OBJETO compostas de firewall corporativo e multifuncional ... · PDF filecompostas de firewall...

Click here to load reader

  • date post

    11-Nov-2018
  • Category

    Documents

  • view

    216
  • download

    0

Embed Size (px)

Transcript of OBJETO compostas de firewall corporativo e multifuncional ... · PDF filecompostas de firewall...

  • Ministrio do Planejamento, Desenvolvimento e Oramento

    Gesto Secretaria de Gesto Central de Compras

    Secretaria de Tecnologia da Informao e Comunicao

    RESPOSTA S SUGESTES DA AUDINCIA PBLICA N 001/2017

    OBJETO: Contratao de empresa especializada no fornecimento de solues de segurana de redes compostas de firewall corporativo e multifuncional para prover segurana e proteo da rede dos rgos e dos servidores de rede, contemplando gerncia unificada com garantia de funcionamento pelo perodo de 60 (sessenta) meses, includos todos os softwares e suas licenas de uso, gerenciamento centralizado, servios de implantao, garantia de atualizao contnua, suporte tcnico e repasse de conhecimento de toda a soluo a fim de atender s necessidades dos rgos contratantes.

    CONTRIBUIES:

    Item 1.1.20. A soluo ofertada, e demais equipamentos necessrios a execuo do Teste de Conformidade, devero ser instalados, configurados, operados e acessados pela Equipe Tcnica da

    Licitante Convocada, sempre acompanhada e supervisionada pelo grupo tcnico de apoio ao pregoeiro.

    1.1.20.1. A no observncia desse item poder acarretar no reincio do Teste de Conformidade, ou mesmo na reprovao da soluo ofertada.

    Manifestao: Uma vez que o local do ambiente de teste ser provido pelo licitante convocado,

    entendemos que o mesmo poder ter acesso ao equipamentos, fora do horrio dos testes, antes das 09h

    e aps as 18h. Est correto nosso entendimento? Caso contrrio, quais mecanismo esto previstos para

    que a licitante no tenho acesso aos equipamento fora do horrio oficial dos testes?

    Resposta: Parcialmente acatada. O item foi reformulado na nova verso do TR.

    Item 1.3.2. A soluo ofertada dever ento ser atualizada para a verso mais atual de firmware, software,

    listas de assinaturas e afins disponveis pelos canais oficiais de suporte tcnico do fabricante da soluo.

    Caso a verso atual tenha menos de 3 meses de liberao de uso para o mercado, ser admitida a

    utilizao da verso imediatamente anterior.

    Manifestao: No item 1.3.2 tratada a questo da verso do software que ser utilizado na soluo

    durante os testes, porm no identificamos formas de validar estes softwares. Sugerimos que sejam

    inseridos meios de verificao destes softwares (verificao e comparao de hash, por exemplo)

    visando garantir que os softwares utilizados esto em conformidade com os oficiais do fabricante.

    Resposta: Sugesto acatada.

    Item 1.3.5 Antes da execuo dos testes, ser realizada uma aferio do gerador de trfego da seguinte

    forma: as portas estaro em loops, no qual sero gerados os trfegos, com os respectivos percentuais

    solicitados, bem como as ameaas. A documentao do processo dever ter como insumos arquivos do tipo

    pcap ou similares.

    Manifestao: No item 1.3.5 sugerimos que sejam previstas tambm algumas formas de capturar

    amostras do trfego gerado (captura de pacotes) para aferio do contedo previsto na especificao.

  • muito simples realizar uma captura de pacotes durante a gerao do trfego solicitado para identificar os

    protocolos, endereos, arquivos transferidos, etc.

    Resposta: A equipe tcnica, durante os testes, ir proceder de acordo com as necessidades de se

    manter a lisura dos testes.

    Item 1.3.6. A aferio durante os testes deve ser feita minimamente com os dados obtidos pelo gerador de

    trfego e pela gerncia do firewall, sendo correlacionadas as duas informaes. No caso do firewall, poder

    ser utilizado: a interface grfica ou atravs da CLI.

    Manifestao: No item 1.3.6 sugerimos que todas as aferies sejam realizadas somente atravs da

    soluo em avaliao (firewalls e gerncia centralizada). As informaes obtidas atravs dos geradores

    de trfego devem servir apenas para validar e complementar as informaes obtidas nos equipamentos

    de firewall e gerncia.

    Resposta: No acatada. Apesar de a avaliao ser executada nas solues de firewall e gerncia

    centralizada, faz-se necessrio a verificao de todo o escopo do teste. A equipe tcnica, durante

    os testes, ir proceder de acordo com as necessidades de se manter a lisura dos testes

    Item 1.4.3.2. A Rede Interna dever possuir clientes, que devero acessar a DMZ e a Rede Externa, a qual

    dever ser acessada por meio de NAT N-1. A quantidade de clientes varia de acordo com o porte do lote.

    1.4.3.2.1. Lote 1, pelo menos 50 clientes.

    1.4.3.2.2. Lote 2, pelo menos 125 clientes.

    1.4.3.2.3. Lote 3, pelo menos 500 clientes.

    1.4.3.2.4. Lote 4, pelo menos 1.500 clientes.

    1.4.3.2.5. Lote 5, pelo menos 2.500 clientes.

    Manifestao: Em relao ao item 1.4.3.2.1, 1.4.3.2.2, 1.4.3.2.3, 1.4.3.2.4 e 1.4.3.2.5, no ficou claro

    como ser comprovado o nmero de usurios e a nossa sugesto o detalhamento de como ser

    realizado os testes de quantidade de clientes para cada teste.

    Resposta: No acatada. A soluo de testes dever fornecer meios de comprovar o quantitativo

    solicitado e a equipe tcnica, durante os testes, proceder de acordo com as necessidades de se

    manter a lisura dos testes.

    Item 1.4.5.1. Sero gerados ataques distintos de, no mnimo, 2.000 (duas mil) assinaturas de IPS/IDS

    Manifestao: Entendemos que o valor de 2000 assinaturas muito baixo. Os principais fabricantes

    possuem mais do que 5 mil assinaturas e a ferramenta de gerao de trafego capaz de gerar 8000

    ataques. Em produo os clientes iro querer usar a tecnologia com todas as assinaturas habilitadas,

    portanto sugerimos que seja exigido, no mnimo, 5 mil assinaturas habilitadas.

    Resposta: No acatada. As especificaes tcnicas refletem a realidade dos ambientes de produo

    habituais dos rgos participes.

    Item 1.4.5.4. Sero geradas um mnimo de 300 (trezentas) aplicaes. Destas aplicaes, 200 (duzentas)

    sero conhecidas e pelo menos um mnimo de 100 (cem) sero aleatrias, as quais sero definidas no

    momento do teste e fornecidas atravs de arquivos de captura reais em ambientes da APF, devendo ser

    testadas e categorizadas.

  • Manifestao: Sugerimos que antes da publicao o edital, o rgo convide as empresas de gerao de

    trfego para gerar/carregar no gerador o trfego das 300 aplicaes com garantia de no haja erros

    irrecuperveis de TCP dentro da prpria captura tornado o teste inexequvel.

    Resposta: Parcialmente acatada. O item foi reformulado na nova verso do TR.

    Item 1.4.15. A amostra dever ser ento submetida a uma taxa de transferncia de 85% do throughput do

    lote, no padro de trfego do item 1.4.10, sendo testado, por 30 minutos e no poder apresentar prejuzo

    em sua performance.

    Manifestao: O item 1.4.15 trata apenas de prejuzos de performance e no fala sobre as taxas de

    deteco da soluo. Sugerimos que seja explicitado que, durante os testes de maior throughput (85%

    ou 80% do lote), as mesmas funcionalidades do item 1.4.4 devero estar habilitadas simultaneamente,

    seguindo as melhores prticas de segurana do fabricante da soluo testada.

    Resposta: Parcialmente acatada. O item foi reformulado na nova verso do TR.

    Item 1.4.17.1.1 Mensurao de novas sesses por segundo: a amostra dever comprovar no mnimo 20%

    de novas sesses por segundo do tamanho do lote, utilizando a distribuio de trfego descrita no item

    1.4.10 por no mnimo 5 (cinco) minutos. Para tal aferio, todas as assinaturas de IDS/IPS, antivrus e

    antimalware, filtro de contedo web e controle de aplicao devero ser habilitadas.

    Manifestao: No item 1.4.17.1.1 Mensurao de novas sesses por segundo: a amostra dever

    comprovar no mnimo 20% de novas sesses por segundo do tamanho do lote, utilizando a distribuio

    de trfego descrita no item 1.4.10 por no mnimo 5 (cinco) minutos. Para tal aferio, todas as

    assinaturas de IDS/IPS, antivrus e antimalware, filtro de contedo web e controle de aplicao devero

    ser habilitadas. Pedimos a reviso deste item uma vez que a distribuio de trfego descrita no item

    1.4.10 inclui pacotes stateless como UDP e VPN;

    Resposta: Parcialmente acatada. O item foi reformulado na nova verso do TR.

    Item 1.4.18 Durante a realizao dos testes, ser avaliada a soluo de gerencia centralizada, que deve

    permanecer acessvel, possibilitando a modificao e aplicao de polticas de segurana, bem como a

    visualizao dos logs de acesso e de deteco de ameaas e aplicaes.

    Manifestao: Sugerimos que no item 1.4.18 o acesso a gerncia centralizada deva ocorrer atravs da

    interface grfica da soluo.

    Resposta: No acatada. No se justifica tecnicamente tal solicitao. O que se procura atingir a

    lisura dos testes, independente do modo de acesso da gerencia centralizada.

    Item 1.4.19 A licitante deve disponibilizar em at 5 dias teis contados da data da finalizao dos testes, o

    relatrio com todas as informaes e resultados apurados durante os testes.

    Manifestao: Sugerimos que o relatrio seja entregue no mesmo dia da realizao do teste de bancada,

    logo aps o seu trmino, para evitar que haja manipulaes no relatrio.

  • Resposta: No acatada. A equipe tcnica, durante os testes, proceder de acordo com as

    necessidades de se manter a lisura dos testes.

    Item 2.1.6 Todas as funcionalidades adquiridas de hardware e software devem operar conforme disposto

    neste Termo de Referncia durante o prazo de garantia dos equipamentos, ou seja, o fornecedor deve

    garantir a atualizao completa das funcionalidades no prazo referido, no sendo permitida a cobrana de

    quaisquer valores adicionais pelo uso dos hardwares e softwares para esse perodo. As demais

    funcionalidades devero permanecer ativas, mesmo que no seja