0/13. Załącznik nr 1 do SIWZ

Transkrypt

1 Załącznik nr 1 do SIWZ ROZBUDOWA INFRASTRUKTURY INFORMATYCZNEJ INSTYTUTU NAFTY I GAZU - PAŃSTWOWEGO INSTYTUTU BADAWCZEGO, POPRZEZ DOSTAWĘ, INSTALACJĘ I KONFIGURACJĘ URZĄDZEŃ I OPROGRAMOWANIA WRAZ Z NIEZBĘDNYMI LICENCJAMI ORAZ INSTRUKTAŻEM Zamówienie dofinansowywane przez Ministerstwo Nauki i Szkolnictwa Wyższego w ramach przyznanej dotacji Decyzja Nr 6763/II-LAN/2017 0/13

2 SPIS TREŚCI 1. Opis przedmiotu zamówienia.2 2. Ochrona ruchu: IPS, AMP i URL oprogramowanie i licencje dla trzech lokalizacji Instytutu w Krakowie zadanie Urządzenie pełniące funkcję zapory sieciowej - Firewall dla O/Warszawa oraz oprogramowanie i licencje systemu ochrony poczty i ruchu aplikacyjnego dla O/Warszawa i O/Krosno zadanie Urządzenia sieciowe przełączniki L2 zadanie /13

3 1. Opis przedmiotu zamówienia: Przedmiotem zamówienia jest rozbudowa infrastruktury teleinformatycznej Instytutu, poprzez dostawę, instalację i konfigurację urządzeń i oprogramowania wraz z niezbędnymi licencjami oraz instruktażem. Dostawa urządzeń, oprogramowania i licencji nastąpi do siedzib Instytutu Nafty i Gazu Państwowego Instytutu Badawczego zlokalizowanych w Krakowie (ul. Lubicz 25A, ul. Łukasiewicza 1, ul. Bagrowa 1), w Oddziale w Krośnie (ul. Armii Krajowej 3) i w Oddziale w Warszawie (ul. Kasprzaka 25). Każdorazowo lokalizacja dostawy będzie musiała być konsultowana z Zamawiającym. Urządzenia i oprogramowania muszą posiadać wymagane przez Zamawiającego licencje i gwarancje oraz muszą zostać, w ramach ich wdrożenia (tj. instalacji i konfiguracji), zintegrowane z innymi urządzeniami pracującymi w sieci. Po zakończeniu wdrożenia w/w urządzeń i oprogramowania Wykonawca zobowiązany będzie do przeprowadzenia instruktażu. Instruktaż musi się odbyć w siedzibie Zamawiającego. Zamówienie zostało podzielone na trzy następujące zadania/etapy (Zamawiający nie dopuszcza składania ofert częściowych): Zadanie. 1 Ochrona ruchu: IPS, AMP i URL oprogramowanie i licencje dla trzech lokalizacji Instytutu w Krakowie Wymagania dotyczące realizacji tego zadania zawarte są w rozdziale 2 na str.4. Zadanie. 2 Urządzenie pełniące funkcję zapory sieciowej - Firewall dla O/Warszawa) oraz oprogramowanie i licencje systemu ochrony poczty i ruchu aplikacyjnego dla O/Warszawa i O/Krosno Wymagania dotyczące realizacji tego zadania zawarte są w rozdziale 3 na str Zadanie.3 Urządzenia sieciowe przełączniki L2 Wymagania dotyczące realizacji tego zadania zawarte są w rozdziale 4 na str Zamawiający nie dopuszcza składania ofert częściowych. Wymagania ogólne: Wszystkie zaproponowane urządzenia, oprogramowanie i licencje muszą: - być objęte min. 36-miesięcznym (3 lata) serwisem (gwarancją) opartym na serwisie producenta urządzenia, zapewniającym wymianę uszkodzonego sprzętu najpóźniej w następnym dniu roboczym po dniu zgłoszenia awarii, jeżeli zgłoszenie wpłynęło w dniu roboczym do godziny 12:00, lub kolejnego dnia w pozostałych przypadkach i zapewniać w tym okresie możliwość bezpłatnego aktualizacji oprogramowania do nowych wersji i dostępu do wsparcia technicznego producenta - być fabrycznie nowe i nieużywane wcześniej w żadnych innych projektach. Nie dopuszcza się urządzeń typu refurbished lub odnowionych (zwróconych do producenta i później odsprzedawanych ponownie przez producenta), - pochodzić z legalnego kanału sprzedaży producenta. Kupujący zastrzega sobie możliwość weryfikacji numerów seryjnych dostarczonej platformy sprzętowej u producenta w celu sprawdzenia czy pochodzi ona z legalnego kanału sprzedaży. Końcowym właścicielem oferowanego sprzętu, licencji i oprogramowania musi być Zamawiający. W ramach składanej oferty, Wykonawca zobowiązany jest do wyszczególnienia wszystkich numerów produktów (urządzenia, oprogramowanie i licencje). Lista ta będzie podlegała weryfikacji przez Zamawiającego lub niezależną firmę zewnętrzną, wskazaną przez Zamawiającego, w celu sprawdzenia zgodności z wymaganiami zawartymi w SIWZ. W przypadku jakichkolwiek wątpliwości, Zamawiający zastrzega sobie możliwość powołania zewnętrznej, niezależnej firmy, wskazanej przez Zamawiającego w celu przeprowadzenia potrzebnych testów sprzętowych. Do tego celu, Wykonawca zobowiązany jest dostarczyć 2/13

4 wskazany sprzęt, licencje i oprogramowanie do 14 dni od powiadomienia o takiej potrzebie. W razie nieprzejścia testów oferta zostanie odrzucona i Wykonawca zobowiązany będzie do pokrycia kosztów zewnętrznej firmy, weryfikującej zgodność sprzętu. W przypadku przejścia testów, Zamawiający pokrywa ich koszty. Wykonawca zobowiązany jest do zapewnienia gwarancji na wdrożoną konfigurację i przeprowadzania niezbędnych aktualizacji oprogramowania, na okres minimum 3 miesiące po zamknięciu wdrożenia. Wykonawca zobowiązany jest przekazać pełny dostęp do skonfigurowanych urządzeń Zamawiającego nie później niż na dzień po minięciu okresu gwarancyjnego na konfigurację. Przed rozpoczęciem prac Wykonawca musi przeprowadzić audyt i analizę stanu sieci, oraz ustalić harmonogram prac, plan adresacji, podział na sieci logiczne, wykorzystania adresów publicznych, plan sieci fizycznej i politykę obsługi ruchu grupowego (multicast), gwarancji odpowiedniej jakości usług (QoS) oraz reguł ACL, NAT i polityk VPN. Ustalenia te będą prowadzone z wyznaczonym do tego celu pracownikiem/pracownikami Zamawiającego. Podczas prowadzenia rekonfiguracji łącz do sieci Internet, Wykonawca zobowiązuje się do niezbędnych w tym celu konsultacji z dostawcą usługi internetowej. Zamawiający zobowiązuje się dostarczyć topologię fizyczną sieci (okablowania) i dokumentację dotyczącą wszystkich patchpaneli i gniazdek. Zamawiający dostarczy checklistę, zawierającą wszystkie krytyczne punkty/usługi, jakie powinny zostać zweryfikowane po wykonaniu prac. Zamawiający zobowiązuje się dostarczyć informację na temat wszystkich usług jakie działają w sieci wewnętrznej i zewnętrznej wraz z wskazaniem nazwy usługi/protokołu, numeru portu i adresu IP na którym ona działa. Konfiguracja powinna zostać wcześniej przygotowana przez Wykonawcę i wdrożona w ustalonym ze Zamawiającym terminie. Niektóre zmiany będą mogły odbywać się tylko w późnych godzinach wieczornych, weekendy i święta. Zamawiający posiada trzy lokalizacje krakowskie, jedną w Warszawie i jedną w Krośnie. Zamawiający wyznaczy minimum jedną osobę, która zajmie się weryfikacją działania urządzeń końcowych. Prawidłowe funkcjonowania sieci potwierdzone zostanie stosownym protokołem. Po zakończeniu wszystkich trzech zadań, Wykonawca zobowiązany jest dostarczyć dokumentację powdrożeniową, zawierającą schemat aktualnej sieci, z uwzględnieniem nowych urządzeń. Wykonawca przekaże również wszelkie materiały z przeprowadzonych instruktaży oraz instrukcje do wszystkich zainstalowanych systemów i urządzeń. Wszelkie materiały muszą być w języku polskim. Wykonawca zobowiązany jest to zapewnienia gwarancji na wdrożoną konfigurację i przeprowadzenia niezbędnych aktualizacji oprogramowania, przez okres minimum 3 miesięcy, po zamknięciu wdrożenia. Wykonawca zobowiązany jest przekazać Zamawiającemu pełny dostęp do wdrożonych urządzeń wraz z wszystkimi loginami i hasłami, nie później niż na dzień po minięciu okresu gwarancyjnego na konfigurację. Na tydzień po zakończeniu instalacji i konfiguracji urządzeń i licencji, Wykonawca zobowiązany jest przeprowadzić krótki instruktaż (nie trwający dłużej niż 2 godziny lekcyjne). Swoim zakresem będzie on obejmować: zmiany zaistniałe w sieci, wykorzystane technologie, sposób działania nowego systemu, metodykę diagnozy i rozwiązywania problemów. Instruktaż odbędzie się w siedzibie Zamawiającego, na terenie Krakowa. Od Wykonawcy wymaga się oddelegowania do projektu personelu posiadającego następujące certyfikaty: - CCDP (Cisco Certified Design Professional), - CCNP R&S (Cisco Certified Network Professional Routing & Switching), - CCNP-S (CCNP Security, formerly known as CCSP), 3/13

5 W ramach składanej oferty Wykonawca winien wypełnić Formularz Ofertowy zgodnie z załączonym wzorem i wymaganiami zawartymi w SIWZ. Rozbudowa istniejącej infrastruktury teleinformatycznej, musi być oparta na aktualnej infrastrukturze Zamawiającego, stąd nie dopuszcza się wymiany żadnego z elementów jego obecnej infrastruktury (sprzęt, licencje i oprogramowanie). Zaoferowany sprzęt, musi być w 100% kompatybilny z aktualnymi elementami i możliwymi do uruchomienia na nich funkcjonalnościami. Elementami aktualnej infrastruktury teleinformatycznej (rdzeń sieci), na których zostanie oparta jej rozbudowa są: - firewalle Cisco ASA-X 5545, - routery Cisco ISR G i 2951, - przełączniki Cisco Nexius 5672UP oraz Catalyst 3850, - macierz EMC VNXe 3150, - Dwa Serwery kasetowe typu blade - Oprogramowanie do wirtualizacji VMware ESXi 2. Ochrona ruchu: IPS, AMP i URL oprogramowanie i licencje dla trzech lokalizacji Instytutu w Krakowie zadanie 1 W ramach tego zadania Wykonawca dostarczy i wdroży (tj. zainstaluje i skonfiguruje) - Licencje do urządzeń Cisco ASA X 5545 na okres 3lat z funkcją SourceFIRE IPS+AMP+URL Filtering na okres 3 lat sztuk 2 - Dysk SSD do urządzenia Cisco ASA X 5545 sztuk 1 - Licencja dla FireSIGHT w wersji wirtualnej, instalowanej na Vmware z obsługą 10 urządzeń Zamawiający w swojej infrastrukturze posiada dwa urządzenia Cisco ASA-X Wymagane jest dostarczenie do tych urządzeń dodatkowych licencji z serwisami na okres 3 lat, które potrzebne są do uruchomienia Cisco SourceFIRE z funkcjami IPS, AMP i URL Filtering wraz z systemem Cisco FireSIGHT. System Cisco FireSIGHT musi dać się zainstalować w wirtualnym środowisku VMware ESXi i musi istnieć możliwość dołączenia do niego 10 takich urządzeń. Do jednego z urządzeń Cisco ASA-X 5545, potrzebne będzie dostarczenie dodatkowe dysku SSD, na którym zostanie uruchomiony Cisco SourceFIRE. Dysk ten musi być wspierany przed producenta urządzenia Cisco ASA-X i dawać możliwość uruchomienia na nim oprogramowania Cisco SourceFIRE. Opis wdrożenia zadanie 1 Wykonawca musi uporządkować wszelkie reguły ACL, NAT i polityki grup VPN, tak aby w końcowo działającej sieci nie było żadnych niepotrzebnych wpisów, oprócz konfiguracji nowych urządzeń. Wykonawca zobowiązuje się do przeprowadzenia rekonfiguracji urządzeń już znajdujących się w sieci Zamawiającego, takich jak router Cisco ISR G2, przełączniki Cisco Catalyst i Cisco Nexus, oraz firewalle Cisco ASA-X, w celu dokonania ich integracji z nowo dostarczonymi licencjami i oprogramowaniem. Wykonawca dokona instalacji i konfiguracji Cisco SourceFIRE oraz Cisco FireSIGHT. Mechanizmy, jakie będzie trzeba skonfigurować w sieci (szczegółowe wymagania co do ich konfiguracji zostaną przedstawione po wyłonieniu Wykonawcy) na urządzeniach Cisco ASA-X: - Role Based Access Control, - Remote Access IPsec VPN (dla kilku grup z różną polityką dostępu), - Remote Access SSL VPN (dla kilku grup z różną polityką dostępu), - Stateful Firewall, - FlexVPN (IPsec VPN Site-to-Site/IKEv2), - AMP, IPS i URL Filtering usługi SourceFIRE oraz integracja z FireSIGHT, - NTP, SSH, QoS, routing, NAT/PAT, ACL 4/13

6 3. Urządzenie pełniące funkcję zapory sieciowej - Firewall - dla O/Warszawa oraz oprogramowanie i licencje systemu ochrony poczty i ruchu aplikacyjnego - dla O/Warszawa i O/Krosno zadanie 2 Licencja do urządzeń Cisco ASA X 5525 na okres 3 lat z funkcją SourceFIRE IPS+AMP+URL Filtering na okres trzech lat szt. 2 (dwa zestawy dla O/Krośnie i O/Warszawie) - Urządzenie pełniące funkcję zapory sieciowej szt. 1 Zamawiający w swojej infrastrukturze, w O/Krosno, posiada jedno urządzenie Cisco ASA-X 5525, jako zaporę sieciową. Wymagane jest dostarczenie do tego urządzenia dodatkowych licencji z serwisami na okres 3 lat, które potrzebne są do uruchomienia Cisco SourceFIRE z funkcjami IPS, AMP i URL. Przedmiotem tego zadania jest również dostawa i wdrożenie urządzenia zapory sieciowej do drugiej lokalizacji, w O/Warszawa. Urządzenie musi zawierać szyny montażowe i być dostarczone z zestawem licencji na okres 3 lat z funkcją SourceFIRE IPS+AMP+URL Filtering na okres 3 lat i 3 letnim NBD serwisem producenta. Dostarczony sprzęt powinien umożliwiać przeniesienie konfiguracji z istniejących urządzeń Cisco ASA-X. W przypadku, jeżeli polecenia CLI zaproponowanego urządzenia i/lub interfejs graficzny różni się od tego jaki działa w aktualnie wykorzystywanych u Zamawiającego urządzeniach Cisco ASA-X, Wykonawca zapewni sześciu pracownikom Zamawiającego bezpłatne szkolenie z obsługi tych produktów. Szkolenie powinno trwać nie krócej niż 5 dni i zawierać łącznie 30 godzin zegarowych (nie wliczając przerw), na które powinna składać się część teoretyczna i praktyczna. Szkolenie to powinno odbyć się przed zakończeniem prac wdrożeniowych. Wymagania dotyczące urządzenia pełniącego funkcję zapory sieciowej i bramy VPN 1.1. Architektura urządzenia Urządzenie o konstrukcji modularnej pełniące funkcje bramy VPN i zapory sieciowej (firewall) typu Statefull Inspection. Urządzenie musi mieć możliwość dalszej rozbudowy sprzętowej Urządzenie wyposażone w: osiem interfejsów Gigabit Ethernet 10/100/1000 (RJ45) dedykowany interfejs Gigabit Ethernet 10/100/1000 (RJ45) do zarządzania Urządzenie obsługuje interfejsy VLAN-IEEE 802.1q na interfejsach fizycznych (200 sumarycznie) Urządzenie wyposażone w moduł sprzętowego wsparcia szyfrowania 3DES i AES oraz licencje na szyfrowanie 3DES/AES Urządzenie posiada dedykowany dla zarządzania port konsoli Urządzenie posiada pamięć Flash o pojemności umożliwiającej przechowanie co najmniej 3 obrazów systemu operacyjnego i 3 plików konfiguracyjnych Urządzenie posiada pamięć DRAM o pojemności 8GB, umożliwiającej uruchomienie wszystkich dostępnych dla urządzenia funkcjonalności Urządzenie zapewnia możliwość klastrowania dla zwiększania wydajności pomiędzy dwoma odległymi fizycznie ośrodkami. Wspierane są dwa urządzenia w klastrze Wydajność urządzenia Przepustowość teoretyczna stanowego firewall a wynosi 2 Gbps, a dla ruchu rzeczywistego (tzw. ruch multiprotocol) 1 Gbps Urządzenie posiada wydajność 300 Mbps dla ruchu szyfrowanego protokołami 3DES, AES Urządzenie umożliwia terminowanie 750 jednoczesnych sesji VPN (IPSec VPN, SSL VPN) Urządzenie zapewnia zestawianie do 750 tuneli SSL VPN w trybie client-based i clientless VPN. 5/13

7 6/ Urządzenie obsługuje minimum jednoczesnych sesji/połączeń z prędkością zestawiania połączeń na sekundę. Dla pakietów 64 bajtowych urządzenie posiada wydajność pakietów na sekundę Urządzenie posiada możliwość agregacji interfejsów fizycznych (IEEE 802.3ad) 4 łączy zagregowanych. Pojedyncze łącze zagregowane może składać się z 2 interfejsów Urządzenie obsługuje funkcjonalność Access Control List (ACL) zarówno dla ruchu wchodzącego, jak i wychodzącego Obsługa 200 VLAN ów Funkcjonalność urządzenia Urządzenie pełni funkcję zapory sieciowej śledzącej stan połączeń (tzw. Stateful Inspection) z funkcją weryfikacji informacji charakterystycznych dla warstwy aplikacji Urządzenie posiada możliwości konfiguracji reguł filtrowania ruchu w oparciu o tożsamość użytkownika (tzw. Identity Firewall), integrując się ściśle z usługą katalogową Microsoft Active Directory Urządzenie posiada możliwość uwierzytelnienia z wykorzystaniem LDAP, NTLM oraz Kerberos Urządzenie nie posiada ograniczenia na ilość jednocześnie pracujących użytkowników w sieci chronionej Urządzenie pełni funkcję koncentratora VPN umożliwiającego zestawianie połączeń IPSec VPN (zarówno site-to-site, jak i remote access) Urządzenie zapewnia w zakresie SSL VPN weryfikację uprawnień stacji do zestawiania sesji, poprzez weryfikację następujących cech: OS Check - system operacyjny IP Address Check - adres z jakiego następuje połączenie File Check - pliki w systemie Registry Check - wpisy w rejestrze systemu Windows Certificate Check - zainstalowane certyfikaty Urządzenie posiada, zapewnianego przez producenta urządzenia i objętego jednolitym wsparciem technicznym, klienta VPN dla technologii IPSec VPN i SSL VPN Oprogramowanie klienta VPN (IPSec oraz SSL) ma możliwość instalacji na stacjach roboczych pracujących pod kontrolą systemów operacyjnych Windows (7, XP wersje 32 i 64-bitowe) i Linux i umożliwia zestawienie do urządzenia połączeń VPN z komputerów osobistych PC Oprogramowanie klienta VPN obsługuje protokoły szyfrowania 3DES/AES Oprogramowanie klienta VPN umożliwia blokowanie lokalnego dostępu do Internetu podczas aktywnego połączenia klientem VPN (wyłączanie tzw. split-tunnelingu) Urządzenie ma możliwość pracy jako transparentna zapora sieciowa warstwy drugiej modelu ISO OSI Urządzenie obsługuje protokół NTP Urządzenie współpracuje z serwerami CA Urządzenie obsługuje funkcjonalność Network Address Translation (NAT oraz PAT) zarówno dla ruchu wchodzącego, jak i wychodzącego. Urządzenie wspiera translację adresów (NAT) dla ruchu multicastowego Urządzenie zapewnia mechanizmy redundancji, w tym: możliwość konfiguracji urządzeń w układ zapasowy (failover) działający w trybie wysokiej dostępności (HA) active/standby, active/active dla kontekstów umożliwia pracę w klastrze Urządzenie realizuje synchronizację tablicy połączeń pomiędzy węzłami pracującymi w trybie wysokiej dostępności HA Urządzenie zapewnia możliwość konfiguracji redundancji na poziomie interfejsów fizycznych urządzenia Urządzenie zapewnia funkcjonalność stateful failover dla ruchu VPN Urządzenie posiada mechanizmy inspekcji aplikacyjnej i kontroli następujących usług:

8 7/ Hypertext Transfer Protocol (HTTP), File Transfer Protocol (FTP), Extended Simple Mail Transfer Protocol (ESMTP), Domain Name System (DNS), Simple Network Management Protocol v 1/2/3 (SNMP), Internet Control Message Protocol (ICMP), SQL*Net, inspekcji protokołów dla ruchu voice/video H.323 (włącznie z H.239), SIP, MGCP, RTSP Urządzenie umożliwia zaawansowaną normalizację ruchu TCP: poprawność pola TCP ACK poprawność sekwencjonowania segmentów TCP poprawność ustanawiania sesji TCP z danymi limitowanie czasu oczekiwania na segmenty nie w kolejności poprawność pola MSS poprawność pola długości TCP poprawność skali okna segmentów TCP non-syn poprawność wielkości okna TCP Urządzenie zapewnia obsługę i kontrolę protokołu ESMTP w zakresie wykrywania anomalii, śledzenia stanu protokołu oraz obsługi komend wprowadzonych wraz z protokołem ESMTP Urządzenie ma możliwość inspekcji protokołów HTTP oraz FTP na portach innych niż standardowe Urządzenie zapewnia wsparcie stosu protokołów IPv6, w tym: listy kontroli dostępu dla IPv możliwości filtrowania ruchu IPv6 na bazie nagłówków rozszerzeń: Hop-by-Hop Options, Routing (Type 0), Fragment, Destination Options, Authentication, Encapsulating Security Payload inspekcję protokołu IPv6, pracując w trybie transparentnym adresację IPv6 interfejsów w scenariuszach wdrożeniowych z wysoką dostępnością (failover) realizację połączeń VPN typu site-to-site opartych o minimum IKEv1 z użyciem protokołu IPv Urządzenie obsługuje mechanizmy kolejkowania ruchu z obsługą kolejki absolutnego priorytetu Urządzenie umożliwia współpracę z serwerami autoryzacji w zakresie przesyłania list kontroli dostępu z serwera do urządzenia z granulacją per użytkownik Urządzenie obsługuje routing statyczny i dynamiczny (min. dla protokołów RIP, OSPF i BGP) Urządzenie pozwala na osiągnięcie wysokiej dostępności dla protokołów routingu dynamicznego, tzn. trasy dynamiczne zawarte w tablicy routingu są synchronizowane z urządzenia active na urządzenie standby Urządzenie umożliwia zbieranie informacji o czasie (timestamp) i ilości trafień pakietów w listy kontroli dostępu (ACL) Urządzenie umożliwia konfigurację globalnych reguł filtrowania ruchu, które przykładane są na wszystkie interfejsy urządzenia jednocześnie Urządzenie umożliwia konfigurację reguł NAT i ACL w oparciu o obiekty i grupy obiektów. Do grupy obiektów może należeć host, podsieć lub zakres adresów, protokół lub numer portu Urządzenie umożliwia pominięcie stanu sesji TCP w scenariuszach wdrożeniowych z asymetrycznym przepływem ruchu Urządzenie wspiera Proxy dla protokołu SCEP i umożliwia zautomatyzowany proces pozyskiwania certyfikatów przez użytkowników zdalnych dla dostępu VPN Urządzenie wspiera użytkownika korzystającego z trybu klienta VPN (IPSec oraz SSL) oraz clientless SSL VPN, w zakresie obsługi haseł w systemie Microsoft AD, bezpośrednio lub poprzez ACS, dla obsługi sytuacji wygaśnięcia terminu ważności hasła w systemie Microsoft AD, umożliwiając zmianę przeterminowanego hasła.

9 Urządzenie obsługuje IKE, IKE Extended Authentication (Xauth) oraz IKE Aggressive Mode. Ponadto urządzenie wspiera protokół IKEv2 (Internet Key Exchange w wersji 2) dla połączeń zdalnego dostępu VPN oraz site-to-site VPN opartych o protokół IPSec Urządzenie umożliwia rozbudowę poprzez zakup odpowiedniej licencji lub oprogramowania bez konieczności dokonywania zmian sprzętowych, w tym istnieje możliwość wirtualizacji konfiguracji poprzez wirtualne konteksty. Urządzenie wspiera maksymalnie 20 wirtualnych kontekstów Dodatkowa funkcjonalność w/w urządzenia NGFW (ang. Next Generation Firewall) Urządzenie zapewnia funkcjonalności NGFW w następującym zakresie: system automatycznego wykrywania i klasyfikacji aplikacji (tzw. Application Visibility and Control) system IPS system filtrowania ruchu w oparciu o URL system ochrony przed malware System posiada możliwość kontekstowego definiowania reguł z wykorzystaniem informacji pozyskiwanych o hostach na bieżąco poprzez pasywne skanowanie. System tworzy konteksty z wykorzystaniem poniższych parametrów: wiedza o użytkownikach uwierzytelenienie wiedza o urządzeniach pasywne skanowanie ruchu wiedza o urządzeniach mobilnych wiedza o aplikacjach wykorzystywanych po stronie klienta wiedza o podatnościach wiedza o bieżących zagrożeniach baza danych URL System posiada otwarte API dla współpracy z systemami zewnętrznymi, takimi jak SIEM System automatycznego wykrywania i klasyfikacji aplikacji (AVC): posiada możliwość klasyfikacji ruchu i wykrywania 3000 aplikacji sieciowych zapewnia wydajność 375Mbps pozwala na tworzenie profili użytkowników korzystających ze wskazanych aplikacji z dokładnością do systemu operacyjnego, z którego korzysta użytkownik oraz wykorzystywanych usług pozwala na wykorzystanie informacji geolokacyjnych dotyczących użytkownika lub aplikacji umożliwia współpracę z otwartym systemem opisu aplikacji pozwalającym administratorowi na skonfigurowanie opisu dowolnej aplikacji i wykorzystanie go do automatycznego wykrywania tejże aplikacji przez system AVC oraz na wykorzystanie profilu tej aplikacji w regułach reagowania na zagrożenia oraz w raportach System IPS: posiada możliwość pracy w trybie in-line (wszystkie pakiety, które mają być poddane inspekcji muszą przechodzić przez system) posiada możliwość pracy zarówno w trybie pasywnym (IDS) jak i aktywnym (z możliwością blokowania ruchu) posiada możliwość wykrywania i eliminowania szerokiej gamy zagrożeń (np.: złośliwe oprogramowanie, skanowanie sieci, ataki na usługę VoIP, próby przepełnienia bufora, ataki na aplikacje P2P, zagrożenia dnia zerowego, itp.) posiada możliwość wykrywania modyfikacji znanych ataków, jak i tych nowo powstałych, które nie zostały jeszcze dogłębnie opisane zapewnia następujące sposoby wykrywania zagrożeń: sygnatury ataków opartych na exploitach, reguły oparte na zagrożeniach, mechanizm wykrywania anomalii w protokołach mechanizm wykrywania anomalii w ogólnym zachowaniu ruchu sieciowego 8/13

10 9/ posiada możliwość inspekcji nie tylko warstwy sieciowej i informacji zawartych w nagłówkach pakietów, ale również szerokiego zakresu protokołów na wszystkich warstwach modelu sieciowego, włącznie z możliwością sprawdzania zawartości pakietu posiada mechanizm minimalizujący liczbę fałszywych alarmów, jak i niewykrytych ataków (ang. false positives i false negatives) posiada możliwość detekcji ataków/zagrożeń złożonych z wielu elementów i korelacji wielu, pozornie niepowiązanych zdarzeń posiada wiele możliwości reakcji na zdarzenia, takich jak monitorowanie, blokowanie ruchu zawierającego zagrożenia, zastępowanie zawartość pakietów oraz zapisywanie pakietów posiada możliwość detekcji ataków i zagrożeń opartych na protokole IPv posiada możliwość pasywnego zbierania informacji o urządzeniach sieciowych oraz ich aktywności (systemy operacyjne, serwisy, otwarte porty, aplikacje oraz zagrożenia) w celu wykorzystania tych informacji do analizy i korelacji ze zdarzeniami bezpieczeństwa, eliminowania fałszywych alarmów oraz tworzenia polityki zgodności posiada możliwość pasywnego gromadzenia informacji o przepływach ruchu sieciowego ze wszystkich monitorowanych hostów włączając w to czas początkowy i końcowy, porty, usługi oraz ilość przesłanych danych zapewnia możliwość pasywnej detekcji predefiniowanych serwisów takich jak FTP, HTTP, POP3, Telnet, itp posiada możliwość automatycznej inspekcji i ochrony dla ruchu wysyłanego na niestandardowych portach używanych do komunikacji zapewnia możliwość obrony przed atakami skonstruowanymi tak, aby uniknąć wykrycia przez IPS - w tym celu stosuje odpowiedni mechanizm defragmentacji i składania strumienia danych w zależności od charakterystyki hosta docelowego zapewnia mechanizm bezpiecznej aktualizacji sygnatur - zestawy sygnatur/reguł pobierane są z serwera w sposób uniemożliwiający ich modyfikację przez osoby postronne zapewnia możliwość definiowania wyjątków dla sygnatur z określeniem adresów IP źródła, przeznaczenia lub obu jednocześnie jest zarządzany poprzez system centralnego zarzadzania za pomocą szyfrowanego połączenia zapewnia obsługę reguł Snort zapewnia możliwość wykorzystania informacji o sklasyfikowanych aplikacjach do tworzenia reguł IPS zapewnia mechanizmy automatyzacji w zakresie wskazania hostów skompromitowanych (tzw. Indication of Compromise) zapewnia mechanizmy automatyzacji w zakresie dostrojenia polityk bezpieczeństwa posiadać możliwość wykorzystania mechanizmów obsługi ruchu asymetrycznego firewall a dla uzyskania pełnej widoczności ruchu w szczególności posiada możliwość pracy w trybie HA firewalla oraz w trybie klastrowania pozwala na pracę z przepustowością 255 Mbps przy jednoczesnym działaniu AVC System filtrowania ruchu w oparciu o URL: pozwala na kategoryzację stron w 70 kategoriach zapewnia bazę URL o wielkości 250 mln URL System ochrony przed malware: zapewnia sprawdzenie reputacji plików w systemie globalnym zapewnia sprawdzenie plików w sandbox (realizowanym lokalnie lub w chmurze) zapewnia narzędzia analizy historycznej dla plików przesłanych w przeszłości, a rozpoznanych później jako oprogramowanie złośliwe (analiza retrospektywna) zapewnia wykrywanie ataków typu Zero-Day System zapewnia centralną konsolę zarządzania zapewniającą informacje ogólne i szczegółowe o: wykrytych hostach

11 10/ aplikacjach zagrożeniach i atakach wskazaniach kompromitacji (tzw. Indication of Compromise) na podstawie: zdarzeń z IPS malare backdoors exploit kits ataków na aplikacje webowe połączeń do serwerów Command n Control wskazań eskalacji uprawnień zdarzeń sieciowych połączeń do znanych adresów IP Command n Control zdarzeń związanych z malware wykrytego malware wykrytej infekcji dropperów 1.5. Zarządzanie i konfiguracja Urządzenie posiada możliwość eksportu informacji przez syslog Urządzenie wspiera eksport zdarzeń opartych o przepływy za pomocą protokołu NetFlow lub analogicznego Urządzenie posiada możliwość komunikacji z serwerami uwierzytelnienia i autoryzacji za pośrednictwem protokołów RADIUS i TACACS+ oraz obsługuje mechanizmy AAA (Authentication, Authorization, Accounting) Urządzenie jest konfigurowalne przez CLI oraz interfejs graficzny Dostęp do urządzenia jest możliwy przez SSH Urządzenie obsługuje protokół SNMP v 1/2/ Możliwa jest edycja pliku konfiguracyjnego urządzenia w trybie off-line. Tzn. istnieje możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC. Po zapisaniu konfiguracji w pamięci nieulotnej jest możliwe uruchomienie urządzenia z nową konfiguracją Urządzenie umożliwia zrzucenie obecnego stanu programu (tzw. coredump) dla potrzeb diagnostycznych Urządzenie posiada wsparcie dla mechanizmu TCP Ping, który pozwala na wysyłanie wiadomości TCP dla rozwiązywania problemów związanych z łącznością w sieciach IP Urządzenie umożliwia kontrolę dostępu administracyjnego za pomocą protokołu TACACS Obudowa Urządzenie ma możliwość instalacji w szafie typu rack 19 i powinno zostać dostarczone z potrzebnymi do tego celu szynami Wysokość urządzenia wynosi 1RU Urządzenie jest wyposażone w 3-letnią subskrypcję na IPS, filtrowanie URL oraz ochronę przed malware. Opis wdrożenia zadanie 2: Wykonawca musi uporządkować wszelkie reguły ACL, NAT i polityki grup VPN, tak aby w końcowo działającej sieci nie było żadnych niepotrzebnych wpisów. Oprócz konfiguracji nowych urządzeń, Wykonawca zobowiązuje się do przeprowadzenia rekonfiguracji urządzeń już znajdujących się w sieci Zamawiającego, takich jak router Cisco ISR G2, przełączniki Cisco Catalyst i Cisco Nexus, oraz firewalle Cisco ASA-X, w celu dokonania ich integracji z nowo dostarczonymi licencjami, oprogramowaniem i urządzeniami. Mechanizmy, jakie będzie trzeba skonfigurować w sieci (szczegółowe wymagania co do ich konfiguracji zostaną przedstawione po wyłonieniu Wykonawcy) na urządzeniach Cisco ASA-X: - Role Based Access Control, - Remote Access IPsec VPN (dla kilku grup z różną polityką dostępu),

12 - Remote Access SSL VPN (dla kilku grup z różną polityką dostępu), - Stateful Firewall, - FlexVPN (IPsec VPN Site-to-Site/IKEv2), - AMP, IPS i URL Filtering usługi SourceFIRE oraz integracja z FireSIGHT, - NTP, SSH, QoS, routing, NAT/PAT, ACL. 4. Urządzenia sieciowe Przełączniki L2 sztuk 2 zadanie 3 Dostarczone urządzenia sieciowe przełączniki warstwy drugiej L2 muszą umożliwiać przeniesienie konfiguracji z istniejących urządzeń Cisco Catalyst 2960X. W przypadku, jeżeli polecenia CLI zaproponowanego urządzenia i/lub interfejs graficzny różni się od tego jaki działa w aktualnie wykorzystywanych u Zamawiającego urządzeniach Cisco Catalyst 2960X, Wykonawca zapewni sześciu pracownikom Zamawiającego bezpłatne szkolenie z obsługi tych produktów. Szkolenie powinno trwać nie krócej niż 5 dni i zawierać łącznie 30 godzin zegarowych (nie wliczając przerw), na które powinna składać się część teoretyczna i praktyczna. Szkolenie to powinno odbyć się przed zakończeniem prac wdrożeniowych. Wymagania: 1. Typ i liczba portów: a) Minimum 48 porty 10/100/1000 PoE+ zgodny ze standardem IEEE 802.3at. - Wymagane jest, aby wszystkie porty dostępowe 10/100/1000 obsługiwały standard zasilania poprzez sieć LAN (Power over Ethernet) zgodnie z IEEE 802.3at. Zasilacz urządzenia musi być tak dobrany, aby zapewnić minimum 370W dla portów PoE/PoE+. b) Minimum 4 dodatkowe porty uplink 1 Gigabit Ethernet SFP. - Porty SFP muszą umożliwiać ich obsadzanie wkładkami GigabitEthernet minimum 1000Base- SX, 1000Base LX/LH, 1000Base-BX-D/U zależnie od potrzeb Zamawiającego. 2. Co najmniej 512MB pamięci DRAM oraz co najmniej 128MB pamięci Flash 3. Wielkość tablicy adresów MAC: co najmniej Ilość obsługiwanych sieci VLAN: co najmniej Wydajność: - Przepustowość zapewniająca wydajność Line-rate - Przełączanie dla pakietów 64-bajtowych: min Mpps. 6. Urządzenie musi umożliwiać obsługę ramek jumbo o wielkości co najmniej 9216 bajtów 7. Obsługa co najmniej 16 statycznych tras dla routingu IPv4 i IPv6, 8. Obsługa protokołu NTP, 9. Obsługa ruchu multicast - IGMPv3 i MLDv1/2 Snooping, 10. Możliwość uruchomienia funkcjonalności DHCP Server, 11. Wsparcie dla protokołów IEEE 802.1w Rapid Spanning Tree oraz IEEE 802.1s Multi-Instance Spanning Tree wymagane wsparcie dla min. 128 instancji protokołu STP, 12. Obsługa protokołu LLDP i LLDP-MED lub równoważnych (np. CDP), 13. Musi posiadać makra lub wzorce konfiguracji portów zawierające prekonfigurowane ustawienie rekomendowane przez producenta sprzętu zależnie od typu urządzenia dołączonego do portu (np. telefon IP), 14. Musi być wyposażone w port USB umożliwiający podłączenie pamięci flash. Musi być dostępna opcja uruchomienia systemu operacyjnego z nośnika danych podłączonego do portu USB, 15. Musi mieć możliwość zarządzania poprzez interfejs CLI z poziomu portu konsoli, 16. Musi umożliwiać zdalną obserwację ruchu na określonym porcie, polegającą na kopiowaniu pojawiających się na nim ramek i przesyłaniu ich do zdalnego urządzenia monitorującego, poprzez dedykowaną sieć VLAN (RSPAN), 17. Plik konfiguracyjny urządzenia musi być możliwy do edycji w trybie off-line (tzn. konieczna jest możliwość przeglądania i zmian konfiguracji w pliku tekstowym na dowolnym urządzeniu PC). Po zapisaniu konfiguracji w 11/13

13 pamięci nieulotnej musi być możliwe uruchomienie urządzenia z nową konfiguracją. W pamięci nieulotnej musi być możliwość przechowywania przynajmniej 5 plików konfiguracyjnych, 18. Możliwość rozbudowy o funkcjonalność łączenia w stosy z zachowaniem następującej parametrów: - do min. 8 jednostek w stosie, - magistrala stakująca o przepustowości co najmniej 80Gb/s - możliwość tworzenia połączeń EtherChannel zgodnie z 802.3ad dla portów należących do różnych jednostek w stosie (Cross-stack EtherChannel) 19. Minimum 4 poziomy dostępu administracyjnego poprzez konsolę, 20. Autoryzacja użytkowników w oparciu o IEEE 802.1x z możliwością dynamicznego przypisania użytkownika do określonej sieci VLAN i z możliwością dynamicznego przypisania listy ACL, 21. Obsługa funkcji Guest VLAN, 22. Możliwość uwierzytelniania urządzeń na porcie w oparciu o adres MAC, 23. Możliwość uwierzytelniania użytkowników w oparciu o portal www dla klientów bez suplikanta 802.1X, 24. Wymagane jest wsparcie dla możliwości uwierzytelniania wielu użytkowników na jednym porcie, 25. Możliwość uzyskania dostępu do urządzenia przez SNMPv3, SSHv2, HTTPS z wykorzystaniem IPv4 i IPv6, 26. Obsługa list kontroli dostępu (ACL) dla portów (PACL) i interfejsów SVI (RACL) - zarówno dla IPv4 jak i IPv6, 27. Obsługa mechanizmów Port Security, DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, 28. Funkcjonalność Protected Port, 29. Obsługa funkcjonalności Voice VLAN umożliwiającej odseparowanie ruchu danych i ruchu głosowego, 30. Możliwość próbkowania i eksportu statystyk ruchu do zewnętrznych kolektorów danych (mechanizmy typu sflow, NetFlow, J-Flow lub równoważne). 31. Wsparcie dla mechanizmów zapewnienia jakość usług w sieci 32. Klasyfikacja ruchu do klas różnej jakości obsługi (QoS) poprzez wykorzystanie co najmniej następujących parametrów: źródłowy/docelowy adres MAC, źródłowy/docelowy adres IP, źródłowy/docelowy port TCP, 33. Implementacja co najmniej czterech kolejek sprzętowych na każdym porcie wyjściowym dla obsługi ruchu o różnej klasie obsługi. Implementacja algorytmu Shaped Round Robin lub podobnego dla obsługi tych kolejek, 34. Możliwość obsługi jednej z powyżej wymienionych kolejek z bezwzględnym priorytetem w stosunku do innych (Strict Priority), 35. Możliwość ograniczania pasma dostępnego na danym porcie dla ruchu o danej klasie obsługi. 230V AC, możliwość zastosowania redundantnego zasilacza (dopuszcza się także rozwiązanie zewnętrzne) 36. Wysokość maksymalnie 1U, montowany w szafie typu RAC 19 Opis wdrożenia zadanie 3 Oprócz konfiguracji nowych urządzeń, Wykonawca musi przeprowadzić rekonfigurację urządzeń już znajdujących się w sieci Zamawiającego, takich jak router Cisco ISR G2, przełączniki Cisco Catalyst i Cisco Nexus, oraz firewalle Cisco ASA-X, w celu dokonania ich integracji z nowo dostarczonymi urządzeniami. Konfiguracja przełączników swoim zakresem będzie obejmować między innymi technologie/protokoły: Archive, EtherChannel, MSTP, VLAN, Trunk, VTPv3, DTP, CDP/LLDP, IP DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, Port Security, QoS, ACL, Role-Based CLI Access, Control-Plane Policing, NTP i SSH. 12/13