Szczegółowy opis przedmiotu zamówienia Przedmiotem zamówienia jest dostawa, instalacja, uruchomienie i konfiguracja urządzenia UTM (Unified Threat Management) zapewniającego zintegrowane rozwiązania w zakresie ochrony sieci komputerowych. Urządzenie ma stanowić główny punkt styku co najmniej trzech sieci LAN z sieciami minimum czterech operatorów. Ze względu na specyfikę infrastruktury sprzęt musi zapewniać możliwość jednoczesnej pracy w trybie routera oraz trybie transparentnym dla wybranych sieci oraz umożliwiać kierowanie ruchu z trybu transparentnego do wybranej bramy domyślnej. Urządzenie ma być wyposażone w minimum jeden dysk twardy umożliwiający gromadzenie logów systemowych oraz ich analizowanie. ISP1 ISP2 ISP3 ISP4 ISP... DMZ L3 router L2 bridge LAN1 LAN2 1. ZAPORA KORPORACYJNA (Firewall) 1.1. Firewall klasy Stateful Inspection. 1.2. Urządzenie ma obsługiwać translacje adresów NAT, PAT, 1-PAT. Strona 1 z 15
1.3. Urządzenie ma dawać możliwość ustawienia trybu pracy jako router warstwy trzeciej, jako bridge warstwy drugiej oraz hybrydowo (część jako router z translacją adresów, a część jako bridge). 1.4. Narzędzie do konfiguracji firewalla ma umożliwiać tworzenie odpowiednich reguł przy użyciu prekonfigurowanych obiektów. Przy zastosowaniu takiej technologii osoba administrująca ma możliwość określania parametrów pojedynczej reguły (adres źródłowy, adres docelowy etc.) przy wykorzystaniu obiektów określających ich logiczne przeznaczenie. 1.5. Edytor reguł na firewallu ma posiadać wbudowany analizator reguł, który eliminuje sprzeczności w konfiguracji reguł lub wskazuje na użycie nieistniejących elementów (obiektów). 1.6. Firewall ma umożliwiać uwierzytelnienie i autoryzację użytkowników w oparciu o bazę lokalną, zewnętrzny serwer RADIUS, LDAP (wewnętrzny i zewnętrzny) lub przy współpracy z uwierzytelnieniem Windows NT4.0 (NTLM) i Windows 2k (Kerberos). 2. INTRUSION PREVENTION SYSTEM (IPS) 2.1. System detekcji i prewencji włamań (IPS) ma być zaimplementowany w jądrze systemu i wykrywać włamania oraz anomalia w ruchu sieciowym przy pomocy analizy protokołów, analizy heurystycznej oraz analizy w oparciu o sygnatury kontekstowe. 2.2. Moduł IPS ma nie tylko wykrywać ale również usuwać szkodliwą zawartość w kodzie HTML oraz Javascript żądanej przez użytkownika strony internetowej. 2.3. Moduł IPS musi być opracowany przez producenta urządzenia. Nie dopuszcza się aby moduł IPS pochodził od zewnętrznego dostawcy. 2.4. Urządzenie ma mieć możliwość inspekcji dowolnego ruchu tunelowanego wewnątrz protokołu SSL. 2.5. Administrator urządzenia ma mieć możliwość konfiguracji jednego z trybów pracy urządzenia, to jest: IPS, IDS lub Firewall dla wybranych adresów IP (źródłowych i docelowych), użytkowników, portów (źródłowych i docelowych) oraz na podstawie pola DSCP. Strona 2 z 15
3. KSZTAŁTOWANIE PASMA (Traffic Shapping) 3.1. Urządzenie ma mieć możliwość kształtowania pasma w oparciu o priorytetyzację ruchu oraz minimalną i maksymalną wartość pasma. 3.2. Ograniczenie pasma lub priorytetyzacja powinna być określana względem reguły na firewallu w odniesieniu do pojedynczego połączenia, adresu IP lub autoryzowanego użytkownika oraz pola DSCP 3.3. Urządzenie ma mieć możliwość zdefiniowania priorytetu kolejki, która obsłuży cały ruch nie ujęty przez kolejki użytkownika. 4. OCHRONA ANTYWIRUSOWA 4.1. Skaner antywirusowy ma być dostarczany w ramach podstawowej licencji. 4.2. Administrator ma mieć możliwość zdefiniowania treści komunikatu dla użytkownika o wykryciu infekcji, osobno dla infekcji wykrytych wewnątrz protokołu POP3, SMTP i FTP. W przypadku SMTP i FTP ponadto powinna być możliwość zdefiniowania 3- cyfrowego kodu odrzucenia. 5. OCHRONA ANTYSPAM 5.1. Producent ma udostępniać mechanizm klasyfikacji poczty elektronicznej określający czy jest pocztą niechcianą (SPAM). 5.2. Ochrona antyspam powinna działać w oparciu o: a) białe i czarne listy b) DNS RBL c) heurystyczny skaner 5.3. W przypadku ochrony w oparciu o DNS RBL administrator może modyfikować listę serwerów RBL lub skorzystać z domyślnie wprowadzonych przez producenta serwerów. Może także definiować dowolną ilość wykorzystywanych serwerów RBL. 5.4. Wpis w nagłówku wiadomości ma być w formacie zgodnym z formatem programu Spamassassin. Strona 3 z 15
6. SKANER WNĘTRZA SIECI 6.1. Urządzenie ma posiadać narzędzie pasywnego skanera wnętrza sieci pozwalające na: a) wykrywanie podatnych na ataki wersji oprogramowania b) wykrywanie luk i podatności na ataki c) sugestie niezbędnych działań 7. WIRTUALNE SIECI PRYWANTE (VPN) 7.1. Urządzenie ma posiadać wbudowany serwer VPN umożliwiający budowanie połączeń VPN typu client-to-site (klient mobilny lokalizacja) lub site-to-site (lokalizacja-lokalizacja). 7.2. Odpowiednio kanały VPN można budować w oparciu o: a) PPTP VPN b) IPSec VPN c) SSL VPN 7.3. Urządzenie ma posiadać funkcjonalność przełączenia tunelu na łącze zapasowe w przypadku awarii łącza podstawowego (VPN Failover) 7.4. Urządzenie ma posiadać wsparcie dla technologii XAuth, Hub n Spoke oraz modconf. 8. FILTR ADRESÓW URL 8.1. Urządzenie ma posiadać wbudowany filtr URL. 8.2. Moduł filtra URL, wspierany przez HTTP PROXY, musi być zgodny z protokołem ICAP zarówno w trybie RESPOND jak i REQUEST. 8.3. Administrator posiada możliwość zdefiniowania akcji w przypadku zaklasyfikowania danej strony do konkretnej kategorii. Do wyboru jest jedna z trzech akcji: a) blokowanie dostępu do adresu URL. b) zezwolenie na dostęp do adresu URL. Strona 4 z 15
c) blokowanie dostępu do adresu URL oraz wyświetlenie strony HTML zdefiniowanej przez administratora. 8.4. Filtrowanie URL musi uwzględniać także komunikację po protokole HTTPS. 8.5. Możliwość identyfikacji oraz blokowanie przesyłanych danych z wykorzystaniem typu MIME. 8.6. Możliwość stworzenia białej listy stron wyłączonych z filtrowania URL oraz białej listy stron dostępnych poprzez HTTPS, które nie będą deszyfrowane. 9. UWIERZYTELNIANIE 9.1. Urządzenie ma pozwalać na uruchomienie systemu uwierzytelniania użytkowników w oparciu o: a) lokalną bazę użytkowników (wewnętrzny LDAP), b) zewnętrzną bazę użytkowników (zewnętrzny LDAP), c) integrację z serwerem Microsoft Active Directory. 9.2. Rozwiązanie ma pozwalać na uruchomienie specjalnego portalu, który umożliwia autoryzacje w oparciu o protokoły: a) SSL b) Radius c) NTLM d) Kerberos 9.3. Autoryzacja użytkowników z wykorzystaniem użytkowników Microsoft Active Directory nie wymaga instalacji agenta na serwerze AD ani modyfikacji schematu. 10. ADMINISTRACJA ŁĄCZAMI OD DOSTAWCÓW USŁUG INTERNETOWYCH (ISP). 10.1. Urządzenie ma posiadać wsparcie dla mechanizmów równoważenia obciążenia łączy do sieci Internet (tzw. Load Balancing). 10.2. Mechanizm równoważenia obciążenia łącza internetowego ma działać w oparciu o następujące dwa mechanizmy: Strona 5 z 15
a) równoważenie względem adresu źródłowego. b) równoważenie względem adresu docelowego. 10.3. Urządzenie ma posiadać mechanizm przełączenia na łącze zapasowe w przypadku awarii łącza podstawowego. 11. ADMINISTRACJA URZĄDZENIEM 11.1. Producent ma dostarczać w podstawowej licencji narzędzie administracyjne pozwalające na podgląd pracy urządzenia, monitoring w trybie rzeczywistym stanu urządzenia. 11.2. Konfiguracja urządzenia powinna być możliwa z wykorzystaniem polskiego interfejsu graficznego. 11.3. Komunikacja pomiędzy aplikacją do zarządzania, a urządzeniem musi odbywać się przez przeglądarkę www z wykorzystaniem bezpiecznego protokołu https. 11.4. Urządzenie może być zarządzane przez min. 5 administratorów z różnymi (także nakładającymi się) uprawnieniami. 11.5. Urządzenie ma być dostępne wraz z konsolą do centralnej administracji pozwalającą na zarządzanie przynajmniej 5 urządzeniami w różnych lokalizacjach w podstawowej cenie urządzenia. 11.6. Urządzenie ma mieć możliwość eksportowania logów na zewnętrzny serwer (syslog). 12. PARAMETRY SPRZĘTOWE 12.1. Urządzenie ma być wyposażone w dysk twardy o pojemności co najmniej 70GB. 12.2. Liczba portów Ethernet 10/100/1000 min. 8 12.3. Przepustowość Firewall-a wraz z włączonym systemem IPS wynosić musi min. 7 000 Mbps. 12.4. Minimalna przepustowość tunelu VPN przy szyfrowaniu AES musi wynosić 1500 Mbps. Strona 6 z 15
12.5. Liczba tuneli VPN nie mniejsza niż 5 000. 12.6. Obsługa co najmniej 256 VLAN-ów 12.7. Liczba równoczesnych sesji co najmniej 1 000 000. 12.8. Możliwość rozbudowy o co najmniej 5 interfejsów 10/100/1000, 12.9. Możliwość rozbudowy o interfejsy światłowodowe. 12.10. Możliwość rozbudowy o interfejsy 10 GbE. 12.11. Urządzenie ma być wyposażone w redundantne zasilacze 12.12. Urządzenie ma posiadać możliwość instalacji dodatkowego dysku w celu uruchomienia macierzy dyskowej RAID 1. 12.13. Urządzenie nie może posiadać limitów dla obsługiwanych adresów IP. 13. ZAAWANSOWANE RAPORTOWANIE 13.1. Urządzenie ma mieć możliwość raportowania min 1.500.000 zdarzeń na dobę 13.2. Rozwiązanie raportowania ma być w postaci software. Ze względu na ograniczone miejsce, możliwości zasilania oraz przeznaczenie jako bazę AD, Zamawiający planuje wykorzystać istniejący serwer. 13.3. Logi muszą być przechowywane w bazie SQL z możliwością bezpośredniego dostępu do bazy danych. 13.4. Paczka instalacyjna powinna zawierać wszystkie wymagane komponenty do uruchomienia minimalnej funkcjonalności raportowania. 13.5. Oprogramowanie ma umożliwiać: a) generowanie przynajmniej 200 predefiniowanych przez producenta raportów w postaci plików PDF b) wysyłanie raportów przy pomocy SMTP. c) udostępnianie raportów przy pomocy łącz RSS Strona 7 z 15
d) tworzenie administratorów o różnych uprawnieniach (np. administrator, administrator bazy) e) eksport skorelowanych logów w celu dalszej analizy f) zarządzanie z poziomu przeglądarki WWW 14. LICENCJE, WSPARCIE TECHNICZNE I GWARANCJE 14.1. Urządzenie musi posiadać wieczystą licencję, tak żeby działało poprawnie i z pełną funkcjonalnością modułów IDS, IPS, Firewalla, Filtrowania URL nawet po wygaśnięciu wsparcia technicznego. Po wygaśnięciu wsparcia wymienione moduły powinny nadal działać w oparciu o ostatnie aktualizacje swoich baz z okresu przed wygaśnięciem wsparcia. 14.2. Licencja wsparcia technicznego do urządzenia musi zapewnić przez okres 3 lat: a) aktualizacje do wszystkich modułów urządzenia (w tym do skanera wnętrza sieci) b) wsparcie techniczne od poniedziałku do piątku przez 10 godzin dziennie c) wymianę urządzenia na nowe w przypadku awarii w terminie 14 dni d) serwis dla oprogramowania zaawansowanego raportowania 15. SZKOLENIA 15.1. Wykonawca przeprowadzi szkolenie w swojej siedzibie dla 4 administratorów Zamawiającego. 15.2. Szkolenie wliczone jest w cenę urządzenia. 15.3. Szkolenie obejmuje łącznie min. 21 godzin. 15.4. Szkolenie ma zawierać omówienie pełnej funkcjonalności zakupionego urządzenia i samodzielne dokonanie różnych wariantów konfiguracji. 15.5. Wykonawca na min. 5 dni przed terminem przedstawi Zamawiającemu harmonogram, termin i zakres szkolenia Strona 8 z 15
16. TESTY 16.1. Wykonawca przed wyborem najkorzystniejszej oferty przeprowadzi testy w celu potwierdzenia funkcjonalności oferowanych urządzeń UTM u Zamawiającego w wyznaczonym miejscu i terminie w warunkach rzeczywistych. 16.2. Wykonawcy przystąpią do testów w kolejności złożenia ofert, zgodnie z Harmonogramem przekazanym przez Zamawiającego. 16.3. Testy będą przeprowadzone w sposób jawny w obecności upoważnionych przedstawicieli Zamawiającego i Wykonawcy. Upoważnieni przedstawiciele pozostałych Wykonawców, których urządzenia UTM nie będą w danym dniu testowane mogą uczestniczyć w testach na prawach obserwatora. 16.4. Wykonawca na własny koszt dostarczy i uruchomi testowane urządzenie w raz z całym oprogramowaniem wymienionym w ofercie oraz wszystkimi niezbędnymi składnikami do prawidłowego działania. Czas na przeprowadzenie testów będzie jednakowy dla każdego z wykonawców i wynosić będzie 6 godzin w godzinach od 8.00 do 14.00. 16.5. Testy zostaną zakończone obustronnym podpisaniem protokołu z każdym Wykonawcą. 16.6. W przypadku, gdy Wykonawca nie przystąpi do testów w wyznaczonym terminie, nie zakończy testów w wyznaczonym czasie lub testy nie potwierdzą, że oferowany przedmiot zamówienia spełnia wymagania Zamawiającego oferta zostanie odrzucona. 17. PROGRAM TESTÓW 17.1. Testy urządzeń polegać będą na uruchomieniu części funkcjonalności zamawianego sprzętu oraz zaprezentowanie przewidywanego poprawnego jego działania. 17.2. Testowaniu zostaną poddane moduły urządzenia zgodnie z tabelą testów. 17.3. Na czas testów Zamawiający przygotuje środowisko testowe składające się z 4 komputerów oraz dostępu do 4 sieci różnych operatorów. W środowisku tym każdy komputer będzie posiadał dostęp do Internetu. Wykonawca przed Strona 9 z 15
konfiguracją powinien sprawdzić zgodność środowiska z założeniami. Wykonawca jest zobowiązany zamontować i zdemontować oferowane testowane urządzenie UTM. Rysunek 1. Środowisko testowe przed rozpoczęciem testów. 17.4. Wykonawca skonfiguruje urządzenie UTM w trybie router a dla trzech dostawców o raz w trybie transparentnym dla jednego z dostawców. Dla każdego interfejsu po stronie LAN zostanie uruchomione DHCP które każdej stacji roboczej przydzieli adres zgodny z opisem stacji na rysunku 2. UWAGA: Prawidłowa adresacja oraz numery VLan ów zostaną podane Wykonawcom wraz z harmonogramem, przed przystąpieniem do testów. Strona 10 z 15
Rysunek 2. Środowisko testowe w czasie przeprowadzania testów. 17.5. Po przygotowaniu i wstępnym skonfigurowaniu środowiska wykonawca skonfiguruje poszczególne moduły urządzenia zgodnie z informacjami w tabeli. Interfejsy urządzenia będą nazywane wg numerów VLan ów i przeznaczenia np., wan1403, lan1403, wan403, lan403, interfejs bridge: br51. Tabela testów Nr Pożądana funkcjonalność Sposób weryfikacji 1 Komunikacja wychodząca PC1(10.R.O.Y/24) i PC3(10.R.Z.Y/24) musi odbywać się w zależności od sieci przeznaczenia i portu poprzez interfejs: Sieć dowolna - http, https, dns, tcp 25, tcp 22 wan43 192.168.G.0/24 wszystkie porty wan1403 urządzenia oraz przez monitorowanie odpowiedniego portu Wireshark iem 2 Komunikacja wychodząca PC2(10.R.O.X/24) musi odbywać się w zależności od sieci przeznaczenia i portu poprzez interfejs: Sieć dowolna - http, https wan143 10.J.0.0/16 - dns, tcp 25, tcp 22 wan403 3 Komunikacja wychodząca PC4 (10.L.Z.M/24) musi odbywać się w zależności od sieci przeznaczenia i portu poprzez interfejs: Domyślnie bez zmian, przezroczyście do urządzenia oraz przez monitorowanie odpowiedniego portu Wireshark iem urządzenia oraz przez monitorowanie odpowiedniego Strona 11 z 15
swojej bramy domyślnej 10.J.0.0/16 dowolny port wan403 4 Komunikacja wychodząca PC4 (10.L.Z.F/24 należy zmienić adres na stacji) musi odbywać się w zależności od sieci przeznaczenia i portu poprzez interfejs: Sieć dowolna http, https wan1403 10.J.0.0/16 dowolny port wan403 10.R.Z.0/24 dowolny port wan403 pozostałe bez zmian, przezroczyście do swojej bramy domyślnej 5 Komputer PC1 może przeglądać strony www tylko w 1 kategoriach klasyfikacji URL producenta sprzętu oraz 1 zdefiniowanej przez administratora jako wyrażenie *.gov.pl. Dla pozostałych kategorii, nie dozwolonych, zdefiniowanych przez producenta powinien pojawić się komunikat w języku polskim, że strona należy do kategorii zabronionej 6 Komputer PC2 może przeglądać strony www we wszystkich kategoriach klasyfikacji URL producenta sprzętu ale wszystkie wejścia muszą być logowane. Zabronione są wszystkie strony które w URL mają ciąg znaków sex i xxx 7 Komputer PC3 może przeglądać strony www tylko w 3 kategoriach klasyfikacji URL producenta sprzętu oraz 1 zdefiniowanej przez administratora. Dla pozostałych kategorii, nie dozwolonych, zdefiniowanych przez producenta powinien pojawić się komunikat w języku polskim, że strona należy do kategorii zabronionej 8 Komputer PC4 może przeglądać strony www we wszystkich kategoriach z wyjątkiem 3. Dla zablokowanych kategorii nie może pojawiać się żaden komunikat. 9 Skonfigurować za pomocą typu MIME blokowanie przychodzących obrazków 1 Komunikacja komputerów z sieci 10.100.2.0/24 z innymi sieciami poprzedzona musi zostać logowaniem. Dozwolony jest dowolny z wymaganych w specyfikacji mechanizm uwierzytelniania. portu Wireshark iem urządzenia oraz przez monitorowanie odpowiedniego portu Wireshark iem Przeglądanie stron www należących do różnych kategorii Przeglądanie stron www należących do różnych kategorii Przeglądanie stron www należących do różnych kategorii Przeglądanie stron www należących do różnych kategorii Przeglądanie stron www przy wyłączonej i włączonej blokadzie Przeglądanie stron www Strona 12 z 15
1 Użytkownik o nazwie admin z dowolnego PC w sieci 10.R.O.0/24 wychodzi do Internetu na http, https przez wan1404 1 Komputer PC3 jest widoczny i osiągalny z Internetu przez adres wan1404 (81.K.N.B) na portach: 80 i 21; 1 Na interfejsie wan1404 urządzenia uruchomiony zostanie serwer VPN (IPSec lub SSL) typu client-to-site. Z Internetu zostanie podłączony klient mobilny. Klient powinien mieć dostęp do sieci 10.J.0.0/16 oraz 10.R.O.0/24. Jeżeli wymaga to zainstalowania oprogramowania na kliencie to należy go dostarczyć. 1 Na urządzeniu zostanie uruchomiony skaner wnętrza sieci. 1 Na urządzeniu należy skonfigurować komunikacja wychodzącą PC1(10.R.O.Y/24) i PC2(10.R.O.X/24) do dowolnej sieci na http, https przez interfejs wan1403. Dla PC1 i PC2 zdefiniować bardzo różniące się kolejki kształtujące i rozpocząć na obu komputerach pobierać dowolny duży plik lub wykonanie testu. 1 Na urządzeniu zostaną skonfigurowane kolejki monitorujące wszystkie pracujące interfejsy 1 Skonfigurowanie blokady aplikacji skype, gg, utorrent, winamp, Google drive. Sprawdzenie zachowania wymienionych aplikacji przy wyłączonej i włączonej blokadzie. 1 Test antywirusa poprzez próbę ściągnięcia plików Eicar ze strony http://www.eicar.org/85-0- Download.html zarówno przez http jak i https. 1 Zaprezentowanie za pomocą oprogramowania raportującego wszystkich adresów sieciowych urządzenia oraz przez monitorowanie odpowiedniego portu Wireshark iem urządzenia oraz przez monitorowanie odpowiedniego portu Wireshark iem Połączenie się klientem urządzenia. Skaner powinien wykryć nie aktualne oprogramowanie na którejś ze stacji roboczej, przedstawić potencjalne luki oraz sposoby przeciwdziałania Pobieranie tego samego dużego pliku na dwóch komputerach jednocześnie ze zdefiniowanymi różnymi kolejkami dla tych komputerów oraz przeprowadzić z komputerów test łącza np. http://speedtest.net urządzenia urządzenia oraz działanie aplikacji na stacji roboczej urządzenia oraz komunikaty podczas pobierania Przez oprogramowanie raportujące Strona 13 z 15
które wchodziły na stronę wp.pl w dniu testów. 2 Zaprezentowanie za pomocą oprogramowania raportującego najczęściej odwiedzanych stron www w dniu testów. 2 Zaprezentowanie za pomocą oprogramowania raportującego zestawienia o danych o użytkownikach, którzy pobrali najwięcej danych. 2 Skonfigurowanie urządzenia tak żeby przeprowadzana była inspekcja komunikacji szyfrowanej wychodzącej przez wszystkie interfejsy z wyjątkiem br51 Przez oprogramowanie raportujące Przez oprogramowanie raportujące urządzenia oraz przez monitorowanie odpowiedniego portu Wireshark iem Połączenie z serwerem poczty htps://poczta.interia.pl Strona 14 z 15
18. GWARANCJA Licencja wsparcia technicznego do urządzenia musi zapewniać przez min. okres 3 lat: a) aktualizacje do wszystkich modułów urządzenia (w tym do skanera wnętrza sieci) b) wsparcie techniczne od poniedziałku do piątku przez 10 godzin dziennie c) wymianę urządzenia na nowe w przypadku awarii w terminie 14 dni d) serwis dla oprogramowania zaawansowanego raportowani str. 15/15