Suministro, instalación, configuración y puesta en marcha de un

www.anam.gob.pa
Edificio 804, Albrook
Apartado 0843-00793
República de Panamá
   
    
  
ESPECIFICACIONES TÉCNICAS
Suministro, instalación, configuración y puesta en marcha de un Sistema de
Filtrado Web y Protocolos

La Autoridad Nacional del Ambiente tiene alrededor de 1400 usuarios y actualmente no cuenta con un sistema de seguridad de filtrado que permita evitar el ingreso
a sitios maliciosos o no deseados y el uso de programas no aprobados por la Dirección de Administración de Sistemas de Información Ambiental lo que repercute en
el bajo rendimiento de la red de datos e internet y en el ocio de los colaboradores.
 
Solucionar el problema de degradación de rendimiento que sufre la red de datos
a nivel nacional y evitar posibles amenazas por el uso incorrecto del internet por
parte de los colaboradores.
   
1. Debe cumplir con las exigencias de la Autoridad Nacional del Ambiente y lo
recomendado por el fabricante del producto. Esto incluye control de calidad
de la instalación final del producto en cuanto a funcionalidad.
2. Se configurará el filtrado para que se cumplan las políticas con los distintos
grupos del Directorio Activo de Microso Windows Server, según lo solicite
la institución para los usuarios de distintas categorías que deben cumplir
con políticas desde las más leves hasta las más estrictas.
3. Deberán aplicarse las políticas definidas por defecto por el fabricante para
que luego el personal de la institución pueda afinar más en detalle dichas
políticas luego de la capacitación.
4. El filtrado deberá quedar configurado para bloquear mediante filtrado web
las más conocidas páginas de entretenimiento y redes sociales como son
Facebook, Twier, Badoo, programas de chat, entre otros, permitiendo el
acceso a los sitios sociales antes mencionados que tienen relación con la
institución.

5. El filtrado deberá quedar configurado para bloquear mediante protocolo las
aplicaciones más conocidas de mayor consumo de ancho de banda y posibles amenazas como son programas Peer to Peer (P2P) de cualquier tipo
como Ares, BitTorrent, eDonkey, Vuze, uTorrent y servicios como YouTube, señales en vivo de Audio y Video de distintos proveedores y televisoras,
emisoras de radio, entre otros, con excepción a los sitios multimedia antes
mencionados (YouTube) que tienen relación con la institución, por lo que
la solución debe tener la capacidad de filtrar a nivel granular los sitios de
redes sociales (Facebook, Twier, YouTube, Instagram) permitiendo decidir
a nivel de cuentas de dominio que usuarios tienen acceso a qué sitios y a que
parte de esos sitios específicamente.
6. El sistema de filtrado deberá quedar configurado para bloquear mediante
protocolo las principales aplicaciones de servidor proxy, VPN y conectividad anónima conocidas hasta el momento tanto en ambiente web como instaladas localmente en equipos o de manera portable como Tor, Ultrasurf,
TunnelBear, Tails, PureVPN y cualquier programa que permita conexiones
no autorizadas a localidades remotas con el fin enmascarar ubicación y sobrepasar los sistemas de seguridad y filtrado inclusive de la institución.
7. El sistema deberá trabajar de forma transparente sin necesidad de instalar
agentes o programas en las máquinas para validar la autenticación, además
deberá permitir autenticar a través de un portal captivo a los usuarios no
validados en el dominio.
8. El esquema de licenciamiento inicial y posterior actualización (renovación)
del producto deberá ser capaz de aceptar usuarios ilimitados enfocado a rendimiento del producto y no a cantidad de usuarios, lo que permitirá que los
costos no se incrementen al transcurrir el tiempo o la cantidad de usuarios
que accesan la red. Además el producto deberá seguir funcional y activo al
100% una vez caduque la licencia de actualización de la base de datos.
9. El sistema deberá permitir personalizar las pantallas de presentación de mensajes, alertas y avisos a los usuarios con los logos de la institución y en idioma
español e inglés.
10. Realizar y documentar las pruebas de aceptación de los sistemas y equipos
involucrados con la solución.
11. El Fabricante debe estar posicionado como Líder en el Cuadrante mágico de
Gartner para la solución ofertada.
12. Capacitación y entrenamiento para el personal de la ANAM que manejará
la solución de filtrado.
   
1. El Contratista es responsable de entregar a la ANAM en tiempo y en forma
establecida los productos y servicios definidos. La forma o criterio de aceptación se definen al principio de cada una de las fases del proyecto. Cualquier

modificación en los tiempos o entregables debe ser acordada entre los dos
gerentes de proyectos (la ANAM y El Contratista).
2. El Contratista es responsable de implantar y adecuar la solución que abarque todos y cada uno de los requerimientos que se definen en este documento.
3. El Contratista proveerá el recurso humano técnico para el desarrollo de la
aplicación, de acuerdo a las competencias solicitadas en este documento.
4. El Contratista es responsable de coordinar todos los recursos que se utilicen para la solución de la aplicación, reportando a la ANAM cualquier problema, que interfiera en el normal desarrollo, relacionado con recursos de la
ANAM.
5. El Contratista es responsable de proveer a la ANAM recurso humano con
conocimientos de la herramienta acordes a las necesidades de implantación.
6. El Contratista se compromete a reemplazar cualquier técnico a criterio de
la ANAM, con previo acuerdo de las partes, que se crea no cumple con los
conocimientos técnicos necesarios para la ejecución de la solución.
7. El Contratista es responsable por el desempeño y conducta de todos sus
técnicos durante la ejecución del proyecto.
8. El Contratista hará entrega en medio digital de un informe final con el
diseño y configuración de la solución.
9. Durante los 12 meses de garantía y servicio de soporte, El Contratista configurará cuantas veces sea necesario, la solución, sin costo adicional.
          

1. La empresa debe contar con oficinas registradas en Panamá cuyo domicilio
físico sea en el territorio nacional, preferiblemente en la ciudad de Panamá.
2. Anexar informació́n con el domicilio, los telé́fonos, fax, direcciones de correo
electró́nico.
3. El Contratista presentará carta de distribuidor autorizado emitida por el
fabricante, que certifique la trayectoria de distribución y que cuente con los
derechos de comercializar la solución a implementar. La carta deberá indicar
que el proponente tiene más de 5 años de representar la marca.
4. El Contratista presentará carta del fabricante que certifique que es un Canal Autorizado (Authorized Reseller) en Panamá, y que es un distribuidor
con el nivel de socio más alto (Platino por ejemplo) que ofrezca la marca.

La carta deberá indicar la dirección de correo electrónico o número de teléfono de la casa fabricante donde se pueda validar y certificar los niveles que
ofrece y el nivel de socio correspondiente.
5. El Contratista presentará garantía por escrito del servicio por un tiempo
no menor a 12 meses tanto para los equipos (si aplica) como para la mano
de obra y el soporte. Presentar nota de certificación firmada por el representante legal de la empresa. (No subsanable).
6. El Contratista deberá presentar copia de las certificaciones de al menos 3
ingenieros que los acredite cómo idóneos para realizar los trabajos de instalación y configuración y atender los incidentes de soporte reportados del
producto.
7. El Contratista presentará a la ANAM carta del proveedor avalada por Recursos Humanos, indicando que el personal forma parte de la planilla. Debe
presentar copia de la ficha de Seguro Social vigente de cada uno de los técnicos certificados.
8. El Contratista presentará al menos (2) cartas de referencias de entidades
gubernamentales en las cuales se haya ejecutado esta solución y donde al
menos una de las referencias cuente con más de 1200 usuarios en la implementación.
9. El Contratista presentará al menos una carta de referencia de empresa privada en la cual se haya ejecutado esta solución para más de 300 usuarios.
10. Las personas autorizadas a realizar los trabajos deberán hacerlo de forma
presencial en las instalaciones de la Autoridad Nacional del Ambiente. No
podrán realizarse de manera remota. El Contratista debe presentar un listado de las personas calificadas que van a realizar los trabajos para la emisión
de permisos.
      
1. EL CONTRATISTA deberá facilitar los catálogos u hojas de especificaciones
de la solución que pretende ofrecer para que sean evaluados y aprobados.
Debe incluir referencia de los documentos del Proyecto que está tratando
de cumplir. Cuando se someta literatura que cubra una serie de equipos y
especificaciones juntas al que específicamente se desea suministrar, esta será
claramente marcada de tal forma que resalte de entre los otros que no se
desea suministrar.
2. Las hojas de especificaciones o catálogos deben ser emitidas por el fabricante
de la solución ofrecida, demostrando que cumple con todas las características
solicitadas en las especificaciones técnicas y el contratista deberá imprimir y
marcar en el modelo de cuadro adjunto la página y renglón específico donde
sustenta dicha característica dentro de las hojas suministradas.

        
Requisito
Cumple
(Sí/No)
Comentario/Página
Especificaciones de Hardware
Rendimiento de hasta 9 Gbps de Throughput
Debe soportar mínimo 1.2 millón de conexiones concurrentes
Debe soportar mínimo 50,000 conexiones por segundo
Debe soportar IPv4 e IPv6
Debe soportar Link Aggregation (802.3ad) en modo pasivo y activo
Debe Soportar implementación en modo transparente
(Layer 2) o en modo ruteo (Layer 3)
Debe soportar creación de 1024 vlans en el equipo
Debe tener al menos (4) interfaces Ethernet 10/100/1000
RJ45
Debe tener disco duro interno de al menos 250GB
El equipo debe ser para montaje en rack e incluir accesorios de montaje
El equipo debe soportar Alta disponibilidad en modo
activo/activo y activo/pasivo. Debe soportar sincronización de sesiones para el tráfico cifrado y no cifrado. Contar con mecanismos de detección de fallas y detección de
pérdida de enlaces
Especificaciones de Soware y funcionalidades básicas necesarias
Control de mensajería y aplicaciones a nivel de puerto
80, incluyendo el bloqueo selectivo de Chat, Envió de Archivo, Voz y Asistencia Remota
Network Address Translation (NAT), automático y manual, y granular para diferentes orígenes, destinos y servicios
Capacidad de hacer Alta Redundancia de proveedor de
servicio
Debe soportar exportar la configuración del sistema, ya
sea de forma manual o programada
Debe soportar túneles VPN punto a punto
Debe soportar túneles de acceso remoto
Debe permitir VPN para el acceso remoto de usuarios
tipo móviles mediante IPSec
Debe permitir VPN para el acceso remoto de usuarios
tipo móviles mediante SSL, sin necesidad de instalar un
cliente previo

Pueda validar VPN por medio de certificados digitales o
llaves secretas
Soportar VPN con IKEv1 y IKEv2
Posibilidad de cifrado por medio de DES, 3DES, AES-128
y AES-256. Y revisión de integridad con MD5 y SHA-1
Debe incluir soporte para topologías Sitio a Sitio todos
contra todos (Full Mesh), Oficinas remotas hacia oficina
central (Topología Estrella), Hub y Spoke (Sitio remoto
a través del sitio central hacia otros sitios)
Capacidad de realizar SSL VPN a dispositivos móviles
iPhones/iPad/Android
La solución debe soportar redundancia de proveedor de
Internet, en modos activo/pasivo y activo/activo
Requerimientos de administración de la plataforma
Soportar Gestión de Políticas de forma centralizada para
los productos de seguridad
Debe tener interfaz gráfica basada en objetos, donde la
creación de reglas pueda ser creada mediante objetos
La consola de administración debe hacer verificación de
errores en las políticas creadas antes de aplicarlas
La solución debe permitir revertir la política de seguridad a una versión anterior
Debe soportar drag and drop de objetos y deben poder
ser reutilizados entre varias políticas
Debe soportar administración basada en roles, donde a
los administradores se les otorgue perfiles personalizables de administración
Debe poder auditar los cambios realizados por los administradores
Todos los productos de seguridad deben soportar ser
configurados desde una única consola gráfica
Debe incluir una Autoridad Certificadora interna X.509,
que genere certificados para los gateways y a los usuarios para fácil autenticación en los VPNs
Debe poder soportar una Autoridad emisora de Certificados Externa, provista por un tercero
Debe soportar agrupación de reglas en secciones etiquetadas para una administración intuitiva y ordenada
Debe soportar definición de tiempo de expiración a las
reglas de seguridad, de modo que estén activas en intervalos específicos de tiempo
La consola de administración debe soportar búsqueda
de objetos y reglas

Debe tener contador de utilización en las reglas de seguridad, para saber que tanto se utilizan las reglas. Éste
contador debe ser visible en la misma lista de reglas de
seguridad
La solución debe soportar creación de múltiples versiones de la política de seguridad de modo que puedan ser
consultadas en caso de necesitar revertir algún cambio.
Estas versiones deben poder ser creadas manual o automáticamente
La solución debe realizar una verificación de las políticas
de seguridad creadas de modo que no existan conflicto
de reglas
Debe soportar integración con terceros mediante algún
lenguaje de código abierto
Debe soportar autenticación por una base de datos local,
LDAP, TACACS, RADIUS o SecureID
Debe soportar administración basada en roles
Debe soportar IPv6
Requerimientos de gestión de logs
Herramienta capaz de ser utilizada para realizar análisis
de auditoría en tiempo real de los eventos de seguridad
Búsqueda intuitiva, semejante al sistema de búsqueda
de google
Debe permitir realizar búsquedas granulares para cualquier comunicación o de patrón de tráfico
Debe ser una herramienta sin límite de registros, debe
estar limitada solo por el tamaño del espacio en disco
Reducir el tiempo de troubleshooting al poder mostrar
resultados en tiempo real
Debe tener filtros predefinidos de búsqueda y permitir
crear y salvar filtros personalizados
Requerimientos para Sistema de Prevención de Intrusos
La solución debe proveer un sistema de prevención de
intrusos (IPS) integrado a la solución de seguridad
Debe proveer miles de protecciones preventivas y proactivas out-of-the-box
Debe proveer cobertura de protecciones para amenazas
de clientes, servidores, sistemas operativos, infecciones
de malware y gusanos
Debe soportar protección basada en ubicación geográfica
Debe inspeccionar el tráfico SSL
Debe soportar aceleración de inspección IPS

Debe soportar soware configurable para realizar bypass en caso de alta carga, para garantizar rendimiento
de red
Debe tener protección contra ataques DoS
Debe permitir creación de grupos de protecciones o perfiles
Debe traer perfiles de protecciones predefinidos out-ofthe-box
La solución debe tener las siguientes características clave: resistencia a evasiones, control granular, confianza y
precisión en sus protecciones
Debe soportar distribución de inspección de IPS para correr en paralelo entre múltiples cores del procesador
Debe tener tecnología de inspección del orden de llegada de los paquetes, de modo que ayude contra ataques
relacionados al orden de los paquetes
Debe proteger contra ataques complejos y elusivos. Ésta
inspección debe soportar aceleración
Debe soportar inspección de firmas en múltiples partes
de los paquetes como lo son URL, encabezados de HTTP;
y análisis de protocolos de múltiples conexiones como
tráfico de voz sobre IP
Contar con mecanismo de detección de amenazas de
múltiples niveles o métodos: detección por firmas en
vulnerabilidades, validación de protocolos, detección de
anomalías, detección basada en comportamiento y correlación de múltiples elementos
Debe poder aplicar nuevas protecciones al mismo tiempo que protege la red de ataques. Con protección en
tiempo real y actualizaciones de protecciones para: vulnerabilidades, malware, tunneling, control de aplicaciones y ataques genéricos
Debe soportar creación de firmas personalizadas basado
en lenguaje de código abierto
Debe soportar un ambiente de pruebas aislado -sandboxpara probar las nuevas protecciones sin impactar la red
Debe soportar activación de protecciones basado en su
nivel de severidad, confianza y nivel de impacto en rendimiento
Debe poder realizar captura de tráfico para análisis forense
Debe soportar marcar protecciones como seguimiento
para análisis posterior
Debe proveer información detallada de cada protección,
que incluya descripción de la amenaza, severidad, nivel
de impacto en rendimiento y confianza de la protección

Debe soportar realizar excepciones a las protecciones
Requerimientos para control de acceso remoto desde dispositivos móvil
Solución de acceso remoto a aplicaciones corporativas
para dispositivos smartphones, tablets o PCs
Debe soportar conexión segura mediante tecnología SSL
VPN SSL, y tecnología de conexión VPN de Capa 3
Verificación de usuarios con autenticación de dos (2) factores
Proveer conectividad VPN basada en cliente y vía web
Para dispositivos móviles debe proteger ante robo de dispositivo mediante bloqueo de dispositivo o borrado remoto de datos coorporativos (remote-wipe)
Verificación de cumplimiento de requerimientos mínimo
de portátiles
Solución de Prevención de Intrusos Integrada que proteja de código malicioso y ataques como SQL injection y
Cross site scripting
Portal web integrado para acceder a las aplicaciones
web, archivos compartidos e email
El Portal web debe soportar múltiples lenguajes
El Portal web debe ser personalizable
Requerimientos de identificación de identidades
Administración centralizada del acceso de usuarios a recursos de la empresa y aplicaciones de internet
Visibilidad y control granular basada en usuarios, grupos de usuarios, máquinas
Debe permitir agregar usuarios, grupo de usuarios y maquinas a las defensas de seguridad
Identificación de usuario integrado a Microso Active
Directory sin la necesidad de instalar un agente en el
controlador de dominio o en las máquinas de los usuarios
Identificación de usuarios y máquinas externas mediante portal captivo
Identificación de usuarios mediante agentes tanto para
estaciones de trabajo como para servidores de aplicaciones como Citrix y Terminal Services
Identificación de los usuarios que se conectan por medio
de VPN de acceso remoto, para clientes SSL VPN y IPSec
VPN
Requerimientos de control de aplicaciones

Capacidad para identificar, permitir, bloquear o limitar
el uso de las aplicaciones por usuario o grupos limitando de esta forma la web 2.0, redes sociales, independientemente del puerto o protocolo o técnica evasiva para
atravesar la red
Le debe permitir a los administradores crear definiciones
de políticas muy granulares
Contar con aplicación clasificadora de biblioteca la cual
le permite escaneo y detección de más de 4,800 aplicaciones diferentes y más de 300.000 widgets web 2.0 como
mensajería instantánea, redes sociales video streaming,
VoIP, jugos entre otros
Debe contar con más de 150 categorías basadas en criterios como tipos de aplicaciones, nivel de riesgo de seguridad, uso de recursos e implicaciones de productividad
Debe permitir bloquear mediante protocolo las aplicaciones más conocidas de mayor consumo de ancho de
banda y posibles amenazas como son programas Peer
to Peer (P2P) de cualquier tipo y servicios multimedia
Debe permitir bloquear mediante protocolo las principales aplicaciones de servidor proxy, VPN y conectividad
anónima conocidas hasta el momento tanto en ambiente
web como instaladas localmente en equipos o de manera
portable y cualquier programa que permita conexiones
de adentro hacia afuera, no autorizadas a localidades remotas con el fin enmascarar ubicación y sobrepasar los
sistemas de seguridad
Debe contar con un identificador de usuario el cual le
permite enviar alertas a los empleados en tiempo real
acerca de sus limitaciones de acceso a aplicaciones
Debe prevenir infecciones de malware provenientes de
aplicaciones y widgets de redes sociales
Requerimientos de filtrado de navegación
Solución integrada para prevención de virus y amenazas
Prevenir infecciones de malwares a nivel de gateway
Sistema de inspección debe contener más de 4 millones
de firmas de virus y más de 250,000 sitios conocidos como fuentes de infección
Protección en tiempo real en la nube
Eliminar virus en los archivos descargados
Motor de inspección basado en firmas y análisis de comportamiento
Debe poder evitar que se visiten sitios conocidos con infecciones
Brindar protección en los protocolos HTTP, HTTPS, FTP,
POP3 y SMTP

Requerimientos para protección contra bots
Detección de máquinas infectadas con BOT
Seguridad en tiempo real en la nube
Bloqueo de comunicaciones bot desde maquinas infectadas
Detección de ataques APT
Prevenir daños de robo de información
Administración centralizada por una sola consola
4.5 millones de firmas de malware
Controles basados en reputación de IP, URL o dirección
DNS
Elaborado por:
Ing. Rafael Cano
Jefe de Soporte Técnico
Rev. 1.3 (13144a0)
