MINISTERIO DE DEFENSA NACIONAL AGENCIA LOGÍSTICA DE LAS FUERZAS MILITARES

Bogotá, D.C., 12 de Octubre de 2010

No._____/

ALDCT- GPRC-241

ASUNTO:

Selección Abreviada No. 240 de 2010

AL

:

Señores PARTICIPANTES Bogotá

En desarrollo de la Selección Abreviada N° 240 de 2010 cuyo objeto es el “SUMINISTRO, INSTALACIÓN, CONFIGURACIÓN Y PUESTA EN FUNCIONAMIENTO DE UNA SOLUCIÓN DE SEGURIDAD DE PROXY CACHÉ, FILTRADO DE URL, FIREWALL Y RENOVACIÓN DE 700 LICENCIAS Y ADQUISICIÓN DE 100 ADICIONALES DE LA NEAT SUITE ADVANCED DE TREND MICRO + SPS PARA LA AGENCIA LOGÍSTICA DE LAS FUERZAS MILITARES”, y para dar cumplimiento al pliego de condiciones, leyes 80/93, 1150/07, decretos reglamentarios y demás normas vigentes el oferente dispondrá de tres (03) días hábiles a partir del trece (13) al quince (15) de Octubre de 2010 de las 08:00 a las 16:00 horas, a fin de presentar las observaciones que estimen pertinentes a los informes de evaluación jurídico, financiero y técnico. Estos informes son publicados en las páginas: Portal Único de Contratación www.contratos.gov.co y la página web de la entidad www.agencialogistica.gov.co las cuales podrán ser consultadas por los oferentes. En razón a lo anterior, se informa que las observaciones se deben presentar hasta el quince (15) de Octubre a las 16:00 horas,. De igual manera, se solicita el envío de las mismas en medio magnético ó al correo [email protected].

PRESENTARON OFERTA: No.

OFERENTES

1

BLACK HAT ARCHETYPE S.A.S

2

NEMESIS S.A.

Continuación Informes de Evaluación S.A. No. 240/2010

INFORME DE EVALUACIÓN JURÍDICA VERIFICACIÓN DOCUMENTAL OFERENTE

BLACK HAT ARCHETYPE S.A.S

NEMESIS S.A.

Carta de Presentación - Formulario 01-

HABILITADO

HABILITADO

Certificado de Existencia y Representación Legal

HABILITADO

HABILITADO

Registro Único Tributario

HABILITADO

HABILITADO

Certificado Aportes Parafiscales -Ley 789/2002 y ley 828/2003

HABILITADO

HABILITADO

Código CUBS - 1.47.4.7-

HABILITADO

HABILITADO

Responsabilidades Fiscales de la Contraloría General de la República

HABILITADO

HABILITADO

Certificado de Antecedentes Disciplinarios de la Procuraduría General de la Nación

HABILITADO

HABILITADO

HABILITADO

HABILITADO

HABILITADO

HABILITADO

HABILITADO

HABILITADO

Registro Único de Proponentes -

Actividad 3, Especialidad 33, Grupo 01 y 03

Plazo de Ejecución Cuarenta y cinco (45) días contados a partir de la fecha de legalización del contrato

Manifestación de interés en participar

CONCLUSIÓN: Una vez analizadas las propuestas presentadas por: BLACK HAT ARCHETYPE S.A.S. NEMESIS S.A. Estas se encuentran HABILITADAS para continuar en el presente proceso de selección.

CODIGO: F08-PGN-S02

VERSION: 03

FECHA DE VIGENCIA:30-08-10 2 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

Este concepto es emitido sin perjuicio de los estudios técnicos, financieros y económicos a que haya lugar.

INFORME DE EVALUACIÓN FINANCIERA PRESUPUESTO OFICIAL

228.000.000,00 INDICADORES FINANCIEROS

No. OFERENTES

VIGENCIA RUP Y ESTADOS FINANCIER OS

CAPITAL DE TRABAJO >= 20% VR TOTAL PPTO (PLIEGO)

PLIEGO

1

BLACK HAT ARCHETYPE SAS

2009 09-10-2011

2

NEMESIS S.A

2009 09/10/2011

NIVEL ENDEUDA MIENTO =1,0 (PLIEGO)

297.139.78 7,00

57,78

1,59

CAPACIDAD PATRIMONIAL >= 50% PPTO OFICIAL POR ITEM(PLIEGO)

PLIEGO OFERENTE PLIEGO

OFEREN TE

102.015.57 3,00

6,04

1,70%

50,95%

CAPACIDAD RESIDUAL DE CONTRATACION >= VR TOTAL PPTO EXPRESADO EN SMMLV (PLIEGO)

114.000. 000,00

442,72 523.811.44 2,00

2.713,26

CONCLUSIÓN: La oferta presentada por la firma BLACK HAT ARCHETYPE S.A.S., se INHABILITA financieramente por no cumplir con la capacidad patrimonial y la residual de contratación exigida en el pliego de condiciones. La oferta presentada por la firma NEMESIS S.A., se encuentra HABILITADA financieramente para continuar con el proceso selección

CODIGO: F08-PGN-S02

VERSION: 03

FECHA DE VIGENCIA:30-08-10 3 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

INFORME DE EVALUACIÓN TÉCNICA ESPECIFICACIONES TÉCNICAS BHA BLACK HAT ARCHETYPE

NEMESIS ITEM

ESPECIFICACIONES TÉCNICAS CUMPLE SI

1 1.1

1.1.1

1,2

1.2.1

1.2.2 1.2.3 1.2.4 1.2.5 1,3 1.3.1

1.3.2

1,4

1.4.1

REQUERIMIENTO SISTEMA PROXY CACHE REQUERIMIENTO GENERAL Se requiere el suministro, instalación, configuración y puesta en funcionamiento de un equipo de comunicación y seguridad (Hardware) dedicado para atender la navegación web hacia internet e intranet de la Red de Datos de la Agencia Logística de las Fuerzas Militares, con capacidad de licenciamiento de mínimo de 800 usuarios y que proporcione las siguientes funcionalidades: HARDWARE El sistema requerido debe ser una solución compuesta por hardware y software (appliance) de propósito específico, montable en rack, con sistema operativo y aplicaciones propietarias es decir del mismo fabricante, que este diseñado para organizaciones de más de ochocientos (800) usuarios, debe incluirse el catalogo de la solución propuesta donde se validen las características técnicas. Debe permitir escalabilidad de hasta 1200 usurios en la misma máquina. DISCO DURO: 2 x 320 GB RAM: 2 GB INTERFACES DE RED: 2 puertos 10/100/1000 MANEJO DE CONEXIONES CONCURRENTES: HASTA 1200 LICENCIAMIENTO: El software de la solución entregada debe ser licenciamiento corporativo perpetuo. Así mismo se deberá hacer entrega de la licencia de SUSCRIPCIÓN y SERVICIO DE ACTUALIZACIÓN del appliance, sistema de filtrado URL, proxy-caché y demás software que utiliza la solución para mínimo (1) un año. ADMINISTRACIÓN La administración de la herramienta deberá ser basada en: - Web vía HTTP o HTTPS totalmente grafica. - Línea de comandos vía SSH o Telnet. - Transferencia de Archivos vía SCP o FTP.

CODIGO: F08-PGN-S02

X

No. FOLIO

NO

CUMPLE SI

95-89

No. FOLIO

NO

X

29

X

29

X

29

X

95

X

29

X X X

95 95 95

X X X

29 29 29

X

95

X

29

X

29

X

95

X

29

X

95

X

29

X

29

X

29

X

VERSION: 03

95

FECHA DE VIGENCIA:30-08-10 4 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

1,5 1.5.1 1.5.2 1.5.3 1.5.4

1.5.5

1.5.6

1.5.7

1.5.8

1.5.9

1.5.10

1.5.11

1.5.12

1.5.13

1.5.14

1.5.15

PROXY CACHE El sistema ofertado deberá soportar Forward Proxy. Debe tener un mecanismo de cache interno. El appliance deberá hacer cache con más de 700 GB Debe hacer cache hasta de 1GB de un único objeto. Deberá integrar funcionalidades avanzadas de proxy con servicios de seguridad tales como: filtrado de contenido, control de mensajería instantánea, tráfico del tipo P2P. El Sistema Proxy deberá poseer funcionalidades de aceleración y encripción de SSL. Protección Contra Fuga de Información: La solución deberá contar con protección de fuga de información mediante palabras claves, archivos adjuntos, y otros aplicables a protocolos como HTTP, HTTPS, Mensajería Instantánea, WebMail. El Proxy deberá Integrarse con el sistema de antivirus perimetral por medio del protocolo ICAP. El Proxy deberá soportar autenticación RSA SecurID via protocolo Radius. Los modos “nextpin” y “query” son soportados nativamente vía HTTP. El Proxy deberá controlar las conexiones de las más populares redes P2P tales como FastTrack (Kazaa), EDonkey, BitTorrent, y Gnutella. Los Administradores deberán poder escribir políticas a fin de permitir/negar acceso a aquellos servicios P2P y también limitar el ancho de banda. El proxy deberá soportar los siguientes protocolos de streaming: Real Networks, Windows Media Streaming , QuickTime y con los siguientes modos son soportados: Splitting for Live Content, Caching for On Demand, Pre-staging of content, Content Preloading, Multicast. La solución deberá poder ser configurada para determinar que contenido será cacheado y cual no. La solución deberá poseer un mecanismo que permita cargar el contenido de una página y/o objetos en la Cache de la solución, previamente a que se realice la primera consulta a las mismas. La solución deberá ser capaz de modificar los tiempos por defecto en los cuales los objetos son almacenados en la cache de la solución, independientemente de su valor original. La solución deberá brindar los siguientes modos operacionales: modo Proxy Explicito y modo Transparente. En modo Tranparente la solución deberá soportar el método de enlace transparente,

CODIGO: F08-PGN-S02

X

29

X

96

X

29

X

96

X

29

X

96

X

29

X

96

X

29

X

96

X

30

X

96

X

30

X

96

X

30

X

96

X

30

X

96

X

30

X

96

X

30

X

96

X

30

X

96

X

30

X

96

X

30

X

97

X

30

X

97

X

30

VERSION: 03

FECHA DE VIGENCIA:30-08-10 5 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

como así también el redireccionamiento tranparente mediante el protocolo WCCP. La solución deberá tener mecanismos de caching 1.5.16 de Objetos y caching de bytes, para ofrecer un mejor desempeño del proxy. ANCHO DE BANDA 1,6 La solución deberá poseer herramientas que posibiliten el control del ancho de banda utilizado. Esta herramienta deberá contar con controles 1.6.1 basados en: Protocolo/Aplicación, Origen/Destino, Usuarios/Grupo de Usuarios, Categoría de URL, Franja Horaria. La solución deberá ser capaz de permitir la definición de un mínimo de ancho de banda 1.6.2 garantizado, un máximo de ancho de banda, y establecer prioridades. Protección de la Red: La solución deberá proteger el uso del ancho de banda de la red restringiendo, 1.6.3 asignando prioridades y controlando el consumo de ancho de banda por comunidades de usuarios, usuario, aplicaciones, hora del día. FILTRADO URL 1,7 La solución debe contar con un modulo de filtrado URL que funcione con una base de datos que 1.7.1 contenga URLs clasificados por categorías (ej. Pornografía, chats, correo personal, avisos comerciales, juegos en línea, apuestas). Bases de datos web Maestra: Mínimo debe contener 52 categorías de contenido y 20 millones 1.7.2 de sitios web (que correspondan a más de 3.5 mil millones de páginas de Internet), de 200 países y en 70 idiomas diferentes. Deberá ser actualizada diariamente a través de rastreo automático en la WEB y de tecnologías de clasificación, eliminando los dominios y sitios no 1.7.3 utilizados; acompañado con la supervisión de un equipo global de profesionales dedicados a la investigación. Cobertura internacional: El sistema debe garantizar que se bloqueen sitios web independiente del punto de destino de la dirección 1.7.4 URL, como sitios WEB con contenido inapropiado (pornografía, juegos, apuestas) que se crean utilizando dominios internacionales para burlar los filtros URL. Clasificación de los sitios web: El sistema debe permitir personalizar categorías de forma ilimitada 1.7.5 con base en direcciones de IP, subredes, rangos CIDR, URLs, dominios y expresiones regulares. Actualizaciones automáticas e incrementales de la base de datos web: La base de datos Web 1.7.6 deberá ser actualizada en promedio con más de 100,000 sitios WEB nuevos que correspondan a

CODIGO: F08-PGN-S02

X

97

X

30

X

30

X

97

X

30

X

97

X

30

X

97

X

31

X

31

X

97

X

31

X

97

X

31

X

97

X

31

X

97

X

31

X

97

X

31

X

98

X

31

VERSION: 03

FECHA DE VIGENCIA:30-08-10 6 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

1.7.7

1.7.8

1.7.9

1.7.10

1.7.11

1,8 1.8.1

1.8.2

1.8.3

1.8.4

1.8.5

1.8.6

10 millones de nuevos URLs semanalmente. El sistema debe ofrecer a los administradores configurar el sistema de actualizaciones para que revise al menos cada cinco minutos si hay nuevas reglas. Debe hacer bloqueo por protocolo de los programas de mensajería instantánea más comunes por lo menos de Yahoo Messenger, MSN Messenger, jabber, AOL Instant Messenger, ICQ y aplicaciones Peer to Peer tales como bittorrent, eDonkey, Fast Track, kazaa, Gnutella, Ares. La herramienta deberá permitir diferenciar las políticas que pueden ser definidas basadas en nombre de usuario, grupo, hora del día, categoría de web-site, subredes. La solución deberá permitir la definición de filtrado de contenido basado en los siguientes parámetros: Usuario, Grupo de usuarios, IP, Subred, Protocolo, Puerto Destino, Alias de IM, Adjunto, Palabras Claves, Dominios, URL, Expresiones Regulares, HTTP Method, Franja Horaria, User Agent, MIME Type. La herramienta deberá contar con una única base de datos de URL en tiempo real con capacidades de analizar y categorizar los nuevos sitios que probablemente relacionados con el phishing, los programas espía y programas maliciosos. CONTROL DE POLÍTICAS El sistema debe contar con una consola de administración de políticas que permita como mínimo las siguientes funcionalidades: Autentificación: El sistema debe garantizar la perfecta integración con plataformas institucionales para la creación de políticas basados en sistemas de autenticación existentes como LDAP y estructuras de Directorio Activo (Active Directory) para que se permita la navegación WEB de forma transparente y una sola autenticación, es decir que los usuarios no tengan que volver a digitar usuarios y contraseña para navegar. Creación de políticas: Permitir a los administradores crear y administrar políticas basándose en usuarios y grupos. Permitir la sincronización automática con los directorios de autenticación existentes para proporcionar listas de grupos activos. El sistema debe permitir definir los grupos utilizando segmentos de red, direcciones IP, subred o rangos CIDR. Administración de políticas: Permitir agrupar las políticas de seguridad implementadas a través de grupos personalizados de acuerdo a

CODIGO: F08-PGN-S02

X

98

X

31

X

98

X

31

X

98

X

31

X

98

X

31

X

98

X

32

X

98

X

32

X

98

X

32

X

98

X

32

X

98

X

32

X

98

X

32

X

98

X

32

X

98

X

32

VERSION: 03

FECHA DE VIGENCIA:30-08-10 7 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

1.8.7

1.8.8

1.8.9

1.8.10

1.8.11

1.8.12

1.8.13

1.8.14

1.8.15

1.8.16

1.8.17

1.8.18

Organización o jerarquía Institucional. El filtrado integral de aplicaciones, objetos y protocolos: permitir configurar controles por usuarios y grupos permitiendo elegir bloquear o desbloquear aplicaciones como el tráfico de mensajes instantáneos (IM) o Skype canalizados a través de HTTP. Además, que el sistema permita el filtrado de objetos con base en el tipo real del archivo, que el sistema reconozca con exactitud los objetos para restringir la descarga de archivos y objetos que presentan riesgos de seguridad. Notificaciones personalizadas y particulares: Debe permitir: - La creación y configuración de alertas o notificaciones automáticas para los usuarios finales que incumplan las políticas de seguridad referente a la navegación en internet. El sistema debe contar con notificaciones predefinidas para los usuarios, así como permitir que se redirijan a páginas internas institucionales de políticas de seguridad informática. Las notificaciones a los usuarios finales deben ser en idioma español. Localmente crear categorías personalizadas de forma ilimitada e incluir sitios o categorías ya definidas, y de igual forma debe brindar la posibilidad de solicitar la categorización centralizada de los mismos al fabricante directamente vía web. La herramienta debe tener la opción de enviar automáticamente los sitios no categorizados al fabricante para su respectiva categorización. Envío de alertas administrativas vía e-mail, tales como cambio en el estado del servicio, falla de las tareas programadas, recordatorios de vencimiento de la licencia. Detectar los usuarios Windows (NetBios), nombres de máquinas y direcciones IP, para que no se necesite crear usuarios en la configuración de las políticas. Programar notificaciones vía Email al administrador sobre accesos negados y/o permitidos. Creación de reglas personalizadas, (Permitir, habilitar, deshabilitar) por usuarios, grupos, sitios, cantidades permisibles, protocolos, puertos, tipos de archivos y tiempo y horas de acceso. Personalización de páginas de denegación de acceso. La solución deberá permitir de definir reglas y políticas de forma simple a través de un interfaz web, como así también ser capaz de soportar definición de políticas a través de consola de comandos.

CODIGO: F08-PGN-S02

X

99

X

32

X

99

X

32

X

99

X

32

X

99

X

32

X

99

X

32

X

99

X

32

X

99

X

33

X

99

X

33

X

99

X

33

X

99

X

33

X

99

X

33

X

99

X

33

VERSION: 03

FECHA DE VIGENCIA:30-08-10 8 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

1.8.19

1.8.20 1,9 1.9.1

1.9.2

1.9.3

1,10 1.10.1 1.10.2

1.10.3

1.10.4

1.10.5

1.10.6 1.10.7 1.10.8 1.10.9 1.10.1 0

Las políticas de filtrado de contenido deberán poder aceptar: Mensajes de error definidos por el usuario, Caching de Navegación, Cuotas basadas en Tiempo (Time Based Quotas), Redirección de URL/Contenido, MIME Types, Speed-bump, Operadores Lógicos del tipo: IF, AND, NOT, NOR Deberá contar con visibilidad granular de políticas, basadas en el control sobre: quién, qué, cuándo, dónde y cómo, los usuarios y las aplicaciones se comunican entre sí. MENSAJERIA INSTANTANEA La solución deberá permitir el control de la mensajería instantánea por medio de la autenticación y la autorización de los usuarios. La solución deberá proveer la capacidad de aplicar políticas que restrinjan y controlen el uso de mensajería instantánea. Permitiendo crear políticas en base a palabras claves, transferencia de archivos. Por usuario, grupo de usuarios, por franjas horarias. La solución deberá ser capaz de realizar un registro de todas las transacciones y mensajes enviados mediante mensajería instantánea, así como también, proveer de una herramienta que interprete dichos registros maliciosos. REPORTES El sistema debe proveer una consola de informes en línea (on-line) donde se puede visualizar de forma rápida los siguientes reportes o informes. Información general sobre el tráfico de Internet. Vista rápida del actual uso del tráfico WEB o de Internet en el Agencia Logística de las Fuerzas Militares, con reportes granulares donde se detallen los principales recursos que se están utilizando, basándose en usuario y categoría. Reportes de los principales usuarios de la red que cumplen o infringen las políticas institucionales de seguridad informática. Reportes de información detallada y resumida sobre el ancho de banda ahorrado como resultado del filtrado de URL. Que los administradores del sistema pueden utilizar informes predefinidos o crear informes personalizados y notificaciones. Historial de la utilización de Internet por usuarios y sitios. Debe permitir generar y/o programar reportes personalizados en diferentes formatos incluyendo pdf y web (htm), csv, Word (rtf) y Excel (xls). Debe incluir sin costo adicional un sistema generador de reportes. Análisis de bajo nivel de hits, ancho de banda, por día, usuarios, sitios, protocolos y grupos.

CODIGO: F08-PGN-S02

X

99

X

33

X

99

X

33

X

33

X

99

X

33

X

100

X

33

X

100

X

33

X

100

X

33

X

100

X

33

X

100

X

33

X

100

X

33

X

100

X

33

X

100

X

34

X

100

X

34

X

100

X

34

X

100

X

34

X

100

X

34

X

100

X

34

VERSION: 03

FECHA DE VIGENCIA:30-08-10 9 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

1.10.1 1

1.10.1 2

1.10.1 3

1.10.1 4 1.10.1 5 1,11

1.11.1

1.11.2

1.11.3

1.11.4 2 2.1

2.1.1

2.1.2 2,2

La herramienta debe contar con un programador de reportes, para que se generen reportes a partir de plantillas, de forma automática y sean almacenados en el disco duro o enviados a una o varias cuentas de correo. Uso de la Web, Monitoreo y Reporte: La solución deberá proveer mecanismos de extracción e interpretación de logs en formatos personalizables que provean reportes gráficos sobre accesos a la web con vistas por usuarios, por grupos, categoría de contenido, consumo de ancho de banda, uso de mensajería instantánea. La solución deberá poseer herramientas que permitan realizar reportes personalizables por el usuario en base a: - Usuarios, - Protocolos - Destinos, - Tipos de tráfico Los reportes deben tener las siguientes características: Generar reportes de tráfico bloqueado por categoría y URL, Reportar el uso de la web por usuario, grupos, locaciones, URL, y otros factores. Determinar violadores de reglas corporativas de acceso a la web. ADMINISTRACIÓN DE REGISTROS El sistema debe permitir el almacenamiento de registros (log) locamente para ser consultados a través de una consola de gestión, asi: - Registro de Log. Se debe permitir llevar un registro de todo el tráfico WEB que cumpla con las políticas o de tráfico peligroso que afecta la seguridad de la red. La solución deberá contar con un mecanismo de alertas para eventos relacionados con ataques de Sistema Operativos, fallas en discos, temperatura critica, cambios en la configuración. La solución ofertada deberá ser compatible con el protocolo SNMP, para la interacción con servidores SNMP (ej. WhatsUp) La solución deberá proveer la capacidad de notificar a los usuarios, administradores, cuando se reporte una alerta mediante la utilización de SNMP, SMTP, Syslog. REQUERIMIENTO SISTEMA ANTIVIRUS REQUERIMIENTO GENERAL Se requiere el suministro, instalación, configuración y puesta en funcionamiento de un software de Antivirus, renovación de 700 licencias y adquisición de 100 adicionales de la Neat Suite Advanced de Trend Micro + SPS a la última versión publicada por el fabricante por un año. Debe incluirse el catalogo de la solución propuesta donde se validen las características técnicas. LICENCIAMIENTO:

CODIGO: F08-PGN-S02

X

100

X

34

X

101

X

34

X

101

X

34

X

101

X

34

X

101

X

34

X

34

X

101

X

34

X

101

X

34

X

101

X

34

X

101

X

35

X X

35 35

X

101

X

35

X

101

X

35

X

35

VERSION: 03

FECHA DE VIGENCIA:30-08-10 10 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

2.2.1 2,3 2.3.1 2,4

2.4.1

2.4.2

2.4.3 2.4.4 2.4.5

2.4.6 3 3.1

3.1.1

3.1.2

3.1.3

El proponente debe ofrecer un esquema de licenciamiento a perpetuidad con mínimo un año de mantenimiento incluido. El licenciamiento nuevo deberá iniciar a partir del 25 de junio del 2010 ADMINISTRACIÓN La administración de la herramienta deberá ser basada en: - Web vía HTTP o HTTPS totalmente grafica. CARACTERISTICAS GENERALES La última versión del antivirus para estaciones debe estar disponible y soportada para estaciones Windows XP, WINDOWS VISTA, WINDOWS 7, WINDOWS 2000, WINDOWS 2003 Y WINDOWS 2008 y la última versión para servidores deberá soportar plataformas Linux Red Hat. No se aceptarán versiones previas o reducidas. La protección para estaciones de trabajo debe ofrecer escaneo en tiempo real y en demanda, aunque esté fuera del alcance o la injerencia de la consola de administración. La solución debe controlar la ejecución de aplicativos seleccionados por la entidad. La solución debe controlar el acceso a sitios web peligrosos o con contenido malicioso. La solución para protección de la navegación debe integrarse de forma transparente mediante protocolo ICAP con la solución Proxy Ofertada. La solución debe realizar validación y verificación del sitio WEB de la ALFM, con verificaciones diarias de vulnerabilidades. REQUERIMIENTO SISTEMA FIREWALL REQUERIMIENTO GENERAL Se requiere el suministro, instalación, configuración y puesta en funcionamiento de un equipo de comunicación y seguridad (Hardware) dedicado para atender las comunicaciones hacia y desde internet de la Red de Datos de la Agencia Logística de las Fuerzas Militares, debe incluirse el catalogo de la solución propuesta donde se validen las características técnicas. Sistema operativo pre-endurecido específico para seguridad que sea compatible con el appliance. Por seguridad y facilidad de administración y operación, no se aceptan soluciones sobre sistemas operativos genéricos tales como GNU/Linux, FreeBSD, SUN Solaris, HP-UX de HP, AIX de IBM o Microsoft Windows El dispositivo debe ser un appliance de propósito específico distribuido por el fabricante, Basado en tecnología ASIC y que sea capaz de brindar una solución de “Complete Content Protection”. Por seguridad y facilidad de administración, no se aceptan equipos de propósito genérico (PCs o

CODIGO: F08-PGN-S02

X

X

101

102

X

35

X

35

X

35

X

35

X

102

X

35

X

102

X

35

X

102

X

35

X

102

X

35

X

102

X

35

X

102

X

35

X X

35 35

X

102

X

35

X

102

X

36

X

102

X

36

VERSION: 03

FECHA DE VIGENCIA:30-08-10 11 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

3.1.4

3.1.5 3.1.6 3,2 3.2.1

3.2.2 3,3

3.3.1

3.3.2 3.3.3 3.3.4

3.3.5

3.3.6

3.3.7

3.3.8

3.3.9

servers) sobre los cuales pueda instalarse y/o ejecutar un sistema operativo regular como Microsoft Windows, FreeBSD, SUN solaris, Apple OS-X o GNU/Linux. Capacidad de incrementar el rendimiento de VPN a través de soluciones en hardware dentro del mismo dispositivo utilizando tecnología ASIC Capacidad de re-ensamblado de paquetes en contenido para buscar ataques o contenido prohibido, basado en hardware El equipo deberá poder ser configurado en modo Gateway o en modo transparente en la red. LICENCIAMIENTO: La vigencia de las actualizaciones para los servicios de Antivirus, AntiSpam, IPS y URL Filtering debe proveerse por al menos 12 meses. El licenciamiento de todas las funcionalidades debe ser ILIMITADO en cuanto a usuarios, buzones de correo, conexiones, equipos que pasan a través de la solución. ADMINISTRACIÓN Interface gráfica de usuario (GUI), vía Web por HTTP y HTTPS para hacer administración de las políticas de seguridad y que forme parte de la arquitectura nativa de la solución para administrar la solución localmente. Por seguridad la interface debe soportar SSL sobre HTTP (HTTPS) La interface gráfica de usuario (GUI) vía Web deberá poder estar en español y en inglés, configurable por el usuario. Interface basada en línea de comando (CLI) para administración de la solución. Puerto serial dedicado para administración. Este puerto debe estar etiquetado e identificado para tal efecto. Comunicación cifrada y autenticada con username y password, tanto como para la interface gráfica de usuario como la consola de administración de línea de comandos (SSH o telnet) El administrador del sistema podrá tener las opciones incluídas de autenticarse vía password y vía certificados digitales. Los administradores podrán tener asignado un perfil de administración que permita delimitar las funciones del equipo que pueden gerenciar y afectar. El equipo ofrecerá la flexibilidad para especificar que Los administradores puedan estar restringidos a conectarse desde ciertas direcciones IP cuando se utilice SSH, Telnet, http o HTTPS. Monitoreo de comportamiento del appliance mediante SNMP, el dispositivo deberá ser capaz de enviar traps de SNMP cuando ocurra un evento

CODIGO: F08-PGN-S02

X

102

X

36

X

102

X

36

X

103

X

36

X

36

X

103

X

36

X

103

X

36

X

36

X

103

X

36

X

103

X

36

X

103

X

36

X

103

X

36

X

103

X

36

X

103

X

36

X

103

X

36

X

103

X

37

X

103

X

37

VERSION: 03

FECHA DE VIGENCIA:30-08-10 12 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

3,4 3.4.1 3.4.1. 1

3.4.1. 2

3.4.1. 3

3.4.1. 4 3.4.1. 5 3.4.1. 6 3.4.1. 7 3.4.1. 8 3.4.1. 9 3.4.1. 10

3.4.1. 11 3.4.1. 12 3.4.1. 13 3.4.1. 14 3.4.1. 15 3.4.1. 16

relevante para la correcta operación de la red. CARACTERISTICAS DE LOS MODULOS FIREWALL Las reglas de firewall deben analizar las conexiones que atraviesen en el equipo, entre interfaces, grupos de interfaces (o Zonas) y VLANs Por granularidad y seguridad, el firewall deberá poder especificar políticas tomando en cuenta puerto físico fuente y destino. Esto es, el puerto físico fuente y el puerto físico destino deberán formar parte de la especificación de la regla de firewall. Las reglas del firewall deberán tomar en cuenta dirección IP fuente (que puede ser un grupo de direcciones IP), dirección IP destino (que puede ser un grupo de direcciones IP) y servicio (o grupo de servicios) de la comunicación que se está analizando Las acciones de las reglas deberán contener al menos el aceptar o rechazar la comunicación Soporte a reglas de firewall para tráfico de multicast, pudiendo especificar puerto físico fuente, puerto físico destino, direcciones IP fuente, dirección IP destino. Las reglas de firewall deberán poder tener limitantes y/o vigencia en base a tiempo Las reglas de firewall deberán poder tener limitantes y/o vigencia en base a fechas (incluyendo día, mes y año) Capacidad de hacer traslación de direcciones estático, uno a uno, NAT. Capacidad de hacer traslación de direcciones dinámico, muchos a uno, PAT. Deberá soportar reglas de firewall en IPv6 configurables tanto por CLI (Command Line Interface, Interface de línea de comando) como por GUI (Graphical User Interface, Interface Gráfica de Usuario) Debera soportar reglas de firewall que soporten autenticacion por usuarios mediantes repositorios locales o remotos (LDAP, RADIUS, TACACS+). Se debe considerar al menos el tener una interface/puerto DMZ y 2 puertos para enlaces WAN. Funcionalidad de DHCP: como Cliente DHCP, Servidor DHCP y reenvío (Relay) de solicitudes DHCP

Soporte a etiquetas de VLAN (802.1q) y creación de zonas de seguridad en base a VLANs Soporte a ruteo estático, incluyendo pesos y/o distancias y/o prioridades de rutas estáticas Soporte a políticas de ruteo (policy routing)

CODIGO: F08-PGN-S02

X X

37 37

X

103

X

37

X

103

X

37

X

103

X

37

X

104

X

37

X

104

X

37

X

104

X

38

X

104

X

38

X

104

X

38

X

104

X

38

X

104

X

38

X

104

X

38

X

104

X

38

X

104

X

38

X

104

X

38

X

104

X

38

X

104

X

38

VERSION: 03

FECHA DE VIGENCIA:30-08-10 13 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

3.4.1. 17 3.4.1. 18 3.4.1. 19 3.4.2 3.4.2. 1 3.4.2. 2 3.4.2. 3

3.4.2. 4

3.4.3 3.4.3. 1 3.4.3. 2 3.4.3. 3 3.4.3. 4 3.4.3. 5 3.4.3. 6 3.4.3. 7 3.4.4 3.4.4. 1 3.4.4. 2 3.4.4. 3 3.4.4. 4

El soporte a políticas de ruteo deberá permitir que ante la presencia de dos enlaces a Internet, se pueda decidir cuál de tráfico sale por un enlace y qué tráfico sale por otro enlace Soporte a ruteo dinámico RIP V1, V2, OSPF y BGP Soporte a ruteo de multicast MODULO VPN IPSec Soporte a certificados PKI X.509 para construcción de VPNs cliente a sitio (client-to-site) Posibilidad de crear VPN’s entre gateways y clientes con IPSec. Esto es, VPNs IPSeC site-tosite y VPNs IPSec client-to-site. La VPN IPSec deberá poder ser configurada en modo interface (interface-mode VPN) En modo interface, la VPN IPSec deberá poder tener asignada una dirección IP, tener rutas asignadas para ser encaminadas por esta interface y deberá ser capaz de estar presente como interface fuente o destino en políticas de firewall. MODULO VPN SSL Capacidad de realizar SSL VPNs. Soporte a asignación de aplicaciones permitidas por grupo de usuarios Soporte nativo para al menos HTTP, FTP, SMB/CIFS, VNC, SSH, RDP y Telnet. La VPN SSL integrada deberá soportar a través de algun plug-in ActiveX y/o Java, la capacidad de meter dentro del túnel SSL tráfico que no sea HTTP/HTTPS Deberá tener soporte al concepto de registros favoritos (bookmarks) para cuando el usuario se registre dentro de la VPN SSL Deberá soportar la redirección de página http a los usuarios que se registren en la VPN SSL, una vez que se hayan autenticado exitosamente. Debera permitir la creacion de portales personalizables y que sean asignados a diferentes tipos de usuarios. MODULO TRAFFIC SHAPPING / QOS Capacidad de poder asignar parámetros de traffic shapping sobre reglas de firewall Capacidad de poder definir ancho de banda garantizado en KiloBytes por segundo Capacidad de poder definir límite de ancho de banda (ancho de banda máximo) en KiloBytes por segundo Capacidad de para definir prioridad de tráfico, en al menos tres niveles de importancia

CODIGO: F08-PGN-S02

X

104

X

38

X

104

X

38

X

104

X

38

X

38

X

104

X

38

X

104

X

38

X

104

X

38

X

104

X

38

X

38

X

105

X

38

X

105

X

38

X

105

X

38

X

105

X

38

X

105

X

38

X

105

X

38

X

105

X

38

X

38

X

105

X

38

X

105

X

38

X

105

X

38

X

105

X

38

VERSION: 03

FECHA DE VIGENCIA:30-08-10 14 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

3.4.5 3.4.5. 1

3.4.5. 2

3.4.6 3.4.6. 1

3.4.6. 2

3.4.6. 3

3.4.6. 4

3.4.6. 5

3.4.6. 6

3.4.6. 7 3.4.6. 8 3.4.6. 9

MODULO DE AUTENTICACIÓN Y CERTIFICACIÓN DIGITAL Capacidad nativa de integrarse con directorios LDAP Capacidad incluida, al integrarse con Microsoft Windows Active Directory, Capacidad de autenticar usuarios para cualquier aplicación que se ejecute bajo los protocolos TCP/UDP/ICMP. Debe de mostrar solicitud de autenticación (Prompt) al menos para Web (HTTP), FTP y Telnet. MODULO DE ANTIVIRUS Debe ser capaz de analizar, establecer control de acceso y detener ataques y hacer Antivirus en tiempo real en al menos los siguientes protocolos aplicativos: HTTP, SMTP, IMAP, POP3, FTP, HTTPS, SMTPS, POP3S e IMAPS. La configuración de Antivirus en tiempo real sobre los protocolos HTTP, SMTP, IMAP, POP3, FTP, HTTPS, SMTPS, POP3S e IMAPS deberá estar completamente integrada a la administración del dispositivo appliance, que permita la aplicación de esta protección por política de control de acceso. Por desempeño y eficiencia, el antivirus deberá funcionar bajo el esquema “Wild list” (Virus en activo solamente) en el cual los virus conocidos que están activos en el Internet son los que se detectan y se detienen. El appliance deberá de manera opcional poder inspeccionar por todos los virus conocidos (Zoo List) El Antivirus integrado deberá tener la capacidad de poner en cuarentena archivos encontrados infectados que estén circulando a través de los protocolos HTTP, SMTP, IMAP, POP3, FTP, HTTPS, SMTPS, POP3S e IMAPS. El Antivirus deberá incluír capacidades de detección y detención de tráfico spyware, adware y otros tipos de malware/grayware que pudieran circular por la red. El antivirus deberá poder hacer inspección y cuarentena de archivos transferidos por mensajería instantánea (Instant Messaging) para al menos MSN Messenger. El antivirus deberá ser capaz de filtrar archivos por extensión El antivirus deberá ser capaz de filtrar archivos por tipo de archivo (ejecutables por ejemplo) sin importar la extensión que tenga el archivo

CODIGO: F08-PGN-S02

X

38

X

105

X

38

X

105

X

39

X

39

X

105

X

39

X

105

X

39

X

105

X

39

X

106

X

39

X

106

X

39

X

106

X

39

X

106

X

39

X

106

X

39

X

106

X

39

VERSION: 03

FECHA DE VIGENCIA:30-08-10 15 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

3.4.6. 10

3.4.7 3.4.7. 1

3.4.7. 2

Capacidad de actualización automática de firmas Antivirus mediante tecnología de tipo “Push” (permitir recibir las actualizaciones cuando los centros de actualización envíen notificaciones sin programación previa), adicional a tecnologías tipo “pull” (Consultar los centros de actualización por versiones nuevas). MODULO ANTISPAM La capacidad antispam incluída deberá ser capaz de detectar palabras dentro del cuerpo del mensaje de correo, y en base a la presencia/ausencia de combinaciones de palabras, decidir rechazar el mensaje. La capacidad AntiSpam incluída deberá permitir especificar listas blancas (confiables, a los cuales siempre se les deberá pasar) y listas negras (no confiables, a los cuales siempre les deberá bloquear). Las listas blancas y listas negras podrán ser por dirección IP o por dirección de correo electrónico (e-mail address)

La capacidad AntiSpam deberá poder consultar una base de datos donde se revise por lo menos dirección IP 3.4.7. del emisor del mensaje, URLs contenidos dentro del 3 mensaje y checksum del mensaje, como mecanismos para detección de SPAM

3.4.7. 4

3.4.8 3.4.8. 1

3.4.8. 2

3.4.8. 3

3.4.8. 4

En el caso de análisis de SMTP, los mensajes encontrados como SPAM podrán ser etiquetados o rechazados (descartados). En el caso de etiquetamiento del mensaje, debe tenerse la flexibilidad para etiquetarse en el motivo (subject) del mensaje o a través un encabezado MIME en el mensaje. MODULO DE FILTRADO DE URLS Facilidad para incorporar control de sitios a los cuales naveguen los usuarios, mediante categorías. Por flexibilidad, el filtro de URLs debe tener por lo menos 75 categorías y por lo menos 39 millones de sitios web en la base de datos. Filtrado de contenido basado en categorías en tiempo real, integrado a la plataforma de seguridad “appliance”. Sin necesidad de instalar un servidor o appliance externo, licenciamiento de un producto externo o software adicional para realizar la categorización del contenido. Configurable directamente desde la interfaz de administración del dispositivo appliance. Con capacidad para permitir esta protección por política de control de acceso. Deberá permitir diferentes perfiles de utilización de la web (permisos diferentes para categorías) dependiendo de fuente de la conexión o grupo de usuario al que pertenezca la conexión siendo establecida

CODIGO: F08-PGN-S02

X

106

X

39

X

39

X

106

X

39

X

106

X

40

X

106

X

40

X

106

X

40

X

40

X

106

X

40

X

107

X

40

X

107

X

40

X

107

X

40

VERSION: 03

FECHA DE VIGENCIA:30-08-10 16 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

3.4.8. 5 3.4.8. 6 3.4.9

3.4.9. 1

3.4.9. 2

3.4.9. 3

3.4.9. 4 3.4.9. 5 3.4.9. 6 3.4.9. 7 3.4.9. 8 3.4.9. 9 3.4.9. 10 3.4.9. 11 3.4.9. 12 3.4.9. 13

Los mensajes entregados al usuario por parte del URL Filter (por ejemplo, en caso de que un usuario intente navegar a un sitio correspondiente a una categoría no permitida) deberán ser personalizables. Capacidad de filtrado de scripts en páginas web (JAVA/Active X). MODULO PROTECCIÓN CONTRA INTRUSOS Capacidad de actualización automática de firmas IPS mediante tecnología de tipo “Push” (permitir recibir las actualizaciones cuando los centros de actualización envíen notificaciones sin programación previa), adicional a tecnologías tipo “pull” (Consultar los centros de actualización por versiones nuevas) El Detector y preventor de intrusos deberá de estar orientado para la protección de redes. El detector y preventor de intrusos deberá estar integrado a la plataforma de seguridad “appliance”. Sin necesidad de instalar un servidor o appliance externo, licenciamiento de un producto externo o software adicional para realizar la prevención de intrusos. La interfaz de administración del detector y preventor de intrusos deberá de estar perfectamente integrada a la interfaz de administración del dispositivo de seguridad appliance, sin necesidad de integrar otro tipo de consola para poder administrar este servicio. Esta deberá permitir la protección de este servicio por política de control de acceso. El detector y preventor de intrusos deberá soportar captar ataques por Anomalía (Anomaly detection) además de firmas (signature based / misuse detection). Basado en análisis de firmas en el flujo de datos en la red, y deberá permitir configurar firmas nuevas para cualquier protocolo. Tecnología de detección tipo Stateful basada en Firmas (signatures). Actualización automática de firmas para el detector de intrusos El Detector de Intrusos deberá mitigar los efectos de los ataques de negación de servicios.

X

107

X

40

X

107

X

40

X

40

X

107

X

40

X

107

X

40

X

107

X

41

X

107

X

41

X

107

X

41

X

107

X

41

X

107

X

41

X

107

X

41

Mecanismos de detección de ataques:

X

108

X

41

Reconocimiento de patrones, Análisis de protocolos,

X

108

X

41

Detección de anomalías

X

108

X

41

Detección de ataques de RPC (Remote procedure call)

X

108

X

41

Protección contra ataques de Windows o NetBios

X

108

X

41

CODIGO: F08-PGN-S02

VERSION: 03

FECHA DE VIGENCIA:30-08-10 17 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

3.4.9. 14 3.4.9. 15 3.4.9. 16 3.4.9. 17 3.4.9. 18 3.4.10 3.4.10 .1 3.4.10 .2 3.4.10 .3 3.4.10 .4 3.4.11 3.4.11 .1

Protección contra ataques de SMTP (Simple Message Transfer Protocol) IMAP (Internet Message Access Protocol, Sendmail o POP (Post Office Protocol) Protección contra ataques DNS (Domain Name System) Protección contra ataques a FTP, SSH , Telnet y rlogin Protección contra ataques de ICMP (Internet Control Message Protocol). Métodos de notificación: Alarmas mostradas en la consola de administración del appliance, y Alertas vía correo electrónico. MODULO OPTIMIZACION DE ENLACES WAN Y CACHE Soporte para optimizar enlaces WAN mediante la implantación de dos dispositivos en cada canal de datos WAN. La solución debe contar con la capacidad de realizar caching sobre http para ahorro y optimización de trafico. La solución debe estar en la capacidad de optimizar trafico SMTP, CIFS, HTTP y FTP a nivel de enlaces WAN. Las funcionalidades mencionadas anteriormente deberán ser dadas en el mismo appliance de UTM brindado. ALTA DISPONIBILIDAD Posibilidad en Firewall Soporte a Alta Disponibilidad transparente, es decir, sin pérdida de conexiones en caso de que un nodo falle.

3.4.11 Alta Disponibilidad en modo Activo-Pasivo .2 3.4.11 Alta Disponibilidad en modo Activo-Activo .3 3.4.11 Posibilidad de definir al menos dos interfaces para .4 sincronía 3.4.11 El Alta Disponibilidad podrá hacerse de forma que .5 el uso de Multicast no sea necesario en la red LAS CARACTERÍSTICAS DEL HARDWARE 3,5 ESPECÍFICAS SOLICITADAS SON 3.5.1 10/100/1000 WAN Interface Ports: 10 3.5.2 System Performance 3.5.3 Firewall Throughput mínimo: 8 Gbps 3.5.4 VPN Throughput 3des mínimo 6 Gbps 3.5.5 Antivirus Throughput mínimo 160 Mbps 3.5.6 IPS Throughput mínimo 800 Mbps 3.5.7 Dedicated IPSec VPN Tunnels mínimo 3000 3.5.8 Concurrent Sessions mínimo 500000 3.5.9 New Sessions/Sec mínimo 20000 3.5.10 Policies mínimo 8000 3.5.11 Licencias ilimitadas de usuarios SI

CODIGO: F08-PGN-S02

X

108

X

41

X

108

X

41

X

108

X

41

X

108

X

41

X

108

X

41

X

41

X

108

X

41

X

108

X

41

X

108

X

41

X

108

X

41

X

41

X

108

X

42

X

108

X

42

X

108

X

42

X

108

X

42

X

108

X

42

X

42

X X X X X X X X X X X

42 42 42 42 42 42 42 42 42 42 42

X X X X X X X X X X

108 108 109 109 109 109 109 109 109 109 X

VERSION: 03

FECHA DE VIGENCIA:30-08-10 18 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

BHA BLACK HAT ARCHETYPE

NEMESIS ITEM

ESPECIFICACIONES TÉCNICAS

CUMPLE SI

No. FOLIO

NO

CUMPLE SI

No. FOLIO

NO

EXPERIENCIA: El oferente deberá acreditar la experiencia mediante máximo cuatro (4) certificaciones emitidas por Entidades contratantes en Colombia durante los últimos tres (3) años, donde se corrobore la calidad del servicio recibido. Cada certificación debe ser de soluciones iguales o con características similares o superiores a la solicitada para el presente proceso y cuyo monto sea igual o superior al 70% del presupuesto oficial para el presente proyecto.

71-72 7374 75-76 77-78

X

BHA BLACK HAT ARCHETYPE

NEMESIS ITEM

ESPECIFICACIONES TÉCNICAS

CUMPLE SI

023 - 024 025 - 026 027 - 028

X

No. FOLIO

NO

CUMPLE SI

No. FOLIO

NO

DOCUMENTOS QUE SE DEBEN PRESENTAR JUNTO CON LA OFERTA Certificaciones que debe cumplir el sistema de Firewall, se debe anexar en la propuesta el catalogo o datasheet donde se validen las siguientes certificaciones:

X

 Certificación ICSA para el Firewall.

X

 Certificación ICSA IPSEC. (VPN IPSec)

X

 Certificación ICSA para SSL-TLS (VPN SSL)

X

 Certificación ICSA para el Detector de Intrusos (IPS)

X

 Certificación ICSA para el Antivirus

X

 Certificación NSS como UTM

X

 Certificación Common Criteria como EAL4+

X

81-111127 81-111127 81-111127 81-111127 81-111127 81-111127 81-111127 81-111127

X

61-66

X

61-66

X

61-66

X

61-66

X

61-66

X

61-66

X

61-66

X

61-66

CONCLUSION De acuerdo a la evaluación técnica, experiencia y los documentos verificables se determina lo siguiente:

CODIGO: F08-PGN-S02

VERSION: 03

FECHA DE VIGENCIA:30-08-10 19 de 20

Continuación Informes de Evaluación S.A. No. 240/2010

NEMESIS S.A.: NO CUMPLE con el numeral 3.5.11 del Formulario No. 2 “Especificaciones Técnicas Mínimas Excluyentes”. BHA BLACK HAT ARCHETYPE: CUMPLE con lo establecido técnicamente en el Pliego de Condiciones Definitivo.

CUADRO RESUMEN INFORMES DE EVALUACION No.

OFERENTES

EVALUACION JURIDICA

1

BLACK HAT ARCHETYPE S.A.S

HABILITADA

2

NEMESIS S.A.

HABILITADA

CODIGO: F08-PGN-S02

EVALUACION EVALUACION CONCEPTO FINANCIERA TECNICA FINAL NO INHABILITADA CUMPLE CUMPLE NO NO CUMPLE HABILITADA CUMPLE

VERSION: 03

FECHA DE VIGENCIA:30-08-10 20 de 20