BANWIBRAS BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS $.N.C APCT-FIO1.Anexo Técnico Multiservicios Administrados de Comunicaciones | (MAC 1) MAAGTICSI APCT - Administracién det Presupuesto y las Contrataciones Formato basado en los Factores Criticos Exito del Proceso APCT de MAAGTIC-SI Version del formato de la DTIC: 20, Fecha: 11/12/2020BANCO: Pept DE OBRAS Y SERVICIOS PUBLICOS S.N.C. Hoja 2dens DIRECCION GENERAL ADJUNTA DE ADMINISTRACION | Proceso. ‘APCT VHACIENDA, | oineccion De TECNOLOGIAS OE INFORMACION Y [recht ae COMUNICACIONES losoracen | 79797200 BANDERA eens AS Multiservicios Administrados de Comunicaciones I (MAC I) feat pes coor indice L GLOSARIO... 2. OBJETIVO GENERAL. OBJETIVOS ESPECIFICOS. Sa. 52. 6. 61. 7. ‘72. NECESIDAD A SER CUBIERTA... Beneficios esperados... Arquitectura propuesta.. ALCANCE Vigencia Roles y responsabilidades. Calidad wenn Lugar para la prestacién de servicio: 25 Cronograma.... REQUERIMIENTOS, Requerimientos técnico: PARTIDA 1 - SERVI. Servicio de red WAN e Internet..BANCO ectee, DE OBRAS Y SERVICIOS Lt S.N.C. Hoje 3deN3 DIRECCION GENERAL ADJUNTA OF AOMINISTRACION Pe @ACIENDA | pjzcccion DE TECNOLOGIAS DE INFORMACION v --prcesse _|__APCT COMUNICACIONES weet de | zayoorc21 BANWIBRAS eed baci neces eT Fee dal process ASCT Multiservicios Administrados de Comunicaciones | (MAC 1) ie-2020 7111. Enlaces MPLS... eae 7112, Enlaces LAN to LAN 30 7133, Enlaces de internet dedicado. TAA. Servicio Antiddos.. 7AIS. Routers. 7416. Herramienta de Monitoreo... TALI. Syslog 7118. Servicios bajo dernanda 712 PARTIDA2~ SERV2. Servicio de Seguridad Perimetral... 7121 Next Generation Firewall... eteees AZZ IPSoumse 7123 Analizador de trafico. 712.4 Correlacionador de eventos 7125 Switches... 71.26 Servidor Radius 7127 UPS.. 7128 Servicios bajo demanda...... TAS PARTIDA3~-SERV3, Servicio bajo demanda para scuipamiento para la conectividad a la Red Financiera z 31 7.2. Requerimientos funcionales.. 721. Requerimientos de Implementacién.... PZ. PlaneactOn smn : 7242. — Instalacién y puesta a punto 7213. Transicién. 722. Perfildel Licitante.. 7.23.__ Servicios Administrados. 7231. Project Management. 7232, Mesa de Servicio 7233, NOC. 7234 SOC. Tipo de Cambio... Definicién.. Tiempo de Solucién. Urgente. realiza para reparar lo antes posible una falla en algan servicio o que por su naturaleza pueden derivarse de un incidente o de un problema que afecte los, niveles de servicio comprometides y cuye aplicacién de un cambio... Son todos los cambios a un componente de infraestructura de seguridad que se \BANCO NACIONAL DE OBRAS Y SERVICIOS pOsuces S.N.C. Hoja 4de13 Binec ein cotena, ApuUNTA OE AMINE TAcIoN cease Sawer HACIENDA, | oireccibN DE TECNOLOGIAS DE INFORMACION ¥ |e a COMUNTCACIONES sateen BANWIBRAS ABELED badoen mtnnmswteemeronmanee | Anexo Técnico ctrados de Comunicaciones | (MAC 1) no ae SLA del node... sannnnnnne TL Alto, wise TR Son todos los cambios a un componente de infraestructura de seguridad, los cuales implican una interrupcién sustantiva en el servicio. Con autor in de la ventana por BANOBRAS. E Stand ar ssnrsnnnnnnnsn Son todos los cambios a un componente de infraestructura de seguridad, que no Tepresentan ningtin riesgo de afectaciGn. wvrmmmmmennnene horas naturales después de Ia solicitud de BANOBRAS. 72.4, Mejor Continua.. : 724), 7.25. Marco rector de Proceso de MAAGTIC-SI 7251. 7282. Identificacion de Mei Alineacin a Proceso MAAGTIC-SI. Cumplimiento Normativo. 726. Entregables. cnet 7261. — Entregables de tinica VEZ ronn 7.262. _ Entregables periddicos 8, ACUERDOS DE NIVELES DE SERVICIO Y OPERACIONALES. 8.1. Acuerdos de Nivel de Servicios (SLAs) 8.2. Acuerdos de niveles de operacién entre contratos (OLAS)... 9, PENAS CONVENCIONALES Y DEDUCCIONES AL PAGO 9.1. Penas convencionales. 9.2. Deducciones al pago 10, CONFIDENCIALIDAD. Tl, LICENCIAS, AUTORIZACIONES Y PERMISOS. 12. AUDITORIA.. 13. MODELO DE PROPUESTA ECONOMICA Y FORMA DE PAGO.BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS ENE. tea [Saat DIRECCION GENERAL ADIUNTA OF ADMINISTRACION ecco fiance ES) HACIENDA | DIRECCION DE TECNOLOGIAS DE INFORMACION Y oar COMUNICACIONES mjo9n0a BANSIBRAS ABST. FO) Dassdoer ‘Anexo Técnico PoE dal rovers ADC Multiservicios Administrados de Comunicaciones | (MAC |) DIC-2020 13. Modelo de propuesta econémica.. 95, 132, Forma de pago. 14, | PROPUESTA TECNICA. 141. Presentacién de la propuesta téci 1. Lenguaje... 1412. Diagramas... 14.2. DOCUMENTACION REQUERIDA PARA LA ENTREGA DE LA PROPUESTA TECNICA. sons 9D 15.CRITERIO DE EVALUACIO! 99 16.GARANTIA DE CUMPLIMIENTO. 100 17.NORMAS DE CALIDAD (ISO), NORMAS OFICIALES, NORMAS MEXICANAS, NORMAS INTERNACIONALES. 100 18.TIPO DE CONTRATO 102 19.DENOMINACION DEL AREA ADMINISTRADORA Y TECNICA cies CONTRATO. 20. MATRIZ DE SERIVICIOS... 21.FIRMAS DE ELABORACION, REVISION Y APROBACION.GS HACIENDA |5S.N.c. BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS DE INFORMACION Y COMUNICACIONES: Hoja Edens Process APCT Fecha de elaboracién | 7008207 ‘Anexo Técnico ‘ABCT-FIGi, Basado er FCE del Proceso APCT Multiservicios Administrades de Comunicaciones I (MAC I) mine 1. Glosario Cera Tipo especifica de interaccidn entre un sujefo y un objeto que resulte en el flujo de Informacién de uno a otro. Es el privlegio de un sujeto para utilizar un objeto, Acceso remote ‘Conexion de dos tipo de computo ubicados en ciferentes lugares fisicos por meaio Ge lineas de comunicacién ya sean telefénicas o por medio de redes de area amplia que ppermiten el acceso de aplicaciones e informacién de le red. Este tipo de acceso rnormalmenta viene acompaftado de un sistems robusto de autenticacion, ‘Administracién Es el conjunto de tareas y responsabilidades que son nocasarias con respecto @ un recurso Informatico para mantenerlo en condiciones apropiadas de funcionamiento y de prestacién de servicio considerande aspectos que incluyen, pero no se limitan & Fendimiento, seguimiento, seguridad, control de usuarics, definicion de niveles de usoy de acceso, ‘Administrador dal Titular de [a Direccion de Tecnologias de Informacion y Comunicaciones Tiene bajo su responsabilidad, indivicual 0 en conjunto con otros administradores, la administracién Soe: de Uno 0 varios servicios y/o recursos Informaticas. z RamiyaTaaST | rar de Subdeccon de Operactn « ntaesvuctura de Tamia y opera peat Ties de ltermadlon escivos octconices Ate iniea | Capsckad cd os equipo sonics informatics ae proportonar contuided doles dep Sporcconestininteropeeoes ee Tuer de Nivel Si, eT SSCs ST Wi eanis BOIS y Ba Sree iu satin sve caltad Genser ew oa Mexicana de Valores, BANOBEAS © | sanco nacional de Obasy Senos PUDCOS ENG | — ance do enico eer ee a ead Diep cube ibe oan til Eun niaty Pore eee rn eee ‘seguridad, energia elsctrce y demés que preservan el funcionamiento y continuidad de los equipes alojados. Centro de datos ‘Se denomina cantro da dates altemno (CDA) a aquella ubieacién donde se concentran los recursos necesarios para el procesamiento de la informacién de una organizacicn Operacion de Seguridad (SCC) altemno {que se usa indistintamente para: sistemas productivos, pruebas de calidad en caso de desastro. i aaa Ge | Central responsable de monitorear las redes en funciGn de alarmas o condiciones que" Fe an de “S| requieran atencion especial para evitar el impacto negativo en el rengimiento de le | pan (od) reds y [a afectacion del servicio # los usuarios finales. NOC: Siglas en inglés de Network Operation Center Canis ae Central de seguridad informatica que previene, monitorea y controia la seguridad en las, redes y en Internet. SOC, siglas en inglés de Security Operations Center. cmp Configuration Management Data Base. cNBV CComisi6n Nacional Bancaria y de Valores. Componente | Digpositivos internos 0 extarnas que conforman un equipe de cémputo. Maquina que puede ser programeds para manipuler simBols. Las computadoras: Computadora | Pueden realizar con rapidez, precision y conflabiidad, tareas complejes y repetitvas, ‘simismo, pueden almacenar y manejar grandes cantidades de datos. La computedora se basa en components fsicos hardware, que corresponden a circuitos elactrSnicos Ge.BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS Hoja Tde 13 SS HacrENDA | SNC. ; Proceso | APCT sammesncraseerens | DIRECCION GENERAL ADJUNTA DE ADMINISTRACION BAN@IBRAS DIRECCION DE TECNOLOGIAS DE INFORMACION v] Fechede | ssen/0n COMUNICACIONES, alaborscion. ‘Anexo Técnico Multiservicios Administrados de Comunicaciones | (MAC I) ‘ABCT-Fi0i, basado er: FCE del Proceso APCT ‘DIc-2020 Te unided central de proceso, dlepostinos de entrada y selda de datos y de almacenamiento © memoria. Asi como de software, los cuales son programas que indican 2 la computadora quo tiene que hacer. Computadora personal microcomputadora de propésito general para ser operada por una sola persona a avez Contingencia Evento de fallas técnicas 0 de caso fortuito © de fuerza mayor para los servicios infocméticos y que puede interrumpir el servicio. lick Fraud Bractica fraudulenta que afecta & los modelos de negocio bassdos en el Coste por cic (CPC). Ocurre cuando, acordado este sistema de pago, se intenta engaviar al sistema 'generando clits falsos en los formatos publicitarios para obtener as! beneticios Ee Custorner Premises Equipment, por sus siglas en inglés, el Equipo Local del Cliente &5 tun equipo de telecomunicaciones usdo tanto en interiores como en exteriores pare originar, encaminar o terminar una comunicacién. El equipo puede proveer una combinacién de servicios inciuyendo datos, voz, video y un host de aplicaciones multimedia interactivos. Disponibilidad La caracterstice de la informacion de permanecer accesible pare su uso Cuando astlo requieran individuos 0 procesos autorizados. Drive-by downloads Es una técnica ullizade por cibercelincuentes 6h [2 que Un soRWare maliciosS (malware) so nstala en un equipo con el sole hecho de visitar una pagina en Internet ‘que esté infectada por este tipo de emenaze Eneripeién Firewall (FW) ES.n proceso pare convertir la informacion e un formato mss Seauro, En otras palabras, los datos que estén en un formato claro, 0 sea entendible, se convierten mediante un proceso maternstice a un formato encriptado o codificado, o sea ininteligible. Una vez ‘que liegan a su destino, se decodifican para poder sar tegibles de nuevo, se desenecriptan, La eriptogratia se define como la técnica de acultacién de informacion mediante (a odificacion de contenides; el término proviene del griego kruptas’ que signifies ‘eculto: LL encripcién consiste en aplicar una serie de operaciones mateméticas (algoritmo) Lun texto legible, para convertrio en algo totalmente inintelgible, Dispostivo de seguridad perimetral HW Hardware. Inmuebie ‘Oficinas de BANOBRAS que se encuenivan ubleadss en la Cludad de México, area metropolitana y en el interior de la Republica [ips Sistema de Pravencién de Intrusos (Intrusion Prevention System, LaassP, Ley de Adquisiciones, arrandamientes y Servicios del Sector Publico, LAN Local Area Network, Red de Area Local Ucanciamiento E5_un contrato en donde se proveen clertos permisos como el de Instalacién, uso del software (ne la propiedad), modificacion del mismo, redistribucién, entre otros, junto a posibles condiciones como la prohibicién a la Ingenieria inverse 0 la prohibicion a la moditicacién de la licencia a redistribuir, Manual Administrativo de Aplicacion General en Materia da Tecnologias de le MAAGTICS! Informacién y Comunicaciones, en la de Seguridad dela Informacion me El equipo soporta la caracteristica, esté Incluida en Ia propussta y al arranque de a {i operacién, at Mes: ‘Acténimo de Mesa Especializada de Servicios Tiglas_de Muliprotecol Label Switching WBIS, Conmutacion de Etiquetas ‘Multiprotocolo as un mecanismo de transporte de datos estander creado por la IETF y Mate efinido en el RFCEOSI. Opera entre la capa de enlace de datos y la capa de red del modelo St, Fue disefado pare unificar el servicio de transporte de datos para las redes basadas on circuitos y las basadas en paquetes. Puede ser utlizado para transportar: diforantes tipos de trafico,Incluyendo trafico de vo2 y de paquates IP. ‘ SB ‘Mesa de Servicios de BANOBRAS ba Nodocableade | Punto de Interconexion con la red local a avés de cableado estructurado, Es el punto | donde se conectan dispositives a la red. . asBANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS |___tHoja eden @ HactENDA |5Ne. Proceso | — aper AEE sommererwcrmiranernee | OIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS DE INFORMACION y| fechede ‘29/09/2021 COMUNICACIONES elaboracién ‘ABCT-FioT, Based en: "Anexo Técnico Muktiservicios Administrados de Comunicaciones | (MAC 1) reo ae Sialas en inslés Ge Service Level Agreement, Acuerdo Ge nivel de servo, Un acuerdo Niveles de Servicio | de nivel de servicio es un contrato entre un lictante de servicios y sus clientes internos Gua) © externos que documenta. qué servicios proporcionaré el licitante y define los lesténdares de servicio que al lcitante esté obligado a cumeli. Un ping de ia muerte es un tipo de ataque enviado a una computadora que consete en Ping dela muerte | mandar numerosos paquetes ICMP muy grandes (mayores a 65535 bytes) con el in de. ccolapsar el sistema atacaclo Ueitante Persona que participe en el procedimiento de contratacién Pt Project Management Institute. Instituto para la Administracién de Proyectos. Pwo Project Management Olice, Oficina de Administracién de Proyectos. Ticitante _ peed Persona que colebre contratos de prestacién de servicios MAC | Son scuerdss Ge nivel oparacional por sus del inglés Operational Level Agreement ia foua) a Procesamiento _ | Conjunto de operaciones que un ordenador realiza partiendo de un programa, Tp configurecion, pruebas y Mberacién @ produccion de: un equipo de compute yo Comunicaciones, periféico, particién de sistema operativo, software o cualquier otto Puestaa punto | componente de la solucién ofertada, Tal que opare de manera éptima conforme a las ‘especificaciones del fabricante soportando en su totalidad los requerimientos de BANOBRAS. Se refiere a la Conactividad privada de BANOBRAS con la Red do la Boles Mexicana de Valores (2) y el Banco de México (BANKICO), Reporte recibido en Ia Mesa de Servicios por cualquiera de los medios de contacto yque Red Financiere Seas puede clasficarse como una solletud o un ineldente, Es una copia de seguridad’ - 0! proceso de copra de seguridad con elfin de que estes Respaldes ‘copias adicionales puedan uitizarse para restaurar el original despues de una eventual eérdida de datos parcial o total. Router Equipo de telecomunicaciones capa 3 que se encarga de a Interconexion de uno o mas segmentes de red fisicos yi6gicos y su comunicacién en base a tablas de ruteo de IP. Red Privada Virtual. Tecnologia de red que permite una conexion segure de red de {rea local (LAN) sobre una red pablica 0 no controlada como intemet, Permite que le red Privada | COmPUtadora conectada a la red envie y reciba datos sobre redes compartidas 0 aie pblicas como si fuere una red privada con la funcionalidad, seguridad y poiticas de ‘gestién de une red privads, Esto se realiza estableciendo una conexién virtual punto a unto mediante el Uso de conexlones decicadas, cfrado 0 la combinacion de ambos ‘métodos. En inglés VPN Virtual Private Network, Software que actia de interfaz entre los dispasitivos de hardware y Tos programas Sistema operative | usados por el usuario para manejar un equipo de cémputo. Ejemplos: Windows, UNI Unux Conjunto de reglas y pracedimmientos splicacos 8 un grupo de datos Con e) fin de oe ‘de | archivar, ordener, clasificar y obtener la informacién de acuerdo a los objetivos del informacion ~~ | ache Software disponible dent's del Banco pare a Gesemnpetio'y apayo oh las funciones dal sistemas mismo, que zon adminisvradas por la Subsireceén de Solucones Teenolégicas, cde instRtuclonates | Informacién soporte ib operecion del negocio. por lo que. so gafantzars CT cualquier dafio derivado de percances y accidentes en los inmuebles de BANOBRAS durante fa instalacion, puesta a punto y cambio en los servicios a lo largo de la vigencia del servicio. Todas las caracteristicas técnicas descritas son enunciativas més no limitativas, A partir del inicio de la vigencia del servicio, el licitante adjudicado iniciaré las actividades nnecesarias para ia implementacién de uno 0 varios servicios descritos en cada partida, para el 0 los Inmuebles donde sea requerido el servicio. Durante la migracién de servicios BANOBRAS solicitara al proveedor actual la interconexin entre su infraestructura y la del Licitante adjudicado, con el propésito de no impactar la continuidad operativa de los servicios. 61. Vigen La vigencia de los servicios seré de 36 meses, contados a partir del dia habil siguiente a la notificacién del fallo. 6.2. Roles y responsabilidades Sen eng Seen aera ed crete’ rerio aaa : Service Manager 1 | Responsable deta administracon operativadel |S ee gel | cm proveedor. Responsable del seguimiento para el] Service anager por 2 |cumplimiento de las obligaciones | None Peat contractuales ea Bersonal Dar cumplimiento a lo descrito en el presente | 5°25, y de | Supervision 3 | anexo técnico, para el otorgamiento de los | 2819890 Y 88 | nor parte de servicios descritos en una o todas las partidas. | 2Uerdo al Perfil) [sry | requerido. Responsabilidades del licitante adjudicado \ A continuacién se enuncian las responsabilidades del licitante adjudicado, de manera enunciativa, mas no limnitativa. 2) Cumplimento a lo descrito en el presente Anexo Técnico para la prestacién de los servicios de una o todas las partidas. b) Atencién de los incidentes y solicitudes derivados de el o los servicios otorgados. c} Cumplimiento de los niveles de servicio para otorgamiento de una o todas las partidas.BANCO NACIONAL DE OBRAS ¥ SERVICIOS PUBLICOS | __ rola aes se HACIENDA | S.N.C. Proceso APCT ke DIRECCION GENERAL ADJUNTA DE ADMINISTRACION rag BANWIBRAS [DIRECCION “De TECNOLOGIAS DE INFORMACION | _Fechade | solospen AN TIBRAS | co UNICACIONES estoetn eae aaa ‘APET-FION, basado on: x i FCE dal Proceso APCT Multiservicios Administrados de Comunicaciones ! (MAC 1) er d) Elaseguramiento de la infraestructura que proporcione lo servicios requeridos en el presente Anexo Técnico en caso de desastre natural, accidente 0 robo, para otorgamiento de una o todas las partidas. Responsabilidades de BANOBRAS, a través del Administrador Operativo del Contrato de la DTIC. 2) Verificacién del cumplimiento 2 lo descrito en el presente Anexo Técnico. b) Verificacién del cumplimiento de cada uno de los servicios. ©) Verificacién técnica y administrativa de los todos los entregables. 4d) Emision de constancia de Aceptacién de Servicios para el proceso de pago. 63. Calidad Conforme al articulo 53 de la Ley de Adquisiciones Arrendamientos y Servicios del Sector Publico, el licitante adjudicado se obliga a prestar los servicios de una 0 varias partidas 2 entera satisfaccién de BANOBRA: .or lo que, el "Proveedor” esponderd de los defectos y vicios ocultos que afecten la calidad de los bienes y servicios en cuestin, asf como a responder de cualquier otra responsabilidad en que hubiere incurrido, en los términos sefialados en el Contrato y en el Cédigo Civil Federal Asimismo, el licitante adjudicado debera cumplir con compromises y niveles de servicio que se detallan en el presente anexo técnico, para una o todas las partidas que resulte adjudicado. 6.4. cory ee Lugar para la prestacién de servicios Peery Nei | Edificio Santa Fe ‘Javier Barros Sierra No. SIS, Col. Lomas de Santa Fe, ‘Avvaro Obregén 01219 Ciudad de Mexico, ‘Salida Internet Centralizada| {cor | koauerstare al | nstalaciones del ctante adjudicado, 1 ‘Corrada de la Princesa No. 4 PB, Parque Industral el Waves tao vero oe a ¥ \ ‘Av. San Jernimo 477, Col. Tizapén San Angel, Alvaro. \ ‘Obregén 01090, Cludad de México. Po2 | Po_santa Fe ‘Ay. Santa Fe 485, Col. Gruz Manca, Cualimalpa, Ciudad de México " y Witla No. 394 Col. Narvarte, Benito Juarez 08020) nes Gena Ciudad de México, 6BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS Hoje 24 de 113 SNC, Process Apct DIRECCION GENERAL ADIUNTA DE ADMINISTRACION DIRECCIGN DE TECNOLOGIAS DE INFORMACION Y 29/09/2021 COMUNICACIONES ‘Anexo Técnico RECT a based oe Multizervicios Administrados de Comunicaciones | (MAC 1) cans Cy Domiciio Col. EI Practo 76030 Querétaro, Qro, ‘y eae Renner er eee ee reo 2 [romeo [Bulges tn ee om 0s fcomecne Seas oe feneme Bah Sis rie A ties oo Sie eo is TC TD oe [eo Sian tao * eS int ao cvin BW BT fon [ecosemscco [aaa met sss” [oa [owns as oe AO Fw ee oy [tt Shears Be BF Pe St Slee Sats ie Me SE oe ar wr | Nayarit ee Dardines de | 0 [minotan ee 2 [omc Gnas ae Yee ‘020 | Puebla Teziutlén Sur No. 36 Col, La Paz 72160, Puebla, Pue, .@ HACIENDA, BANWBRAS BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS | __Hae aes SNC. : Proceso: APCT DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS “DE INFORMACION | Fechade | seoscm COMUNICACIONES: Anexo Técnico ‘ABCT-Fiot, basado are Multiservicios Administrados de Comunicaciones | (MAC |) ee Eee aay Dic-2020 cad ‘Av. Heroes. No. 12 Col, Centro 77000, Chetumal, 022 | Quintana Roo eae + ‘Ay, Santos Degollade No. 900, Col. Tequisqulapan 23 | San Luis Potosi "78230, San Luis Potesf, SLP. ‘Ay. Insurgentes No. 1221 Sur Torre las Américas piso 7 024 |Sinsloa Col, Centro 80000 Culiacén Sin. ) Blvd Eusebio Quino No 309 Bait La Torre de’ 1025 | Sonora Hermosillo piso 12 Col Country Club &3010, Harmosillo,Son. ‘Ay, Gregorio Méndez No, 1514 Col. Jests Garcia 86040 Dee (arate Villahermosa, Tab, Calle 10 y 72 Bive. Adolfo Lépez Mateos No. 635 Frac, 327 | Temeulipes Valle de Aguayo 87020, Ca. Victorie, Tarnps. Ay. Orleabs No. 131 Col, Obrere campesina S100 Dae [Veracruz Jelapa, Ver. Calle 39 #265 por 38 y 36 Entrecalle 36 y 38, Colonia 29 | Yucatan Francisco de Montejo V Etapa,CP.97203 MERIDA, YUCATAN. Wi, de te Constitueion No, 4 Cal, Lomas de Te B30 | Zacatecas Soledad 98040, Zacatecas, Zac. 65. Forma y términos en que se realizard la verificacién y aceptaci6n del servicio. Con fundamento en el Liltimo parrafo del articulo 84 ultimo parrafo del Reglamento de la LAASSD, se realizar la verificacién de las especificaciones, de acuerdo a la documentacién que ol licitante adjudicado debe entregar para cornprobar la prestacién del servicio de una © todas las partidas y dentro dei piazo establecido. El Servidor Publice facultado para recibir los servicios (Administrador Operativo del determinar los incumplimientos en el caso de los servicios, asi como de hacer cumplit fos Contrato}, serd el responsable de su aceptacién a satisfaccién, su devolucién 0 rechazo y de t plazos que se establezcan pare tales efectos, serd el personal designado por BANOBRAS. Los documentos entregables definidos en el presente anexo técnico para una o todas | partidias, deberén cumplir en su totalidad con lo descrito en el presente anexo técnico pat! determinar la aceptacién de los servicios de cada partida. 6.6. Cronograma yr Considerando el escenario descrito en el numeral 611 Vigencia, del presente anexo técnico) el licitante deberé tomar como referencia el siguiente cronograma, tanto para la presentacién de su propuesta como para la prestacién de los servicios descritos en una o todas las partidas:S.N.C. & HACIENDA “err | DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION COMUNICACIONES BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS| Hoja 260013, Proceso ‘ApcT DE TECNOLOGIAS DE INFORMACION | (Feehede. | zejosroat “Anexo Técnico Multiservicios Administrados de Comunicaciones | (MAC I) Dea “ABET-FIO}, Based on ECE del Proceso APCT ’. Requerimientos A continuacién, se enuncian las Partidas que integran los Multiservicios Administrados de Comunicaciones | (MAC 1), mismas que serén adjudicadas por partida. al : Baa PARTIDA1- SERVI. Servicio de red WAN e Internet. Ee Servicio de red de érea amplia pare la conectividad de oficinas centrales, centro de datos, puntos operatives y oficinas de promocién; asi como servicio de Internet para atender los requerimientos operatives de las areas de negocio, asf con otras instituciones bancarias, entre otros. PARTIDA 2—SERV3, Servicio de Seguridad Perimetral Servicio requerido para brindar proteccién en el perimetro de la red institucional, ante las vulnerabilidades provenientes del exterior y ataques enfocados a los servicios de la institucin PARTIDA 3 - SERVS. Servicio bajo dernanda para equipamiento para a conectividad a la Red Financiere Servicio bajo demanda para equipamiento de la conectividad de BANOBRAS ala Red Financiera i A partir del inicio de vigencia del servicio, el licitante adjudicado iniciaré las actividades necesarias para proveer los servicios administrados en cada uno de fos nodos (inmuebles} { indicados en la Matriz de Servicios y aquellos que se incorporen durante Ia vigencia del contrato, considerando que, a partir del dfa habil siguiente de la notificacién del fallo, se llevara a cabo por parte del lcitante adjudicade el proceso de implementacion y migraciog, de los servicios requeridos por BANOBRAS, quien realizaré la revision y validacion de lo servicios que el licitante adjudicado entregue. A partir del inicio de la vigencia, serél responsabilidad del licitante adjudicado mantener en todo momento ia continuidad coperativa, cumpliende con los niveles de servicios establecidos y procurando el uso eficienteBANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS Hoja dels SNC. Proceso APCT DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS DE INFORMACION | ,Fechade | ei2/2cz1 COMUNICACIONES ion ‘Anexo Técnico Multiservicios Administrados de Comunicaciones 1 (MAC I) ABCT-FIGi, basado en FCE del Proceso APCT Ic-2020 de los recursos de comunicaciones, asi como de enrutar desde el sitio origen hasta el sitio destino el trafico de voz, datos o video que se genere en las redes de 4rea local de cada sitio, Requerimientos técnicos Para la prestacién de los servicios correspondientes a cada una de las particas descritas anteriormentes, el licitante adjudicado debera considerar los siguiente: a) El hardware (incluyendo tarjetas de red, transeivers, cables de stack, etc}, software, licenciamiento, infraestructura principal, infraestructura auxiliar, medios, cableado para la interconexién de sus servicios, instalaciones, adecuaciones de instalaciones complementarias, como los son acometida, canaletas, panel de parcheos, bastidor 0 rack (en caso de aplicar) en donde se instalen los equipos del licitante adjudicade, sin costo adicional para BANOBRAS; b) Todo el hardware, software y licenciamiento que se proporcione para la prestacién de los servicios, deberd ser nuevo y quedara bajo operacién y responsabilidad del licitante adjudicado ante cualquier eventualidad 0 contingencia imputable al mismo, como puede ser, falla por configuraciones erréneas, falla por defectos de! hardware, asi como fallas derivadas por defectos de software. ©) Todala infraestructura utilizada para la prestacién de los servicios ser propiedad del licitante adjudicado, excepto el cableado estructurado ya existente, infraestructura auxiliar ¢ infraestructura identificada como propia de BANOBRAS, ademds aquella que se hubiera suministrado bajo el concepto de pago tinico. ) En caso de obsolescencia 0 cualquier causa que impida brindar los servicios con fos niveles de atenci6n por pertida, 10s equipos o soluciones utilizados por el proveedor, y en general todo el equipamiento y software que incluya el proveedor en su propuesta, deberd ser sustituido por uno de nueva tecnologia, sin costo adicional para BANOBRAS. e) Los equipos ofrecidos para cada una de las partidas, no deberan llegar a su end of life nia su end of suppport durante la vigencia de! contrato, en caso de hacerlo, el licitante adjudicado deberé sustituir el equipo por uno que atin se encuentre dentro del end of life y end of support. El equipo sustituto deberd contar con caracteristicas y capacidades iguales o superiores al equipo a sustituir. f) El rendimiento (uso de cpu y memoria) de los equipes no deberé superar un promedio mayor al 85 %, durante 5 dias habiles consecutivos, en caso de hacerlo, licitante adjudicado deberé ampliar la capacidad de dicho rendimiento, sin’) necesidad de cambiar por un hardware nuevo y sin costo para BANOBRAS. 9) Se deberén proporcioner las cuentas de lectura que BANOBRAS solicite, para cada uno de los elementos/servicios que conformen las partidas ly 2 del presente anexo. h) El acceso y autenticacién a todos los equipos relacionados a los servicios objeto del presente anexo técnico para las partidas 1y 2, deberd ser mediante protocolos AAA con gestion centralizada a través de un servidor Radius 0 similar proporcionado el licitante adjudicado en la partida 2. Dicha herramienta debe alertar via corre ‘cuando los usuarios administradores accedan en modo configuracién o realicen una modificacién en la configuracién. La informacién debe ser almacenada durante la vigencia del servicio para la consulta y emisién de reportes, dicho almacenamiento deberd ser proporcionado por el licitante adjudicado. j) Los eventos de todos los equipos relacionados a los servicios objeto del presente anexo técnico, deben concentrarse en un servidor Syslog proporcionado por el LBANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS Hoja 28 deN3 “8 HACIENDA | 5.N.c. Proceso | _APcT No Sevwer | DIRECCION GENERAL ADJUNTA DE ADMINISTRACION aes BANWIBRAS | SiRECcION (DE TECNOLOGIAS DE INFORMACION | _Fechade | sesaoa wz aa COMUNICACIONES ieapeteen ‘Anexo Técnico "ABCT-FIOY, Basedo ere FCE del Proceso APCT Multiservicios Administrados de Comunicaciones I (MAC I) ‘Dic 2020, licitante adjudicado para cada partida, es decir un servidor para la infraestructura y servicios de partida ly un servidor para la infraestructura y servicios de partida 2 Formard parte de la infraestructura para otorgar los servicios, para su anidlisis y solicitudes de auditoria durante la vigencia del servicio, los eventos a almacenar se definirén en conjunto con el administrador operativo del Contrate de BANOBRAS. Para nuevas versiones de sistema operativo, parches, o de cualquier actualizacién en software recomendada por el febricante para la correcta operacién de los dispositivos; la aplicacién de las actualizaciones por parte del licitante adjudicado no deberd exceder las 48 horas desde que el fabricante informa sobre la necesidad 0 conveniencia de aplicarla y deberé ser programada en caso de que afecten la disponibilidad del equipo. Si la aplicacién es urgente deberé hacerse del conocimiento y aprobacién por parte de BANOBRAS, a través del Administrador Operativo del Contrato de la DTIC, para evitar riesgos a la operacién. En ambos casos deberé estar evaluado por el licitante adjudicado y con el visto bueno por BANOBRAS, a través del Administrador Operative de! Contrato de la DTIC. 7). PARTIDA1- SERVI. Servicio de red WAN e Internet. servicio de red WAN e Internet estara divide en. jente: a Enlaces MPLS Enlaces LAN to LAN ¢) Enlaces de Internet dedicado @) Servicio de Antiddos e) Routers (CPEs) #) Herramienta de Monitoreo g) Sysiog Los servicios de enlace MPLS, enlace LAN to LAN y enlaces de Internet dedicado deberan contar con mecanismos que permitan medir el consume de ancho de banda, asf como la disponibilidad del enlace. Para los servicios de enlace LAN to LAN y enlaces de Internet dedicado, el licitante adjudicado deberd ofrecer un ancho de banda base y tener la posibilidad de crecer hasta un anche de banda "Maximo", de acuerdo a lo especificacio en la descripcién de cada tipo de enlace del numeral 7.11, denominado Enlaces MPLS. El excendente del ancho de banda base deberd cobrarse como un servicio bajo demanda. Ellicitante adjudicado deberd considerar el cambio de domicilio para dos sitios de criticidad alta durante la vigencia del contrato, los cuales. deberan ser realizados durante los 30 dias, naturales posteriores a la solicitud formal (por escrito) por perte BANOBRAS, y no implicarén un costo adicional. ‘AAA, Enlaces MPLS Enlaces de MPLS Para otorgar el servicio MPLS en los nodos sefialados en la Matriz de Servicios en ei numeral\ 20, en donde se marcan los componentes requeridos para cada uno de los nodes indicados,BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS | __Hojs DdeTs 3 HACIENDA | SNC. ae aeer DF seanonincssore | DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS DE INFORMACION | .fechede | s/eay2021 COMUNICACIONES ener “APCT-FIO}, basado ens FCE del Proceso APCT ‘BIc-2020, ‘Anexo Técnico Multiservicios Administrados de Comunicaciones | (MAC I} el licitante adjudicado deberé cumplir al menos con las caracteristicas y especificaciones técicas descritas en este apartado. n de los enlaces de MPLS a} El protocolo de enrutamiento en Ia infraestructura de MPLSy en la interconectividad con los Centros de Datos de BANOBRAS deberd mantenerse con ruteo dinémico, IBGP eBGP, BGP4 u OSPF. b) Elacceso a la infraestructura de MPLS deberd ser a través de comunicaciones punto a punto de acuerdo con el esténdar RFC4364, c} Se deberé mantener el ancho minimo requerido por BANOBRAS, deberd ser simétrico y bidireccional. a) Deberd mantener las calidades de servicio (QoS} que operan actualmente. €} Ellicitante adjudicado debera garantizar como latencia maxima de 60 ms aceptable de los enlaces. Tomando como referencia el punto central de monitoreo de la infraestructura. f) El servicio de MPLS deberd entregarse de manera cifrada, mediante el algoritmo AES-128, asi mismo, deberd contar con un protocolo de hashing SHA-2 0 SHA-256. 9) Se deberd considerar la interconexién de dos routers tipo A con ia infraestructura {propiedad cel licitante adjudicado) que brinda acceso a la infraestructura de MPLS, los cuales serén instalados en el domicilio del backbone del licitante, y no deberé generar costo adicional para BANOBRAS. fh) Los enlaces redundantes deberan entregarse por diferente ruta fisica en toda su trayectoria y configurarse en un esquema activo-activo. i) Se deberd considerar el incremento de ancho de banda de los enlaces de MPLS, de acuerdo a lo descrito para cada tipo de enlace, previa solicitud (por escrito) de BANOBRAS; para lo cual, el licitante adjudicade deber proporcionar una tabla de anchos banda, indicando el costo por cada incremento de 5 Mbps hasta llegar al valor méximo estipulado. Para el caso de los enlaces tipo D, deberd considerarse el costo del ancho de banda base, el costo de 10 Mops y el costo de 15 Mbps J) Los enlaces podrén darse de baja durante la vigencia del contrato, previa solicitud formal de BANOBRAS. Enlace MPLS Tipo A (NCSI, NCS2) \ a) Debera contar con una base de ancho de banda de 80 Mbps. b) Soportar un ancho de bands maximo de 120 Mops. ©) El servicio debera ser entregado a través de un cable de fibra con capacidad d Gbps. Enlace MPLS Tipo & (Po Santa Fe) \ a) Deberé conter con una base de ancho de banda de 40 Mbps. b) Soportar un ancho de banda maximo de 60 Mbps. <) El servicio deberé ser entregado a través de un cable de cobre con capacidad de al menos 100 Mbps.BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS Hoja ‘30.deT3 S.N.C, Proceso APCT DIRECCION GENERAL ADJUNTA DE ADMINISTRACION COMUNICACIONES elatoracién DIRECCION DE TECNOLOGIAS DE INFORMACION v| JFechade | oaosjzm ‘Anexo Técnico Multiservicios Administrados de Comunicaciones | (MAC 1) DIC-2020 Enlace MPLS Tipo C (EI Batén) a) Deberd contar con una base de ancho de banda de 20 Mbps. b) Soportar un ancho de banda maximo de 30 Mbps, ©) Elservicio deberé ser entregado a través de un cable de cobre con capacidad de al menos 100 Mbps. Enlace MPLS Tipo D (Oficinas de promocién y CEND!) a) Deberd contar con una base de ancho de banda de 6 Mbps. b}Soportar un ancho de banda maximo de 1S Mops, ©) Elservicio deberd ser entregado a través de un cable de cobre con capacidad de al menos 100 Mbps. 7.11.2. Enlaces LAN to LAN Para la prestacién del servicio LAN-to-LAN, el licitante adjudicado, deberd cumplir al menos con lo siguiente: a) Deberd garantizar el ancho de banda siendo simétrico y bidireccional. b} Comunicacién Full-Dipiex llevada a cabo para desactivar la deteccién de colisiones yfunciones de loopback. ©) Elenlace Ethernet deberé ser Punto a Punto de tipo "E-Line” seatin los estandares establecidos por e| Metro Ethernet Forum (MEF 62). El enlace deberd transportar solamente datos en formato de tramas de tipo Ethernet segtin el estdndar IEEE 8023. 4d) Ellicitante adjudicado deberé gerantizar como latencia maxima de 60 ms aceptable de los enlaces. €) Elservicio debera entregarse de manera cifrada, mediante el algoritmo AES-128, asi mismo, deberé contar con un protocolo de hashing SHA-2 0 SHA-256. 1) En cada sitio se deberd prestar el servicio en una interfaz de conexién de tipo LAN con base en el esténdar IEEE 8023 en conector macho RIJ-45. La interfaz mencionada, conocida como interface de red de usuario UNI (por sus siglas en inglés seguin lo descrito por el esténdar del Metrothernet Forum), serd el punto de demarcacién que limite la responsabilidad del licitante adjudicado y debers cumplir con las siguientes caracteristicas: y CES or \ valor Sars \ IEEE 802.3-2002 IEEE 8023-2002 Full Duplex Full Daplex Enlace L2L Tipo A a) Debera contar con una base de ancho de banda de 20 Mbps. b) Soportar un ancho de banda maximo de 30 Mbps, ¢) Entrega de la punta A: Sitio denominado "POT" (El Batén) ‘ABCT-FIO}, basado ent FCE del Proceso APCTBANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS |__Hole sae ns @ HACIENDA |S.N.c. Proceso APCT DIRECCION GENERAL ADJUNTA DE ADMINISTRACION COMUNICACIONES elaboracion DIRECCION DE TECNOLOGIAS DE INFORMACION | Fechede | coosnon ‘Anexo Técnico “BECT-FIOI, asado an Multiservicios Administrados de Comunicaciones ! (MAC I} Dic-2020, e) co) Entrega de la punta B: Sitio denominado "CD?’. (KIO Querétaro} El enlace redundate deberd entregarse por diferente ruta fisica en toda su trayectoria, Deberé configurarse un esquema activo-activo para la redundancia de los enlaces. El servicio deberd ser entregado a través de un cable de cobre con capacidad de al menos 100 Mbps. 7 .3. Enlaces de Internet dedicado. Para otorgar el servicio de acceso a internet en los nodos sefialados en la Matriz de Servicios en el numeral 20, en donde se marcan los componentes requeridos para cada une de los nodos indicados, el licitante adjudicado debera cumplir al menos con las caracteristicas y especificaciones técnicas descritas en este apartado. a) b) 4} a e} So) hy Entrega del servicio en tecnologia Ethernet a través de un puerto de fibra con capacidad de 1 Gbps. Los enlaces de redundancia deberdn ser por diferente ruta fisica en toda su trayectoria, El tiempo de respuesta entre los equipos del licitante adjudicede y el proveedor de Internet TIERI, no deberd ser mayor a 100 ms, desde el equipo de acceso del proveedor del servicio (PE, Provider Edge) hasta el TIERI. EI Licitante adjudicado integreré como parte de su propuesta el resultado del comando para respuesta de eco (ping) entre el equipo que asignaré para el servicio de internet (PE, Provider Edge] y el equipo de ruteo hacia el proveedor Internacional de internet TIERI. El Licitante debera manifestar por escrito en su propuesta técnica, que cuenta con acuerdos de Peering con al menos tres empresas que proporcionen servicios de Internet en México, lo anterior, con la finalidad de optimizar el intercambio del tréfico doméstico 0 Nacional entre los distintos oferentes de Internet. Para los nodos catalogados por BANOBRAS como de criticidad alta deberé operar con balanceo de cargas en ambos enlaces. En caso de falla deberé conmutar automaticamente el tréfico al enlace que se encuentre operando correctamente. Deberd proporcionarse un direccionamiento homologado IPv4, Clase C (128 direcciones IP} para cada uno de los sitios que tenga la salida a Internet. El direccionamiento IP proporcionado no debe de encontrase notificado en lista&\ negras. Durante la vigencia del servicio el licitante adjudicade considerara la posibilidad de Deberd entregarse una salida a Internet centralizada, con domicilio en la red del backbone del licitante, y que, para efecto de este anexo técnico, seré denominada como NCS2. Las cantidades y capacidades son descritas en la matriz de servicios. El licitante debera considerar dentro de la cotizacisn el hospedaje de los siguient elementos dentro del NCS2: a. 2Next Generations Firewalls tipo B b. 2IPStipo B c. 4 Routers tipo C FCE del Proceso APCT& HACIENDA | 5-N.C. BANWIBRAS | DIRECCION “DE TECNOLOGIAS DE INFORMACION BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS Rae ws AECT meerm= | DIRECCION GENERAL ADJUNTA DE ADMINISTRACION COMUNICACIONES 29los/a02) ‘Anexo Técnico Multiservicios Administrados de Comunicaciones I (MAC I) "ABCT-FIOT, basado en FCE del Proceso APCT DIC-2020 Enlace de Internet Tipo A (NCSI y NCS2) a) Deberé contar con una base de ancho de banda de 100 Mbps. b) Soportar un ancho de banda maximo de 150 Mbps. 7A1.4.Servicio Antiddos a) Deberé realizar el bloqueo del trfico malicioso antes de que el tréfico ingrese en el enlace de Internet dedicado, de tal manera que, el bloqueo sea realizado en la red de servicios del proveedor. b] Deberé ser una solucién de propésito especifico, por lo que no se aceptarén dispositivos que mantengan el estado de la conexién como cortafuegos, sistemas de prevencién, deteccién y las variantes 0 combinaciones como UTM "Unified Threat Management’, NGFW "Next Generation Firewall’, NGIPS "Next Generation IPS" {todos estos equipos por sus siglas en inglés) ya que al conservar el estado de la conexién son por sf mismos susceptibles a DDOS. ©) El Licitante deberd entregar como parte de su propuesta técnica una carta firmada por el representante legal del fabricante de la solucién de mitigacién de ataques de tipo denegacién de servicio distribuido (DDoS, por sus siglas en inglés), en dénde se demuestre que el servicio es capaz de cubrir la demanda de procesamiento acorde 2 la capacidad de cada uno de los enlaces contratados. 4d) Soportar la inspeccién de trafico malicioso, acorde a la capacidad de cada uno de los enlaces contratados. €) _Elservicio deberé soportar un modo de prueba "inactivo/monitoreo", que permita el ajuste de la configuracién de proteccién sin bloquear el tréfico y proporcione reportes de todo el tréfico que bloquearia si se define como "activo" f) El licitante integraré en su propuesta un esquema detallado de esta solucién indicando los elementos que la integran, asi como la descripcion de los procesos de anilisis de informacién, deteccién de anomnalias y mitigacién de ataques. 9} Deberan bioquear paquetes que no son vélidos y proporcionar estadisticas para los paquetes descartados considerando lo siguiente: Controles de encabezados IP malformados. Fragmentos incompletos, checksum IP erréneos. Fragmentos duplicados. Fragmentos muy largos. Paquetes pequefios. Paquetes TCP pequefios. Paquetes UDP pequefios. Paquetes ICMP pequefios. Checksums TCP/UDP erréneos. Banderas TCP invalidas. Nuimeros ACK invalidos. Fe a h) Capacidad de detectar fuentes que envien cantidades excesivas de trafico bajo\\ umbrales configurables, para después colocar esas fuentes en listas de hosts bloqueados temporaimente (bloqueo basado en la tasa de trafico)XG BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS|__Hola Baeis 8; HACIENDA | 5.N<. Proceso ‘ABCT DIRECCION GENERAL ADJUNTA DE ADMINISTRACION BANWIBRAS |DIRECCION DE TECNOLOGIAS DE INFORWACION | Fechede | asjospen | COMUNICACIONES elaboracién ae TASER Saaeom nano Teenie Eevon blocs SCP " oa DIC-2020 i 4) » m) Acceso al personal designado por Banobras, para la n 0) P) a) Capacidad de descartar paquetes segtin puertos TCP / UDP especificos y payloads que coincidan o no con expresiones regulares configurables. Capacidad de eliminacién de sesiones TCP inactivas si el cliente no envia una cantidad de datos configurable por el licitante adjudicado dentro de un periodo de tiempo. Proteccién al menos contra los siguientes ateques: 2. Ataques de DNS. b. Inundacién de TCP, UDP 0 HTTP. ¢._Inundaciones ICMP. d. Ataques SIP o TCP stack. fe. Ataques de fragmentacién. f Botnets. 9. Ataques volumétricos de DDoS. h. Ataques SSL. i. Inyecciones de Blackhole Hacktivismo Spoofing Configurar expresiones regulares para filtrado de trafico, ibilidad en tiempo real de los eventos de mitigacién, Elsetvicio permitiré la generacién de Huellas digitales (Fingerprints) posteriores.a los, ataques existentes, que deben proveer informacién en texto de capa 3 y 4 en un formato legible de manera que permita identificar un ataque, aunque cambie la heuristica de éste, Actualizacién de firrmas, de manera automética, mediante una base de datos del fabricante o del icitante adjudicado Configuracién de recursos definides por rangos de las subredes (CIDR, Ntimeros de sistemas auténomos de BGP, comunidades de BGP. Debers contar con una he:ramienta de reporteo, la cual permita personalizgt la informacion de acuerdo a los siguientes parametros: ; K ‘Trafico total, Trafico total permitido y bloqueado. w Numero de hosts bloqueados. \ Estadisticas sobre cada tipo de prevencién, Informacién de ubicacién IP. i Distribucién de protocolos. Distribucién de servicios. Principales hosts bloqueados Destino del ataque. (Direccién IP, protocolo, puerto y URL) sarpangeBANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS Hoje 34de nS & HACIENDA | S.N.C. Process ‘apcT remmentrrtsnmarer | DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS DE INFORMACION Y| Fechede | 29920, COMUNICACIONES elaboracién “BPCT-FIO), basado en ‘Anexo Tecnico Multiservicios Administrados de Comunicaciones | (MAC 1) itn coon ts i. Tipode ataque. k._ Nivel de severidad del ataque Distribucién de ancho de banda i. Por protocole i, Top10 ii, Por aplicacion 741.5.Routers Para otorgar el servicio en los nodos sefialados en la Matriz de Servicios en el numeral 20, en donde se marcan los componentes requerides para cada uno de los nodos indicados, el licitante adjudicado deberé cumplir al menos con las caracteristicas y especificaciones técnicas descritas en este apartado. a) Deberé manejar IPv4 y contar con el software y licencias necesarias para soportar IPV6 en caso de requerirse por BANOBRAS. b) Deberd contar con sistema operative y licencias necesarias para la integracién a la infraestructura de MPLS y cifrado de la informacién de punta a punta. ¢) Monitoreo mediante SNMPV3. d) Soportar cifrado AES 128, 192y 256 e) Soportar los siguientes protocolos: 's, DES y 3DES, 802.3ad y 802.14, ‘OSPFV3 y OSFP V4, iBGP y eBGP ruteo de multicast Qos) AAA Administracién por puerto de consola y SSH. e@*po0c8 f)_Debe manejar valores de MTU mayores a 1500 Bytes. Router tipo A [MPLS en NC) a) El equpo debe tener al menos 3 puertos de fibra de 1 Gigaethernet, b) El equipo debe tener al menos 2 puerto de cobre de 1 GibaEthernet. Ae ¢) Debe soportar el incremento de hasta 2 interfaces ethernet de cobre a1 Gbps ey d) Deberd soportar el procesamiento de tréfico, enviado por 3000 dispositivos ot través de una interface conectada a un Firewall, con capacidad de 1 Gbps. e) Deberé soportar el procesamiento de al menos 240 Mbps de tréfic: destinado/recibido hacia/desde la infraestructura MPLS. Router tipo B (Internet en NCI) a) El equipo debe tener al menos 3 puertos de fibra de 1 GigaEthernet. b)_Elequipo debe tener al menos 2 puertos de cobre de 1 GigaEthernet. <}_ Debe soportar el incremento de hasta 2 interfaces ethernet de cobre a1 Gbps.BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS| Hoe $See 1 S.N.C. Proceso APCT = | DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS DE INFORMACION Y| Fechade | sono COMUNICACIONES eee “APCTFIO), Dasado en FCE del Proceso APCT Dic-2020 ‘Anexo Técnico Multiservicios Administrados de Comunicaciones I (MAC 1) d) Deberé soportar el procesamiento de tréfico, enviado por 3000 dispositivos finales, a través de una interface conectada a un Firewall, con capacidad de | Gbps. €) Deberé soportar el procesamiento de al menos 300 Mbps de trafico destinado/recibido hacia/desde Internet Router tipo C (MPLS ¢ internet en NC2) a) El equipo debe tener al menos 3 puertos de fibra de 1 GigaEthernet. b) El equipo debe tener al menos 2 puertos de cobre de 1 GigaEthernet. ¢) Debe soporter el incremento de hasta 2 interfaces ethernet de cobre a 1 Gbps. @) Deberé soportar el procesamiento de al menos 240 Mbps de tréfico destinado/recibido hacia/desde la infraestructura MPLS. a) Deberd soportar el procesamiento de al menos 300 Mbps de tréfico destinado/recibido hacia/desde dos enlaces de Internet. Router tipe D (PO? PO Santa Fe) a) El equipo debe tener al menos 2 puertos de cobre con capacidad 1 gbps. b) El equipo debe tener al menos 2 puertos de fibra con capacidad de 1 gbps. ©) Debe soportar el incremento de hasta 2 interfaces ethemet de cobre de al menos 1 Gbps. @) Deberé soportar el procesamiento de al menos 120 Mbps de tréfico destinado/recibido hacia/desde la infraestructura MPLS. Router tipo E (CD1 KIO Querétaro) a) Elequipo debe tener al rnenos 3 puertos de fibra con capacidad de 1 Gbps b} El equipo debe tener al menos 3 puertos de cobre de 1 Gigabitethernet. ©) Debe soportar el incremento de hasta 2 interfaces ethernet de cobre a 1 Gbps. d) Deberé soportar el procesamiento de al menos 240 Mbps de tréfico destinado/recibido hacia/desde la infraestructura MPLS. ¢} Deberé soportar el procesamiento de al menos 60 Mbps de trafico destinado/recibide hacia/desde enlaces L2L. Router tipo F (POI Batan) a) El equipo debe tener al menos 2 puertos de cobre con capacidad de 100 Mbps. b] El equipo debe tener al menos I puertos de cobre con capacidad de 1 Gbps. Ce d]_Debe soportar el incremento de hasta 2 interfaces ethernet de cobre a 100 Mbps. 2) Deberé soportar el procesamiento de al menos 60 Mbps de tréfico destinado/recibido hacia/desde la infraestructura MPLS. \ | Deberé soportar el procesamiento de al menos 60 Mbps de tréflco destinado/recibido hacia/desde enlaces LAL. ‘7.6. Herramienta de Monitoreo} HACIENDA. BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS Hoja ‘36 de N13 ‘S.N.C Proceso ‘ApCT DIRECCION GENERAL ADJUNTA DE ADMINISTRACION elaboracién COMUNICACIONES DIRECTION DE TECNOLOGIAS DE INFORMACION | .fechade | cojosj201 ‘Anexo Técnico “APCT-FIOi, basado en: Multiservicios Administrados de Comunicaciones | (MAC I) Fee e300 El licitante adjudicado para esta partida, deberé proporcionar una herramienta de monitoreo centralizada que deberé tener la capacidad de hardware, software y licenciamiento para monitoreo de disponibilidad, performance y servicios, de toda la infraestructura de esta partida ly PARTIDA 2 - SERV2, Servicio de Seguridad Perimetral. La herramienta deberé cumplir con las siguientes especificaciones: aj Seré dedicada e independiente para la red de BANOBRAS, no compartida con aigtin otro cliente y no deberd interferir en el desemperio de la ted y/o ancho de banda de cada nodo. b) Deberé monitorear, administrar, configurar y lanzar alarmas de cada uno de los elementos de infraestructura, asi como mostrar los SLA de cada uno de los elementos monitoreados.Los SLA mostraran al menos la siguiente informacion: a. Tiempo para cumplimento b, Tiempo total de cumplimiento . Tiempo restante para rebasar el umbral del SLA ¢}]_ Deberd descubrir autorndticamente todos los elementos correspondientes a las Partidas 1, 2y 3 de este anexo técnico, para lo cual, cada elemento contaré con una direccién IP. d) Deberé contar con los protocols SNMP V3, NTP y notificaciones para alertas del sistema } Contaré con la capacidad de graficar por dia, semana, mes y afio. f) Deberd ser capaz de almacener los registros histéricos de informacién al menos 6 meses. 9) Deberé ser capaz de llevar a cabo el poleo de los dispositives como minimo cada minuto. h) Deberd configurar umbrales por cada elemento y variable monitoreada en los dispositives. ) Configurard la frecuencia con el que se realizan los poleos al menos por cada variable monitoreada. j) Dard de alta variables @ través de MIB (Management Information Base, Base de datos que contiene informacién para la gestién de dispositivos en una red de comunicaciones) privadas, para integrar nuevas métricas al monitoreo. ~ Kk) Deberé tener un explorador de MIB (MIB Browser) integrado en la misma interface \, para realizar peticiones bajo demanda de algtin test mediante un OID (Object Identifiers) en especifico. |) Mostraré un mapeo de la topologia de los dispositives monitoreados la cual tendra las siguientes caracteristicas: a. Filtrado por tipo de dispositive, estado de criticidad, subred al que pertenecen los equipos b. Mostraré les topologias de los servicios que se estén monitoreando. Se generarén diferentes vistas de la topologia de red. El detalle minimo a mostrar seré la siguiente informacién: ao 4 nb: BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS| Hola 37d0ns oo HACIENDA | SN.c. pees rarer SS sae DIRECCION GENERAL ADJUNTA DE ADMINISTRACION BANWIBRAS |D'RECCION “DE TECNOLOGIAS DE INFORMACION | .Fechade | asjyon wamgerneens LCOMUNICACIONES elaboracién ‘Anexo Técnico ABCT-FIG, Basado en: Multiservicios Administrados de Comunicaciones | (MAC I) Pee oon © Nombre del dispositivo. © Direccién IP © Tipo de Dispositive © Marca © Modelo 'm) Deberé soportar autenticacién a través de un servider RADIUS. n} La herramienta de monitoreo centralizada no deberd interferir en el desempefio de la red y/o ancho de banda de cada enlace, (no deberd exceder al 5% de la capacidad del enlace). ©) Deberd ser capaz de monitorear equipos y/o servicios al menos a través de los siguientes protocolos: + ICMP — Ping Test - Probaré la disponibilidad del dispositive usando dos pruebas: perdida de paquetes (Packet Loss) y tiempo de ida y vuelta (round Trip Time) + Internet Test: medird el tiempo en completar cada transaccién y generar una alerta si se exceden los umbrales establecidos o si la transaccién esté incompleta. Pp} Proporcionara al menos los siguientes tipos de reportes: Reportes de tendencias. Reportes tipo top-n. Reportes de desempefio. Reportes de violacién de umbrales epge @)_ Deberé exportar reportes al menos en los siguientes formatos: a. POF b. csv 1} Deberd enviar notificaciones de forma automética al menos mediante los siguientes medios: a. E-mail b. Traps de SNMP v3 $) Deberd recolectar la siguiente informacién: y Visualizacién del estado del enlace en linea Notificar en forma automatica los problemas en la red y/o en los equipos. El sistema de monitoreo deberd entregar los siguientes tipos de reportes via web y en forma gréfica, para la medicién del desempenio de la red. © Porcentaje de utilizacién de CPU y memoria. c} © Consumo de ancho de bands (entrada, salida y promedio} por enlace ‘Consurno de ancho de banda en tiempo real. \ i pegeBANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS | _ Hola Ero } HACIENDA. | SNC. Proceso | _APCT DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECTION DE TECNOLOGIAS DE INFORMACION | _fech2 49 | os/es/zon1 COMUNICACIONES. elaboracién "ABCT-FIO), basado er: fanexo Técnico Multiservicios Administrados de Comunicaciones (MAC!) FOE del Proceso APCT © Consume de ancho de banda por QoS (bits entrada, salida y descartados). © Paquetes perdidos por errores y descartes 7AA.7.Sysiog EI licitante adjudicado para esta partida, deber proporcionar un servicio de SYSLOG centralizado en el nedo NCI Santa Fe, que debe soportar toda la infraestructura de esta Partida 1; el licitante adjudicado deberd proporcionar desde el inicio de la fase de operacién, todo el hardware, software y licenciamiento. El servicio debera cumplir con las siguientes especificaciones: a) Servidor fisico dedicado al servicio. b} Almacenamiento histérico en linea de minimo 6 meses, , mismos que deberén ser archivados durante toda la vigencia del contrato y deberén estar disponibles a solicituel de BANOBRAS, c} Deberd recibir, procesar y alertar sobre los eventos detectados en los equipos registrados. d) Deberd emitir notificaciones via correo. ) Deberd permitir la configuracién de al menos los siguientes eventos: Emergencia Alerta Critica Error Advertencia Notificacién Informativo Depuracién f)_Lasnotificaciones deben contener al menos la siguiente informacién a. Fecha yhora b. Hostname ¢. Direccién IP origen g) Filtrar mensajes y crear alertas avanzadas con el procesamiento de secuencias de ‘comandos avanzada 1h) Permitir entrar a cualquier base de datos con el registro ODBC. 1) Deberd manejar un calendario de archivo y registro de mantenimiento mediante e| uso de archivos de registro automatizado. i) Permitir ver los mensajes de syslog en varias ventanas al mismo tiempo. \ \ semsaocp k) Generar graficos de anélisis de tendencias y envia estadisticas de trafico via email I) Debera poder ser monitoreado a través del protocolo SNMPVv3. ™m) No deberd interferir en el desemperio de la red y/o ancho de banda de cada enlace, (no deber’ exceder al 5% de la capacidad del enlace). 11.8.Servicios bajo demanda.x BANG BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS é oy HACIENDA | S.N.C. DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS DE INFORMACION. COMUNICACIONES Hoja’ Baers Proceso APT Fecha dk aa elaboracién ‘Anexo Técnico Multiservicios Administrados de Comunicaciones ! (MAC 1) ‘ABCT-FIO}, basedo ani FCE del Proceso APCT Dic-2020 Durante la vigencia del contrato, BANOBRAS podré solicitar al licitante adjudicado cualquiere de los siguientes elernentos, considerandose estos como servicios bajo demanda’ a) Enlace L2L tipo A b) Enlace de internet tipo A ¢} Cambio de domicilio para cualquiera de los enlaces MPLS, L2L 0 Internet, d) Router tipo A e} Router tipo B f) Router tipo C 4) Router tipo D h) Router tipo E i) Router tipo F 71.2 PARTIDA2-SERV2. Servicio de Seguridad Perimetral Se debe considerar pare esta solucion equipos de propésito especifico para las localidades expresadas en la Matriz de Servicios. Elservicio de Seouridad perimetral estard divido en los siguientes rubros; a) Next Generation Firewall b) IPS ¢) Analizador de trafico, d) Cottelacionador de evento: e} Servidor Radius ) UPS Q) Servicio de acceso remoto seauro Ellicitante adjudicado deberd considerar el cambio de domicilio para dos sitios de criticidad alta durante la vigencia det contrato, los cuales deberdn ser realizados durante los 30 naturales posteriores a la Solicitud formal (por escrito} por parte BANOBRAS, y na im un costo adicional. 7121 Next Generation Firewall Para otorgar el servicio de Next Generation Firewall en los nodos sefialados en la Matriz de Servicios en el numeral 20, en donde se marcan los componentes requeridos para cada, ee de los nodos indicados, el licitante adjudicado deberé cumplir al menos con las caracterist icas y especificaciones técnicas descritas en este apartado. a) Se deberd proveer el servicio a través de appliances de propésite especifico (Next L Generation Firewall), con las capacidades, médules y funcionalidades descritos en esta seccién, b) Deberd contar con fuentes de poder redundantes. ¢) Deberé contar con al menos dos de las siguientes certificaciones: ‘a. Certificacién de NSSLabs b. Certificacién de ICSA Labs,BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS Hoje [_40de13 S HACIENDA |5.N.c. Proceso “APCT “=e | DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS DE INFORMACION v| _Fechade | 919572021 COMUNICACIONES elaboracién ‘ABCT-FIOT, Based er: “Anexo Técnico Multiservicios Administrados de Comunicaciones | (MAC !) Pepe see ©. Common Criteria EALG* d. FIPSI40 Next Generation Firewall Tipo A (NCI) a) Deberd contar con los siguientes médulos: Firewall Control de Aplicaciones Filtrado de contenido web ‘SD-WAN. Antimalware SANDBOXING spaore b) Debera soportar el procesamiento de tréfico de al menos 3000 dispositivos finales. ¢} Deberd soportar el procesamiento de trafico destinado hacia internet, a través de dos enlaces activo-activo, con capacidad de 150 Mbps cada uno, d) Debera soportar el procesamiento de trafico destinado/recibide hacia/desde una infraestructura MPLS, a través de dos enlaces activo-activo, con capacidad de 120 Mops cada uno. @) El equipo deberd soportar funciones de balanceo de enlaces para tréfico de entrada y trafico de salida. #) Deberd soportar al menos 30 tuineles de VPN site to site. g) Deberd soportar al menos 2000 usuarios de VPN SSL. Fh) Debera tener un rendimiento minimo de 5 Gbps en prevencién de amenazas (al Utilizar los médulos de Filtrado de Contenido web, control de aplicaciones, Firewall y Antimalware e IPS) al mismo tiempo. Y no deberd elevar el nivel de procesamiento del CPU y de memoria RAM a mas de un 50%. i) Deberé mostrar, a través de su interface gréfica, estadisticas del trafico en tiempo real J) Asociar cada IP correspondiente a usuarios internos con su correspondiente nombre de usuario tomando esa informaci6n del Active Directory, sin necesidad de instalar ninguna aplicacién en el Dornain Controller ni en las PCs de los usuarios. k)_ Soportar integracién con servidor Radius. 1) Deberd soportar los modos activo/activo y activo/pasivo, X im) EI equipo deberé funcionar en modo virualwite, capa 2 y capa 3 de forma simultanea, sin requerir virtualizar el dispositive \ n) Soportar Integracién con el correlacionador de eventos y el analizador de trafico propuestos por el licitante. 0} Deberd contar con al menos le siguiente capacidad y cantidad de puertos, adicional 2 los requerides para la formacién del cluster: a. 10 puertos con capacidad de 1 Gbps en fibra. b. TO puertos con capaciciad de 1 Gbps en cobre. 1p) Elmédulo de firewall deberd tener las siguientes funcionalidades: ‘a. Protocolos LAN: 8023ad, 80214, b. Protocolo VRRP o similar. . Protocolo SNMPv3SS HACIENDA BANWIBRAS BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS |__Hola aaers S.N.C. Proceso APCT DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS DE INFORMACION y| _fechade | sacsnon COMUNICACIONES Pear Anexo Técnico ‘APCT-FIOI, basadoens Multiservicios Administrados de Comunicaciones | (MAC) FE del rocese APCT a Ul PB. . Ruteo dindmico con soporte de ruteadores virtuales en IPv4 e IPV6, con por lo menos los protocols OSPF, BGP, asi come Multicast, Policy-based routing, RIPViy 2, RIPng, IGMP (1y 2}. Soportar NAT, NAT con sobregarga y PAT. Soporte de QoS. Se requiere que la funcién de QoS sea independiente de las politicas de seguridad del firewall Tecnologia IPv6; Dual Stacking firewall y VPN, TUneles IPv4 to IPv6, Toneles. IPv4 desde IPv6. Monitoreo de trafico en tiempo reat Configuracién de VPNs ssi Configuracién de VPN a través de la suite de protocolos IPSEC Cifrado del intercambio de llaves de VPN a través de AES 128, 192 y 256 bits, DES y 30ES. Cifrado de datos del tunel de VPN a través de los protocolos ESP y AH. Soportar valores de MTU mayores a 1500 bytes Definir limites en el ancho de banda, a través de politicas de comunicacién, basadas en direcciones ip, grupos de usuarios 0 aplicaciones, para restringir aplicaciones no criticas en ta red ‘Soportar integracién con LDAP y directorio activo para la autenticacion de los, usuarios de VPN. rte optat esti e Li H i inglés Instalacién de cliente de VPN, al menos en los sisternas operatives 10S, Android y Windows. Envio de pin a través de correo electrénico SMS, para autenticacion de cuentas de VPN y usuarios de administracién. El médulo de filtrado de contenido web deberé contar con las siguientes funcionalidades: a s e@7pae Controlar el acceso de los usuarios de BANOBRAS a sitios considerados peligrosos, de mala reputaci6n o que no estén directamente relacionados con el cumplimiento de las responsabilidades de trabajo asignadas Establecer mecanismos que le permitan a BANOBRAS monitorear la actividad web de los usuarios, a fin de detectar actividad sospechosa Filtrado de trafico basado URLs. L Categorizacién de URLs de acuerdo a su contenido. Capacidad de modificar o re categorizar las URLS. Actualizacién autornatica de la base de datos de categorias, > Inspeccién de trafico HTTPS/SSL para Cualauier tipo de contenido. i. Elaboracién de reglas para permitir o denegar trafico web, basado en \ el tipo de contenido o la URL. Ei médulo de control de aplicaciones deberé contar con las siguientes funcionalidades: a Controlar el acceso de los usuarios de BANOBRAS, a aplicacione! consideradas peligrosas, de mala reputacién o que no estén directament relacionadas con el cumplimiento de las responsabilidades de trabajo asignadas. Categorizaci6n dinémica y manual de aplicaciones. Actualizacién automistica de la base de datos de categoriasi HACIENDA HACIENDS. BAN GIBRAS BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS Hoja 42.de 113, S.N.C Proceso ‘APCT DIRECCION GENERAL ADJUNTA DE ADMINISTRACION. DIRECCION DE TECNOLOGIAS DE INFORMACION | Jfechede | asiosiaon COMUNICACIONES tee "ABCT-FIOH Basado en: ‘Anexo Técnico Multiservicios Administrados de Comunicaciones I (MAC I) et el Brecese are ‘pIc-2020, 5) El médulo de SD-WAN deberd contar con las siguientes funcionalidades: ‘a, Funcionalidades basicas sin necesidad de una licencia adicional b, Seleccién dela mejor ruta, de acuerdo al tipo de tréfico que se requiera enviar. ¢. Enrutamiento basado en aplicaciones: que proporciona la capacidad de reconocet el trafico de aplicaciones hasta la Capa 7 con un control muy granular de la selecci6n de la ruta. d. La solucién de SD-WAN deberé generar calidad de experiencia en flujos de voz y video. Next Generation Firewall Tipo B (NC2) a) Deberd contar con los siguientes médulos ‘a. Firewall b. SD-WAN &. Antimalware d. SANDBOXING b) Deberé soportar el procesamiento de tréfico destinado hacia Internet, a través de dos. enlaces activo-activo, con capacidad de 150 Mbps cada uno. ©) Deberd soportar el procesamiento de tréfico de usuarios, proveniente de una infraestructura MPLS, a través de dos enlaces activo-activo, con capaciciad de 120 Mbps cada uno. 4) Elequipo deberé soportar funciones de balanceo de enlaces para trafico de entrada y tréfico de salide. ¢) Deberd soportar la configuracién de VPN site to site, #) Deberé soportar la configuracién de VPN ssi cliente to site, g) Deberd tener un rendimiento minimo de 4 Gbps en proteccién de amenazas (al utilizar los médulos de Firewall, Control de aplicaciones, 1PS y Antimalware) al tiempo. ¥ no deberd elevar el nivel de procesamiento del CPU y de memoria RAM a més de un 50% hy Deberd mostrar, a través de su interface gréfica, estadisticas del tréfico en tiempo real i) Asociar cada IP correspondiente a usuarios internos con su correspondiente nombre de usuario tomando esa informacién del Active Directory, sin necesidad de instal, ninguna apicacon en el Dormain Controller nen iasPesdelorusuerios i) Soportar integracién con servidor Radius. \ k)_Deberd soportar los modos activo/activo y activopasivo. 1) El equipo debera funcionar en modo virtula-wire, capa 2 y capa 3 de forma simulténea, sin requerir virtualizar el dispositive. im) Soportar Integracién con el correlacionador de eventos y el analizador de trafic propuestos por el licitante, g 1) Deberé contar con al menos la siguiente capacicad y cantidad de puertos, adicional a los requeridos para Ia formacién de cluster: a. 6 puertos con capacidad de 1 Gbps en fibre b. 4 puertos con capacidad de 1 Gbps en cobre 0) El médulo de firewall deberd tener las siguientes funcionalidades:BANCO NACIONAL DE OBRAS Y SERVICIOS PUBLICOS| Hole Boos S.N.C. Proceso. “APCT DIRECCION GENERAL ADJUNTA DE ADMINISTRACION DIRECCION DE TECNOLOGIAS DE INFORMACION | Fecha de | 2sos/20n1 COMUNICACIONES See ABCT-FiOY, basado ani radlos de Comunicaciones | (MAC 1) Fee ea ‘Anexo Técnico Multiservicios Ad mo poge °. P. Protocolos LAN: 802.3ad, 802.19. Protocolo VRRP o similar. Protocolo SNMPVv3. Ruteo dindmico con soporte de ruteadores virtuales en IPV4 e IPv6, con por lo menos los protocolos OSPF, BGP, asf como Multicast, Policy-based routing. RIPVIy 2, RIPng, IGMP (ly 2). Soportar NAT, NAT con sobregarge y PAT. Soporte de QoS. Se requiere que la funcién de QoS sea independiente de las politicas de seguridad del firewall Tecnologia IPv6; Dual Stacking firewall y VPN, Tdneles IPv4 to IPv6, Taneles IPv4 desde IPv6. Monitoreo de tréfico en tiempo real Cifrado del intercambio de llaves de VPN a través de AES 128, 192 y 256 bits, DES y 3DES. Cifrado de datos del tdnel de VPN a través de los protocolos ESP y AH. Soportar valores de MTU mayores a 1500 bytes Definir limites en el ancho de banda, a través de politicas de comunicacién, basadas en direcciones IP, grupos de usuarios 0 aplicaciones, para restringir aplicaciones no eriticas en la red. Soportar integracién con LDAP y directorio activo para la autenticacién de los, usuarios de VPN. Soporte optativo para establecer conexiones VPN usando clientes tipo L2TP r sus siglas en ingl Instalacién de cliente de VPN, al menos en los sistemas operativos 10S, Android y Windows. Envio de pin a través de correo electrénico o SMS, para autenticacin de cuentas de VPN y usuarios de administracién. p}_ El médule de SD-WAN deberé contar con ias siguientes funcionalidades: a Funcionalidades basicas sin necesiciad de una licencia adicional. b, Seleccién de la mejor ruta, de acuerdo al tipo de trafico que se requiera enviar. c. Enrutamiento basado en aplicaciones: que proporciona la capacidad de reconocer el tréfico de aplicaciones hasta le Capa 7 con un control muy granular de la selecci6n de la ruta, d. La solucién de SD-WAN deberd generar calidad de experiencia en flujos de voz y video. eratior nta \ a) Deberd contar con los siguientes médulos: \ a. Firewall b. Control de Aplicaciones ¢. Filtrado de contenido web b) Deberd soportar el procesamiento de tréfico de al menos 600 dispositivos finales“, ¢) Deberd soportar el procesamiento de tréfico destinado hacia Internet, a través de do: enlaces MPLS activo-activo, con capacidad de 60 Mbps cada uno.