PREGÃO SESC/DN Nº 0005/22 – PG
PREGÃO SESC/DN Nº 0005/22 – PG
ANEXO I
Termo de Referência
Contratação de empresa fornecedora de Solução de Firewall Appliance.
1. Objeto
1.1 Contratação de empresa fornecedora de solução de segurança da informação com hardware (appliance firewall rack) e suas licenças de uso, com garantia e suporte do fabricante pelo período de 36 meses, para o Polo Sociocultural Sesc Paraty.
2. Detalhamento do Objeto e Justificativa
2.1. Aquisição de solução de proteção de rede, com características de Next Generation Firewall (NGFW), para segurança de informação, que inclui filtro de pacote, controle de aplicação, administração de largura de banda (QoS), VPN IPSec e SSL, IPS, prevenção contra ameaças de vírus, spywares e malwares “Zero Day”, filtro de URL, bem como controle de transmissão de dados e acesso à internet compondo uma plataforma de segurança integrada e robusta.
2.2. Por plataforma de segurança entende-se hardware e software integrados do tipo appliance.
2.3. Relação PART NUMBER (o código e a descrição dos produtos pretendidos que podem sofrer alteração por parte da Palo Alto).
Item | Part Number | Descrição | QTD |
1 | PAN-PA-220 | Palo Alto Networks PA-220 | 1 |
2 | PAN-PA-220-TP-3YR | Threat prevention subscription 3 year prepaid PA-220 | 1 |
3 | PAN-PA-220-URL4-3YR | PANDB URL filtering subscription 3 year prepaid, PA-220 | 1 |
4 | PAN-PA-220-WF-3YR | WildFire subscription 3-year prepaid, PA-220 | 1 |
5 | PAN-SVC-PREM-220- 3YR-WBR | Suporte Oficial Palo Alto Networks 24x7 fornecido no Brasil em 1 Po por ASC | 1 |
6 | INSTALL-AND-CONFIGURATION | Contratação de serviço de instalação on-site, configuração de firewa 220 com ativação e configuração de URL Filtering Subscription PA URL4-3YR, Threat Prevention Subscription PAN-PA-220-TP-3YR Subscription PAN-PA-220-WF-3YR com treinamento hands-on mí horas no Centro Cultural Sesc Paraty. | 1 |
2.4. O produto deverá ser compatível com integração AD/Microsoft.
2.5. O Appliance Firewall Rack deverá ter redundância de fonte de energia, licenciamento de 03 anos para Software IPS, Antivírus, Anti Spyware, VPN, Ameaças Desconhecidas.
2.6. O Produto deverá ter suporte 24x7 e Acordo de Nível de Serviço (SLA), devidamente norteados pelas seguintes situações:
Crítica: 01 hora.
Alta 02 horas, Média 04 horas e baixa de 08 horas
2.7 Solução física para acomodar appliance em rack com conectores necessários à suainstalação.
2.8 Instalação física do novo appliance.
2.9 Migração/Planejamento das regras do legado para novo appliance.
2.10 Aplicação e configuração das novas regras para novo appliance.
2.11 Demostrar funcionamento do novo software do appliance, incluindo criação de regras e quaisquer outras funcionalidades inclusas no software.
3. Capacidades e Quantidades
3.1. A plataforma de segurança deve possuir a capacidade e as características abaixo:
3.1.1. Throughput de 500 Mbps com a funcionalidade de controle de aplicação habilitada para todas as assinaturas que o fabricante possuir;
3.1.2. Throughput de 240 Mbps com as seguintes funcionalidades habilitadas simultaneamente para todas as assinaturas que a plataforma de segurança possuir devidamente ativadas e atuantes: controle de aplicação IPS, Antivírus e Antispyware. Caso o fabricante divulgue múltiplos números de desempenho para qualquer uma destas funcionalidades, somente o de menor valor será aceito;
3.1.3. Os throughputs devem ser comprovados por documento de domínio público do fabricante. A ausência de tais documentos comprobatórios reservará ao órgão o direito de aferir a performance dos equipamentos em bancada, assim como atendimento de todas as funcionalidades especificadas neste edital. Caso seja comprovado o não atendimento das especificações mínimas nos testes de bancada, serão considerados inabilitados e sujeitos as sanções previstas emlei;
3.1.4. Suporte a, no mínimo, 1.000 conexões simultâneas;
3.1.5. Suporte a, no mínimo, 4.200 novas conexões por segundo;
3.1.6. Fonte 120/240 AC ou DC, redundante;
3.1.7. Disco Solid State Drive (SSD) de, no mínimo, 32 GB;
3.1.8. No mínimo, 08 (oito) interfaces de rede 10/100/1000 base-TX;
3.1.9. Pelo menos 1 (uma) interface de rede 1 Gbps dedicada para gerenciamento;
3.1.10. Pelo menos 1 (uma) interface do tipo console ou similar;
3.1.11. Suporte a, no mínimo, 3 (três) roteadores virtuais;
3.1.12. Suporte a, no mínimo, 15 (quinze) zonas de segurança;
3.1.13. Estar licenciada para, ou suportar sem o uso de licença, 250 (duzentos e cinquenta) clientes de VPN SSL simultâneos;
3.1.14. Estar licenciada para, ou suportar sem o uso de licença, 1.000 (um mil) túneis de VPN IPSEC simultâneos.
3.2 Por equipamento que compõe a plataforma de segurança, entende-se o hardware e as licenças de softwares necessárias para o seu funcionamento.
3.3 Por console de gerência e monitoração, entende-se as licenças de software necessárias para as duas funcionalidades, bem como hardware dedicado para o funcionamento das mesmas.
3.4 A console de gerência e monitoração tem de residir no mesmo appliance de proteção de rede, desde que possuam recurso de CPU, memória, interface de rede e sistema operacional dedicados para esta função.
3.5 Na data da proposta, nenhum dos modelos ofertados poderão estar listados no site do fabricante em listas de end- of-life e end-of-sale.
4. Características Gerais
4.1. A solução deve consistir de appliance de proteção de rede com funcionalidades de Next Generation Firewall (NGFW), e console de gerência e monitoração;
4.2. Por funcionalidades de NGFW entende-se: reconhecimento de aplicações, prevenção de ameaças, identificação de usuários e controle granular de permissões;
4.3. As funcionalidades de proteção de rede que compõe a plataforma de segurança, deve funcionar em um único appliance desde que obedeçam a todos os requisitos desta especificação;
4.4. A plataforma deve ser otimizada para análise de conteúdo de aplicações em camada 7;
4.5. O hardware e software que executem as funcionalidades de proteção de rede, bem como a console de gerência e monitoração, devem ser do tipo appliance. Não serão aceitos equipamentos servidores e sistema operacional de uso genérico;
4.6. O equipamento fornecido deve ser próprio para montagem em rack 19”, incluindo kit para adaptação, se necessário, e cabos de alimentação;
4.7. O software deverá ser fornecido em sua versão mais atualizada;
4.8. Os dispositivos de proteção de rede devem possuir pelo menos as seguintesfuncionalidades:
4.8.1. Suporte a 4094 VLAN Tags 802.1q;
4.8.2. Agregação de links 802.3ad e LACP;
4.8.3. Policy based routing ou policy based forwarding;
4.8.4. Roteamento multicast (PIM-SM);
4.8.5. DHCP Relay;
4.8.6. DHCP Server;
4.8.7. Suporte à criação de objetos de rede que possam ser utilizados como endereço IP de interfaces L3;
4.9. Suportar sub-interfaces ethernet logicas.
4.10. O firewall deve ter a capacidade de testar o funcionamento de rotas estáticas e rota default com a definição de um endereço IP de destino que deve estar comunicável através de uma rota. Caso haja falha na comunicação o firewall deve ter a capacidade de usar rota alternativa para estabelecer a comunicação;
4.11. Deve suportar os seguintes tipos de NAT:
4.11.1. Nat dinâmico (Many-to-1);
4.11.2. Nat dinâmico (Many-to-Many);
4.11.3. Nat estático (1-to-1);
4.11.4. NAT estático (Many-to-Many);
4.11.5. Nat estático bidirecional 1-to-1;
4.11.6. Tradução de porta (PAT);
4.11.7. NAT de Origem;
4.11.8. NAT de Destino
4.11.9. Suportar NAT de Origem e NAT de Destino simultaneamente;
4.11.10. Deve implementar Network Prefix Translation (NPTv6), prevenindo problemas de roteamento assimétrico;
4.11.11. Deve implementar o protocolo ECMP;
4.11.12. Deve implementar balanceamento de link por hash do IP de origem;
4.11.13. Deve implementar balanceamento de link por hash do IP de origem e destino;
4.11.14. Deve implementar balanceamento de link através do método round-robin;
4.11.15. Deve implementar balanceamento de link por peso. Nesta opção deve ser possível definir o percentual de tráfego que será escoado por cada um dos links. Deve suportar o balanceamento de, no mínimo, quatro links;
4.11.16. Deve implementar balanceamento de link através de políticas por usuário e grupos de usuários do LDAP/AD;
4.11.17. Deve implementar balanceamento de link através de políticas por aplicação e porta de destino;
4.11.18. Deve implementar o protocolo Link Layer Discovery (LLDP), permitindo que o appliance e outros ativos da rede se comuniquem para identificação da topologia da rede em que estão conectados e a função dos mesmos facilitando o processo de throubleshooting. As informações aprendidas e armazenadas pelo appliance devem ser acessíveis via SNMP;
4.11.19. Enviar log para sistemas de monitoração externos, simultaneamente;
4.11.20. Deve haver a opção de enviar logs para os sistemas de monitoração externos via protocolo TCP e SSL;
4.11.21. Deve permitir configurar certificado caso necessário para autenticação no sistema de monitoração externo de logs;
4.11.22. Proteção contra anti-spoofing;
4.11.23. Deve permitir bloquear sessoes TCP que usarem variações do 3-way handshake, como 4 way e 5 way split hand- shake, prevenindo desta forma possíveis tráfegosmaliciosos;
4.11.24. Deve permitir bloquear conexões que contenham dados no payload de pacotes TCP- SYN e SYN-ACK durante o three-way handshake;
4.11.25. Deve exibir nos logs de tráfego o motivo para o término da sessão no firewall, incluindo sessões finalizadas onde houver de-criptografia de SSL e SSH;
4.11.26. Para IPv4, deve suportar roteamento estático e dinâmico (RIPv2, BGP e OSPFv2);
4.11.27. Para IPv6, deve suportar roteamento estático e dinâmico (OSPFv3);
4.11.28. Suportar a OSPF graceful restart;
4.11.29. Deve suportar o protocolo MP-BGP (Multiprotocol BGP) permitindo que o firewall possa anunciar rotas multicast para IPv4 e rotas unicast para IPv6;
4.11.30. Suportar no mínimo as seguintes funcionalidades em IPv6: SLAAC (address auto configuration), NAT64, Identificação de usuários a partir do LDAP/AD, Captive Portal, IPv6 over IPv4 IPSec, Regras de proteção contra DoS (Denial of Service), De-criptografia SSL e SSH, PBF (Policy Based Forwarding), QoS, DHCPv6 Relay, IPSEc, VPN SSL, Ativo/Ativo, Ativo/Passivo, SNMP, NTP, SYSLOG, DNS, Neighbor Discovery (ND), Recursive DNS Server (RDNSS), DNS Search List (DNSSL) e controle de aplicação;
4.11.31. O dispositivo de proteção deve ter a capacidade de operar nos seguintes modos: Modo sniffer (monitoramento e análise do tráfego de rede), camada 2 (l2) e camada 3 (l3);
4.11.31.1. Modo Sniffer, para inspeção via porta do tráfego de dados da rede;
4.11.31.2. Modo Camada – 2 (L2), para inspeção de dados em linha e ter visibilidade e controle do tráfego em nível de aplicação;
4.11.31.3. Modo Camada – 3 (L3), para inspeção de dados em linha e ter visibilidade e controle do tráfego em nível de aplicação operando como default gateway das redes protegidas;
4.11.32. Modo misto de trabalho Sniffer L2 e L3;
4.12. Suporte a configuração de alta disponibilidade Ativo/Passivo e Ativo/Ativo:
4.12.1. Em modo transparente;
4.12.2. Em layer 3;
4.13. A configuração em alta disponibilidade deve sincronizar:
4.13.1. Sessões;
4.13.2. Configurações, incluindo, mas não limitado a políticas de Firewall, NAT, QOS e objetos de rede;
4.13.3. Certificados de-criptografados;
4.13.4. Associações de Segurança das VPNs;
4.13.5. Tabelas FIB;
4.13.6. O HA (modo de Alta-Disponibilidade) deve possibilitar monitoração de falha de link.
4.14. As funcionalidades de controle de aplicações, VPN IPSec e SSL, QOS, SSL e SSH Decryption e protocolos de roteamento dinâmico devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante.
5. Controle por Política
5.1. Deverá suportar controles por zona de segurança.
5.2. Controles de políticas por porta e protocolo.
5.3. Controle de políticas por aplicações grupos estáticos de aplicações, grupos dinâmicos de aplicações (baseados em características e comportamento das aplicações) e categorias de aplicações.
5.4. Controle de políticas por usuários, grupos de usuários, IPs, redes e zonas de segurança;
5.5. Deve suportar a consulta a fontes externas de endereços IP, domínios e URLs podendo ser adicionados nas políticas de firewall para bloqueio ou permissão do tráfego;
5.6. Deve permitir autenticação segura através de certificado nas fontes externas de endereços IP, domínios e URLs;
5.7. Deve permitir consultar e criar exceção para objetos das listas externas a partir da interface de gerência do próprio firewall;
5.8. Controle de políticas por código de País (Por exemplo: BR, USA, UK, RUS).
5.9. Controle, inspeção e de-criptografia de SSL por política para tráfego de entrada (Inbound) e Saída (Outbound).
5.10. Deve de-criptografar tráfego Inbound e Outbound em conexões negociadas com TLS 1.2;
5.11. Deve de-criptografar sites e aplicações que utilizam certificados ECC, incluindo Elliptical Curve Digital Signature Algorithm (ECDSA);
5.12. Controle de inspeção e de-criptografia de SSH por política;
5.13. A de-criptografia de SSH deve possibilitar a identificação e bloqueio de tráfego caso o protocolo esteja sendo usado para tunelar aplicações como técnica evasiva para burlar os controles de segurança;
5.14. Bloqueios dos seguintes tipos de arquivos: bat, cab, dll, exe, pif, e reg .
5.15. Traffic shaping QoS baseado em Políticas (Prioridade, Garantia e Máximo).
5.16. QoS baseado em políticas para marcação de pacotes (diffserv marking), inclusive por aplicações.
5.17. Suporte a objetos e regras IPV6.
5.18. Suporte a objetos e regras multicast.
5.19. Deve suportar no mínino três tipos de negação de tráfego nas políticas de firewall: Drop sem notificação do bloqueio ao usuário, Drop com opção de envio de ICMP Unreachable para máquina de origem do tráfego, TCP-Reset para o client, TCP-Reset para o server ou para os dois lados da conexão;
5.20. Suportar a atribuição de agendamento as políticas com o objetivo de habilitar e desabilitar políticas em horários pré- definidos automaticamente.
6. Controle de Aplicações
6.1. O dispositivo de proteção de rede deve possuir a capacidade de reconhecer aplicações, independente de porta e protocolo, com as seguintes funcionalidades:
6.1.1. Deve ser possível a liberação e bloqueio somente de aplicações sem a necessidade de liberação de portas e protocolos.
6.1.2. Reconhecer pelo menos 1700 aplicações diferentes, incluindo, mas não limitado: a tráfego relacionado a peer-to- peer, redes sociais, acesso remoto, update de software, protocolos de rede, voip, áudio, vídeo, proxy, mensageiros instantâneos, compartilhamento de arquivos, e-mail;
6.1.3. Reconhecer pelo menos as seguintes aplicações: bittorrent, gnutella, skype, facebook, linked-in, twitter, citrix, logmein, teamviewer, ms-rdp, vnc, gmail, youtube, http-proxy, http- tunnel, facebook chat, gmail chat, whatsapp, 4shared, dropbox, google drive, skydrive, db2, mysql, oracle, active directory, kerberos, ldap, radius, itunes, dhcp, ftp, dns, wins, msrpc, ntp, snmp, rpc over http, gotomeeting, webex, evernote, google-docs, etc;
6.1.4. Deve inspecionar o payload de pacote de dados com o objetivo de detectar através de expressões regulares assinaturas de aplicações conhecidas pelo fabricante independente de porta e protocolo. A checagem de assinaturas também deve determinar se uma aplicação está utilizando a porta default ou não, incluindo, mas não limitado a RDP na porta 80 ao invés de 389;
6.1.5. Deve aplicar heurística a fim de detectar aplicações através de análise comportamental do tráfego observado, incluindo, mas não limitado a Encrypted Bittorrent e aplicações VOIP que utilizam criptografia proprietária;
6.1.6. Identificar o uso de táticas evasivas, ou seja, deve ter a capacidade de visualizar e controlar as aplicações e os ataques que utilizam táticas evasivas por meio de comunicações criptografadas, tais como Skype e ataques mediante a porta 443.
6.1.7. Para tráfego criptografado SSL, deve de-criptografar pacotes a fim de possibilitar a leitura de payload para checagem de assinaturas de aplicações conhecidas pelo fabricante;
6.1.8. Deve realizar decodificação de protocolos com o objetivo de detectar aplicações encapsuladas dentro do protocolo e validar se o tráfego corresponde com a especificação do protocolo, incluindo, mas não limitado a Yahoo Instant Messenger usando HTTP. A decodificação de protocolo também deve identificar funcionalidades especificas dentro de uma aplicação, incluindo, mas não limitado a compartilhamento de arquivo dentro do Webex. Além de detectar arquivos e outros conteúdos que devem ser inspecionados de acordo as regras de segurança implementadas;
6.1.9. Deve permitir a utilização de aplicativos para um determinado grupo de usuário e bloquear para o restante, incluindo, mas não limitado a Skype. Deve permitir também a criação de políticas de exceção concedendo o acesso a aplicativos como Skype apenas para alguns usuários;
6.1.10. Identificar o uso de táticas evasivas via comunicações criptografadas;
6.1.11. Atualizar a base de assinaturas de aplicações automaticamente;
6.1.12. Reconhecer aplicações em IPv6;
6.1.13. Limitar a banda (download/upload) usada por aplicações (traffic shaping), baseado no IP de origem, usuários e grupos do LDAP/AD;
6.1.14. O dispositivo de proteção de rede deve possuir a capacidade de identificar o usuário de rede com integração ao Microsoft Active Directory, sem a necessidade de instalação de agente no Domain Controller, nem nas estações dos usuários;
6.1.15. Deve ser possível adicionar controle de aplicações em todas as regras de segurança do dispositivo, ou seja, não se limitando somente a possibilidade de habilitar controle de aplicações em algumas regras;
6.1.16. Deve suportar múltiplos métodos de identificação e classificação das aplicações, por pelo menos checagem de assinaturas, decodificação de protocolos e análise heurística;
6.1.17. Para manter a segurança da rede eficiente, deve suportar o controle sobre aplicações desconhecidas e não somente sobre aplicações conhecidas;
6.1.18. aplicações proprietárias na própria interface gráfica da solução, sem a necessidade de ação do fabricante, mantendo a confidencialidade das aplicações do órgão;
6.1.19. A criação de assinaturas personalizadas deve permitir o uso de expressões regulares, contexto (sessões ou transações), usando posição no payload dos pacotes TCP e UDP e usando decoders de pelo menos os seguintes protocolos:
6.1.19.1. HTTP, FTP, SMB, SMTP, Telnet, SSH, MS-SQL, IMAP, MSRPC, RTSP;
6.1.20. O fabricante deve permitir a solicitação de inclusão de aplicações na base de assinaturas de aplicações;
6.1.21. Deve alertar o usuário quando uma aplicação for bloqueada;
6.1.22. Deve possibilitar que o controle de portas seja aplicado para todas as aplicações;
6.1.23. Deve possibilitar a diferenciação de tráfegos Peer2Peer (Bittorrent, emule, neonet, etc.) possuindo granularidade de controle/políticas para os mesmos;
6.1.24. Deve possibilitar a diferenciação de tráfegos de Instant Messaging (AIM, Gtalk, Facebook Chat, etc.) possuindo granularidade de controle/políticas para os mesmos;
6.1.25. Deve possibilitar a diferenciação e controle de partes das aplicações como por exemplo permitir o Gtalk chat e bloquear a transferência de arquivos;
6.1.26. Deve possibilitar a diferenciação de aplicações Proxies (ghostsurf, freegate, etc.) possuindo granularidade de controle/políticas para os mesmos;
6.1.27. Deve ser possível a criação de grupos estáticos de aplicações e grupos dinâmicos de aplicações baseados em características das aplicações como:
6.1.27.1. Tecnologia utilizada nas aplicações (Client-Server, Browse Based, Network Protocol, etc).
6.1.27.2. Nível de risco da aplicação.
6.1.27.3. Categoria e subcategoria de aplicações.
6.1.27.4. Aplicações que usem técnicas evasivas, utilizadas por malwares, como transferência de arquivos e/ou uso excessivo de banda, etc.
7. Prevenção de Ameaças
7.1. Para proteção do ambiente contra-ataques, os dispositivos de proteção devem possuir módulo de IPS, Antivírus e Anti-Spyware integrados no próprio appliance de Firewall ou entregue através de composição com outro equipamento ou fabricante.
7.2. Deve incluir assinaturas de prevenção de intrusão (IPS) e bloqueio de arquivos maliciosos (Antivírus e Anti- Spyware);
7.3. As funcionalidades de IPS, Antivírus e Anti-Spyware devem operar em caráter permanente, podendo ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante.
7.4. Deve sincronizar as assinaturas de IPS, Antivírus, Anti-Spyware quando implementado em alta disponibilidade ativo/ativo e ativo/passivo;
7.5. Deve implementar os seguintes tipos de ações para ameaças detectadas pelo IPS, Antipyware e Antivirus: permitir, permitir e gerar log, bloquear, bloquear IP do atacante por um intervalo de tempo e enviar tcp-reset;
7.6. As assinaturas devem poder ser ativadas ou desativadas, ou ainda habilitadas apenas em modo de monitoração;
7.7. Exceções por IP de origem ou de destino devem ser possíveis nas regras, de forma geral e assinatura a assinatura;
7.8. Deve suportar granularidade nas políticas de IPS Antivírus e Anti-Spyware, possibilitando a criação de diferentes politicas por zona de segurança, endereço de origem, endereço de destino, serviço e a combinação de todos esses itens.
7.9. Deve permitir o bloqueio de vulnerabilidades.
7.10. Deve permitir o bloqueio de exploits conhecidos.
7.11. Deve incluir proteção contra-ataques de negação de serviços.
7.12. Deve suportar a inspeção e criação de regras de proteção de DOS e QOS para o conteúdo de tráfego tunelados pelos protocolos GRE e IPSEC não criptografado;
7.13. Deverá possuir os seguintes mecanismos de inspeção de IPS:
7.13.1. Análise de padrões de estado de conexões;
7.13.2. Análise de decodificação de protocolo;
7.13.3. Análise para detecção de anomalias de protocolo
7.13.4. Análise heurística;
7.13.5. IP Defragmentation;
7.13.6. Remontagem de pacotes de TCP;
7.13.7. Bloqueio de pacotes malformados.
7.14. Ser imune e capaz de impedir ataques básicos como: Synflood, ICMPflood, UDPflood, etc;
7.15. Detectar e bloquear a origem de portscans com possibilidade de criar exceções para endereços IPs de ferramentas de monitoramento da organização;
7.16. Bloquear ataques efetuados por worms conhecidos, permitindo ao administrador acrescentar novos padrões;
7.17. Suportar os seguintes mecanismos de inspeção contra ameaças de rede: análise de padrões de estado de conexões, análise de decodificação de protocolo, análise para detecção de anomalias de protocolo, análise heurística, IP Defragmentation, remontagem de pacotes de TCP e bloqueio de pacotes malformados;
7.18. Possuir assinaturas específicas para a mitigação de ataques DoS e DDoS;
7.19. Possuir assinaturas para bloqueio de ataques de buffer overflow;
7.20. Deverá possibilitar a criação de assinaturas customizadas pela interface gráfica do produto;
7.21. Deve permitir usar operadores de negação na criação de assinaturas customizadas de IPS e anti- spyware, permitindo a criação de exceções com granularidade nas configurações;
7.22. Permitir o bloqueio de vírus e spywares em, pelo menos, os seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
7.22.1. É permitido uso de appliance externo (antivírus de rede), para o bloqueio de vírus e spywares em protocolo SMB de forma a conter malwares se espalhando horizontalmente pela rede;
7.23. Suportar bloqueio de arquivos por tipo;
7.24. Identificar e bloquear comunicação com botnets;
7.25. Deve suportar várias técnicas de prevenção, incluindo Drop e tcp-rst (Cliente, Servidor e ambos);
7.26. Deve suportar referência cruzada com CVE;
7.27. Registrar na console de monitoração as seguintes informações sobre ameaças identificadas
7.27.1. O nome da assinatura ou do ataque, aplicação, usuário, origem e o destino da comunicação, além da ação tomada pelo dispositivo;
7.28. Deve suportar a captura de pacotes (PCAP), por assinatura de IPS e Antyspyware;
7.29. Deve permitir que na captura de pacotes por assinaturas de IPS e Antispyware seja definido o número de pacotes a serem capturados. Esta captura deve permitir selecionar, no mínimo, 50 pacotes;
7.30. Deve possuir a função resolução de endereços via DNS, para que conexões com destino a domínios maliciosos sejam resolvidas pelo Firewall com endereços (IPv4 e IPv6), previamente definidos;
7.31. Permitir o bloqueio de vírus, pelo menos, nos seguintes protocolos: HTTP, FTP, SMB, SMTP e POP3;
7.32. Os eventos devem identificar o país de onde partiu a ameaça;
7.33. Deve incluir proteção contra vírus em conteúdo HTML e javascript, software espião (spyware) e worms.
7.34. Proteção contra downloads involuntários usando HTTP de arquivos executáveis maliciosos.
7.35. Rastreamento de vírus em pdf.
7.36. Deve permitir a inspeção em arquivos comprimidos que utilizam o algoritmo deflate (zip, gzip, etc.)
7.37. Deve ser possível a configuração de diferentes políticas de controle de ameaças e ataques baseado em políticas do firewall considerando Usuários, Grupos de usuários, origem, destino, zonas de segurança, etc, ou seja, cada política de firewall poderá ter uma configuração diferentes de IPS, sendo essas políticas por Usuários, Grupos de usuário, origem, destino, zonas de segurança.
8. Análise de Malwares
8.1. Devido aos Malwares hoje em dia serem muito dinâmicos e um antivírus comum reativo não ser capaz de detectar os mesmos com a mesma velocidade que suas variações são criadas, a solução ofertada dever possuir funcionalidades para análise de Malwares não conhecidos incluídas na própria ferramenta ou entregue com composição com outro fabricante;
8.2. O dispositivo de proteção deve ser capaz de enviar arquivos trafegados de forma automática para análise "In Cloud" ou local, onde o arquivo será executado e simulado em ambiente controlado;
8.3. Selecionar através de políticas granulares quais tipos de arquivos sofrerão esta análise incluindo, mas não limitado a: endereço IP de origem/destino, usuário/grupo do AD/LDAP, aplicação, porta, URL/categoria de URL de destino, tipo de
arquivo e todas estas opções simultaneamente;
8.4. Deve possuir a capacidade de diferenciar arquivos analisados em pelo menos três categorias: malicioso, não malicioso e arquivos não maliciosos, mas com características indesejáveis como softwares que deixa o sistema operacional lento, que alteram parâmetros do sistema, etc.;
8.5. Suportar a análise com pelo menos 100 (cem) tipos de comportamentos maliciosos para a análise da ameaça não conhecida;
8.6. Suportar a análise de arquivos maliciosos em ambiente controlado com, no mínimo, sistema operacional Windows XP, Windows 7 (32 bits) e Windows 7 (64 bits);
8.7. Deve suportar a monitoração de arquivos trafegados na internet (HTTPs, FTP, HTTP, SMTP) como também arquivos trafegados internamente entre servidores de arquivos usando SMB em todos os modos de implementação: sniffer, transparente e L3;
8.8. A solução deve possuir a capacidade de analisar em sand-box links (http e https) presentes no corpo de e-mails trafegados em SMTP e POP3. Deve ser gerado um relatório caso a abertura do link pela sand-box o identifique como site hospedeiro de exploits;
8.9. A análise de links em sand-box deve ser capaz de classificar sites falsos na categoria de phishing e atualizar a base de filtro de URL da solução;
8.10. Para ameaças trafegadas em protocolo SMTP e POP3, a solução deve ter a capacidade de mostrar nos relatórios o remetente, destinatário e assunto dos e-mails permitindo identificação ágil do usuário vítima do ataque;
8.11. O sistema de análise “In Cloud” ou local deve prover informações sobre as ações do Malware na máquina infectada, informações sobre quais aplicações são utilizadas para causar/propagar a infecção, detectar aplicações não confiáveis utilizadas pelo Malware, gerar assinaturas de Antivírus e Anti- spyware automaticamente, definir URLs não confiáveis utilizadas pelo novo Malware e prover informações sobre o usuário infectado (seu endereço ip e seu login de rede);
8.12. O sistema automático de analise "In Cloud" ou local deve emitir relatório com identificação de quais soluções de antivírus existentes no mercado possuem assinaturas para bloquear omalware;
8.13. Deve permitir exportar o resultado das análises de malwares de dia Zero em PDF e CSV a partir da própria interface de gerência;
8.14. Deve permitir o download dos malwares identificados a partir da própria interface degerência;
8.15. Deve permitir visualizar os resultados das análises de malwares de dia zero nos diferentes sistemas operacionais suportados;
8.16. Deve permitir informar ao fabricante quanto a suspeita de ocorrências de falsopositivo e falso- negativo na análise de malwares de dia Zero a partir da própria interface de gerência;
8.17. Caso a solução seja fornecida em appliance local, deve possuir, no mínimo, 28 ambientes controlados (sand-box) independentes para execução simultânea de arquivos suspeitos;
8.18. Caso seja necessário licenças de sistemas operacional e softwares para execução de arquivos no ambiente controlado (sand-box), as mesmas devem ser fornecidas em sua totalidade, sem custos adicionais para o contratante;
8.19. Suportar a análise de arquivos executáveis, DLLs, ZIP e criptografados em SSL no ambiente controlado;
8.20. Suportar a análise de arquivos do pacote office (.doc, .docx, .xls, .xlsx, .ppt, .pptx), arquivos java (.jar e class) e Android APKs no ambiente controlado;
8.21. Deve atualizar a base com assinaturas para bloqueio dos malwares identificados em sand-box com frequência de, pelo menos, 5 minutos
8.22. Permitir o envio de arquivos e links para análise no ambiente controlado via de forma automática via API.
8.23. Deve permitir o envio para análise em sand-box de malwares bloqueados pelo antivírus da solução;
9. Filtro de URL
9.1. A plataforma de segurança deve possuir as seguintes funcionalidades de filtro de URL
9.1.1. Permite especificar política por tempo, ou seja, a definição de regras para um determinado horário ou período (dia, mês, ano, dia da semana e hora);
9.1.2. Deve ser possível a criação de políticas por Usuários, Grupos de Usuários, Ips, Redes e Zonas de segurança.
9.1.3. Deverá incluir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais URLs através da integração com serviços de diretório, autenticação via ldap, Active Directory, E-directory e base de dados local.
9.1.4. Permite popular todos os logs de URL com as informações dos usuários conforme descrito na integração com serviços de diretório;
9.1.5. Suporta a capacidade de criação de políticas baseadas no controle por URL e Categoria de URL;
9.1.6. Deve bloquear o acesso a sites de busca (Google, Bing e Yahoo), caso a opção Safe Search esteja desabilitada. Deve ainda exibir página de bloqueio fornecendo instruções ao usuário de como habilitar a função;
9.1.7. Suporta base ou cache de URLs local no appliance, evitando delay de comunicação/validação das URLs;
9.1.8. Possui pelo menos 60 categorias de URLs;
9.1.9. A categorização de URL deve analisar toda a URL e não somente até o nível dediretório;
9.1.10. Suporta a criação categorias de URLs customizadas;
9.1.11. Suporta a exclusão de URLs do bloqueio, por categoria;
9.1.12. Permite a customização de página de bloqueio;
9.1.13. Deve proteger contra o roubo de credenciais (usuário e senha) permitindo bloquear o acesso do usuário caso o mesmo tente fazer o envio de suas credencias em sites classificados como phishing pelo filtro de URL da solução;
9.1.14. Deve permitir a criação de regra onde seja possível determinar em quais URL e categorias de URL o usuário pode fazer o envio de credenciais (usuário e senha);
9.1.15. Permite o bloqueio e continuação (possibilitando que o usuário acesse um site potencialmente bloqueado informando
o mesmo na tela de bloqueio e possibilitando a utilização de um botão "Continuar" para permitir o usuário continuar acessando o site);
9.1.16. A funcionalidade de Filtro de URL deve operar em caráter permanente, para base ou cache instalado na solução até a data de vencimento da licença, ser utilizadas por tempo indeterminado, mesmo que não subsista o direito de receber atualizações ou que não haja contrato de garantia de software com o fabricante;
9.1.17. Suporta a inclusão nos logs do produto de informações das atividades dosusuários;
9.1.18. Deve salvar nos logs as informações dos seguintes campos do cabeçalho HTTP nos acessos a URLs: UserAgent, Referer, e X-Forwarded For;
10. Identificação de Usuários
10.1. Deve incluir a capacidade de criação de políticas baseadas na visibilidade e controle de quem está utilizando quais aplicações através da integração com serviços de diretório, autenticação via Ldap, Active Directory, E-directory e base de dados local;
10.2. Deve possuir integração com Microsoft Active Directory para identificação de usuários e grupos permitindo granularidade de controle/políticas baseadas em usuários e grupos de usuários;
10.3. Deve possuir integração com Radius para identificação de usuários e grupos permitindo granularidade de controle/politicas baseadas em usuários e grupos de usuários;
10.4. Deve implementar a criação de políticas de segurança baseada em atributos específicos do Radius, incluindo mas não limitado a: baseado no sistema operacional do usuário remoto exigir autenticação padrão Windows e on-time password (OTP) para usuários Android;
10.5. Deve possuir integração com Ldap para identificação de usuários e grupos permitindo granularidade de controle/politicas baseadas em Usuários e Grupos de usuários;
10.5.1. Deve suportar o recebimento eventos de autenticação de controladoras wireless, dispositivos 802.1x e soluções NAC via syslog, para a identificação de endereços IP eusuários;
10.6. Deve permitir o controle, sem instalação de cliente de software, em equipamentos que solicitem saída a internet para que antes de iniciar a navegação, expanda-se um portal de autenticação residente no firewall (Captive Portal);
10.7. Suporte a autenticação Kerberos;
10.8. Deve suportar autenticação via Kerberos para administradores da plataforma de segurança, captive Portal e usuário de VPN SSL;
10.9. Deve possuir suporte a identificação de múltiplos usuários conectados em um mesmo endereço IP em ambientes Citrix e Microsoft Terminal Server, permitindo visibilidade e controle granular por usuário sobre o uso das aplicações que estão nestes serviços;
10.10. Deve identificar usuários através de leitura do campo x-fowarded-for, populando nos logs do firewall o endereço IP, bem como o usuário de rede responsável pelo acesso;
10.11. Deve permitir a criação de políticas de segurança baseadas em usuários de rede com reconhecimento dos mesmos através de leitura do campo x-fowarded-for;
10.12. Deve implementar a criação de grupos customizados de usuários no firewall, baseado em atributos do LDAP/AD;
10.13. Deve possuir suporte a identificação de múltiplos usuários conectados em um mesmo endereço IP em servidores acessados remotamente, mesmo que não sejam servidores Windows
11. QOS
11.1. Com a finalidade de controlar aplicações e tráfego cujo consumo possa ser excessivo, (como youtube, ustream, etc) e ter um alto consumo de largura de banda, se requer que a solução, além de poder permitir ou negar esse tipo de aplicações, deve ter a capacidade de controlá-las por políticas de máximo de largura de banda quando forem solicitadas por diferentes usuários ou aplicações, tanto de áudio como de vídeo streaming.
11.2. Suportar a criação de políticas de QoS por:
11.2.1. Endereço de origem
11.2.2. Endereço de destino
11.2.3. Por usuário e grupo do LDAP/AD.
11.2.4. Por aplicações, incluindo, mas não limitado a Skype, Bittorrent, YouTube e Azureus;
11.2.5. Por porta;
11.3. O QoS deve possibilitar a definição de classes por:
11.3.1. Banda Garantida
11.3.2. Banda Máxima
11.3.3. Fila de Prioridade.
11.4. Suportar priorização RealTime de protocolos de voz (VOIP) como H.323, SIP, SCCP, MGCP e aplicações como Skype.
11.5. Suportar marcação de pacotes Diffserv, inclusive por aplicação;
11.6. Deve implemetar QOS (traffic-shapping), para pacotes marcados por outros ativos na rede (DSCP). A priorização e limitação do tráfego deve ser efetuada nos dois sentidos da conexão (inboud e outbound);
11.7. Disponibilizar estatísticas RealTime para classes de QoS.
11.8. Deve suportar QOS (traffic-shapping), em interface agregadas;
11.9. Deverá permitir o monitoramento do uso que as aplicações fazem por bytes, sessões e por usuário.
12. Filtro de Dados
12.1. Permite a criação de filtros para arquivos e dadospré-definidos;
12.2. Os arquivos devem ser identificados por extensão e assinaturas;
12.3. Permite identificar e opcionalmente prevenir a transferência de vários tipos de arquivos (MS Office, PDF, etc) identificados sobre aplicações (P2P, InstantMessaging, SMB, etc);
12.4. Suportar identificação de arquivos compactados e a aplicação de políticas sobre o conteúdo desses tipos de arquivos;
12.5. Permitir identificar e opcionalmente prevenir a transferência de informações sensíveis, incluindo, mas não limitado a número de cartão de crédito, possibilitando a criação de novos tipos de dados via expressão regular;
12.6. Permitir listar o número de aplicações suportadas para controle de dados;
12.7. Permitir listar o número de tipos de arquivos suportados para controle de dados;
13. Geo - Localização
13.1. Suportar a criação de políticas por Geo Localização, permitindo o trafego de determinado Pais/Países sejam bloqueados.
13.2. Deve possibilitar a visualização dos países de origem e destino nos logs dos acessos.
13.3. Deve possibilitar a criação de regiões geográficas pela interface gráfica e criar políticas utilizando as mesmas.
14. VPN
14.1. Suportar VPN Site-to-Site e Cliente-To-Site;
14.2. Suportar IPSec VPN;
14.3. Suportar SSL VPN;
14.4. A VPN IPSEc deve suportar;
14.4.1. DES e 3DES;
14.4.2. Autenticação MD5 e SHA-1;
14.4.3. Diffie-Hellman Group 1 , Group 2, Group 5 e Group 14;
14.4.4. Algoritmo Internet Key Exchange (IKEv1 e v2);
14.4.5. AES 128, 192 e 256 (Advanced Encryption Standard)
14.4.6. Autenticação via certificado IKE PKI.
14.5. Deve possuir interoperabilidade com os seguintes fabricantes:
14.5.1. Cisco;
14.5.2. Checkpoint;
14.5.3. Juniper;
14.5.4. Palo Alto Networks;
14.5.5. Fortinet;
14.5.6. Sonic Wall;
14.6. Deve permitir habilitar, desabilitar, reiniciar e atualizar IKE gateways e túneis de VPN IPSEc a partir da interface gráfica da solução, facilitando o processo de throubleshooting;
14.7. A VPN SSL Deve Suportar:
14.7.1. O usuário realizar a conexão por meio de cliente instalado no sistema operacional do equipamento ou por meio de interface WEB;
14.7.2. A funcionalidades de VPN SSL devem ser atendidas com ou sem o uso de agente;
14.7.3. Atribuição de endereço IP nos clientes remotos de VPN SSL;
14.7.4. Deve permitir a atribuição de IPs fixos nos usuários remotos de VPN SSL;
14.7.5. Deve permitir a criação de rotas de acesso e faixas de endereços IP atribuídas a clientes remotos de VPN de forma customizada por usuário AD/LDAP e grupo de usuário AD/LDAP;
14.7.6. Deve permitir que todo o tráfego dos usuários remotos de VPN seja escoado para dentro do túnel de VPN, impedindo comunicação direta com dispositivos locais como proxies;
14.7.7. Atribuição de DNS nos clientes remotos de VPN;
14.7.8. Deve permitir que seja definido métodos de autenticação distintos por sistema operacional do dispositivo remoto de VPN (Android, IOS, Mac,Windows e Chrome OS);
14.7.9. A solução de VPN deve verificar se o client que está conectando é o mesmo para o qual o certificado foi emitido inicialmente. O acesso deve ser bloqueado caso o dispositivo não seja o correto;
14.7.10. Deve possuir lista de bloqueio para dispositivos que forem reportados com roubado ou perdido pelo usuário;
14.7.11. Deve haver a opção de ocultar o agente de VPN instalado no cliente remoto, tornando o mesmo invisível para o usuário;
14.7.12. Deve exibir mensagens de notificação customizada toda vez que um usuário remoto se conectar a VPN. Deve permitir que o usuário desabilite a exibição da mensagem nas conexões seguintes;
14.7.13. Deve avisar ao usuário remoto de VPN quanto a proximidade da expiração de senha LDAP. Deve permitir também
a customização da mensagem com informações relevantes para o usuário;
14.7.14. Dever permitir criar políticas de controle de aplicações, IPS, Antivírus, Antispyware e filtro de URL para tráfego dos clientes remotos conectados na VPN SSL;
14.7.15. A VPN SSL deve suportar proxy arp e uso de interfaces PPPOE;
14.7.16. Suportar autenticação via AD/LDAP, OTP (One Time Password), certificado e base de usuários local;
14.7.17. Deve permitir a distribuição de certificado para o usuário de remoto através do portal de VPN de forma automatizada;
14.7.18. Deve possuir lista de bloqueio para dispositivos em casos quando, por exemplo, o usuário reportar que o dispositivo foi perdido ou roubado;
14.7.19. Permite estabelecer um túnel VPN client-to-site do cliente a plataforma de segurança, fornecendo uma solução de single-sign-on aos usuários, integrando-se com as ferramentas de Windows-logon;
14.7.20. Suporta leitura e verificação de CRL (certificate revocation list);
14.7.21. Permite a aplicação de políticas de segurança e visibilidade para as aplicações que circulam dentro dos túneis SSL;
14.7.22. O agente de VPN a ser instalado nos equipamentos desktop e laptops, dever ser capaz de ser distribuído de maneira automática via Microsoft SMS, Active Directory e ser descarregado diretamente desde o seu próprio portal, o qual residirá no centralizador de VPN;
14.7.23. O agente deverá comunicar-se com o portal para determinar as políticas de segurança do usuário,
14.7.24. Deve permitir que a conexão com a VPN SSL seja estabelecida das seguintesformas:
14.7.24.1. Antes do usuário autenticar na estação;
14.7.24.2. Após autenticação do usuário na estação;
14.7.24.3. Sob demanda do usuário;
14.7.25. Deverá manter uma conexão segura com o portal durante a sessão.
14.7.26. O agente de VPN SSL client-to-site deve ser compatível com pelo menos: Windows XP, Vista Windows 7, Windows 8, Mac OSx e Chrome OS;
14.7.27. O portal de VPN deve enviar ao cliente remoto, a lista de gateways de VPN ativos para estabelecimento da conexão, os quais devem poder ser administrados centralmente;
14.7.28. Deve haver a opção do cliente remoto escolher manualmente o gateway de VPN e de forma automática através da melhor rota entre os gateways disponíveis com base no tempo de resposta mais rápido;
14.7.29. Deve possuir a capacidade de identificar se a origem da conexão de VPN é externa ou interna;
15. Console de Gerência e Monitoramento
15.1. Centralizar a administração de regras e políticas usando uma única interface degerenciamento;
15.2. O gerenciamento da solução deve suportar acesso via SSH, cliente ou WEB (HTTPS) e API aberta;
15.3. Deve permitir substituir o certificado de fábrica no acesso HTTPS a gerência do firewall como possibilidade de uso de certificado criado localmente na própria solução ou importado de fonte externa;
15.4. Caso haja a necessidade de instalação de cliente para administração da solução o mesmo deve ser compatível com sistemas operacionais Windows e Linux;
15.5. O gerenciamento deve permitir/possuir:
15.5.1. Criação e administração de políticas de firewall e controle de aplicação;
15.5.2. Criação e administração de políticas de IPS, Antivírus e Anti-Spyware;
15.5.3. Criação e administração de políticas de Filtro de URL;
15.5.4. Monitoração de logs;
15.5.5. Ferramentas de investigação de logs;
15.5.6. Debugging;
15.5.7. Captura de pacotes.
15.6. Acesso concorrente de administradores;
15.7. Deve permitir que administradores concorrentes façam modificações, valide configurações e reverta configurações do firewall simultaneamente e que cada administrador consiga aplicar apenas as suas alterações de forma independente das realizadas por outroadministrador;
15.8. Deve mostrar ao administrador do firewall a hora e data do último login e tentativas de login com falha para acessos a partir da interface gráfica e CLI.
15.9. Deve possuir mecanismo busca global na solução onde possa se consultar por uma string tais como: nome de objetos, ID ou nome de ameaças, nome de aplicações, nome de políticas, endereços IPs, permitindo a localização e uso dos mesmo na configuração do dispositivo;
15.10. Deve possuir um mecanismo de busca por comandos no gerenciamento via SSH, facilitando a localização de comandos;
15.11. Deve permitir usar palavras chaves e cores para facilitar identificação de regras;
15.12. Deve permitir monitorar via SNMP falhas de hardware, inserção ou remoção de fontes, discos e coolers, uso de recursos por número elevado de sessões, número de túneis estabelecidos na VPN cliente-to-site, porcentagem de utilização em referência ao número total suportado/licenciado e número de sessões estabelecidas, estatísticas/taxa de logs, uso de disco, período de retenção dos logs e status do envio de logs para soluções externas;
15.13. Deve suportar também o monitoramento dos seguintes recursos via SNMP: IP fragmentation, TCP state e dropped packets;
15.14. Bloqueio de alterações, no caso acesso simultâneo de dois ou mais administradores;
15.15. Definição de perfis de acesso à console com permissões granulares como: acesso de escrita, acesso de leitura, criação de usuários, alteração de configurações;
15.16. Autenticação integrada ao Microsoft Active Directory e servidor Radius;
15.17. Localização de em quais regras um endereço IP, IP Range, subnet ou objetos estãosendo utilizados;
15.18. Deve atribuir sequencialmente um número a cada regra de firewall, NAT, QOS e regras de DOS;
15.19. Criação de regras que fiquem ativas em horário definido;
15.20. Criação de regras com data de expiração;
15.21. Backup das configurações e rollback de configuração para a última configuração salva;
15.22. Suportar Rollback de Sistema Operacional para a última versão local;
15.23. Habilidade de upgrade via SCP, TFTP e interface de gerenciamento;
15.24. Deve possuir mecanismo de análise de impacto na política de segurança antes de atualizar a base com novas aplicações disponibilizadas pelo fabricante;
15.25. Validação de regras antes da aplicação;
15.26. Deve implementar mecanismo de validação de configurações antes da aplicação das mesmas permitindo identificar erros, tais como: rota de destino inválida, regras em shadowing etc.
15.26.1. É permitido o uso de appliance externo para permitir a validação de regras antes da aplicação.
15.27. Validação das políticas, avisando quando houver regras que, ofusquem ou conflitem com outras (shadowing);
15.27.1. É permitido o uso de appliance externo para permitir a validação de políticas, avisando quando houver regras que, ofusquem ou conflitem com outras (shadowing);
15.28. Deve possibilitar a visualização e comparação de configurações Atuais, configuração anterior e configurações antigas.
15.29. Deve possibilitar a integração com outras soluções de SIEM de mercado (thirdparty SIEM vendors)
15.30. Geração de logs de auditoria detalhados, informando a configuração realizada, o administrador que a realizou e o horário da alteração;
15.31. Deverá ter a capacidade de gerar um relatório gráfico que permita visualizar as mudanças na utilização de aplicações na rede no que se refere a um período de tempo anterior, para permitir comparar os diferentes consumos realizados pelas aplicações no tempo presente com relação ao passado;
15.32. Geração de relatórios com mapas geográficos gerados em tempo real para a visualização de origens e destinos do tráfego gerado na instituição;
15.33. Deve prover relatórios com visão correlacionada de aplicações, ameaças (IPS, Antivírus e Anti- Spware), URLs e filtro de arquivos, para melhor diagnóstico e resposta a incidentes;
15.34. Deve permitir a criação de Dash-Boards customizados para visibilidades do tráfego de aplicativos, usuários, categorias de URL, ameaças identificadas pelo IPS, antivírus, anti-spyware, malwares "Zero Day"detectados em sand-box e tráfego bloqueado;
15.35. O gerenciamento da solução deve possibilitar a coleta de estatísticas de todo o tráfego que passar pelos dispositivos de segurança;
15.36. Dever permitir a visualização dos logs de malwares modernos, tráfego (IP de origem, destino, usuário e porta), aplicação, IPS, antivírus, anti-spyware, Filtro de URL e filtro de arquivos em uma única tela;
15.37. Deve possuir relatórios de utilização dos recursos por aplicações, URL, ameaças (IPS, Antivírus e Anti-Spware), etc;
15.38. Prover uma visualização sumarizada de todas as aplicações, ameaças (IPS, Antivírus e Anti- Spware), e URLs que passaram pela solução;
15.39. Deve possuir mecanismo "Drill-Down" para navegação nos relatórios em RealTime;
15.40. Nas opções de "Drill-Down", ser possível identificar o usuário que fez determinado acesso;
15.41. Deve possuir relatório de visibilidade e uso sobre aplicativos (SaaS). O relatório também deve mostrar os riscos para a segurança do ambiente, tais como a entrega de malwares através de aplicativos SaaS com a informação do usuário responsável pelo acesso;
15.42. Os relatórios de visibilidade e uso sobre aplicativos (SaaS) devem poder ser extraídos por grupo de usuários apresentando o uso e consumo de aplicações por grupo de usuário;
15.43. Deve ser possível exportar os logs em CSV;
15.44. Deverá ser possível acessar o equipamento a aplicar configurações durante momentos onde o trafego é muito alto e a CPU e memória do equipamento estiver totalmente utilizada.
15.45. Rotação do log;
15.46. Deve permitir que os logs e relatórios sejam rotacionados automaticamente baseado no tempo em que estão armazenados na solução, assim como no espaço em disco usado;
15.47. Deve permitir fazer o envio de logs para soluções externas de forma granular podendo selecionar quais campos dos logs serão enviados incluindo, mas não limitado a: tipo de ameaça, usuário, aplicação, etc;
15.48. Exibição das seguintes informações, de forma histórica e em tempo real (atualizado de forma automática e contínua a cada 1 minuto):
15.48.1. Situação do dispositivo e do cluster;
15.48.2. Principais aplicações;
15.48.3. Principais aplicações por risco;
15.48.4. Administradores autenticados na gerência da plataforma de segurança;
15.48.5. Número de sessões simultâneas;
15.48.6. Status das interfaces;
15.48.7. Uso de CPU;
15.49. Geração de relatórios. No mínimo os seguintes relatórios devem ser gerados:
15.49.1. Resumo gráfico de aplicações utilizadas;
15.49.2. Principais aplicações por utilização de largura de banda de entrada e saída;
15.49.3. Principais aplicações por taxa de transferência de bytes;
15.49.4. Principais hosts por número de ameaças identificadas;
15.49.5. Atividades de um usuário específico e grupo de usuários do AD/LDAP, incluindo aplicações acessadas, categorias de URL, URL/tempo de utilização e ameaças (IPS, Antivírus e Anti-Spware), de rede vinculadas a este tráfego;
15.49.6. Deve permitir a criação de relatórios personalizados;
15.50. Em cada critério de pesquisa do log deve ser possível incluir múltiplas entradas (ex. 10 redes e IP’s distintos; serviços HTTP, HTTPS e SMTP), exceto no campo horário, onde deve ser possível definir um faixa de tempo como critério de pesquisa;
15.51. Gerar alertas automáticos via;
15.51.1. Email;
15.51.2. SNMP;
15.51.3. Syslog;
15.52. A plataforma de segurança deve permitir através de API-XML (Application Program Interface) a integração com sistemas existentes no ambiente da contratante de forma a possibilitar que aplicações desenvolvidas na contratante possam interagir em RealTime com a solução possibilitando assim que regras e políticas de segurança de possam ser modificadas por estas aplicações com a utilização de scripts em linguagens de programação como Perl ou PHP.
16. Qualificação Técnica
16.1. A licitante deverá apresentar atestado de capacidade técnica compatível com o objeto do edital e abrangendo todos os serviços e tecnologias especificadas, fornecido por empresa pública ou privada que possua no mínimo 50% da quantidade
solicitada no ITEM 2.3 deste termo.
17. Obrigações da Contratada / Prestação de Serviços
17.1. A CONTRATADA deverá realizar contato para agendar reunião de Kick-off no prazo máximo de até 5 (cinco) dias úteis, contados a partir da assinatura do contrato. A data da reunião deverá ser determinada em comum acordo entre a CONTRATADA e o CONTRATANTE.
17.2. Por se tratar de um serviço crítico para a instituição, a fim de comprovar a capacidade técnica de execução por parte do fornecedor, nesta reunião, a CONTRATADA deverá apresentar no mínimo 1 profissional que vai atuar no projeto, detentor de uma das seguintes certificações: Palo Alto Networks Certified Network Security Administrator (PCNSA) ou Palo Alto Networks Certified Network Security Engineer (PCNSE).
17.3. Nesta reunião, a CONTRATADA deverá designar um gerente de projeto responsável pela liderança técnica e administrativa do projeto, durante o projeto deverá realizar a entrega de artefatos, tais como: Termo de abertura de projeto, Plano de Projeto, Declaração de Escopo, RACI, Cronograma, previsão de envio de Status Report (Diário e Semanal); também deve promover reunião periódica de acompanhamento e ao final realiza a entrega do Termo de Encerramento do Projeto.
17.4. A CONTRATADA responsabilizar-se integralmente pelas despesas com deslocamentos, alimentação, estada, transporte e quaisquer outras adicionais, arcando, dessa forma com todas as despesas diretas ou indiretas decorrentes do cumprimento de suas obrigações, sem qualquer ônus adicional para o CONTRATANTE.
17.5. A CONTRATADA se compromete a substituir, no xxxxx xxxxxx xx 00 (xxxxxxxx x xxxx) horas a contar da notificação do CONTRATANTE, um dos seus empregados em serviço, cuja atuação, permanência ou comportamento forem julgados prejudiciais, inconvenientes ou insatisfatórios à execução dos serviços.
17.6. A CONTRATADA se compromete ao fornecimento, instalação e configuração de licenciamento e suporte de sistema de segurança de informação com implementação de Firewall de nova geração com administração de uso da largura de banda de serviço de internet (QoS/Controlador de Banda), suporte para conexões VPN IPSec e SSL, prevenção de intrusão (IPS), proteção contra ameaças de vírus e malware modernos, bem como controle de transmissão de dados e filtragem de conteúdo para acesso à internet.
17.7. A instalação deverá ser efetuada de forma a não comprometer o funcionamento dos sistemas, recursos ou equipamentos atualmente em operação no ambiente da CONTRATANTE;
17.8. A empresa licitante deverá prever em sua proposta os serviços de instalação, configuração, programação, ativação, testes, treinamento na modalidade hands-on por no mínimo 8 horas.
17.9. Os serviços poderão ocorrer em horário comercial e, caso seja necessário permanecer após o horário de expediente, as horas extras e encargos trabalhistas serão de total responsabilidade da CONTRATADA;
17.10. Poderá haver necessidade de execução dos SERVIÇOS fora do horário comercial, em finais de semana e/ou em feriados, em razão manutenção programada, sem ônus para CONTRATANTE.
17.11. Serviços de Instalação
17.11.1. Configuração básica de comunicação LAN e WAN
17.11.2. Instalação e ativação das licenças
17.11.3. URL Filtering
17.11.3.1. Threat Prevention
17.11.3.2. WildFire
17.11.4. Atualização de software da plataforma PAN-OS;
17.11.5. Atualização de data-base URL e Threat Prevention (IPS)
17.11.6 Análise do plano de configuração (security policies) fornecido pelo cliente
17.11.7 Migração de políticas
17.11.7.1 Configuração de até novas 40 políticas para firewall de aplicação
17.11.7.2 Configuração de até novas 20 políticas para controle de acesso e conteúdo Web
17.11.7.3 Configuração de ativação do IPS para políticas criadas
17.11.8 Configuração de integração e identificação de usuários
17.11.9 Documentação digital
17.11.10 Topologia
17.11.11 Regras
17.12 O CONTRATANTE se reserva o direito de acompanhar e fiscalizar os serviços realizados pela CONTRATADA, verificando a aderência às especificações técnicas definidas, zelando pelo cumprimento de prazos e monitorando a qualidade dos serviços;
17.13 Serviços de Treinamento
17.13.1 O treinamento terá duração total de 8 horas, no formatado Hands-on.
18. Entrega, Faturamento e Aceitação do Objeto
18.1. A entrega bem como a instalação, configuração e treinamento deverão ocorrer no Polo Sociocultural Sesc Paraty, que fica localizado na cidade de Paraty-RJ, após a assinatura do contrato, no seguinte endereço: X. Xxxx Xxxxxxx, 000 - Xxxxxx Xxxxxxxxx, Xxxxxx - XX, CEP: 23.970.000, A/c Setor de TI.
18.2. Obedecendo o cronograma aprovado na reunião de Kick-off, descrito no item 17.3, o serviço será considerado aceito quando:
18.2.1. Entregue as licenças solicitadas.
18.2.2. Realizado serviço de instalação, migração, configuração, documentação e treinamento.
18.2.3. Pós reunião e entrega do Termo de Encerramento do Projeto.
18.3. O Faturamento deve ser direcionado para: Serviço Social do Comércio – Sesc CNPJ 33.469.164/0023-27
Xxx Xxxx Xxxxxxx, 000 – Centro Histórico, Paraty (RJ)
18.4. Condições de Pagamento
18.4.1. Deverão estar inclusas todas as despesas relativas ao produto indicadas na proposta vencedora.
18.4.2. O pagamento será realizado conforme descrito abaixo:
18.4.2.1. O pagamento será realizado após a entrega da instalação do equipamento, treinamento, ativação de licenças garantia e suporte, com aceite formal do fiscal de contrato em até 15 dias após a emissão da NF.
18.4.3. A(s) NF(s) de serviço deverá(ão) ser emitida(s) e entregue(s) entre o 1º e o 20º dia do mês, a exigência é necessária para o registro contábil no mês corrente, na hipótese de entrega entre o 21º e o 31º dia esta deverá ser cancelada pelo contratado e providenciada nova emissão a partir do 1º dia útil do mês subsequente.
O contratado é o único responsável por quaisquer ônus ou despesas decorrentes do cancelamento e da nova emissão do documento fiscal.
19. Nível de Serviços
19.1. Substituir no prazo de 24 (vinte e quatro) horas, as licenças e ou produtos que não atendam as especificações técnicas solicitadas ou apresentem algum defeito ou avaria, sendo todos os custos inerentes a devolução e reenvio por conta da CONTRATADA.
20. Penalidades Iniciais
20.1. Havendo inadimplemento total ou parcial na execução do objeto contratado, a CONTRATADA fica sujeita às seguintes penalidades:
20.1.1. Advertência;
20.1.2. Multa 10% do valor anual;
20.1.3. Rescisão unilateral contratual;
20.2. A penalidade de multa, será aplicada pelo CONTRATANTE da seguinte forma:
20.2.1. Pelo atraso injustificado na prestação dos serviços objeto deste contato, será aplicada multa de 2% (dois por cento) do valor total deste contrato.
20.2.2. Pela inexecução parcial deste contrato e pelo atraso injustificado na prestação dos serviços por período superior a 30 (trinta) dias, corridos ou intercalados, será aplicada multa de 5% (cinco por cento) do valor total deste contrato.
20.2.3. Pela inexecução total deste contrato será aplicada multa de 10% (dez por cento) sobre o valor total deste contrato;
20.2.4. Para a aplicação das penalidades previstas neste contrato será observado o devido processo legal, que assegure à CONTRATADA o direito ao contraditório e à ampla defesa.
21. Vigência Contratual
21.1. A vigência contratual prevista será de até 36 (trinta e seis meses), a partir da assinatura do contrato.
Rio de janeiro, 25 de março de 2022.