· Web viewComo pode ser observado na "E:pag. 944" do mesmo documento, os protocolos HTTP e HTTPS...

Brasília, 18 de Março de 2015.

À Controladoria Geral da União – CGUDiretoria de Gestão InternaComissão de LicitaçãoA/C Sr. Márcio David e SouzaNesta

REF.: RESPOSTA A DILIGÊNCIA REFERENTE AO PREGÃO ELETRÔNICO Nº 02/2015 – CGU (FILTRO DE CONTEÚDO) RECEBIDA EM 17/03/2015 ÀS 15h35

Prezado Sr. Pregoeiro,

Conforme solicitado, seguem nossos esclarecimentos.

Item 1.2 - O serviço deve garantir desempenho pleno na filtragem de conteúdo no tráfego de acesso à internet de no mínimo 300 Mbps (duzentos megabits por segundo) para no mínimo 3.200 (três mil e duzentos) usuários, funcionamento em alta disponibilidade, suportando topologias ativo-passivo e ativo-ativo;Não foi possível localizar nas páginas indicadas (Índice A, pág. 1 e pág. 5) as informações solicitadas quanto ao throughput mínimo garantido pelo equipamento operando o serviço de filtragem de conteúdo, assim como o número mínimo de usuários simultâneos para esse serviço.

Assim, solicita-se responder os seguintes questionamentos:

a) Qual o throughput garantido de filtragem de conteúdo para a solução proposta?

A solução de filtro de conteúdo ofertada baseia-se na aplicação de regras conjuntas de várias funcionalidades (Firewall, IPS e Antivírus). Dessa forma, para demonstrar o throughput solicitado do filtro de conteúdo utilizamos como parâmetro o menor throughput indicado no Datasheet do produto, no caso o de antivírus no valor de 1.7 Gbps (Proxy based) e 3.4Gbps (Modo Flow), comprovando satisfatoriamente o atendimento do item. Abaixo segue novamente figura abaixo extraída da documentação oficial anteriormente enviada que pode ser localizada no índice "A pág(6)".

Figura 1 - Informações adicionais de Throughput

b) Qual o número de usuários simultâneos suportado pela solução proposta?

Não há um limite de número de usuários definido. Este valor será uma conseqüência dos limites de "número de sessões simultâneas" e "novas sessões por segundo" (Conforme Figura 2 da documentação oficial "A pág(6)").

Número de sessões simultâneas: 6 milhões.

Novas sessões por segundo: 280.000.

Para o valor pedido de no mínimo 3.200 usuários a média destes dois parâmetros por usuário é bastante elevada em relação ao consumo comum ou até mesmo para um consumo intenso.

Para 3.200: O números de sessões simultâneas é 1875 por usuário (6 Milhões / 3.200) e o valor para novas sessões por segundo é de 88 por usuário (280.000/3.200).

Mais informações sobre os valores máximos do appliance é possível encontrar na tabela dinâmica de domínio publico e online no endereço http://help.fortinet.com/fgt/handbook/52/5-2-1/max-values/max-values.html no qual é possível ver a definição de 4000 usuários concorrentes utilizando o "explicit proxy" (Conforme Figura abaixo).

Link Informativo 1 - Sessões concorrentes (Proxy Users)

Figura 2 - Conexões simultâneas e novas conexões por segundo

Dessa maneira fica comprovado satisfatoriamente o atendimento do item.

Item 1.4 - O serviço deverá suportar a virtualização de no mínimo 2 (duas) instâncias independentes para filtragem de conteúdo;Não foi possível localizar na página (Índice A, pág. 6) da documentação apresentada o atendimento ao requisito.


a) O equipamento Fortigate 500D suporta virtualização de instâncias independentes para filtragem de conteúdo?

Conforme datasheet do documento "A pág(6)", o equipamento 500D suporta a virtualização de 10 instâncias independentes e também pode ser verificado na figura 3.

Figura 3 - Número de domínios virtuais disponíveis

O documento "E:pag. 2334", pode complementar esta informação, conforme Figura 4.

http://docs.fortinet.com/uploaded/files/1095/fortios-handbook-50.pdf

Figura 4 - Unidades de VDOMs independentes

b) Em caso positivo, qual o número de instâncias independentes suportadas pelo sistema proposto?

O equipamento 500D suporta a virtualização de 10 instâncias independentes, também pode ser verificado na Figura 3.

Dessa maneira, fica comprovado satisfatoriamente o atendimento do item.

Item 1.8 - O serviço deve ter funcionalidade de proxy transparente HTTP/HTTPS e de cache de dados com capacidade de armazenamento de no mínimo 100 GB; Não foi possível localizar na página (Índice A, pág. 6) da documentação apresentada o atendimento ao requisito.


a) O sistema provê funcionalidade de proxy transparente HTTP/HTTPS?

O documento "E:pag. 2646" - Figura 5, pode complementar esta informação: http://docs.fortinet.com/uploaded/files/1095/fortios-handbook-50.pdf

Figura 5 - Proxy Cache transparente em HTTP e HTTPS

O equipamento funciona como proxy transparente para os protocolos HTTP e HTTPS. Para a funcionalidade de Filtro de Conteúdo, o equipamento Fortigate pode trabalhar no modo “proxy-based”, como observado na informação do documento "E:pag. 2099". Neste modo de proxy, existem as configurações de Proxy Options que são ativadas. Como pode ser observado na "E:pag. 944" do mesmo documento, os protocolos HTTP e HTTPS são suportados nesse modo de proxy, conforme figuras abaixo.

Figura 6 - Documentação oficial do fabricante


b) O equipamento Fortigate 500D implementa a funcionalidade de cache?

Sim, conforme descrito na pergunta anterior e verificado na Figura abaixo.

c) Em caso positivo, o equipamento possui a capacidade de armazenamento do cache de 100GB?

Sim, conforme descrito na pergunta anterior e verificado na Figura abaixo e pode ser encontrado no documento oficial "A: pág(6)".

Figura 8 - Informação de local storage 120GB SSD


Item 1.9 - O serviço deve permitir o funcionamento simultâneo em modo proxy e modo proxy transparente, cada qual em um segmento de rede distinto; Não foi possível localizar na página (Índice B, pág. 4) da documentação apresentada o atendimento ao requisito.

Requer-se, neste item, que a solução permita o funcionamento SIMULTÂNEO de um proxy explícito (não transparente, um serviço proxy que funcione em uma porta específica à qual será configurada nos navegadores de todos os usuários manualmente ou via arquivos do tipo PAC) e de um proxy transparente (um proxy que não exigirá prévia configuração nos navegadores dos usuários, ou seja, a própria solução deverá ser capaz de redirecionar as conexões com destino à Internet à porta do serviço proxy).

Recomendamos que a empresa atente para o pedido de esclarecimento n° 1, a saber: http://www.cgu.gov.br/sobre/licitacoes-e-contratos/licitacoes/pregao-no-02-2015/pedido-de-esclarecimento-no-01.doc/view. Neste pedido de esclarecimento, resposta ao questionamento 2, está descrito que: “Como está sendo exigido no “item 1.4 O serviço deverá suportar a virtualização de no mínimo 2 (duas) instâncias independentes para filtragem de conteúdo; Sendo que cada instância deverá operar em uma das formas: apenas proxy ou proxy transparente. Sendo que as duas instâncias deverão operar simultaneamente no mesmo appliance da solução de filtro ofertada””.

Assim, solicita-se responder o seguinte questionamento:

a) Como o sistema proposto vai operar, em segmentos distintos de rede, funcionamento simultaneamente em modos diferentes (proxy e proxy transparente) em cada segmento?

Conforme o documento: "E:pag. 2667", a configuração do proxy é independente em cada instância virtual, logo é possível operar com os dois modos simultaneamente.

Obs: É possível operar também com os dois modos mesmo sem a segmentação em domínios (instancias) virtuais, pois como mostra o documento ("E:pag. 2667"), o proxy Explicito é configurado por interface.



http://www.cgu.gov.br/sobre/licitacoes-e-contratos/licitacoes/pregao-no-02-2015/pedido-de-esclarecimento-no-01.doc/view

http://www.cgu.gov.br/sobre/licitacoes-e-contratos/licitacoes/pregao-no-02-2015/pedido-de-esclarecimento-no-01.doc/view

Item 1.10 - O serviço deve garantir o monitoramento do tráfego internet independente de plataforma, sistema operacional ou aplicação utilizada pelos usuários;Não foi possível localizar na página (Índice A, pág. 5) da documentação apresentada o atendimento ao requisito. Assim, solicita-se responder o seguinte questionamento:

a) O sistema proposto é capaz de monitorar o tráfego internet independentemente de plataforma, sistema operacional ou aplicação utilizada pelo usuário?

Sim, o controle é feito diretamente nas camadas que vão da camada de rede até a aplicação o que não determina qual sistema operacional, plataforma ou distribuição será filtrada. O monitoramento e controle do trafego funciona de maneira transparente para o usuário final dando total informação e controle ao administrador da solução dos dados trafegados no appliance.

Tal informação, também pode ser verificada no documento oficial do fabricante ("C:pag. 336-337"), no qual, é descrito como funciona o sistema de criação de políticas do appliance.

Link Informativo 2 - Documentação oficial do fabricante


Item 1.20 - O serviço deve deverá possuir console de monitoração em tempo real que exiba status do funcionamento, além de informações sobre fluxo corrente, volume de dados trafegados, categorias, usuários e sites mais acessados;

Da leitura das páginas indicadas (Índice E – pág 1386 e 1396, e Índice B – pág 2) depreende-se que a ferramenta utilizará dashboard composto por widgets como console de monitoração em tempo real. Assim, solicita-se responder os seguintes questionamentos:

a) O entendimento acima está correto?

Sim. As informações e gráficos são desenhados (Plot) diretamente no dashboard composto por widgets pré-configurados ou que podem ser customizados.

Seguem figuras com exemplos das possibilidades de customizações do Fortigate.

Widget Exemplo 1 - Lista de Top Users por Sessões e Bytes (Enviados e recebidos)

Widget Exemplo 2 - Trafego em tempo real

Widget Exemplo 3 - Uso de largura de banda por IP

Widget Exemplo 4 - Monitoramento por módulo

Widget Exemplo 5 - "Top Clients" por largura de banda

Widget Exemplo 6 - Identificação de dispositivo

Widget Exemplo 7 - Identificação de Vírus - Por usuário

b) Caso contrário, como a solução proposta proverá a ferramenta de monitoração em tempo real?

Não se aplica.

c) Ainda, descrever objetivamente o mecanismo por meio do qual a ferramenta de monitoração exibirá informações abaixo?

I) informações sobre fluxo corrente;II) volume de dados trafegados;III) categorias mais acessadas;IV) usuários;V) sites mais acessados.

A exibição é feita através da interface Dashboard e Widget's conforme exemplos anteriores.


Item 1.21.1 - No modo On-line, os dados deverão ser mantidos no banco de dados ou storage da SOLUÇÃO, disponíveis para consulta imediata por um período mínimo de 90 (noventa) dias;Da leitura da página indicada (Índice F – pág. 3), identificou-se a informação de que o Fortimanager 300D possui capacidade de armazenamento de até 4TB. Porém, não se identificou informação que permita calcular quantos dias de registros podem ser armazenados pelo equipamento.


a) Qual capacidade de armazenamento do equipamento que será entregue para fins de registros de log?

Como pode ser observado do datasheet do equipamento FortiManager 300D "Índice F", este modelo possui 2 discos de 2TB cada totalizando um espaço em disco disponível de 4TB. Este equipamento FortiManager 300D vai ser entregue com 4TB de espaço em disco disponível.

b) Qual a quantidade em dias que o equipamento é capaz de reter dados e logs para consulta imediata (modo on-line)?

O equipamento é capaz de reter dados e logs até o esgotamento do espaço em disco alocado para esta funcionalidade. O equipamento FortiManager 300D possui um total de espaço em disco de 4TB, onde qualquer valor pode ser alocado para o armazenamento de dados e logs.

Todos os logs armazenados no equipamento estão disponíveis para consulta imediata (modo on-line). Estimamos que o total de 4TB de espaço em disco seja suficiente para armazenamento de dados e logs para os últimos 90 dias de acordo com a capacidade de tráfego dos equipamentos ofertados.


Item 1.22 - O serviço deve possuir sistema de backup automático das regras de acesso e demais configurações necessárias à restauração completa da solução em caso de falha; Da leitura da página indicada (Índice C - pág 289), verificou-se que traz informação sobre registros de log, não informando como a solução faz backup automático das regras de acesso e demais configurações necessárias.


a) Como a solução proposta realiza backup automático das regras de acesso e demais configurações necessárias à restauração completa da solução em caso de falha?

No "Índice C pág (56)" descreve as maneiras como os backups podem ser feitos. Conforme figura abaixo.

Figura 10- Backup automático

No documento "C pág (289/290)" está descrito como os backups são armazenados, o histórico de revisões e como restaurar os backups.


Item 1.22.1 - Caso o produto ofertado não possua backup automático, será permitida a criação de backup manual e sua automatização via script das regras e configurações desde que a CONTRATADA implemente e suporte esse novo tipo de backup.

Vide resposta do item 1.22.

Item 2.2 - O serviço deve permitir criação de regras por rede IP de origem e de destino;A referência informada – índice C (pág. 428 a 433) - trata da visualização de logs em tempo real utilizando a ferramenta FortiView, e não da criação de regras.


a) Como o serviço de filtragem criará regras utilizando como parâmetro redes IP de origem e de destino?Conforme documento "Índice E: pág 909,910, 952 e 953" Nas regras do Fortigate são definidos

os objetos de origem (ip/rede) e objetos de destino (ip/rede).

As páginas 909 e 910 descrevem a criação dos objetos e a página 952 e 953 informam quais são os parâmetros de uma regra (ilustrado na figura abaixo), das quais ip/rede de origem e destino fazem parte.

Figura 11 - Parâmetros das regras, Página 953


Item 2.4 - O serviço deve permitir aplicação de regras de acesso por tipo de aplicação utilizada no acesso, por porta lógica utilizada na conexão e por protocolo;A referência informada – índice E (pág. 1936 e pág. 2154) - trata da visualização de logs em tempo real utilizando funcionalidades do FortiOS, e não da criação de regras.


a) Como o serviço de filtragem de conteúdo criará regras utilizando os parâmetros abaixo?I) o tipo de aplicação utilizada no acesso; II) a porta lógica na conexão;III) o protocolo.

Do documento ‘Índice E: pág 2154' - Figura abaixo - Descreve de maneira clara o funcionamento do controle de aplicação, porta lógica tcp/udp e por protocolo.

Figura 12 - Parte do texto conforme documento oficial


Item 2.6 - O serviço deve permitir a criação de regras baseadas em tempo de conexão consumido, por usuário ou grupo de usuário, ou por volume de dados por usuário; Apesar da referência fornecida – índice E (pág. 942 a 944) – atestar a capacidade do equipamento em criar regras de liberação/bloqueio de acesso utilizando períodos do dia, esta não fornece dados que atestem a capacidade do equipamento de criar regras por volume de dados trafegado por usuários/grupos de usuários e, tampouco, por tempo de conexão utilizado por usuários/grupos de usuários.


a) Como o serviço de filtragem de conteúdo criará regras utilizando como parâmetros o tempo de conexão e o volume de dados trafegados?O documento 'E: Pág 90,91' descrevem o funcionamento das quotas de tempo de navegação por

usuário/grupo.

Figura 13 - Texto do documento oficial do fabricante

Quanto ao limite de tráfego por usuário, a descrição pode ser encontrada no documento 'E: pág 2249'. Mais informações sobre o controle e configuração de quota por usuário pode ser encontrada no link do fabricante abaixo: http://help.fortinet.com/fgt/handbook/cli_html/index.html#page/FortiOS%25205.0%2520CLI/config_webfilter.29.15.html

O documento online informa como pode ser feita a configuração de quota por dispositivo, onde mostra as duas configurações “time-based”, “traffic-based" onde é possível definir as configurações de duração, tipo de quota (tráfico ou tempo), unidade de medida de volume de tráfego (Set the unit for traffic based quota).

Item 2.8 - O serviço deve possuir controle de acesso à Internet por domínio, exemplo: gov.br, org.br;A referência informada – índice E (pág. 2131 a 2133) - trata da sobreposição de categorização de sites e não da criação de controle de acesso à Internet por domínio.


b) A solução de filtro de conteúdo Fortigate 500D suporta controle de acesso à Internet por domínio?Sim, inclusive é possível definir qual domínio determinado grupo poderá acessar. Exemplo: Usuários GUEST somente podem acessar domínio *.gov.br

c) Como o serviço de filtragem criará regras utilizando como parâmetro o domínio da URL?É possível a criação de um filtro de URLs e aplicá-las às regras para bloqueio/liberação de

domínios específicos. Exemplo: Uma entrada no URL filter para bloquear os domínios "org.br" para uma determinada

política, seria : "*org.br" - action allow - type wildcard O documento 'Índice D: Pág 99' comprova a explicação na figura a seguir:



Item 2.11 - O serviço deve possuir controle de acesso à Internet por lista de sites web permitidos (whitelist) customizável;A referência informada – índice E (pág. 2106) - trata da possibilidade de bloquear grupos de URL por meio da customização de categorias, mas não deixa claro se é possível criar grupos de URL que funcionem como uma “whitelist”, conforme especificação do item.


a) A solução de filtro de conteúdo Fortigate 500D suporta a criação de grupos de URL que funcionem como uma “whitelist”? Sim.

b) Como o serviço de filtragem criará listas de sites web permitidos (whitelist)?A funcionalidade "URL filter" possibilita a criação de listas de Urls que são aplicadas a perfis de

web filter, estes são aplicados às regras. A lista de urls tem precedência sobre a categorização, por isso funciona como uma whitelist.

Exemplo: Lista_exemplo:www.unb.br action allowwww.globo.com action allowwww.facebook.com action allow

Documento comprobatório: "D: Pág 99 a 103".

Item 2.12 - O serviço deve possuir controle de acesso/execução de aplicações ActiveX, aplicativo flash ou arquivos Java da Internet, permitindo somente a execução daqueles permitidos pela CONTRATANTE;

Não foi encontrada na referência fornecida – índice E (Pág. 2118 e 2120) - dados que comprovem a possibilidade de bloqueio de aplicativos flash.


a) A solução de filtro de conteúdo Fortigate 500D suporta o controle de acesso/execução de aplicativos flash? Sim, a detecção é feita pelo módulo de "Application Control", a aplicação é detectada pelo

tipo/cabeçalho dos pacotes e é filtrado diretamente pela camada de aplicação por regras definidas. Tal informação pode ser detalhada melhor no documento "E: Pág 2154".

Para melhorar o entendimento é possível fazer uma consulta online no Fortiguard Center no link http://www.fortiguard.com/encyclopedia/applications/ quais são as aplicações de flash que são controladas e o risco da aplicação.

Link Informativo 3 - Fortiguard - Aplicativos Flash bloqueados

É possível também verificar na imagem Widget Exemplo 8 a listagem de bloqueio de aplicação Flash diretamente na interface de administração do Fortigate.

Widget Exemplo 8 - Interface de administração com a lista de aplicativos Flash bloqueados

b) Como o serviço de filtragem bloqueará esse tipo de aplicação?Vide Item anterior.


Item 2.19 - O serviço deve permitir a liberação/bloqueio de componentes específicos de sites de redes sociais, tais como chat e comentários do site ou postagem no site;Não foram encontrados na referência fornecida – índice D (Pág. 143 a 154) – dados que comprovem que a solução é capaz de bloquear funcionalidades específicas de sites de redes sociais, tais como chat e comentários do site www.facebook.com ou de postagem no site www.Twitter.com.


a) A solução de filtro de conteúdo Fortigate 500D suporta a liberação/bloqueio de componentes específicos de sites de redes sociais, tais como chat e comentários do site ou postagem no site? Sim, a detecção é feita pelo módulo de "Application Control", a aplicação é detectada pelo

tipo/cabeçalho dos pacotes e é filtrado diretamente pela camada de aplicação por regras definidas. Tal informação pode ser detalhada melhor no documento "E: Pág 2154".

b) Como o serviço de filtragem bloqueará tais funcionalidades?Este serviço de filtragem é feito pelo controle de aplicação, conforme mostrado em documento,

porém a lista de aplicações é muito extensa e não está contida no documento.A lista completa de aplicações está na seguinte URL de acesso público:

http://www.fortiguard.com/encyclopedia/applications/Exemplos:

Link Informativo 4 - Fortiguard - Aplicativos CHAT bloqueados

Link Informativo 5 - Fortiguard - Aplicativos Twitter bloqueados

Link Informativo 6 - Fortiguard - Aplicativos Interface de Login bloqueados


Item 2.20 - O serviço deve permitir a liberação/bloqueio de canais específicos do site www.youtube.com;

Não foram encontrados na referência fornecida – índice D (Pág. 143 a 154) – dados que comprovem que a solução é capaz de permitir ou bloquear canais específicos do site www.youtube.com. A solução de filtro de conteúdo Fortigate 500D possui esta funcionalidade?


a) Como o serviço de filtragem liberará ou bloqueará tais canais? Os Canais do Youtube.com podem ser liberados ou bloqueados por meio do "URL filter", pois os

canais do youtude possuem um codigo identificador na URL.

Exemplo: www.youtube.com/channel/asasdG!23QWE.

Desta maneira, é possível libera ou bloquear algum canal com a seguinte entrada do URL Filter:www.youtube.com/channel/[ID_do_Canal]* -> ação libera/bloquear.

Documento comprobatório : "Índice D: Pág 99".



http://www.youtube.com/

Item 4.2 O serviço deve disponibilizar ferramenta para geração de relatórios, fornecendo informações gerenciais a partir dos logs gerados pela solução, permitindo a extração de informações detalhadas sobre usuários, sites e categorias acessadas, rede de origem, IP de origem, grupos de usuários, protocolos e tempo de navegação; Da leitura das páginas indicadas – índice I (pág. 8,173 a 174) e índice – J ( pág. 6) – depreende-se a utilização de “charts” do FortiAnalyzer para geração de dados gerenciais a partir de logs gerados pela solução. Porém, não foi localizada nas páginas indicadas acima a capacidade da solução de gerar os relatórios solicitados.


a) O entendimento acima está correto?O FortiAnalyser é capaz de gerar tais relatórios com as informações solicitadas. Os templates

serão fornecidos usando pesquisas customizadas através de "querys" diretamente nas informações fornecidas nos LOG's, à base de pesquisa é exatamente como demonstrado no arquivo de índice "I" "Fortigate Log Message Reference" com esse documento é possível gerar consultas através de pesquisa em campos específicos e compilação de dados.

b) Caso contrário, qual ferramenta será disponibilizada para a geração de relatórios?Somente através da função de FortiAnalyser no Fortimanager.

c) Como será feita a extração de informações detalhadas e geração de relatório referente às informações abaixo?

I) usuários;II) sites e categorias acessadas;III) rede de origem;IV) IP de origem;V) grupos de usuários;VI) protocolos;VII) tempo de navegação.

Vide resposta ao item 4.7


Item 4.4 - O serviço deve permitir a customização de relatórios fornecendo apenas informações restritas a grupos de usuários definidos previamente ou de grupos de usuários existentes no Serviço de Diretório da CONTRATANTE;Da leitura das páginas indicadas – índice I (Pág. 173) e índice J (8 e 10) – depreende-se o uso do FortiAnalyser para customização de relatórios por meio de “datasets”.


a) O entendimento acima está correto?

Parcialmente. Serão utilizados Datasets para consultas, mas o equipamento utilizado para a consulta é o FortiManager com a Feature de FortiAnalyzer.

b) Caso contrário, informar qual a ferramenta utilizada para a customização de relatórios?

A ferramenta utilizada será o Fortimanager, porém este possui uma "feature" que habilita o modo Fortianalyzer.

O documento 'Índice C Pág(23) comprova este funcionamento.



c) Qual a ferramenta será utilizada, as configurações necessárias, e os registros que serão utilizados para implementar as restrições das informações de relatórios a usuários e a grupos de usuários?

Como já foi informado, este relatório será criado por meio de datasets customizados. Um relatório é composto por datasets e layouts, então podem ser customizados diferentes datasets para atender varias necessidades em um mesmo relatório. Logo podemos usar as informações do índice I (Pág. 173) e índice J (8 e 10) para demonstrar este funcionamento.


Item 4.7 - O serviço deve oferecer templates pré-formatados de relatórios com, no mínimo, as seguintes opções: Item 4.7.1 - Sites mais acessados;Item 4.7.2 - Sites mais acessados por volume de dados;Item 4.7.3 - Usuários com maior volume de dados;Item 4.7.4 - Usuários com maior número de acessos;Item 4.7.5 - Usuários com maior número de acessos por categoria de URL;Item 4.7.6 - Usuários com maior número de acessos por URL;Item 4.7.7 - Grupos com maior volume de dados;Item 4.7.8 - Grupos com maior número de acessos;Item 4.7.9 - Grupos com maior número de acessos por categoria de URL;Item 4.7.10 - Grupos com maior número de acessos por URL;Item 4.7.11 - Endereço de rede com maior volume de dados;Item 4.7.12 - Endereço de rede com maior número de acessos;Item 4.7.13 - Endereço de rede com maior número de acessos por categoria de URL;Item 4.7.14 - Endereço de rede com maior número de acessos por URL;Item 4.7.15 - Categorias mais acessadas;Item 4.7.16 - Sites maliciosos mais acessados;Item 4.7.17 - Volume de dados por Rede;Item 4.7.18 - Utilização de banda por site;Item 4.7.19 - Utilização de banda por categoria de URL;Item 4.7.20 - Sites bloqueados por categoria de URL;

Da leitura das páginas indicadas referentes a todos os subitens do item 4.7, somente logrou-se identificar a comprovação de fornecimento de template pré-formatado apenas para o item 4.7.1, gerado por meio de template de relatório do Fortigate. Não identificou-se informação sobre templates referentes aos itens constantes dos subitens 4.7.2 a 4.7.20.


a) Como serão fornecidos os templates para atender os itens 4.7.2 a 4.7.20.?

Os templates serão fornecidos usando pesquisas customizadas através de "querys" diretamente nas informações fornecidas nos LOG's, a base de pesquisa é exatamente como demonstrado no arquivo de índice "I" "Fortigate Log Message Reference" com esse documento é possível gerar consultas através de pesquisa em campos específicos e compilação de dados.

Exemplo: Se for necessário fazer uma consulta de quais usuários tiveram o maior número de URL bloqueada é possível fazer uma "query" de banco baseados nas informações do LOG ID 12544 (imagem abaixo) e pesquisar por qualquer campo no LOG. (usuário, IP, PolicyID, grupo, nome e versão do sistema operacional e etc).


Na imagem Widget Exemplo abaixo é possível notar como é feito um "template" customizado através da "query's" de banco.

Widget Exemplo 9 - Tela exemplo de consulta usando querys de bancos

Conforme solicitado no item 4.11, os requisitos dos itens 4.6 e 4.7 podem ser atendidos por outro software desde que a CONTRATADA seja responsável pela implementação, transferência de conhecimento e suporte.


Item 4.9 - O serviço deve possibilitar a automatização no envio a usuários pré-definidos ou publicação de relatórios;Da leitura das páginas indicadas – índice C (pág. 515 a 517) – não foi possível localizar informação que afirmasse claramente a possibilidade da ferramenta enviar automaticamente relatórios para usuários pré-definidos.


a) Como a ferramenta gerará e encaminhará relatórios automaticamente mediante agendamentos e rotinas pré-definidas? (Por exemplo, a ferramenta deve ser capaz de encaminhar determinados relatórios semanalmente em dias previamente especificados)

O método de envio do relatório pode ser definido através do "output profile" nas paginas listas no índice C (pág. 515 a 517), o método de agendamento pode ser avaliado melhor nas páginas 476 até 478, 510 até 511 do mesmo documento do índice C (imagens exemplo abaixo).



Widget Exemplo 10 - Interface de agendamento de relatórios


Item 4.10 - Todos os relatórios devem permitir a visualização completa dos dados, não sendo permitida pela ferramenta restrições em relação à quantidade de dados visualizados, salvo as relativas ao período de retenção dos registros descritas no itemDa leitura das páginas indicadas – C (Pág. 23 e 426) – não foi possível localizar informação que afirmasse claramente que as ferramentas responsáveis pela elaboração e visualização de relatório não possuem alguma restrição quanto à visualização dos dados.


a) Há ou não restrição por meio da ferramenta que impeça a visualização dos dados de relatórios em sua totalidade?

Não existe nenhum tipo de restrição ou limitação de quantidade de relatórios ou de visualizações dos dados gerados.

b) Se for o caso, como é feita essa restrição?

Não é feita nenhuma restrição.


Itens 5.2 - A atualização da base de sites web deve transcorrer de forma transparente, sem comprometer a execução dos serviços;

Neste item, pede-se que a atualização da base de sites web ocorra sem afetar o funcionamento da solução. A página em questão (índice C - pág. 520) descreve o procedimento de atualização da base de sites, mas em nenhum momento se menciona o funcionamento ininterrupto da ferramenta, sem prejudicar a execução da filtragem do tráfego analisado pelo equipamento.


a) A atualização da base de sites web transcorre sem prejudicar a execução da filtragem do tráfego analisado pelo equipamento?

Sim, a atualização da base de dados é feita pelo Fortimanager e a categorização é feita pelo Fortigate, logo, a atualização da base NÃO interfere na categorização do trafego.

O Fortimanager é o appliance responsável por criar um ambiente de cache com as informações da Fortiguard diretamente no disco, essas informações são consultadas pelos appliances antes de acessar a internet, caso a atualização da base de sites fique sem atualizar, o Fortimanager entregará para os appliances Fortigate essas informações diretamente do cache interno. O nome desse serviço é "Locally hosted security content" e pode verificado no documento "D: Pág 4".

Mais informações podem ser verificadas no link http://www.fortinet.com/products/fortimanager/.


Itens 5.3 - A ausência de atualização da base de sites web, por qualquer motivo, não deve interromper nem comprometer funcionalidades da solução;De acordo com este requisito, a funcionalidade web filtering deverá funcionar ininterrupta e adequadamente, mesmo sem atualização da base de sites. A página 520 da referência C descreve o procedimento de atualização das funcionalidades de antivírus e de web filtering.


b) A funcionalidade web filtering da solução de filtro de conteúdo Fortigate 500D funciona, ininterrupta e adequadamente, mesmo sem atualização da base de sites?

O Fortimanager é o appliance responsável por criar um ambiente de cache com as informações da Fortiguard diretamente no disco, essas informações são consultadas pelos appliances antes de acessar a internet, caso a atualização da base de sites fique sem atualizar, o Fortimanager entregará para os appliances Fortigate essas informações diretamente do cache interno. O nome desse serviço é "Locally hosted security content" e pode verificado no documento "D: Pág 4".

Mais informações podem ser verificadas no link http://www.fortinet.com/products/fortimanager/.


Itens 5.5 - Durante o período de prestação do serviço, sites web de phishing, spyware ou que tenham sido usados para hospedar códigos maliciosos, devem retornar à categoria original depois de “descontaminados”;Nas páginas descritas (págs. 12 e 13 da referência G) descreve-se, de forma bastante geral, o processo de recategorização de sites. No entanto, a questão específica sobre a recategorização de sites “descontaminados” não é abordada explicitamente no texto.


a) A solução de filtro de conteúdo Fortigate 500D suporta a recategorização de sites “descontaminados”?

A categorização é feita automaticamente pela FortiGuard, caso seja necessário por qualquer motivo, a recategorização de algum site já "descontaminado" e caso não seja possível aguardar o prazo da recategorização da Fortiguard, é possível fazer a recategorização manualmente via Fortigate, conforme descrito no documento "E: Pág 2105" e conforme Widget Exemplo 11. Ou solicitar a Fortinet via Fortiguar a analise e recategorização do endereço Web através do endereço http://www.fortiguard.com/ip_rep/index.php?data=globo.com#submit_form

Segue link com contendo as categorias e mais informações sobre as pré-definições feitas pela Fortinet http://www.fortiguard.com/static/webfiltering.html a Imagem Link Informativo abaixo, demonstra como é a interface de solicitação manual de recategorização de Websites na FortiGuard.

Link Informativo 9 - Recategorização de Sites

Widget Exemplo 11 - Interface de exemplo de recategorização manual de Websites


Itens 5.6 - Além das atualizações da base de URLs, o serviço também deve prover as atualizações das versões dos softwares e firmwares dos hardwares fornecidos, sempre que novas versões forem disponibilizadas.A página 555 da referência C descreve somente o processo de atualização de firmware. O requisito também se refere à atualização de demais softwares que a ferramenta utilize.


a) Quais componentes de software constituem a solução de atualização?

Na solução proposta, não será utilizado nenhum outro software além do firmware dos equipamentos e demais licenças.

b) Todas as atualizações de firmware e software estarão disponíveis por meio desses componentes?

Sim, durante a atualização do firmware ele já atualizará todos os componentes da solução. Basicamente a solução é composta por licenças aplicadas no appliance.


Conclui-se, portanto, a apresentação dos esclarecimentos solicitados por meio de diligência referente ao Pregão Eletrônico Nº 02/2015 - CGU (Filtro de Conteúdo).

Permanecemos a inteira disposição para dirimir quaisquer dúvidas adicionais.

Atenciosamente,

NCT INFORMÁTICA LTDA.

CNPJ 03.017.428/0001-35

· Web viewComo pode ser observado na "E:pag. 944" do mesmo documento, os protocolos HTTP e HTTPS...

Documents

Transcript of · Web viewComo pode ser observado na "E:pag. 944" do mesmo documento, os protocolos HTTP e HTTPS...