidad de abrir o
cerrar puertos y protocolo
Reconocer al menos 1.700 aplicaciones diferentes, incluyendo, pero no
limitado a: El tráfico relacionado peer-to-peer, redes sociales, acceso remoto,
Control de Aplicación actualización de software, protocolos de red, VoIP, audio, vídeo, Proxy,
mensajería instantánea, compartición de archivos, correo electrónico
Reconocer al menos las siguientes aplicaciones: BitTorrent, Gnutella, skype,
facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail,
youtube, http-proxy, http-tunnel, facebook chat, gmail chat, whatsapp,
4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active
directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp,
snmp, rpc over http, gotomeeting, webex, evernote, google-doc
Debe detectar aplicaciones a través del análisis del comportamiento del
tráfico observado, incluyendo, pero no limitado a las aplicaciones de VoIP
que utilizan cifrado propietario y BitTorren
Identificar el uso de tácticas evasivas, es decir, debe tener la capacidad de ver
y controlar las aplicaciones y los ataques con tácticas evasivas a través de las
comunicaciones cifradas, tales como Skype y la utilización de la red Tor
Para tráfico cifrado SSL, debe poder descifrarlo a fin de posibilitar la lectura
de payload para permitir la identificación de firmas de la aplicación
conocidas por el fabricante
Debe hacer decodificación de protocolos con el fin de detectar aplicaciones
encapsuladas dentro del protocolo y validar que el tráfico corresponde a la
36
especificación del protocolo, incluyendo, pero no limitado a Yahoo Instant
Messenger utilizando HTTP. La decodificación de protocolo también debe
identificar las características específicas dentro de una aplicación,
incluyendo, pero no limitado al intercambio de ficheros dentro de Webex;
Limitar el ancho de banda (carga / descarga) utilizado por las aplicaciones
Control de Aplicación (traffic shaping), basado en IP de origen, usuarios y grupos
Los dispositivos de protección de red deben tener la capacidad de identificar
al usuario de la red con la integración de Microsoft Active Directory sin
necesidad de instalación del agente en el controlador de dominio, o en
estaciones de trabajo de usuario
Debe permitir la diferenciación de tráfico de mensajería instantánea (AIM,
Hangouts, Facebook Chat, etc.) permitiendo granularidad de control/reglas
para el mismo
Para proteger el entorno contra los ataques, deben tener módulo IPS, antivirus
y anti-spyware integrado en el propio equipo;
Debe incluir firmas de prevención de intrusiones (IPS) y el bloqueo de
archivos maliciosos (antivirus y anti-spyware
Las características de IPS, antivirus y anti-spyware deben funcionar de forma
permanente, pudiendo utilizarlas de forma indefinida, aunque no exista el
derecho a recibir actualizaciones o no exista un contrato de garantía del
software con el fabricante
Debe sincronizar las firmas de IPS, antivirus, anti-spyware cuando se
implementa en alta disponibilidad;
Debe implementar los siguientes tipos de acciones a las amenazas detectadas
por IPS: Permitir, permitir y generar registro, bloquear, bloquear IP del
atacante durante un tiempo y enviar tcp-reset
Las firmas deben ser capaces de ser activadas o desactivadas, o activadas sólo
Seguridad en el modo de monitoreo
Debe ser posible crear políticas para usuarios, grupos de usuarios, IP, redes
o zonas de seguridad
Excepciones por IP de origen o destino deben ser posibles en las reglas o en
cada una de las firmas
Debe soportar granularidad en las políticas de IPS, Antivirus y Anti-Spyware,
permitiendo la creación de diferentes políticas por zona de seguridad,
dirección de origen, dirección de destino, servicio y la combinación de todos
estos elementos
Deber permitir el bloqueo de vulnerabilidades
Debe permitir el bloqueo de exploits conocidos
Debe incluir la protección contra ataques de denegación de servicio
Debe tener los siguientes mecanismos de inspección IPS: Análisis de
patrones de estado de las conexiones
Debe tener los siguientes mecanismos de inspección IPS: Análisis heurístico
Debe tener los siguientes mecanismos de inspección IPS: reensamblado de
paquetes TCP
Contar con firmas para bloquear ataques de desbordamiento de memoria
intermedia (buffer overflow)
37
Debe permitir utilizar operadores de negación en la creación de firmas
personalizadas de IPS o anti-spyware, permitiendo la creación de
excepciones con granularidad en la configuración
Permitir bloqueo de virus y software espía en por lo menos los siguientes
protocolos: HTTP, FTP, SMB, SMTP y POP3
Registrar en la consola de supervisión la siguiente información sobre
amenazas concretas: El nombre de la firma o el ataque, la aplicación, el
usuario, el origen y destino de las comunicaciones, además de las medidas
adoptadas por el dispositivo
Debe ser compatible con la captura de paquetes (PCAP), mediante la firma
de IPS o control de aplicación
Seguridad Debe incluir protección contra virus en contenido HTML y Javascript,
software espía (spyware) y gusanos (worms)
Los recursos de postura de seguridad deben existir para permitir que el
software de seguridad de endpoint aplique protección en tiempo real,
antivirus, filtrado de Web y control de aplicaciones en el punto final
Debe permitir especificar la política por tiempo, es decir, la definición de
reglas para un tiempo o período determinado (día, mes, año, día de la semana
y hora)
Bloqueo de Contenidos Debe ser posible crear políticas para usuarios, IPs, redes, o zonas de
seguridad
Debe tener la capacidad de crear políticas basadas en la visibilidad y el
control de quién está utilizando las URL esto mediante la integración con
los servicios de directorio Active Directory y la base de datos local
Debe tener la capacidad de crear políticas basadas en la visibilidad y el
control de quién está usando las URL que mediante la integración con los
servicios de directorio Active Directory y la base de datos local, en modo de
proxy transparente y explícit
Debe soportar la capacidad de crear políticas basadas en control por URL y
categoría de URL
Debe tener la base de datos de URLs en caché en el equipo o en la nube del
Bloqueo de Contenidos fabricante, evitando retrasos de comunicación / validación de direcciones
URL
Tener por lo menos 60 categorías de URL
Debe tener la funcionalidad de exclusión de URLs por categoría
Con el fin de controlar el tráfico y aplicaciones cuyo consumo puede ser

excesivo (como YouTube, Ustream, etc.) y que tienen un alto consumo de
ancho de banda, se requiere de la solución que, además de permitir o denegar
dichas solicitudes, debe tener la capacidad de controlar el ancho de banda
máximo cuando son solicitados por los diferentes usuarios o aplicaciones,
tanto de audio como de video streaming;
Debe tener integración con Microsoft Active Directory para identificar a los
usuarios y grupos, permitiendo granularidad a las políticas / control basados
en usuarios y grupos de usuarios
Identificación Debe tener integración y soporte para Microsoft Active Directory para los
siguientes sistemas operativos: Windows Server 2008 R2, Windows Server
2012 y Windows Server 2012 R2;
38
Debe tener integración con RADIUS para identificar a los usuarios y grupos
que permiten las políticas de granularidad / control basados en usuarios y
grupos de usuarios;
Debe tener la integración LDAP para la identificación de los usuarios y
grupos que permiten granularidad en la política/control basados en usuarios
y grupos de usuarios;
Debe permitir el control sin necesidad de instalación de software de cliente,
el equipo que solicita salida a Internet, antes de iniciar la navegación, entre
a un portal de autentificación residente en el equipo de seguridad (portal
cautivo);
be soportar la identificación de varios usuarios conectados a la misma
dirección IP en entornos Citrix y Microsoft Terminal Server, lo que permite
Identificación una visibilidad y un control granular por usuario en el uso de las
aplicaciones que se encuentran en estos servicios;
Con el fin de controlar el tráfico y aplicaciones cuyo consumo puede ser
excesivo (como YouTube, Ustream, etc.) y que tienen un alto consumo de
ancho de banda, se requiere de la solución que, además de permitir o
denegar dichas solicitudes, debe tener la capacidad de controlar el ancho de
banda máximo cuando son solicitados por los diferentes usuarios o
aplicaciones, tanto de audio como de video streaming;
Soportar la creación de políticas de QoS y Traffic Shaping por dirección de
origen
Soportar la creación de políticas de QoS y Traffic Shaping por dirección de
destino
Optimización de Soportar la creación de políticas de QoS y Traffic Shaping por usuario y
Trafico grupo
Soportar la creación de políticas de QoS y Traffic Shaping para aplicaciones
incluyendo, pero no limitado a Skype, BitTorrent, Azureus y YouTube
Soportar la creación de políticas de calidad de servicio y Traffic Shaping
por puerto
En QoS debe permitir la definición de tráfico con ancho de banda
garantizado
En QoS debe permitir la definición de tráfico con máximo ancho de banda;
En QoS debe permitir la definición de colas de prioridad
Soportar la priorización de protocolo en tiempo real de voz (VoIP) como
H.323, SIP, SCCP, MGCP y aplicaciones como Skype
Soportar marcación de paquetes DiffServ, incluso por aplicación
Soportar la creación de políticas por geolocalización, permitiendo bloquear
el tráfico de cierto País/Países
Filtro de Datos Debe permitir la visualización de los países de origen y destino en los
registros de acceso
Debe permitir la creación de zonas geográficas por medio de la interfaz
gráfica de usuario y la creación de políticas usando las mismas;
Deberá gestionar de manera centralizada puntos de acceso del mismo
fabricante de la solución ofertada
Soportar servicio de servidor DHCP por SSID para proporcionar direcciones
IP a los clientes inalámbricos
Soporte IPv4 e IPv6 por SSID
39
Permitir elegir si el tráfico de cada SSID se enviará a la controladora o
directamente por la interfaz de punto de acceso en una determinada VLAN
Permitir definir qué redes se acceden a través de la controladora y que redes
serán accedidas directamente por la interfaz del Access Point
Controlador Soportar monitoreo y supresión de puntos de acceso indebidos
Inalámbrico Proporcionar autenticación a la red inalámbrica a través de bases de datos
externas, tales como LDAP o RADIUS
Permitir autenticar a los usuarios de la red inalámbrica de manera
transparente en dominios Windows
Permitir la visualización de los dispositivos inalámbricos conectados por
usuario
Permitir la visualización de los dispositivos inalámbricos conectados por IP
Permitir la visualización de los dispositivos inalámbricos conectados por tipo
de autenticación
canal
ancho de banda usado
potencia de la señal
tiempo de asociación
Debe soportar Fast Roaming en autenticación con portal cautivo
Debe soportar configuración de portal cautivo por SSID;
Permitir bloqueo de tráfico entre los clientes conectados a un SSID y AP
específico
Debe ser compatible con Wi-Fi Protected Access (WPA) y WPA2 por SSID,
usando un algoritmo AES y / o TKIP
Debe ser compatible con el protocolo 802.1x RADIUS;
La controladora inalámbrica deberá permitir configurar los parámetros de
Controlador radio como banda y canal
Inalámbrico La controladora deberá permitir métodos de descubrimiento de puntos de
acceso de manera automática
La controladora deberá permitir métodos de descubrimiento de puntos de
acceso por DHCP;
acceso por DNS;
acceso por Broadcast;
acceso por Multicast;
La controladora inalámbrica deberá tener de manera integrada sistema de
detección de intrusión inalámbrica contra ataques tipo Broadcasting De-
authentication
La controladora inalámbrica deberá suministrar una lista de Puntos de Acceso
autorizados y puntos de acceso indebidos (Rogue)
La controladora deberá contar con protección contra ataques ARP Poisoning
en el controlador inalámbrico
40
La controladora deberá contar con mecanismos de protección de tramas de
administración de acuerdo a las especificaciones de la alianza Wi-Fi y
estándar 802.11ac
detección de intrusión inalámbrica contra ataques tipo ASLEAP
detección de intrusión inalámbrica contra ataques tipo Association Frame
Flooding
detección de intrusión inalámbrica contra ataques tipo Invalid MAC OUI
detección de intrusión inalámbrica contra ataques tipo Long Duration Attack
detección de intrusión inalámbrica contra ataques tipo Null SSID probe
response
detección de intrusión inalámbrica contra ataques tipo Spoofed De-
authentication
detección de intrusión inalámbrica contra ataques tipo Weak WEP IV
Detection
detección de intrusión inalámbrica contra ataques tipo Wireless Bridge
Controlador Implementar canales de autoaprovisionamiento de los puntos de acceso con
Inalámbrico el fin de minimizar la interferencia entre ellas
Permitir seleccionar el día y hora en que se producirá la optimización de
aprovisionamiento automática de canales en los puntos de acceso
La controladora inalámbrica debe permitir agendar horarios para determinar
en qué momento la red inalámbrica (SSID) se encuentra disponible
La controladora inalámbrica debe ofrecer funcionalidad de Firewall
integrado UTM basado en la identidad del usuario
Permitir configurar el número máximo de clientes que pueden ser permitidos
por SSID
por punto de acceso
por Radio
La controladora debe permitir crear, administrar y autorizar las redes
inalámbricas mesh
ofrecer un mecanismo de creación automática y/o manual de usuarios
visitantes y contraseñas, que puedan ser enviados por correo electrónico o
SMS a los usuarios, con ajuste de tiempo de expiración de la contraseña
La comunicación entre la controladora y el punto de acceso inalámbrico
pueda ser realizada de forma cifrada utilizando protocolo DTLS
Debe tener un mecanismo de ajuste automático de potencia de la señal con el
fin de reducir la interferencia entre canales entre dos puntos de acceso
administrados;
41
Ofrecer un mecanismo de balanceo de tráfico/usuarios entre Puntos de
acceso;
Proporcionar un mecanismo de balanceo de tráfico/usuarios entre frecuencias
y/o radios de los Puntos de Acceso
Debe permitir la identificación del firmware utilizado por cada punto de
acceso gestionado y permitir la actualización a través de la interfaz gráfica
Permitir que sean deshabilitados clientes inalámbricos que tengan baja tasa
de transmisión
Permitir ignorar a los clientes inalámbricos que tienen señal débil,
estableciendo un umbral de señal a partir de la cual los clientes son ignorados
Permitir ignorar a los clientes inalámbricos que tienen señal débil,
estableciendo un umbral de señal a partir de la cual los clientes son ignorados;
La controladora debe permitir configurar el valor de Short Guard Interval
para 802.11n y 802.11ac en 5 GHz;
Debe permitir seleccionar individualmente para cada punto de acceso los
SSID que van a ser propagados
Debe permitir asociaciones dinámicas de VLANs a los usuarios autenticados
en un SSID especifico mediante protocolo RADIUS
ebe permitir asociación dinámica de VLANs a los usuarios autenticados en
un SSID especifico mediante vlan pooling
Debe permitir visualizar las aplicaciones y amenazas por cada dispositivo
inalámbrico
La controladora inalámbrica debe permitir identificar los clientes WiFi que
presenten algún riesgo basado en aplicaciones
Controlador
presenten algún riesgo basado en dirección de destino
Inalámbrico
presenten algún riesgo basado en amenaza
presenten algún riesgo basado en sesiones
la controladora inalámbrica debe soportar una licencia que permita al menos
10000 firmas de aplicaciones para reconocimiento de tráfico
El controlador inalámbrico debe tener interface de administración integrado
en el mismo equipo
El controlador inalámbrico debe soportar la funcionalidad de Fast-roaming
para enlaces mesh entre el nodo secundario y nodos principales
La controladora inalámbrica deberá soportar aceleración de tráfico del
protocolo CAPWAP a través de un procesador de red de propósito específico
La controladora inalámbrica deberá soportar aceleración de túnel de tráfico
de puente inalámbrico a través de un procesador de red de propósito
específico
La controladora inalámbrica debe soportar protocolo LLDP;
Debe permitir técnica de detección de APs intrusos On-wire a través de
dirección MAC exacta
Debe permitir la visualización de los usuarios conectados en forma de
topología lógica de red representando la cantidad de datos transmitidos y
recibidos
42
La controladora inalámbrica debe permitir combinar redes WiFi y redes
cableadas con un software switch integrado;
La controladora inalámbrica debe permitir crear un portal cautivo en el
software switch integrado para redes WiFi y redes cableadas
La controladora inalámbrica debe permitir gestionar switches de acceso del
mismo fabricante de la solución ofertada
Deberá soportar la conversión de Multicast a Unicast para mejorar el
rendimiento del tiempo de aire;
En el entorno de alta disponibilidad, debe existir el concepto de controladores
primarios y secundarios en la unidad AP, permitiendo que la unidad decida
Controlador el orden en el que el AP selecciona una unidad controladora y cómo la unidad
Inalámbrico AP se conecta a un controlador de backup en el caso de que el controlador
primario falle;
Debe proporcionar la capacidad de crear varias claves pre-compartidas de
acceso protegido WiFi (WPA-PSK) para que no sea necesario compartir PSK
entre dispositivos;
Deberá soportar la conversión de Multicast a Unicast para mejorar el
rendimiento del tiempo de aire
Soporte para Tecnología 2x2 MU (MIMO) (Interno)
4 antenas internas
Radios 2.4 802.11n y 5 GHz 802.11AC (2x2:2 stream) 20/40 MHz (256
QAM) 4 dBi for 2.4 GHz, 5 dBi for 5 GHz soporte para estandares b y g
minimo.
Interface 1x 10/100/1000 Base-T RJ45, 1x Type A USB
Power over Ethernet (PoE)
Equipos Inalámbricos Seguridad WPA and WPA2 with 802.1x or Preshared key, WEP, Web
Captive Portal, MAC blacklist & whitelist
SSID Types Supported Local-Bridge, Tunnel, Mesh
Capacidad del AP 100 a 512 clientes
Ganancia
El equipo inalámbrico debe tener la certificación de WiFi Alliance Certified
Analizador de espectro integrado
43
SOLUCIÓN DE CONTROL ACCESO A RED (NAC) – EN ALTA DISPONIBILIDAD CON
CAPACIDAD PARA 2000 USUARIOS
CARACTERISTICAS
Licenciamiento para 2000 activos con proyección a 4000
La solución debe ser aprovisionada en appliance (hardware físicos y diseñados por el mismo fabricante.
La solución debe soporta equipos en alta Disponibilidad
Explique de forma breve cómo funciona la solución y cuáles son los componentes o módulos adicional
para su puesta en funcionamiento.
La solución debe proveer inventario de activos, Ejemplo Hardware, Software, Iot o de cualquier
dispositivo que se conecte a la red alámbrica o inalámbrica.
La solución debe tener la capacidad de ser escalable sin afectar la arquitectura adquirida en cuanto a
crecimiento
La solución debe tener la capacidad de identificar en qué localidad y puerto de equipo de comunicaciones
se encuentra un dispositivo autorizado o no autorizado
La solución debe ser cliente Servidor
El sistema operativo utilizado por la solución debe ser propietario por el fabricante
La solución debe soportar multi-lenguaje (inglés y español)
La base de datos de la solución debe estar embebida dentro de la solución
La consola de administración debe soportar las siguientes plataformas operativas, Windows 8 en adelante
y para servidores desde 2012 en adelante o navegadores que soporten HTML 5.
La solución debe poder integrases con soluciones de seguridad de terceros, favor especificar cuáles y si
tienen un costo adicional
La solución debe incluir su propia herramienta de generación de reportes.
La solución debe tener la capacidad de segregación de roles de acceso.
La solución debe tener la capacidad de integrase con fabricantes de equipos de comunicaciones (Swicth,
Router ) que tengan la capacidad de administrarse.
Arquitectura de Seguridad
La solución debe tener a capacidad de integrarse al directorio activo para la autenticación.
La solución debe soportar multidominio y multi-foresta
¿La solución debe soportar perfilamiento flexible para permitir la segregación de funciones? Ejemplo;
segregación entre gestión de usuarios, perfiles y flujos.
La solución debe proveer una conexione segura para los usuarios que se loguen a la consola de
administración
La solución debe proveer la trazabilidad para la auditoria auditoría que registren al menos los siguientes
datos:
 Usuario
 Tipo de Evento (descripción)
 Fecha y hora
 Éxito o fracaso del evento
 Origen del evento (equipo, ip…)
 Nombre del objeto (parámetro, etc.)
La solución debe soportar el envío en línea de los eventos de auditoría hasta una solución centralizada
de Logs (SIEM)
La solución debe proteger los datos colectados de los dispositivos en la red dentro de la solución.
La solución debe tener la capacidad de protección a tipos de redes Diversas (LAN, WAN, Wireless, VPN
,Etc
Gestión de la Plataforma
44
La solución de poder realizar respaldos automáticos de su configuración.
La solución debe poder realizar respaldos de los eventos de auditoría.
La solución debe tener la capacidad de poder actualizarse sin provocar la interrupción del servicio que
ofrece
La solución debe contar con una herramienta propia para hacer respaldos y Recuperación
La solución debe tener la capacidad de realizar su respaldo en “caliente
La solución debe tener la capacidad de automatizar los procesos operativos y administrativos.
La solución debe tener la inteligencia de evitar bloqueo masivo en dado que exista una incorrecta
configuración de una política aplicada.
La solución debe provee el esquema de alertas, visuales o por correo.
La solución debe tener la capacidad de manejar eventos de seguridad dentro de la solución (Flujo
Flexibles y Escalables).
La solución debe permitir la asignación y niveles de criticidad de acuerdo a:
 Nivel grado de criticidad del activo de acuerdo al servicio que desempeñe el mismo será definido
por el administrador
 Nivel de criticidad basao en CVSS
La solución debe tener la capacidad de establecer reglas flexibles y personalizables basada en la
información del dispositivo o comportamiento en la red
La solución debe proveer un portal de servicio para el personal de Helpdesk.
Integración y Capacidades Técnicas (Identificación/Autenticación)
La solución debe tener la capacidad de operar en alguno de los siguientes modos
 En línea
 Puerto spam
 Escaneo dirigido
 Soportar IEEE 802.1X
 Se desea que la solución no necesite ningún componente instalado en los computadores de la
institución. Si solución solución necesita algún componente para funcionar adecuadamente favor
indicar los requerimientos de hardware y explicar cuáles serían el impacto en el computador de
dicho componente, así como también cual sería el riesgo de la institución en dado caso este
componente no sea instalado.
 Se desea que los equipos invitados que visiten o que no formen parte de la red de la institución
sean monitoreados y controlados por la solución.
45
La solución debe tener la capacidad de integrase con la mayoría de las fabricantes de equipos de
comunicaciones y de seguridad, tales como:
 Cisco
 Aruba
 Dell
 Hewett Packard
 Fortinet
 PaloAlto Network
 Chekpoint
 McAfee
 MobileIron
 Tenable
 Rapid 7
 Splunk
 Symantec
 Vmware
La solución debe tener la capacidad de Integrarse con herramientas de manejos de Tickets de terceros.
Integración y Capacidades Técnicas (Perfilamiento)

La solución debe tener la capacidad de realizar inventarios en tiempo real de Software y Hardware o de
cualquier dispositivo que esté conectado a la Red.
La solución debe tener la capacidad de generar reportes detallados sobre inventarios de hardware y
software que han sido conectados a la red.
La solución debe tener la capacidad de realizar un descubrimiento en tiempo real de cualquier dispositivo
al conectarlo a la red.
La solución debe realizar revisiones periódicas de los dispositivos conectados y análisis de postura
basado en datos colectados y comportamiento en la red.
La solución debe tener la capacidad de integrarse bidireccionalmente con soluciones de vulnerability

managment, threat managment, patch management, asset management y identity management para
completar o enriquecer datos sobre el perfil del dispositivo y al mismo tiempo ayudar al proceso de
automatización de toma decisión de seguridad.
La solución debe tener la capacidad de monitorear de forma continua el uso del puerto de red por parte
de los dispositivos y su respectivo comportamiento en la red.
La solución debe tener la capacidad para clasificar y agrupar los dispositivos en base a su información
de perfil, nivel de riesgo, etc., de forma flexible y personalizable.
Integración y Capacidades Técnicas (En forzamiento)
La solución debe tener la capacidad de aplicar reglas de en forzamiento basada en información
recolectada del dispositivo y comportamiento en la red.
La solución debe tener la capacidad de configurar reglas de remediación flexibles y personalizables para
soportar escenarios diversos. Allow, Block, Limitaciones a recursos específicos de la red. Incluyendo
condicionales de tiempo y manejo de excepciones.
46
La solución debe tener la capacidad de integrarse con soluciones de` Threat Managment, Patch
Management, Vulnerability Management, etc., para informar y recibir información sobre los dispositivos
conectados, durante las fases de monitoreo y remediación.
La solución debe proveer una gestión de procesos automatizados para el acceso de invitados con
niveles de aprobación y flujos flexibles.
La solución debe tener la posibilidad de generar flujos de trabajos con niveles de aprobación durante
las etapas de remediación.
Personalización
La solución debe tener la flexibilidad de generar reportes predefinidos (Inventario de Activos, Postura
de Seguridad, autenticacion de usuarios, autenticacion de dispositivos tales como:
Integraciones
Debe integrarse con soluciones de terceros tales como

 Solución de para protección de puntos finales
 Solución de gestión de vulnerabilidades
 Solución de administración de dispositivos móviles
 Solución de correlacionado de eventos
 Solución de conectividad inalámbrica
 Solución de seguridad perimetrales
 Soluciones de virualizaciones
 Solucciones de gestión de privilegios
47
SOLUCIÓN CENTRALIZADA PARA PROTECCIÓN DE AMENAZAS AVANZADAS PARA PUNTOS
FINALES PARA 2000 USUARIOS.
Consola para administración deberá gestionat las siguientes componentes
 EPP(End Point Protection)
 EDR (Endpoint Detection and Response)
Administración  HIPS (Host Intrusión Prevención)
 Monitoreo de Integridad de Archivos
 Filtrado de contenido URL.
 Consola deberá dispones de una consola Web (Https) para la geston

centralizada de las soluciones de proteccion de puntos finales y demas
componentes.
Componentes Consola  La solución debe tener la capacidad de implementar la consola de
Antivirus administración en la premisa de nuestra institución o en la nube.
 Repositorio de Datos
 Agentes
Deberá permitir agregar varios usuarios de tipo administrador global, administrador

de grupo, revisor global, revisor del sitio. Los revisores solo tienen acceso lectura.
Roles de Usuario
Deberá integrarse con Active Directory y permitir hacer logon a la consola de
antivirus utilizando las credenciales de la red con sus respectivos permisos
Los revisores o administradores de la consola pueden auditar las siguientes acciones:
Logeos al servidor de antivirus cambio de perfiles o roles, cambio de contraseñas,
Revisión o auditoría del
Desinstalación de los agentes por eliminación, cambios de políticas, agregar o borrar
administrador de la
sitios, grupos, computadoras o cuentas, renombrar sitios, grupos o máquinas. Esta
Consola
característica es importante cuando se desea descubrir cambios ocurridos en el
servidor de antivirus
 La consola deberá conectarse al sitio de actualizaciones de forma automática

cada hora verificar nuevas actualizaciones de spam, antivirus, antispyware.
 Deberá actualizar todas las máquinas que estén en la red encendidas no
importando la hora,
Actualizaciones  Deberá mostrar en la pantalla de inicio la versión actual de antivirus y las
últimas amenazas de virus que existen en el internet.
 Deberá mostrar el status de cuando se está bajando las actualizaciones y el

porcentaje de actualizaciones.
 Debera ser flexible en la instalación por medio de login script, ejecutable,
vía remota
Agente  Deberá efectuar la instalación de los componentes de forma automática y sin
interrupción del usuario
Se desear tener la capacidad de agrupamiento y clasificaciones por

 Dirrecionamiento IP
 Mascara
 Etiquetas (LapTop, Servidores, Sistema Operativo, etc)
Clasificación o agrupación
 Equipos que no recibieron las actualizaciones en los últimos 2 dias
 Equipos sin comunicación.
 Etc.
48
Integración con Active Deberá integrarse con el active directory teniendo las propiedades de efectuar un
Directory mirror del active directory y agregar las máquinas de forma automática.
 Deberá integrarse con el active directory teniendo las propiedades de

efectuar un mirror del active directory y agregar las máquinas de forma
automática.
 Permitir crear repositorios remotos para la distribución del software de
Repositorios Remotos antivirus y actualizaciones en sitios remotos y minimizar el ancho de banda.
 Permitir crear repositorios vía UNC – FTP- HTTP
 Deberá replicar de forma manual o automática a través de tareas el software

para las actualizaciones e instalaciones.
Deberá permitir ver las políticas por cada producto y poder sacar una copia a la
Catálogo de Políticas política de cada producto para generar una nueva sin afectar la política
predeterminada.
Recopilación de Capacidad de obtener información mínima o completa sobre el software y hardware
Propiedades de cada máquina.
Debe permitir crear configuraciones por grupo, dominio o maquina sin afectar la
Creación de Políticas
estructura.
 Proveer reportes predefinidos para cada producto y la capacidad de

visualizarlos, editarlos y crear copias para modificarlas, toda esto debe ser
posible vía la administración web.
 Deberá de generar reportes gráficos en charts y forma de pie
 Cada reporte debe tener la opción de efectuar un query para búsqueda de
Reportes
equipo, virus, hora, fecha etc.
 Los reportes deben poder exportarse a pdf, excel, word, html
 Reportes Gráficos de Host Intrusion Prevention
 Reportes Gráficos Firewall
 Reportes Gráficos Proteccion de Puntos Finales
PROTECCION DE PUNTOS FINALES

CARACTERISTICAS REQUERIMIENTOS
Soporte Para Sistemas Operativos
 Windows 7, Windows 10, Windows 20012- 2016 Sever
 CentOS, Red Hat Enterprise Linux (RHEL), Oracle Linux
Sistemas Operativos  Linux (AMI), Ubuntu, Fedora, Debian SUSE, openSUSE
Soporte Para Plataformas Virtuales:
 Citrix XenApp, XenDesktop Microsoft Hyper-V Oracle VirtualBox
VMware vSphere VMware Workstation VMware Fusion VMware Horizon
 Protección contra intrusos de puertos, archivos, shares y folders bloqueando
el acceso hacia ellos
 Deberá escanear y bloquear en tiempo real cualquier acceso e instalación de
cualquier spyware, adware, malware, keylogger, herramientas de
Deteccion, Protección administración remota, Dialer, etc.
y escaneo  La herramienta deberá detectar más de 16,000 tipos diferentes de PUPs
como spyware, adwares, malware, keyloggers.
 Deberá escanear llaves del registro y eliminar las llaves creadas por los
spyware o cualquier PUP sin afectar la estructura del registro a nivel de
Sistema Operativo.
49
 La solución debe tener la capacidad de prevenir, detectar amenazas avanzada
basada en aprendizaje automático.
 La solución debe tener la capacidad de eliminar de forma rápida y
completamente automática una amenaza con un contexto completo y
análisis forense en tiempo real
 La solución debe la capacidad de mitigación del contexto completo de la
actividad maliciosa, reduciendo el tiempo y el costo de arreglar los
dispositivos infectados.
 La solución debe tener la capacidad de aprendizaje automático que no se
basa en firmas y no requiere actualizaciones o escaneos recurrentes.
 La solución debe tener la capacidad de realizar un RollBack en el tiempo,
en dado caso que un servidor se vea comprometido de manera de mitigar
cualquier amenaza y dejando en su estado original el servidor. (operativo).
 La solución debe tener la capacidad de proveer visibilidad en todas las

aplicaciones y procesos en ejecución.
 La solución debe tener la capacidad de proveer visibilidad profunda para
caza de amenazas (Threat Hunting).
 La solución debe tener la capacidad de indicar los pasos de infección o de
propgacion de una amenza
 La solución debe proveer protección (Pre-Ejecución, Ejecución, Post
Ejecución) de una amenaza
 La solucion debe tener la capaciad proveer visibilidad profunda talaes como:
 Procesos
 DNS
 Llaves de Registro
 Indicadores de comportamiento
 Arhivos
 Url
 Cuando se detecta un ataque hacia un folder, debe ser capaz de bloquear las
conexiones de computadoras infectadas que tratan de infectar dicho folder
Bloqueo de conexiones  La solución debe tener la capaciad de remediación de una infección y en
dado caso que no sea posible desconectar el equipo de la red.
Protección contra La solución deberá tener firmas de protección y bloqueo proactivo de

desbordamiento de Buffer desbordamientos de buffer
La solución debera proveer funcionabilidades de firewall tanto para servidores como

Integración de protección
para estaciones de trabajo.
Exploración en tiempo
Deberá ser capaz de explorar un sistema en tiempo real
real
Bloqueo de configuración Capacidad de bloqueo de configuraciones por medio de una contraseña. Este bloqueo
para usuarios debe ser selectivo para configuraciones de objetos específicos.
Exploraciones bajo Capacidad para realizar exploraciones en demanda, estas exploraciones deben ser
demanda configurables y ofrecer la opción de seleccionar el objeto a explorar.
50
Capacidad de configurar el performance, en base a porcentajes, que el escaneo

consumirá, de tal forma que este tenga más o menos prioridad sobre los demás
procesos que se están ejecutando en la maquina cliente.
Detección de programas Capacidad para detectar programas no deseados, como Spyware o Adware y de tomar
no deseados acciones para cuando haya una detección.
Detección de IP atacante Capacidad para detectar la dirección IP atacante
Análisis de Scripts Capacidad para analizar Scripts de Java Script y VBScript antes de que se ejecuten.
El motor de exploración deberá utilizar distintas tecnologías de detección antivirus:

Exploración de firmas y exploración heurística. La exploración de firmas busca un
Tecnologías de detección
conjunto de código hexadecimal característico de cada virus y la exploración
antivirus
heurística busca patrones de comportamiento de virus conocidos para la detección de
virus desconocidos
Debe ser administrado remotamente en su totalidad por la Consola Centralizada de

Administración
Administración y Gestion de Riesgo
Deberá crear logs por cada uno de los eventos que realice dependiendo del item
Registro de eventos
(exploración, actualización, bloqueos, etc.)
Exclusiones en la
Capacidad para excluir de la exploración archivos, folders, procesos, etc. específicos
exploración
Capacidad para tomar distintas acciones cuando sea detectado un virus o un ataque,
Acciones posteriores a la
limpiar el archivo infectado, moverlo a cuarentena, continuar la exploración, no tomar
detección
acción, eliminar el archivo, etc.
Acciones posteriores a la Capacidad para tomar distintas acciones cuando sea detectado un virus, ataque o
detección para una programa no deseado: limpiar el archivo infectado, moverlo a cuarentena, continuar
exploración bajo demanda la exploración, no tomar acción, eliminar el archivo, etc.
Exploración de correo Capacidad para exploración de mensajes de correo electrónico utilzando Microsoft
electrónico Outlook
Programación de tareas Capacidad para programar tareas de exploración, actualización, etc.
Configuración de
Capacidad para agregar/modificar/eliminar repositorios hacia donde se descarga la
repositorios para
actualización de las definiciones de virus
actualización
CONTROL DE DISPOSITIVOS Y PUERTOS
CARACTERISTICAS REQUERIMIENTOS
 Las opciones de control deben incluir:
 Monitorear (permitir la transferencia de datos)
Opciones de Control
 Impedir (bloquear la transferencia de datos)
 Alertar (notificar a los administradores y usuarios finales)
Capacidad de permitir crear reglas de protección para controlar la fuga de
Reglas de Protección información confidencial via impresión, copy/paste, email, web, CD, DVD y
dispositivos de almacenamiento removible USB y Bluetooth
51
Clasificación de la Capacidad para clasificar la información en base a contenido, ubicación donde esta
Información almacenada o por aplicación
Debe brindar la opción de notificar en tiempo real a los usuarios de una violación de
Notificación a los Usuarios
política a través de un mensaje tipo POPUP
Administración Granular Capacidad de especificar y clasificar los dispositivos que pueden ser usados en base
de Dispositivos a criterios como ID del proveedor, clase y nombre del dispositivo y número de serie
La solución debe integrarse con Active Directory a fin de aplicar políticas en base a
Integración con Active
usuario individual o grupos sin importar la maquina donde el usuario se encuentre
Directory
autenticado.
Almacenamiento de Debe almacenar evidencia, a fin de proveer información completa para análisis,
Evidencia investigación y auditoria: Ejemplo:
Usuario, destino, fecha, hora, evidencia de datos
Los reportes de la solución deberán poder ser generados en tiempo real y ser
exportados a los siguientes formatos:
 Acrobat PDF
Reportes
 CSV
 Excel
 XML
Capacidad de proveer un registro de auditoria de la administración que incluya:
Auditoria de la
Cambios en políticas, distribución de las políticas, actividades del agente,
Administración
desinstalación del agente
Capacidad de administrar los siguientes tipos de dispositivos: Bluetooth, CD/DVD
Tipos de Dispositivos
Drive, Infrared (IrDA) Devices, Modems/Faxes
Protección Dentro y Fuera La solución debe proveer la capacidad de crear reglas que discriminen si el usuario
de la Red está conectado o no a la red (online/offline)
La solución debe soportar API de código abierto el cual nos permita realizar
Soporte
integración con terceros que soporte este API.
52
MONITOREO Y DIAGNOSTICO DE REDES DE DATOS – CANTIDAD: 1
Características
Monitoreo de disponibilidad de los elementos de la red. Basado en protocolos SNMP e ICMP.
Monitoreo de Jitter y latencias en la red.
Monitoreo de calidad de servicios y SLA.
Monitoreo de ancho de banda y tráfico de los elementos de la red.
Gestión y monitoreo de rendimientos de los dispositivos de red.
Monitoreo y gestión de tráfico convergente (Data, VolP y Video).
Capacidad de escaneo periódico de la red para detectar cambios de topología y generar historicos de los
mismos.
Monitoreo a nivel de protocolo servicios (HTTP, SIP).
Capacidad de monitoreo y gestión de redes ubicadas en diferentes localidades y separadas.
Generación y envió de correo de alarmas parametrizadas
Generaci6n de reportes e informes en formatos PDF, Excel, XML, CVS de los sensores de monitoreo
definidos.
Generación de estadísticas y reportes de rendimiento y monitoreo.
Personalizaci6n de tablero de mando (DASHBOARD) interactivos para virtualización grafica de la
información.
Gestión de monitoreo para la identificacion de usuarios, dispositivosy aplicaciones que consumen el ancho de
banda.
Generación automática de mapas topológicos físicos y logicos de la red.
Licenciamiento para monitoreo de dispositivos de red, servicios y aplicaciones.
Debe poder soportar la implementación de módulos monitoreo adicionales tales como:
 Base de Datos
 Ambiente virtualizado
 Almacenamientos
 Voz y Netflows
 Gestión y administración de cambios de configuración
 Gestión y administración de IPs
 Módulo De Monitoreo Y Diagnostico De Servidores, Aplicaciones
Monitoreo y administración de servidores físicos de múltiples fabricantes tanto a nivel de hardware y sistemas
operativo.
Monitoreo y administración de servidores virtuales(Hyper-V, WMWARE).
Gestión de rendimiento de los recursos de los servidores físicos y virtuales (CPU, memoria) además de
aplicaciones.
Monitoreo de servicios, puertos y socket de las aplicaciones
Inventario automático de recursos físicos, sistemas operativos, actualizaciones y aplicaciones por servidor
Monitoreo de aplicaciones: Exchange, SQL Server, Web Server, Active Directory, entre otras.
Registro de eventos en tiempo real de los servidores
Generación de reportese informes en formatos PDF, Excel, XML, CVS de los sensores de monitoreo definidos.
53
MONITOREO Y DIAGNOSTICO DE REDES DE DATOS – CANTIDAD: 1
Características
Generación de estadísticas y reportes
Personalizacion de tableros de mando (DASHBOARD) interactivos para visualizaciongrafica de la informacion
Monitoreo ymapa transaccional de las aplicaciones
PROTECCIÓN DE REDES VIRTUALES – CANTIDAD: 2

CARACTERÍSTICAS
Las redes virtuales deberán aprovisionar y administrar de forma programática, independientemente del hardware
subyacente
Deberá permitir reproducir el modelo de red completo en Software, permitiendo la creación y aprovisionamiento de
cualquier topología de red, desde redes simples hasta redes complejas de múltiples niveles
Deberá permitir reducir el tiempo de aprovisionamiento de redes, así como permitir mejoras operacionales por medio
de la automatización.
Deberá ser compatible con overlays de redes basadas en LAN virtual extensible (Virtual eXtensible LAN, VXLAN).
Deberá permitir enrutamiento dinámico entre redes virtuales realizado de manera distribuida en el kernel del
hipervisor, enrutamiento con escalabilidad horizontal y con conmutación de recuperación activo-activo, mediante
enrutadores físicos.
Deberá soportar enrutamiento dinámico por medio de los protocolos BGP y OSPF así como enrutamiento estático.
Deberá tener la capacidad de conexión de VXLAN a redes físicas soportadas por VLAN para conexiones a cargas de
trabajo físicas
Deberá ofrecer una Interface para el desarrollo de aplicaciones (API) tipo RESTful para la integración de cualquier
plataforma de administración de nube o automatización.
 Deberá incorporar las siguientes capacidades que soporten la operación de la plataforma:
 Interfaz de línea de Comandos
 Analizador de Trazas y flujos
 Analizador de puerto del switch (SPAN)
 Exportación de Flujos basado en IPFIX
 Integración con la herramienta de operaciones VMware vRealize Operations
 Integración con la herramienta vRealize Log Insight
La plataforma deberá ofrecer integración nativa con vRealize Automation y OpenStack
Automatización: Deberá permitir crear redes basadas en software, abordando los desafíos en el aprovisionamiento
prolongado de redes, errores de configuración y procesos costosos, todo esto mediante el apovechamiento de la
automatización
Deberá ofrecerse una plataforma para la seguridad y virtualización para ambientes VMware vSphere que funcione
como Hipervisor de red
La plataforma deberá incorporar las siguientes funciones de red, incorporados directamente en el hipervisor ESXi y
distribuídas en el entorno vSphere :
 Enrutamiento
 Conmutación de datos
 Protección de Firewall
54
CARACTERÍSTICAS
Deberá suministrar micro-segmentación y seguridad granular y detallada para la carga de trabajo individual.
Deberá soportar protección de firewall distribuido e incorporado en el kernel del hipervisor para hasta 20 Gbps de
capacidad de firewall por host hipervisor. La protección deberá ser sin pérdida del estado de las sesiones, lo anterior
conocido como Stateful Firewall
En adición al firewall incorporado en el hipervisor, deberá soportar un Firewall para comunicacones Norte-Sur.
Deberá ofrecer capacidades de VPN tipo Sitio a Sitio

Deberá ofrecer capacidades de VPN de tipo Acceso Remoto
Las capacidades de micro-segmentación permitirán crear grupos de seguridad dinámicos y asociados con base a
factores que van más allá de la dirección IP y MAC; dichos grupos deberán aprovechar los objetos y etiquedas de
VMware vCenter, tipo de sistema operativo, información sobre aplicaciones de capa 7.
Seguridad: Deberá permitir dividir de manera lógica el centro de datos en distintos segmentos de seguridad hasta el
nivel de la carga de trabajo individual, con independencia de la subred o VLAN, permitiendo definir políticas y
controles de seguridad según los grupos de seguridad dinámicos, evitando el movimiento lateral dentro del Centro de
Datos.
Deberá incorporar los siguientes elementos y servicios de red lógicos como parte de la misma plataforma:
 Switches Lógicos**
 Enrutamiento**
 Protección de Firewall
 Balaneo de Carga
 Red Privada Virtual (VPN)
 Calidad de Servicio (QoS)
 Monitoreo
Deberá permitir la movilidad de cargas de trabajo independiente de la topología de red física entre centros de datos y
dentro de ellos.
Deberá soportar servicios de seguridad y de red avanzados a través de integraciones con terceros
Deberá permitir extensiones de overlay de la capa 2 lógica en una estructura de conexión enrutada (capa 3, C3) dentro
de los límites del centro de datos y entre ellos.
El Firewall distribuido e incorporado en el kernel del hipervsor deberá ser compatible con Active Directory.
Deberá incorporar un servicio de Balanceo de Cargas de Capa 4 a Capa 7 (modelo OSI) con capacidad de descargar y
transferencia de tráfico cifrado SSL.
El servicio de Balanceo de Cargas deberá tener la capacidad de comprobar el estado del servidior
El Servicio de Balanceo de Cargas deberá tener la capacidad de aplicar reglas de aplicación que permitan la
programación y la manipulación del tráfico.
La plataforma deberá permitir integrarse con funciones del plano de control, plano de datos y administración con
socios de terceros en distintas variedades como Firewalls de próxima generación, Sistemas de Detección de Intrusos
(IDS), Sistemas de Prevención de Intrusos (IPS), Antivirus sin agentes, Controladores de suministro de aplicaciones,
Conmutaciones, Operaciones y Visibilidad.
Deberá ofrecer la capacidad de extender la seguridad y las redes a través de los límites del centro de datos, con
independencia de la topología física subyacente, lo que permitirá obtener capacidades como recuperación ante
desastres y centros de datos Activo-Activo.
Continuidad de las aplicaciones: Deberá permitir replicar fácilmente entornos de aplicaciones completos en centros de
datos remotos para la recuperación ante desastres, lo anterior mediante la separación de las redes del hardware
subyacente, sin afectar el funcionamiento de las aplicaciones y sin tocar la red física.
55
CARACTERÍSTICAS
Debe incorporar herramientas nativa para la gestión de reglas y monitoreo de terminales, para obtener una
visualización integral de flujos de tráfico de red hasta la capa 7 del modelo OSI, permitiendo la identificación de
terminales en el centro de datos y entre centros de datos y respondan mediante la creación de reglas de seguridad
adecuadas
Deberá proveer de capacidades de planeación de seguridad, visibilidad y análisis de tráfico, análisis de problemas
(troubleshooting), auditoría y cumplimiento del tráfico de red de la infraestructura virtualizada con VMware, que
soporte toplogías físicas y/o virtualizadas de red.
Deberá proveer una interfaz gráfica basada en Web que permita simplificar grandes volúmenes de flujos y de
información, en vistas concretas, con la capacidad de profundizar en el detalle de cada elemento presentado.
La solución debe proveer visibilidad 360º en las comunicaciones de topologías físicas y virtuales de red.
Deberá proveer visibilidad y análisis de flujos de tráfico Este-Oeste, Norte-Sur, Tráfico inter/intra Host ya sea en L2 o
en L3.
Deberá proveer visibilidad en tráfico interno y externo, ya sea en la misma capa o tier (intra-tier) o entre capas (inter-
tier), en segmentos VLAN y/o VXLAN.
Deberá tener la capacidad de modelar grupos de seguridad.
La solución deberá tener la opción de analizar los flujos IPFIX recolectados con el fin de identificar flujos únicos de
información, agrupándolos bajo distintos criterios como segmento VLAN o VXLAN, atributos de vCenter que
permitan realizar una planeación de la seguridad sugiriendo las políticas de micro-segmentación identificadas.
Deberá tener la capacidad de proponer políticas de seguridad que podrán ser exportadas como políticas de micro
segmentación en la infraestructura de virtualización VMware.
Deberá proveer una interfaz de búsqueda “Google-like” intuitiva y de auto-completamiento que permita definir
criterios de búsqueda básicos y/o complejos.
Deberá tener la capacidad de identificar problemas potenciales de conectividad.
Deberá proveer capacidades analíticas basadas en el contexto de la infraestructura de virtualización que incluya los
componentes de cómputo, redes, seguridad, conectividad física, virtual y de nube, mapeado y/o asociar las cargas de
trabajo a las redes, sean por VLAN o por VXLAN.
La solución deberá colectar información de configuración, tablas de ruteo, entre otros de dispositivos físicos de
comunicación de fabricantes líderes como Cisco, HP, Dell, Arista, Brocade o Juniper a partir de protocolos como SSH
o SNMP.
La solución deberá tener la capacidad de colectar, analizar y procesar la información proveniente de IPFIX,
configuraciones de dispositivos para poder diagramar la ruta de los paquetes de red, ya sea pasando por segmentos
VLAN/VXLAN, ruteo, firewall distribuído.
Deberá poder crear alertas a partir de violaciones a parámetros definidos.
Deberá tener la capacidad de retener el histórico de flujos con un aproximado de un mes.
Deberá colectar flujos tipo IPFIX del switch virtual distribuído de VMware (DVS) versión 5.5 y posteriores.
Deberá ser compatible con vMware vSphere 5.5 U3 y posteriores.
Deberá ser compatible con vMware NSX 6.0 y posteriores.
Micro-Segmentación diseño e implementación, : Activación del vSphere Distributed Switch (vDS), Implementado por
el Fabricante
56
PROTECCIÓN DE RED PERIMETRAL (NGF) – CANTIDAD: (4) 2 PARES EN ALTA
DISPONIBILIDAD
4-5Gbs mínimo con la funcionalidad de control de aplicaciones habilitada para todas las firmas
Rendimiento
que el fabricante posea.
2.0 Gbps minismo mínimo con las siguientes funcionalidades habilitadas simultáneamente
Prevención de
para todas las firmas que la plataforma de seguridad posea debidamente activadas y actuando:
Amenazas
control de aplicaciones IPS, Antivírus e Antispyware.
Sesiones Minimo un millon
Reglas de
5000 Minimo
Seguridad
Zonas 140 minimo
Objetos 6000 minimos
Grupos de direcciones 2500 minimo
Objetos y Objetos de servicio 2000 minimo
Servicios Grupos de servicio 1000 mininimo
Miembros por grupo de servicio 300 minimo
Objetos de dirección FQDN 1500 minimo
Sistemas Soporte para sistemas virtuales minimos 2 sistemas virtuales lógicos (Contextos) en el firewall
Virtuales Físico.
Ipsec VPN 4000 IPSEC túnel mínimo.
Fuente 120/240 AC o DC, redundante y hot-swappable
Disco Solid State Drive (SSD)
El equipo debe soportar:
 Interfaz de consola 10/100/1000 (Eth)
 Ata disponibilidad 10Gbps (Eth)
Interfaces
 Minimo 8 -10/100/1000 (Eth)
 Minimo 2 -1G SFP
 Minimo 2 -1G/10G SFP/SFP+
CARACTERISTICAS GENERALES
Los contextos virtuales deben poseer las funcionalidades nativas del gateway de seguridad incluyendo: Firewall,
IPS, Antivírus, Anti-Spyware, Filtro de Datos, VPN, Control de Aplicaciones, QOS, NAT e Identificación de
usuarios.
La consola de administración y monitoreo debe residir en el mismo appliance de seguridad de red, debe poseer
recurso de CPU, memoria, interfaz de red y sistema operacional dedicados para esta función.
Para efectos de la propuesta, ninguno de los modelos ofertados podrá estar listados en el site del fabricante como
listas de end-of-life y end-of-sale.
Por el equipamiento que compone la plataforma de seguridad, se entiende como hardware y licenciamiento de
software necesarios para su funcionamiento.
Por consola de administración y monitoreo, se entiende el licenciamiento de software necesario para las dos
funcionalidades, también como hardware dedicado para el funcionamiento de estas.
La solución debe consistir de un appliance de seguridad de red con funcionalidades de Next Generation Firewall
(NGFW), y consola de administración y monitoreo.
Por funcionalidades de NGFW se entiende: reconocimiento de aplicaciones, prevención de amenazas,
identificación de usuarios y control granular de permisos.
La plataforma debe ser optimizada para análisis de contenido de aplicaciones en Capa 7 (modelo OSI).
El hardware y software que ejecuten las funcionalidades de seguridad de red y de administración y monitoreo,
deben ser de tipo appliance.
57
DISPONIBILIDAD
El fabricante debe estar certificado para IPv6 en Firewall e IPS por USGv6.
Métricas de apoyo basados puntuación de riesgo.
La solución debe estar configurada en alta disponibilidad para lo cual el oferente debe incluir en su oferta todo el
hardware, software y servicios necesarios.
Todos los equipamientos ofrecidos deben ser adecuados para montaje en rack 19.
El software deberá ser ofrecido en su versión más estable y/o más avanzada.
Los dispositivos de seguridad de red deben poseer por lo menos las siguientes funcionalidades:
 Soporte a 4094 VLAN Tags 802.1q
 Agregación de links 802.3ad
 Policy based routing o policy-based forwarding;
 Ruteo multicast (PIM-SM)
 DHCP Relay
 DHCP Server
 Jumbo Frames
 Soporte a creación de objetos de red que puedan ser utilizados como dirección IP de interfaces L3
 Soportar subinterfaces ethernet lógicas.
Debe soportar los siguientes tipos de NAT
 Nat dinamico (Many-to-1)

 Nat dinámico (Many-to-Many)
 Nat estático (1-to-1)
 NAT estático (Many-to-Many)
 Nat estático bidireccional 1-to-1
 Traducción de porta (PAT)
 NAT de Origen
 NAT de Destino
 Soportar NAT de Origen y
 Soportar NAT de Destino simultáneo
La solución debe tener la capacidad de enviar log para sistemas de monitoreo externos, simultáneamente.
Debe tener la opción de enviar logs para los sistemas de monitoreo externos vía protocolo TCP y SSL.
Debe permitir configurar certificado caso necesario para autenticación del sistema de monitoreo externo de logs.
La solución debe proveer Seguridad contra anti-spoofing, Flood Protection.
La solución debe soportar IPv4, enrutamiento estático y dinámico (RIPv2, BGP y OSPFv2);
Soportar OSPF graceful restart
Debe ser capaz de balancear varios enlaces de internet sin el uso de políticas específicas, permitiendo aplicar una
variedad de algoritmos distintos (round Robin, weighted...).
Soportar BFD (bidrectional forward detection).
Soportar LACP/LLDP Pre-negotiation.
Soportar como mínimo las siguientes funcionalidades en IPv6: SLAAC (address auto configuration), NAT64,
Identificación de usuarios a partir de LDAP/AD, Captive Portal, IPv6 over IPv4 IPSec, Reglas de seguridad contra
DoS (Denial of Service), Desencripción SSL y SSH, PBF (Policy Based Forwarding), QoS, DHCPv6 Relay,
Activo/Activo, Activo/Pasivo, SNMP, NTP, NTP autenticado, SYSLOG, DNS y control de aplicaciones.
Los dispositivos de seguridad deben tener la capacidad de operar de forma simultanea mediante el uso de sus
interfaces físicas en los siguientes modos: Modo sniffer (monitoreo y análisis del tráfico de red), Capa 2 (l2) y Capa
3 (l3).
La solución debe soportar modo de configuración de Sniffer, para inspección vía puerto espejo del tráfico de datos
de la red.
58
DISPONIBILIDAD
La solución debe soportar configuraciones modo Capa – 2 (L2), para inspección de datos en línea y tener visibilidad
del control del tráfico en nivel de aplicación.
La solución debe soportar modo de configuración Capa – 3 (L3), para inspección de datos en línea y tener
visibilidad del control del tráfico en nivel de aplicación operando como default Gateway de las redes protegidas.
Modo mixto trabajo Sniffer, L2 e L3 en diferentes interfaces físicas.
Soporte a configuración de alta disponibilidad Activo/Pasivo e Activo/Activo y transparente.
La solución debe soportar configuración en capa 3del modelo OSI.
La configuración en alta disponibilidad debe ser capaza de sincronizar las secciones.
La solución debe soportar configuraciones de políticas de Firewall, NAT, QOS y objetos de red.
La solución debe soportar configuraciones de certificados digitales para asociaciones de seguridad de VPNs, y
tablas FIB.
La solución debe soportar configuraciones en HA (modo de Alta-Disponibilidad) debe posibilitar monitoreo de
fallo de link.
La solución debe soportar funcionalidades de control de aplicaciones, VPN IPSec y SSL, QOS, SSL y SSH
Decryption y protocolos de enrutamiento dinámico deben operar en carácter permanente, pudiendo ser utilizadas
por tiempo indeterminado, incluso si no existe derecho de recibir actualizaciones o que no haya contrato de garantía
de software con el fabricante.
CONTROL POR POLITICA DE FIREWALL
Deberá soportar controles por zona de seguridad.
Controles de políticas por puerto y protocolo.
La solución deberá soportar el control de políticas por aplicaciones grupos estáticos de aplicaciones, grupos
dinámicos de aplicaciones (basados en características y comportamiento de las aplicaciones) y categorías de
aplicaciones.
La solución deberá soportar control de políticas por usuarios, grupos de usuarios, IPs, redes y zonas de seguridad.
La solución deberá soportar ccontrol, inspección y decifrado de SSL por política para tráfico de entrada (Inbound)
y Salida (Outbound).
La solución deberá debe soportar offload de certificado en inspección de conexiones SSL de entrada (Inbound).
La solución deberá soportar debe descifrado de tráfico Inbound y Outbound en conexiones negociadas con TLS
1.2.
La solución deberá soportar de inspección y descifrado de SSH por política.
La solución deberá realizar copia del tráfico descifrado (SSL y TLS) para soluciones externas de análisis (Forense
de red, DLP, Análisis de Amenazas, entre otras).
La Se permite el uso de appliance externo, específico para la descifrado de (SSL y TLS), con copia del tráfico
descifrado tanto para el firewall, como para otras soluciones de análisis externas.
La solución deberá tener la capacidad de bloquear los siguientes tipos de archivos: bat, cab, dll, exe, pif,reg entre
otros.
Traffic shaping QoS basado en políticas (Prioridad, Garantía y Máximo) ademas de QoS basado en políticas para
marcación de paquetes (diffserv marking), inclusive por aplicaciones.
CONTROL DE APLICACIONES
La solución deber tener la capacidad de reconocer aplicaciones, independiente del puerto y protocolo.
La solución debe tener la capacidad de abrir y bloquear solamente de aplicaciones sin la necesidad de abrir puertos
y protocolos.
Debe reconocer por lo menos 2000 aplicaciones diferentes, incluyendo, más no limitado: el tráfico relacionado a
peer-to-peer, redes sociales, acceso remoto, update de software, protocolos de red, voip, audio, vídeo, proxy,
mensajería instantánea, compartición de archivos, e-mail bittorrent, gnutella, skype, facebook, linked-in, twitter,
citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http-tunnel, facebook chat, gmail chat,
59
DISPONIBILIDAD
whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius,
itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs, etc.
Debe inspeccionar el payload del paquete de datos con el objetivo de detectar a través de expresiones regulares
firmas de aplicaciones conocidas por los fabricantes independiente del puerto y protocolo. El chequeo de firmas
también debe determinar si una aplicación está utilizando su puerto default o no, incluyendo, más no limitando a
RDP en el puerto 80 en vez del 389.
Debe aplicar análisis heurístico a fin de detectar aplicaciones a través de análisis comportamental del tráfico
observado, incluyendo, más no limitado a Encrypted Bittorrent y aplicaciones VOIP que utilizan criptografía
propietaria.
Identificar el uso de tácticas evasivas, o sea, debe tener la capacidad de visualizar y controlar las y los ataques que
utilizan tácticas evasivas vía comunicaciones criptografiadas, tales como Skype y ataques mediante el puerto 443.
Para tráfico criptografiado (SSL y SSH), debe descifrar paquetes con el fin de posibilitar la lectura del payload para
chequeo de firmas de aplicaciones conocidas por el fabricante.
Debe realizar decodificación de protocolos con el objetivo de detectar aplicaciones encapsuladas dentro del
protocolo y validar si el tráfico corresponde con la especificación del protocolo, incluyendo, más no limitado a
Yahoo! Instant Messenger usando HTTP. La decodificación de protocolo también debe identificar funcionalidades
específicas dentro de una aplicación, incluyendo, más no limitado a la compartición de archivos dentro de Webex.
La solución debe tener la capacidad de hace inspecciones de archivos y otros contenidos de acuerdo a las reglas de
seguridad implementada.
Debe Actualizar la base de firmas de aplicaciones automáticamente.
Debe Reconocer aplicaciones en IPv6.
La solución debe tener la capacidad de limitar el ancho de banda (download/upload) usado por aplicaciones (traffic
shaping), basado en IP de origen, usuarios y grupos del LDAP/AD.
La solución debe tener la capacidad identificar al usuario de red con integración al Microsoft Active Directory, sin
la necesidad de instalación de agente en el Domain Controller, ni en las estaciones de los usuarios.
La solución debe tener la capacidad de adicionar control de aplicaciones en todas las reglas de seguridad del
dispositivo, o sea, no limitándose solamente a la posibilidad de habilitar control de aplicaciones en algunas Reglas.
La solución debe tener la capacidad de soportar múltiples métodos de identificación y clasificación de las
aplicaciones, por lo menos chequeo de firmas, decodificación de protocolos y análisis heurístico.
La solución debe tener la capacidad de soportar el control sobre aplicaciones desconocidas y no solamente sobre
aplicaciones conocidas.
Debe soportar permitir nativamente la creación de firmas personalizadas para reconocimiento de aplicaciones
propietarias en la propia interface gráfica de la solución, sin la necesidad de acción por parte del fabricante,
manteniendo la confidencialidad de las aplicaciones del órgano.
La creación de firmas personalizadas debe permitir el uso de expresiones regulares, contexto (sesiones o
transacciones), usando la posición en el payload de los paquetes TCP y UDP y usando decoders de por lo menos
los siguientes protocolos HTTP, FTP, SMB, SMTP, Telnet, SSH, MS-SQL, IMAP, IMAP, MS-RPC, RTSP y File
body.
La solución debe permitir la solicitud de inclusión de aplicaciones en la base de firmas de aplicaciones.
La solución debe alertar al usuario cuando una aplicación fue bloqueada.
Debe poder identificar la diferenciación de tráficos Peer2Peer (Bittorrent, emule, neonet, etc.) proveyendo
granularidad de control/políticas para los mismos.
Debe poder identificar tráficos de Instant Messaging (AIM, Gtalk, Facebook Chat, etc.) proveyendo granularidad
de control/políticas para los mismos.
Debe poder identificar y aplicar políticas de control Ejemplo: Gtalk chat y bloquear la transferencia de archivos
por la misma aplicación.
Debe identificar y diferenciar aplicaciones Proxies (ghostsurf, freegate, etc.) proveyendo granularidad de
control/políticas para los mismos.
60
DISPONIBILIDAD
Debe ser posible la creación de grupos estáticos de aplicaciones y grupos dinámicos de aplicaciones basados en
características de las aplicaciones como:
 Tecnología utilizada en las aplicaciones (Client-Server, Browse Based, Network Protocol, etc
 Nivel de riesgo de las aplicaciones.
 Categoría y subcategoría de aplicaciones
 Aplicaciones que usen técnicas evasivas, utilizadas por malware, como transferencia de archivos y/o uso
excesivo de ancho de banda, etc.
PREVENCION DE AMENAZAS
La solución debe poseer módulo de IPS, Antivirus y Anti-Spyware integrados en el propio appliance de Firewall.
La solución debe incluir firmas de prevención de intrusos (IPS) y bloqueo de archivos maliciosos (Antivirus y Anti-
Spyware).
Las funcionalidades de IPS, Antivirus y Anti-Spyware deben operar en carácter permanente, pudiendo ser utilizadas
por tiempo indeterminado, incluso si no existe el derecho de recibir actualizaciones o que no haya contrato de
garantía de software con el fabricante.
La solución debe sincronizar las firmas de IPS, Antivirus, Anti-Spyware cuando esté implementado en alta
disponibilidad Activo/Activo e Activo/pasivo.
La solución debe tener la capacidad de que cuando se utilicen las funciones de IPS, Antivirus y Antispyware, el
equipamiento debe entregar el mismo performance (no degradar) entre tener 1 única firma de IPS habilitada o tener
todas las firmas de IPS, Anti-Vírus y Antispyware habilitadas simultáneamente.
Las firmas deben poder ser activadas o desactivadas, o incluso habilitadas apenas en modo de monitoreo.
La solución debe tener la capacidad de tener excepciones por IP de origen o de destino deben ser posibles en las
Reglas, de forma general y firma a firma.
Debe soportar granularidad en las políticas de IPS Antivirus y Anti-Spyware, permitiendo la creación de diferentes
políticas por zona de seguridad, dirección de origen, dirección de destino, servicio y la combinación de todos esos
ítems.
Debe permitir el bloqueo de vulnerabilidades.
Debe permitir el bloqueo de exploits conocidos.
Debe incluir seguridad contra ataques de negación de servicios.
Deberá poseer los siguientes mecanismos de inspección de IPS:
 Análisis de patrones de estado de conexiones.
 Análisis de decodificación de protocolo.
 Análisis para detección de anomalías de protocolo.
 Análisis heurístico.
 Desfragmentación de IP.
 reensamblado de paquetes de TCP.
 Bloqueo de paquetes malformados.
 Ser inmune y capaz de impedir ataques básicos como: Synflood, ICMPflood, UDPfloof, etc.
 Detectar y bloquear el origen de portscans.
 Bloquear ataques efectuados por worms conocidos, permitiendo al administrador adicionar nuevos
patrones.
Soportar los siguientes mecanismos de inspección contra amenazas de red: análisis de patrones de estado de
conexiones, análisis de decodificación de protocolo, análisis para detección de anomalías de protocolo, análisis
heurístico, IP desfragmentación, reensamblado de paquetes de TCP y bloqueo de paquetes malformados;
Debe poseer firmas específicas para la mitigación de ataques DoS.
Debe poseer firmar para bloqueo de ataques de buffer overflow.
La solución debe ser capaz de crear firmas customizadas por la interfaz gráfica del producto.
61
DISPONIBILIDAD
La solución debe permitir el bloqueo de virus y spyware en, por lo menos, los siguientes protocolos: HTTP, FTP,
SMB, SMTP e POP3.
La solución debe permitir el bloqueo de exploits conocidos.
Debe soportar bloqueo de archivos por tipo.
Debe identificar y bloquear comunicaciones como botnets.
Debe soportar varias técnicas de prevención, incluyendo Drop y tcp-rst (Cliente, Servidor y ambos).
Debe soportar referencia cruzada como CVE.
Debe tener la capacidad de registrar en la consola de monitoreo informaciones sobre amenazas identificadas.
La solución debe soportar la captura de paquetes (PCAP), por firma de IPS y Antispyware.
La solución debe permitir que en la captura de paquetes por firmas de IPS y Antispyware sea definido el número
de paquetes a ser capturados. Esta captura debe permitir seleccionar, como mínimo, 50 paquetes.
La solución debe poseer la función resolución de direcciones vía DNS, para que conexiones como destino a
dominios maliciosos sean resueltas por el Firewall como direcciones (IPv4 e IPv6), previamente definidos.
La solución debe identificar por país de donde partió la amenaza.
La solución debe contemplar la solución contra virus en contenido HTML y JavaScript, software espía (spyware)
y worms.
La solución debe contra downloads involuntarios usando HTTP de archivos ejecutables. Maliciosos.
Rastreo de virus en pdf.
La solución debe Identificar y bloquear comunicaciones como botnets.
La solución debe soportar varias técnicas de prevención, incluyendo Drop y tcp-rst (Cliente, Servidor y ambos).
Debe soportar la captura de paquetes (PCAP), por firma de IPS y Antispyware.
Debe permitir que en la captura de paquetes por firmas de IPS y Antispyware sea definido el número de paquetes
a ser capturados. Esta captura debe permitir seleccionar, como mínimo, 50 paquetes.
Debe poseer la función resolución de direcciones vía DNS, para que conexiones como destino a dominios
maliciosos sean resueltas por el Firewall como direcciones (IPv4 e IPv6), previamente definidos.
Solución debe permitir identificar eventos por país de manera de identificar el origen del país de donde partió la
amenaza.
Debe permitir la inspección en archivos comprimidos que utilizan o algoritmo deflate (zip, gzip, etc.).
La solución debe soportar configuraciones de diferentes políticas de control de amenazas y ataques basados en
políticas del firewall considerando Usuarios, Grupos de usuarios, origen, destino, zonas de seguridad, etc, o sea,
cada política de firewall podrá tener una configuración diferente de IPS, siendo esas políticas por Usuarios, Grupos
de usuario, origen, destino, zonas de seguridad.
Soportar los siguientes mecanismos de inspección contra amenazas de red: análisis de patrones de estado de
conexiones, análisis de decodificación de protocolo, análisis para detección de anomalías de protocolo, análisis
heurístico, IP desfragmentación, reensamblado de paquetes de TCP y bloqueo de paquetes malformados.
Debe poseer firmas específicas para la mitigación de ataques DoS.
Debe poseer firmas para bloqueo de ataques de buffer-overflow.
La solución debe ser capaz de crear firmas personalizadas por la interfaz gráfica del producto.
La solución debe permitir el bloqueo de virus y spyware en, por lo menos, los siguientes protocolos: HTTP, FTP,
SMB, SMTP e POP3.
La solución debe permitir el bloqueo de exploits conocidos.
Debe soportar contra ataques de negación de servicios.
Debe identificar y bloquear comunicaciones como botnets.
Debe soportar varias técnicas de prevención, incluyendo Drop y tcp-rst (Cliente, Servidor y ambos).
Debe soportar referencia cruzada como CVE.
ANALISIS DE MALWARE
La solución debe poseer la capacidad de análisis de amenazas no conocidas.
62
DISPONIBILIDAD
La solución ofertada deber poseer funcionalidades para análisis de Malware no conocidos incluidas en la propia
herramienta.
La solución debe tener la capacidad de enviar archivos transferidos de forma automática para análisis "In Cloud" o
local, donde el archivo será ejecutado y simulado en un ambiente controlado.
La solución debe soportar el análisis como por lo menos 60 (sesenta) tipos de comportamientos maliciosos para el
análisis de la amenaza no conocida.
La solución debe saportar el análisis de archivos maliciosos en ambiente controlado como mínimo, sistema
operacional Windows 7.
La solución debe soportar el análisis y el l monitoreo de archivos transferidos por internet (HTTP, FTP, HTTP,
SMTP) como también archivos transferidos internamente en los servidores de archivos usando SMB.
El sistema de análisis “In Cloud” o local debe proveer informaciones sobre las acciones del Malware en la máquina
infectada, informaciones sobre cuales aplicaciones son utilizadas para causar/propagar la infección, detectar
aplicaciones no confiables utilizadas por el Malware, generar firmas de Antivirus y Anti-spyware automáticamente,
definir URLs no confiables utilizadas por el nuevo Malware y proveer informaciones sobre el usuario infectado (su
dirección ip y su login de red).
El sistema automático de análisis "In Cloud" o local debe emitir relación para identificar cuales soluciones de
antivirus existentes en el mercado poseen firmas para bloquear el malware.
Debe permitir exportar el resultado de los análisis de malware de día Zero en PDF y CSV a partir de la propia
interfaz de administración.
Debe permitir la descarga de los malware identificados a partir de la propia interfaz de administración.
Debe permitir visualizar los resultados de los análisis de malware de día Zero en los diferentes sistemas
operacionales soportados.
FILTRADO URL
La solución debe permitir especificar políticas por tiempo, horario o determinado período (día, mes, año, día de la
semana y hora).
La solución debe permitir crear políticas por usuario, grupo de usuario, ips, redes y zonas de seguridad.
Deberá incluir la capacidad de creación de políticas basadas en la visibilidad y contra de quien está utilizando cual
URLs a través de la integración con servicios de directorio, autenticación vía LDAP, Active Directory, y base de
datos local.
Debe permitir poder publicar los logs de URL con la información de los usuarios conforme a lo descrito en la
integración con servicios de directorio.
Debe soportar la capacidad de crear políticas basadas en control por URL y categoría URL.
Debe bloquear el acceso a sitios de búsqueda (Google, Bing y Yahoo!) en el caso de que la opción de Safe Search
este deshabilitada. Debe en ese caso exhibir una página de bloqueo dando instrucciones al usuario de como habilitar
dicha función.
Debe soportar una cacheé local de URL en el appliance, evitando el delay de comunicación/validación de las URLs.
Debe poseer al menos 60 categorías de URLs.
Debe soportar la creación de categorías URL personalizada.
Debe soportar la exclusión de URLs del bloqueo por categoría.
Debe permitir la personalización de la página de bloqueo.
Debe permitir o bloquear y continuar (habilitando que el usuario acceso a un sitio potencialmente bloqueado
informándole del bloqueo y habilitando el botón de “continuar” para permitirle seguir a ese site).
IDENTIFICACION DE USUARIOS
La solución debe tener la capacidad de creación de políticas basadas en la visibilidad y control de quien está
utilizando cuales aplicaciones a través de la integración como servicios de directorio, autenticación vía ldap, Active
Directory y base de datos local.
Debe poseer integración con Microsoft Active Directory para identificación de usuarios y grupos permitiendo la
granularidad de control/políticas basadas en usuarios y grupos de usuarios.
63
DISPONIBILIDAD
Debe poseer integración con Radius para identificación de usuarios y grupos permitiendo la granularidad de
control/políticas basadas en usuarios y grupos de usuarios.
Debe posea integración con Ldap para identificación de usuarios y grupos permitiendo la granularidad de
control/políticas basadas en Usuarios y Grupos de usuarios.
Debe permitir el control, sin instalación de cliente de software, en equipamientos que soliciten salida a internet para
que antes de iniciar la navegación, se muestre un portal de autenticación residente en el firewall (Captive Portal.
Soporte a autenticación Kerberos.

Debe poseer Soporte a identificación de múltiples usuarios conectados en una misma dirección IP en ambientes
Citrix y Microsoft Terminal Server, permitiendo visibilidad y control granular por usuario sobre el uso de las
aplicaciones que tiene estos servicios.
Debe poseer Soporte a identificación de múltiples usuarios conectados en una misma dirección IP en servidores
accedidos remotamente, incluso que no sean servidores Windows.
CALIDAD DE SERVICIO (QOS)
La solución debe tener la capacidad de controlarla por tráfico cuyo consumo pueda ser excesivo, (como YouTube,
ups tream, etc.) por políticas de máximo de ancho de banda cuando fuesen solicitadas por diferentes usuarios o
aplicaciones, tanto de audio como de vídeo streaming, y a la ves de poder permitir o negar ese tipo de aplicaciones
Debe soportar la creación de políticas de QoS por
 Dirección de origen
 Dirección de destino
 Por usuario y grupo de LDAP/AD
 Por aplicaciones, incluyendo, más no limitando a Skype, Bittorrent, YouTube entre otras
 Por puerto
 El QoS debe permitir la definición de clases por:
 Ancho de Banda garantizado
 Ancho de Banda Máximo
 Cola de prioridad.
Soportar priorización Real Time de protocolos de voz (VOIP) como H.323, SIP, SCCP, MGCP y aplicaciones
como Skype.
Soportar marcación de paquetes Diffserv, inclusive por aplicaciones;
Disponer de estadísticas Real Time para clases de QoS.
Deberá permitir el monitoreo del uso que las aplicaciones hacen por bytes, sesiones y por usuario.
FILTRO DE DATOS Y GEOLOCALIZACION
La solución debe permitir la creación de filtros para archivos y datos predefinidos.
La solución debe tener la capacidad de detectar los archivos e identificarlos por extensión y firmas.
La solución debe identificar y opcionalmente prevenir la transferencia de varios tipos de archivos (MS Office, PDF,
etc) identificados sobre aplicaciones (P2P, InstantMessaging, SMB, etc).
Debe soportar la identificación de archivos compactados y las aplicaciones de políticas sobre el contenido de esos
tipos de archivos.
Debe identificar y opcionalmente prevenir la transferencia de informaciones sensibles, incluyendo, más no
limitando al número de tarjetas de crédito, permitiendo la creación de nuevos tipos de datos vía expresión regular.
Debe permitir listar el número de aplicaciones soportadas para control de datos.
Debe soportar la creación de políticas por geolocalización, permitiendo que el tráfico de determinado País/Países
sean bloqueados.
Debe poder visualizar los países de origen y destino en los logs de acceso.
64
DISPONIBILIDAD
La solución debe permitir la creación de regiones geográficas desde la interfaz gráfica y crear políticas utilizando
las mismas.
VPN
La solución debe soportar VPN Site-to-Site y Cliente-To-Site.
 Soportar IPSec VPN.
 Soportar SSL VPN.
 La VPN IPSEc debe soportar:
 DES y 3DES
 Autenticación MD5 e SHA-1;
 Diffie-Hellman Group 1 , Group 2, Group 5 e Group 14;
 Algoritmo Internet Key Exchange (IKEv1 & IKEv2);
 AES 128, 192 e 256 (Advanced Encryption Standard)
 Debe permitir SSO via Kerberos
 Autenticación vía certificado IKE PKI.
Debe poseer interoperabilidad como los siguientes fabricantes:
 Cisco
 Checkpoint
 Juniper
 Palo Alto Networks
 Fortinet
 SonicWall
La solución debe permitir que el usuario realice la conexión por medio de cliente instalado en el sistema operacional
del equipamiento o por medio de interfaz WEB Las funcionalidades de VPN SSL deben ser atendidas con o sin el
uso de agente.
La solución debe permitir crear políticas de control de aplicaciones, IPS, Antivirus, Antispyware para tráfico de los
clientes remotos conectados en la VPN SSL.
Las VPN SSL deben soportar proxy arp y el uso de interfaces PPPOE.
Soportar autenticación vía AD/LDAP, Secure id, certificado y base de usuarios local.
Permite establecer un túnel VPN client-to-site del cliente a la plataforma de seguridad, proveyendo una solución
de single-sign-on a los usuarios, integrándose como las herramientas de Windows-logon.
Soporte de lectura y verificación de CRL (certificate revocation list).
La solución debe permitir la aplicación de políticas de seguridad y visibilidad para las aplicaciones que circulan
dentro de los túneles SSL.
La solución debe permitir que el agente de VPN a ser instalado en los equipamientos desktop y laptops, debe ser
capaz de ser distribuido de manera automática vía Microsoft SMS, Active Directory y ser descargado directamente
desde su propio portal, en el cual residirá el centralizador de VPN.
Debe permitir que las conexiones como VPN SSL sean establecidas de las siguientes:
65
DISPONIBILIDAD
 Formas Antes del usuario autenticarse en la estación

 Después de la autenticación del usuario en la estación
 Bajo demanda del usuario
 Deberá mantener una conexión segura con el portal durante la sesión
 El cliente de VPN SSL cliente to site también debe soportar dispositivos móviles (IOS y android).
 Debe poseer mecanismos de chequeo de conformidades del dispositivo remoto. Este chequeo debe
permitir verificar como mínimo las siguientes informaciones:
 Sistema operacional y nivel de parcheo
 Antivirus y versión instalada
 Firewall de host
 Cifrado de disco
 Agente DLP instalado
 Backup de disco
 Llaves en el registro
 Procesos activos
La solución debe proveer una opción en el cliente remoto de escoger manualmente el Gateway de VPN y de forma
automática a través de la mejor respuesta entre los gateways disponibles con base al más rápido.
Debe poseer la capacidad de identificar el origen de conexión de VPN si es interna o externa.
CONSOLA DE ADMINISTRACION Y MONITOREO
La solución debe centralizar la administración de Reglas y políticas del clúster, usando una única interfaz de
administración.
La administración de la solución debe soportar acceso vía SSH, cliente WEB (HTTPS) y API abierta.
La administración debe permitir/hacer:
 Creación y administración de políticas de firewall y control de aplicaciones
 Creación y administración de políticas de IPS y Anti-Spyware
 Creación y administración de políticas de filtro de URL
 Monitoreo de logs
 Herramientas de investigación de logs
 Debugging
 Captura de paquetes.
Debe permitir el acceso concurrente de administradores.
Debe tener un mecanismo de búsqueda de comandos de administración vía SSH, facilitando la localización de los
comandos.
Debe tener un mecanismo de búsqueda de comandos de administración vía SSH, facilitando la localización de los
comandos.
Debe permitir usar palabras clave y distintos tags de colores para facilitar la identificación de Reglas.
Debe permitir monitorear vía SNMP fallas en el hardware, inserción o remoción de fuentes, discos y ventiladores,
uso de recursos por número elevado de sesiones, número de túneles establecidos de VPN cliente-to-site, porcentaje
de utilización en referencia entre otras.
Debe permitir el bloqueo de alteraciones, en el caso de acceso simultaneo de dos o más administradores.
Debe permitir la definición de perfiles de acceso a la consola con permisos granulares como: acceso de escritura,
acceso de lectura, creación de usuarios, alteración de configuraciones.
Debe permitir la autenticación integrada con Microsoft Active Directory y servidor Radius.
Debe poder atribuir secuencialmente un número a cada regla de firewall, NAT, QOS y Reglas de DOS.
Debe permitir la creación de reglas que estén activas en un horario definido.
Debe permitir la creación de Reglas con fecha de expiración.
Debe poder realizar un backup de las configuraciones y rollback de configuración para la última configuración
salvada.
66
DISPONIBILIDAD
Debe poseer la habilidad del upgrade vía SCP, TFTP e interfaz de administración.
Debe permitir la validación de las políticas, avisando cuando haya reglas que ofusquen o tengan conflicto con otras
(shadowing).
Debe tener la capacidad de visualizar y comparar configuraciones actuales, anteriores y configuraciones más
antiguas.
Debe posibilitar la integración con otras soluciones de SIEM del mercado.
Debe permitirá la generación de logs de auditoria detallados, informando la configuración realizada, el
administrador que la realizo y el horario de la alteración.
Deberá tener la capacidad de generar un gráfico que permita visualizar los cambios en la utilización de aplicaciones
en la red en lo que se refiere a un período de tiempo anterior, para permitir comparar los diferentes consumos
realizados por las aplicaciones en el tiempo presente con relación al pasado.
Debe permitir la generación de mapas geográficos en tiempo real para la visualización de orígenes y destinos del
tráfico generado en la institución.
Debe proveer resúmenes con la vista correlacionada de aplicaciones, amenazas (IPS, Antispyware) URLs y filtro
de archivos, para un mejor diagnóstico y respuesta a incidentes.
La administración de la solución debe posibilitar la recolección de estadísticas de todo el tráfico que pasa por los
dispositivos de seguridad
Debe proveer resúmenes de utilización de los recursos por aplicaciones, amenazas (IPS, Anti-Spyware y antivirus
de la solución), etc
Debe proveer de una visualización sumarizada de todas las aplicaciones, amenazas (IPS, Antivirus e Anti-Spyware)
y URLs que pasan por la solución
Debe poseer un mecanismo "Drill-Down" para navegación por los resúmenes en tiempo real
En las listas de "Drill-Down", debe ser posible identificar el usuario que ha determinado el acceso
Debe ser posible exportar los logs en CSV
Deberá ser posible acceder al equipamiento a aplicar configuraciones durante momentos donde el tráfico sea muy
alto y la CPU y memoria del equipamiento este siendo totalmente utilizada.
Debe tener rotación de logs
Debe tener presentar las informaciones, de forma histórica y en tiempo real (actualizado de forma automática y
continua cada 1 minuto).
Debe mostrar el estatus del dispositivo y del cluster.
Debe poder mostrar las principales aplicaciones por riesgo.
Debe poder mostrar el número de sesiones simultáneas.
Debe poder mostrar el estado de las interfaces.
Debe poder mostrar el uso de CPU.
Generación de reportes. Como mínimo los siguientes reportes deben poder ser generados:
 Resumen gráfico de las aplicaciones utilizadas
 Principales aplicaciones por utilización de ancho de banda de entrada y salida
 Principales aplicaciones por tasa de transferencia en bytes
 Principales hosts por número de amenazas identificadas
 Actividades de un usuario específico y grupo de usuarios del AD/LDAP, incluyendo aplicaciones
accedidas y amenazas (IPS, y Anti-Spyware), de red vinculadas a este tráfico
Debe permitir la creación de reportes personalizados.
La solución debe permitir realizar búsqueda de criterios del log debe ser posible incluir múltiples entradas (ej. 10
redes e IP’s distintas; servicios HTTP, HTTPS y SMTP), excepto en el campo horario, donde debe ser posible
definir un rango de tiempo como criterio de búsqueda.
Generar alertas automáticas vía:
 Email
 SNMP
 Syslog
67
DISPONIBILIDAD
La solución debe permitir a través de API-XML (Application Program Interface) la integración con sistemas
existentes en el ambiente de contratación de forma que posibilite que aplicaciones desarrolladas por el cliente
puedan interactuar en tiempo real con la solución permitiendo así que Reglas y políticas de seguridad puedan ser
modificadas por estas aplicaciones con la utilización de scripts en lenguajes de programación como Perl o PHP.
La solución debe estar como líder en el cuadrante de Gartner
Se desea que la solución pueda integrase con soluciones de terceros tales como
 Solución de para protección de puntos finales
 Solución de gestión de vulnerabilidades
 Solución de administración de dispositivos móviles
 Solución de correlacionado de eventos
 Solución de conectividad inalámbrica
 Solución de seguridad perimetrales
 Soluciones de virualizaciones
 Solucciones de gestión de privilegios
68

Practica 10

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Practica 10

Cargado por

Copyright:

Formatos disponibles

LOTE I - HARDWARE Y SOFTWARE PARA LA

 Debe incluir soporte local por 1 año con un tiempo de respuesta de

Autorizaciones y  Los oferentes deberán proveer documentación de cada fabricante de

 El oferente debe incluir una carta del fabricante donde se indique

 Los oferentes deben incluir la carta del fabricante donde se indique

Debe incluirse y describirse explícitamente la asignación de un gerente de

Plan de Trabajo Debe incluirse y describirse explícitamente el Project Plan en formato de

Elaborar y definir las Políticas, Normas y Procedimientos de seguridad que

 Definir la estructura de seguridad a lo largo y ancho de la Empresa que debe

Definir el proceso de seguridad informática y de atención de incidentes, así

Elaborar y definir de procedimientos para administradores:

Elaborar y definir el plan con los requerimientos funcionales mediante los

Con base en el análisis de riesgo, llevar a cabo un análisis, selección y diseño

Diagnóstico del cumplimiento Entregables

Plan de Continuidad de Información y Tecnología

Permitir a los clientes compartir la misma infraestructura virtual entre grupos

 La solución debe proveer un servidor de llaves de cifrado (key management

Fácil de implementación La solución no debe ser compleja al momento de implementar

Capacidad para generar reportes, de actividad de acceso y cambios de la interface de

La solución puede crear políticas basadas en servicios de grupos de directorios, y ser

Detección, Filtrado y Protección:

Debe incluir exploración con credenciales y sin credenciales. También la utilización

Estatus del análisis o exploración

SOLUCIÓN PARA PROTECCIÓN DE CORREO ELECTRÓNICO EN LA NUBE

La solución deberá proveer un módulo complementario que ofrece servicios en la

La solución debe tener la capacidad de retener mensajes adjuntos hasta que se

 La solución debe ser capaz de analizar los mensajes que contengan

La solución deber ser capacidad de realizar gráficos de amenazas de basada

 Ataques dirigidos a la infraestructura

La solución debe proveer la protección de correo electrónico tomando como

 Soporta ruteo de tráfico asimetrico

Soporta monitoreo, proteccion, decodificacion y analisis de ataques independente a Sistemas Operativos

Soporta los siguientes tipos de ataques:

 Códigos Polimórficos (Polymorphic Shellcode).

Protocol Tunneling - análisis y decodificacion de protocolos encapsulados en el tráfico:

Vulnerability Based Signatures – firmas basadas en vulnerabilidades, permitiendo el monitoreo, protección,

Monitoreo, protección, decodificacion y análisis basado en puntaje de reputación (Score Reputation) de

 8-12 Network I/O Expansion Module (without Built-In Fail-Open)

Consola de Administración por separado al appliance o sensor de monitoreo

Se desea poder integrar la solución de IPS con la de Proteccion de Puntos Finales.

3. Autenticación RADIUS: usuarios y administradores importados/integrados con servidor RADIUS, permitiendo:

PAP (Password Authentication Protocol)

Con el fin de controlar el tráfico y aplicaciones cuyo consumo puede ser

Integración y Capacidades Técnicas (Perfilamiento)

La solución debe tener la capacidad de integrarse bidireccionalmente con soluciones de vulnerability

Debe integrarse con soluciones de terceros tales como

 Consola deberá dispones de una consola Web (Https) para la geston

Deberá permitir agregar varios usuarios de tipo administrador global, administrador

 La consola deberá conectarse al sitio de actualizaciones de forma automática

 Deberá mostrar el status de cuando se está bajando las actualizaciones y el

Se desear tener la capacidad de agrupamiento y clasificaciones por

 Deberá integrarse con el active directory teniendo las propiedades de

 Deberá replicar de forma manual o automática a través de tareas el software

 Proveer reportes predefinidos para cada producto y la capacidad de

PROTECCION DE PUNTOS FINALES

 La solución debe tener la capacidad de proveer visibilidad en todas las

Protección contra La solución deberá tener firmas de protección y bloqueo proactivo de

La solución debera proveer funcionabilidades de firewall tanto para servidores como

Capacidad de configurar el performance, en base a porcentajes, que el escaneo

El motor de exploración deberá utilizar distintas tecnologías de detección antivirus:

Debe ser administrado remotamente en su totalidad por la Consola Centralizada de

Personalizacion de tableros de mando (DASHBOARD) interactivos para visualizaciongrafica de la informacion

Monitoreo ymapa transaccional de las aplicaciones