Załącznik nr 1 Specyfikacja wymagań. Wymaganie 1. Wymagania funkcjonalne a. Rozwiązanie bezkontrolerowe z możliwością migracji do kontrolerowego b. Obsługa minimum 5 sieci SSID c. Każde SSID musi mieć możliwość przypisania w sposób statyczny lub dynamiczny do sieci VLAN d. Zarządzanie pasmem radiowym w sieci punktów dostępowych musi się odbywać automatycznie za pomocą auto-adaptacyjnych mechanizmów, w tym nie mniej niż: - Automatyczne definiowanie kanału pracy oraz mocy sygnału dla poszczególnych punktów dostępowych przy uwzględnieniu warunków oraz otoczenia, w którym pracują punkty dostępowe, - Stałe monitorowanie pasma oraz usług w celu zapewnienia niezakłóconej pracy systemu - Rozkład ruchu pomiędzy różnymi punkami dostępowym bazując na ilości użytkowników oraz utylizacji pasma - Wykrywanie interferencji oraz miejsc bez pokrycia sygnału - Wyrównywanie czasów dostępu do pasma dla klientów pracujących w standardzie 802.11n, AC oraz starszych (802.11a/b/g) - Wsparcie dla 802.11d oraz 802.11h - Obsługa tzw. Sticky Clients polegająca na automatycznym przełączaniu klientów do punktu dostępowego oferującego najlepszy sygnał e. Niezależne polityki dla każdej ze zdefiniowanych sieci SSID f. Musi być zapewniona możliwość zdefiniowania odseparowanej sieci gościnnej g. Musi istnieć możliwość dostarczania informacji o rejestracji konta gościnnego przez SMS z wykorzystaniem posiadanej bramki SMS (SMSEAGLE) h. Elastyczne zarządzanie czasem w dostępie gościnnym (możliwość ustawienia czasu aktywacji konta, czasu trwania sesji itp.) Możliwość zdefiniowania przez administratora czasu trwania sesji gościa na poziomie nadrzędnym wobec ustawień osoby zapraszającej(sponsora) i. System musi posiadać wbudowany portal do samodzielnej rejestracji kont przez użytkowników-gości wraz z możliwością identyfikowania sponsorów gości j. System musi posiadać portal do automatycznej rejestracji urządzeń mobilnych oraz komputerów spoza domeny Active Directory (BYOD - Bring Your Own Device), obsługujący nie mniej niż następujące systemy operacyjne Apple ios oraz MAC OSX, Android, Windows XP/7/8 k. Portal musi się automatycznie dostosowywać formatem do podłączonego urządzenia (komputer, tablet, telefon) l. Musi istnieć możliwość stworzenia własnej wersji portalu przez administratora Spełnia / nie spełnia
m. System musi zapewniać bezpośrednią integrację z zaporą firmy PaloAlto przez przekazywanie informacji o adresie IP i skojarzonym z nim identyfikatorem użytkownika n. Autoryzacja WPA2 - Enterprise (WPA-802.1x, RADIUS) w AD (komputery i użytkownicy), automatyczna autoryzacja urządzeń i użytkowników domenowych o. Możliwość budowania osobnych polityk dla kont komputerów i użytkowników w domenie AD p. Obsługa domen zaufanych z niezależnymi politykami q. Musi istnieć mechanizm rozliczania użytkowników korzystających z systemu r. Obsługa monitoringu przez SNMP s. Obsługa logowania na zewnętrznym serwerze SYSLOG t. W system musi być wbudowany mechanizm wykrywania ataków na sieć bezprzewodową w zakresie ataków na infrastrukturę i klientów sieci u. W system musi być wbudowany mechanizm zapobiegania atakom na sieć bezprzewodową w zakresie ataków na infrastrukturę i klientów sieci v. Identyfikacja lokalizacji punktów dostępowych oraz klientów sieci WLAN w tym samym czasie w. Import planów budynku do systemu wizualizacji. Wykorzystanie informacji z punktów dostępowych do kalkulacji parametrów lokalizacji. Prezentacja w formie graficznej mapy pokrycia sygnałem terenu oraz informacje o jakości sygnału w poszczególnych punktach naniesione na zaimportowaną mapę. Wyświetlenie informacji o jakości transmisji na zaimportowanej mapie x. Roaming połączeń w warstwie 3 pomiędzy punktami dostępowych, z zachowaniem adresu IP klienta wymagany standard 802.11r y. System musi posiadać funkcje monitorowania przełączników dostępowych firm: Cisco, Juniper Networks oraz HP, do których podłączone są urządzenia WLAN. Jako monitorowanie rozumiane jest zbieranie z urządzeń oraz udostępnianie administratorom z jednej konsoli następujących informacji o pracy przełączników: Nazwa przełącznika, lokalizacja, system uptime, numer seryjny, obciążenie CPU, obciążenie pamięci, status urządzenia sprawdzany poprzez ICMP Ping, szybkość oraz statusu linków, przepustowość z. System musi posiadać funkcje automatycznego wykonywania kopii zapasowych krytycznych danych 2. Oprogramowanie do zarządzania access-pointami a. Zarządzanie systemem musi odbywać się poprzez interfejs przeglądarki internetowej, bez limitu na ilość jednocześnie pracujących użytkowników / administratorów. System wspierać powinien wszystkie powszechnie stosowane typy przeglądarek internetowych b. Dostęp do konsoli zarządzania musi wykorzystywać bezpieczny protokół HTTPS c. System musi umożliwiać zarządzanie nie mniej niż 50 urządzeniami (przełącznikami, punktami dostępowymi, etc.) z możliwością zwiększenia ilości. Wszystkie wynikające z tego licencje muszą być dostarczone wraz z systemem d. Wyświetlanie aktualnej listy urządzeń wraz z ich statusami e. Widok diagnostyczny prezentujący problemy z sygnałem/prędkością f. Wykorzystanie pasma
g. Ilość klientów korzystających z systemu/interferujących h. Logowanie zdarzeń dotyczących pracy urządzeń i. Alarmowanie administratorów w przypadku zdarzeń krytycznych poprzez email, sms j. Współpraca z zewnętrznymi serwerami syslog, netflow itp k. Zdalne wywoływanie poleceń serwisowych l. Oprogramowanie dostarczane w formacie OVF 3. Oprogramowanie do zarządzania użytkownikami a. Zarządzanie systemem musi odbywać się poprzez interfejs przeglądarki internetowej, bez limitu na ilość jednocześnie pracujących użytkowników / administratorów. System wspierać powinien wszystkie powszechnie stosowane typy przeglądarek internetowych b. Dostęp do konsoli zarządzania musi wykorzystywać bezpieczny protokół HTTPS c. System musi umożliwiać zarządzanie nie mniej niż 500 kontami z możliwością zwiększenia pojemności licencjami bez wymiany systemu. Wszystkie wynikające z tego licencje muszą być dostarczone wraz z systemem d. Współpraca z AD, wbudowany serwer Radius e. Logowanie użytkowników obsługujących tworzenie kont gości na podstawie poświadczeń domenowych f. Logowanie zdarzeń dotyczących użytkowników g. Raportowanie aktywności użytkowników h. Przydzielanie grupom użytkowników odpowiedniego TAG a sieci VLAN i. Alarmowanie administratorów w przypadku zdarzeń krytycznych poprzez email, sms j. Oprogramowanie dostarczane w formacie OVF 4. Wymagania sprzętowe a. Punkt dostępowy do montażu wewnątrz budynków, pracujący w dwóch kanałach radiowych jednocześnie (obsługując standardy 802.11a,b,g,n). Producent musi posiadać również w swoim port folio punkty-dostępowe pracujące w standardzie 802.11ac). b. Oferowanie obu pasm w ramach tej samej sieci SSID c. Liczba anten: anteny 3x3 MIMO, z parametrami co najmniej: 3.5 dbi dla 2.4GHz oraz 4.5 dbi dla 5GHz d. Punkt dostępowy musi mieć możliwość współpracy z centralnym kontrolerem sieci bezprzewodowej e. Punkt dostępowy musi mieć możliwość pracy w trybie autonomicznym bez nadzoru centralnego kontrolera f. Punkt dostępowy musi posiadać funkcjonalność zarządzania przez przeglądarkę internetową (wsparcie dla 3 najpopularniejszych przeglądarek: IE, Chrome, Firefox) i protokół https g. Wszystkie operacje konfiguracyjne muszą być możliwe do przeprowadzenia z poziomu przeglądarki h. Musi być zapewniona możliwość wspólnej konfiguracji punktów połączonych w jedną sieć LAN w warstwie 2 i. System operacyjny zainstalowany w punktach dostępowych musi umożliwiać automatyczny wybór jednego punktu dostępowego jako elementu zarządzającego j. W przypadku awarii punktu zarządzającego kolejny punkt dostępowy w
sieci musi przejąć jego rolę w sposób automatyczny k. Modyfikacja konfiguracji musi się automatycznie propagować na pozostałe punkty dostępowe l. Obraz systemu operacyjnego musi się automatycznie propagować na pozostałe punkty dostępowe, aby wszystkie punkty miały tą samą jego wersję m. Moc transmisji konfigurowalna przez administratora możliwość dwukrotnego zwiększenia/zmniejszenia mocy (co +/-3dB) n. Obsługa sieci VLAN (802.1q) minimum 5 sieci o. Standard zabezpieczeń: WPA2-Enterprise, WPA2-PSK p. Protokoły uwierzytelniania EAP-TLS, EAP-PEAP q. Autoryzacja na oparta na AD, Radius r. Urządzenie musi być dostarczone elementami do montażu na suficie podwieszanym s. Zasilanie zgodne ze standardem PoE/PoE+ (PoE 802.3af /802.3at) t. Producent musi posiadać w portfolio w pełni kompatybilne z oferowanym systemem access-pointy do pracy w ciężkich warunkach przemysłowych oraz do pracy na otwartej przestrzeni (zewnętrznej) u. Liczba access-pointów: 25 v. Liczba power Injectorów: 15 5. Konfiguracja wdrożonego systemu: Rozwiązanie powinno zostać wdrożone z uwzględnieniem następujących wymagań: a. Połączenie klienta wi-fi z punktem dostępowym powinno być realizowane na bazie szyfrowania WPA2-Enterprise z wykorzystaniem scentralizowanego uwierzytelnienia poprzez serwer RADIUS. b. Służbowe stacje robocze (laptopy) i urządzenia mobilne powinny być uwierzytelnianie z użyciem protokołu uwierzytelniania EAP-TLS z wykorzystaniem danych logowania i certyfikatu. Tylko tak uwierzytelnione urządzenie i użytkownik mogą być podłączane do wewnętrznej sieci biurowej, z dostępem do jej usług. c. Urządzenia nie mogące uwierzytelnić się w wyżej opisany sposób (z wykorzystaniem certyfikatu) powinny trafiać do VLAN u gości, bez bezpośredniego dostępu do usług wewnętrznej sieci biurowej (ewentualny dostęp z poziomu Internetu, po dodatkowym zestawieniu kanału VPN), z możliwością wyjścia do Internetu. d. Zarządzanie punktami dostępowymi możliwe jedynie po łączach stałych (zablokowana możliwość bezprzewodowego zarządzania), ze stacji uwierzytelnionych certyfikatem. e. VLANY użytkowników bezprzewodowych powinny być odseparowane od sieci wewnętrznej PWPW firewallem aplikacyjnym (NGFW), posiadającym włączone reguły blokowania aplikacji innych niż wyspecyfikowane jako zaakceptowane na etapie wdrożenia. Należy włączyć blokadę (drop) ruchu sygnowanego jako ataki, pochodzącego od oprogramowania szkodliwego, etc. Dostosowanie reguł będzie odbywać się na etapie pilotażowego uruchomienia. f. Dostęp gości przyznawany jest z uwzględnieniem następujących wymagań: Niezbędne potwierdzenie akceptacji gościa przez upoważnionego. pracownika PWPW (akceptacja w oparciu o stanowisko (od poziomu kierownika wzwyż), na bazie danych o strukturze organizacyjnej dostępnych w AD).
Dostęp standardowo jest przyznawany na określony czas (np. 12 godz.). Całość komunikacji pomiędzy stacją kliencką a punktem dostępowym jest szyfrowana. Użytkownik przed uzyskaniem dostępu powinien zaakceptować wyświetlony mu regulamin dostępu obowiązujący w PWPW. Połączenia gości z Internetem są filtrowane analogicznie jak połączenia pracowników PWPW. Mobilne urządzenia prywatne pracowników PWPW S.A. mogą mieć dostęp do sieci wi-fi, w zakresie takim jaki oferowany jest gościom, na bazie akceptacji przełożonego, na czas nie dłuższy niż obowiązująca umowa regulująca stosunek pracy. g. System powinien logować i przechowywać przez okres co najmniej 3 lat dane na podstawie których udzielono dostępu do sieci wi-fi (wniosek rejestracyjny, akceptacja pracownika PWPW, akceptacja regulaminu przez użytkownika, dane identyfikujące urządzenie łączące się z siecią wifi). h. Wszelkie dane dotyczące podłączenia użytkownika do sieci wifi powinny być logowane do systemu SIEM. i. Konfiguracja sieci powinna zapewniać uwierzytelnienie jej poszczególnych elementów i szyfrowanie komunikacji. Podczas konfiguracji sieci należy zapewnić: Walidację adresu serwera RADIUS, Zainstalowanie certyfikatu podpisanego przez autoryzowane CA dla serwera, Walidacje certyfikatu serwera (sprawdzenie self-singed, walidacja CNAME). j. System powinien wykrywać i alarmować o przypadkach: Zagłuszania sygnału poszczególnych punktów dostępowych, Pojawieniu się obcego punktu dostępowego, Próbie podszycia się pod punkt dostępowy sieci służbowej, Próbie ingerencji fizycznej w poszczególne urządzenia, Utracenia kontaktu z poszczególnymi urządzeniami, Zmianie konfiguracji każdego z urządzeń, k. System powinien potrafić zagłuszać obce punkty dostępowe. 6. Zakres prac: a. Instalacja Systemu, b. Konfiguracja Systemu do obsługi 4 SSID z oddzielnymi politykami dostępu i bezpieczeństwa, c. Nie mniej niż 2-dniowe szkolenia z konfiguracji oraz zarządzania Systemem dla nie mniej niż 3 administratorów. 7. Gwarancja i opieka techniczna: a. Możliwość pobierania poprawek oraz nowych wersji oprogramowania b. Ograniczona dożywotnia gwarancja punkty dostępowe muszą być objęte gwarancją przez 5 lat od daty ogłoszenia przez producenta zaprzestania sprzedaży danego modelu urządzenia. Gwarancja realizowana jest przez zwrot zepsutego urządzenia do producenta, który w terminie nie dłuższym niż 45 dni przesyła zamiennik. Gwarancja nie wymaga zakupu/posiadania ważnego kontraktu wsparcia technicznego. 8. Koszty:
Oferta powinna zawierać następujące elementy: a. Specyfikacja kosztowa każdego z elementów systemu, w rozbiciu na: Sprzęt, Oprogramowanie (Licencje, maintanance, etc.), Wdrożenie, Inne. b. Przewidywany koszt serwisu pogwarancyjnego. c. Przewidywany (zgodnie z obecnie obowiązującym cennikiem) roczny koszt niezbędnych opłat utrzymaniowych (maintanance). d. Gwarancja zachowania upustów.