Zabezpečenie virtuálneho aplikačného firewal-u

Funkčná špecifikácia

Predmetom zákazky/zmluvy je dodávka technického zabezpečenia na výmenu nepodporovaného TMG servera (komunikačné zariadenia/firewally) v centralizovanom prostredí informačného systému verejného obstarávateľa/objednávateľa vrátane inštalácie, implementácie a migrácie aplikačného firewallu a poskytnutia záručného servisu počas minimálne 24 mesačnej záručnej doby s vykonávaním záručných opráv do 48 hodín.; Súčasťou dodávky firewallu bude doprava a vykládka v mieste plnenia (Bratislava) na určené miesto v priestoroch verejného obstarávateľa/objednávateľa, inštalácia, implementácia a migrácia zo súčasných zariadení firewall v určených priestoroch verejného obstarávateľa/objednávateľa a zaškolenie administrátorov verejného obstarávateľa/objednávateľa.

Technická špecifikácia textová

Technické vlastnosti: A: Požadované technické parametre firewallu - MINIMÁLNE POŽIADAVKY verejného obstarávateľa/objednávateľa, Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie v podobe virtuálnej appliance., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie podporuje prevádzkové módy:, Hodnota / charakteristika: Offline Protection (sniffer), Reverse Proxy, Transparent Proxy, WCCP.; Technické vlastnosti: - Presmerovanie komunikácie je možné riešiť na úrovni:, Hodnota / charakteristika: DNS záznamov, a aj na sieťovej úrovni (WCCP, port forward, routing, policy routing).; Technické vlastnosti: - Riešenie podporuje virtuálne hosty, SNI, umožňuje definíciu SSL/TLS enc. level a použitých SSL verzii., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie podporuje rewriting http host, url a aj http body., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie podporuje http cache-ing, je možné ho aplikovať minimálne na základe parametrov: host, host status, url pattern, cookie., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie podporuje SSL/TLS inšpekciu ako aj SSL/TLS termináciu., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie podporuje pasívne SSL dešifrovanie pomocou kópie SSL kľúča. V prípade potreby je možné neterminovať SSL na WAF, vykonať len dekryptovanie kópie komunikácie pomocou definovaného SSL kľúča, skontrolovať obsah a povoliť pôvodnú komunikáciu v prípade, ak nedošlo k narušeniu politík., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie je certifikované, Hodnota / charakteristika: FIPS 140-2 Level 1 a 2.; Technické vlastnosti: - Riešenie umožňuje blokovanie IP aj blokovanie IP extrahovaných z http hlavičiek (napr. x-forwarded-for). Riešenie musí umožňovať blokovanie konkrétnych užívateľov na základe ich reputácie. Verejný obstarávateľ/objednávateľ požaduje tiež možnosť použiť L7 HTTP blocking, kedy je blokovaný len konkrétny HTTP request a nie celé TCP spojenie., Hodnota / charakteristika: ; Technické vlastnosti: - Zariadenie je možné nasadiť v monitoring móde, v tomto prípade zariadenie neustále vyhodnocuje a kontroluje prechádzajúce spojenia, ale požiadavky nie sú blokované. Monitorovací mód je možné aplikovať granulárne na základe: IP, URL, PORT/PROTOCOL., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie umožňuje zapojenie v móde High Availability (HA), verejný obstarávateľ/objednávateľ požaduje možnosť Active/Active aj Active/Passive konfigurácie HA. V rámci active-passive HA módu verejný obstarávateľ/objednávateľ požaduje možnosť vytvoriť cluster s min. 4 uzlami., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie umožňuje kontrolu action message format v3.0(AMF3), xml, ajax , soap content inspection v tele HTTP, validáciu formátu pre xml 1.1 a xml 2.0., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie obsahuje vlastný skener zraniteľností (vulnerability scanner)., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie obsahuje podporu skener tretích strán (Acunetix, IBM AppScan Standard, WhiteHat, HP WebInspect, Qualys)., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie podporuje LoadBalancing HTTP komunikácie, podporované sú nasledovné metódy: round robin, weighted round robin, least connections, URI hash, full URI hash, host hash, host domain hash, src IP hash. Session persistence je možná na základe: src IP, http header parameters, URL parameters, insert|rewrite|pertistent|embedded cookies, ASP|PHP|JSP|SSL session IDs., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie podporuje nasledovné verzie HTTP:, Hodnota / charakteristika: HTTP/0.9, HTTP/1.0, HTTP/1.1, HTTP/2. Pre inšpekciu HTTP/2 nie je potrebná konverzia na inú verziu.; Technické vlastnosti: - Riešenie podporuje rôzne reštrikčné metódy, ako napr.:, Hodnota / charakteristika: validácia znakovej sady, minimálna alebo maximálna dĺžka elementu, obsah elementu a pod.; Technické vlastnosti: - Reštrikčné metódy je možné aplikovať na základe IP, URL, HTTP header, HTTP response code, Content Type, Packet interval timeout, parameter, occurrence, access rate limit, signature violation, transatcion timeout a ich kombinácii., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie umožňuje nastaviť obmedzenie file uploadov per URL na základe: file type, file size., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí umožňovať inšpekciu súborov v sandbox prostredí (cloud alebo on-premise) a inšpekciu pomocou vstavaného antivírus enginu. Antivírus musí umožňovať scanovanie súborov prenášaných pomocou ActiveSync a OWA aplikácií., Hodnota / charakteristika: ; Technické vlastnosti: - Užívatelia môžu byt overovaní minimálne pomocou HTTP simple auth., HTML embedded forms a klientskeho SSL certifikátu HTML Form, HTTP Basic, Client SSL certificate, RSA securID., Hodnota / charakteristika: ; Technické vlastnosti: - Verejný obstarávateľ/objednávateľ požaduje podporu lokálnej databázy užívateľov, ďalej podporu LDAP, Radius, Kerberos, NTLM, 2FA (token). Riešenie musí umožňovať použitie auth. pool serverov (napr. Primárny LDAP server, Sekundárny LDAP server) pre overenie užívateľov., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí podporovať negatívny aj pozitívny bezpečnostný model., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí obsahovať databázu signatúr útokov na webové aplikácie a ich zraniteľnosti. Popis nových, prípadne zmenených signatúr, musí byt verejne dostupný., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí byť schopné mitigovať útoky hrubou silou minimálne pomocou: Rate limiting na úrovni TCP/IP a HTTP/HTTPS (requests per sec, session cookies), Real browser enforcement. Uvedené spôsoby mitigácie je možné aplikovať per http host, URL, parameter, referer, cookie, header, src_ip, certificate a ich and/or kombinácie. Reakcia môže byt alert, deny, period block., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí obsahovať ochranu proti cookie poisoning/tampering minimálne pomocou hashov uložených v session-tracking cookies. V prípade detekcie cookie poisoning musí byť možné nastaviť rôzne akcie, a to minimálne: alert, deny, period block alebo remove cookie., Hodnota / charakteristika: ; Technické vlastnosti: Aplikácia ochrany proti cookie poisoning per http host, URL, parameter, referer, header, src_ip, certificate a ich and/or kombinácie., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí mať implementované vlastné Session cookies, ktoré sú previazané s aplikačnými session cookies (napr. JSESSIONID, TWIKISID …)., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie umožňuje logovať HTTP requesty, HTTP request packet payload (max. veľkosť je 4 KB payloadu). Packet payload logging je možné zapnúť globálne alebo pre jednotlivé typy útokov (signature detection, parameter validation, http constraints, xml, ip reputation, cookie poisoning ...)., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí umožňovať Agregovaný pohlaď na attack logy, agregácia minimálne na základe attack-type. Je možné definovať len maximálnu veľkosť log súboru., Hodnota / charakteristika: ; Technické vlastnosti: - V prípade false-positive musí riešenie umožňovať pridanie výnimky per signature. Výnimky je možné definovať granulárne na základe and/or matching seq. pravidiel založených minimálne na nasledovných elementoch: http method, client IP, host, URI, full URL, parameter, cookie., Hodnota / charakteristika: ; Technické vlastnosti: - Manuálne je možné pridávať výnimky priamo z attack logov alebo agregovaného pohľadu na attack logy. Taktiež je možné riešiť lexikálne a syntax analýzy po matchnutí SQL injection signatúry., Hodnota / charakteristika: ; Technické vlastnosti: - Politika je aplikovaná na virtuálny server a službu, t. j. pre rôzne aplikácie a servery je možné mať samostatné politiky, ktoré môžu zdieľať, alebo mať individuálne nastavenia bezpečnosti., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí umožňovať vytvorenie vlastných signatúr., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí podporovať management pomocou GUI, CLI, REST-API., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí byť odporúčané v NSS LABS WAF 2017 teste s hodnotením 'recommended' (Odporúčaný)., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí mať implementovanú ochranu klientov proti SSL MITM útokom (napr. pomocou HTTP public key pinning)., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí mať implementovaný statefull inspection firewall s možnosťou konfigurácie FW policies., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí mať implementovanú ochranu proti credential stuffing útokom. Databáza pre credential stuffing musí pochádzať priamo od výrobcu zariadenia., Hodnota / charakteristika: ; Technické vlastnosti: - Riešenie musí byť schopné identifikovať zariadenia klienta na základe:, Hodnota / charakteristika: time zone, source IP, operating system, browser, language, CPU, color depth, resolution a priradiť im unikátny identifikátor.; Technické vlastnosti: - Riešenie musí byt schopné vyhodnocovať správanie jednotlivých zariadení a v prípade prekročenia definovaných hodnôt zablokovať ďalšiu komunikáciu z daného zariadenia., Hodnota / charakteristika: ; Technické vlastnosti: Záručná doba minimálne 24 mesiacov, doba záručnej opravy do 48 hodín., Hodnota / charakteristika: Požiadavky na záručné opravy sa budú uplatňovať e-mailom resp. telefonicky na e-mailovej adrese alebo telefónnom čísle uvedenom v bode 1 Článku III; Technické vlastnosti: -, Hodnota / charakteristika: časti Osobitné požiadavky na plnenie. Záručné opravy sa budú vykonávať v pracovných dňoch a v pracovnom čase objednávateľa (uvedenom v bode 5 Článku III časti Osobitné požiadavky na plnenie).; Technické vlastnosti: -, Hodnota / charakteristika: Ak lehota nástupu na záručnú opravu pripadne na sobotu, nedeľu alebo sviatok, termín nástupu na záručnú opravu je najbližší nasledovný pracovný deň.; Technické vlastnosti: -, Hodnota / charakteristika: Nahlasovanie požiadaviek na záručné opravy/hlásenie poruchy dodávateľovi bude v pracovných dňoch od 7,00 h do 16,00 h elektronicky (e-mail) resp. telefonicky na e-mailovú adresu; Technické vlastnosti: -, Hodnota / charakteristika: alebo na telefónne číslo dodávateľa v súlade s článkom III., bodom 1 časti zmluvy Osobitné požiadavky na plnenie.; Technické vlastnosti: B: Ďalšie požadované parametre na virtuálnu appliance:, Hodnota / charakteristika: ; Technické vlastnosti: Aplikačné licencie, Hodnota / charakteristika: neobmedzené; Technické vlastnosti: Hypervisor Support, Hodnota / charakteristika: min. Microsoft Hyper-V; Technické vlastnosti: Maximálna pamäť, Hodnota / charakteristika: neobmedzená; Technické vlastnosti: Podpora vysokej dostupnosti, Hodnota / charakteristika: áno

Technická špecifikácia číselná

Technické vlastnosti: 1.1. Firewall, Jednotka: ks, Minimum: , Maximum: , Presná hodnota: 2; Technické vlastnosti: 1.2. Inštalácia, implementácia a migrácia, Jednotka: ks, Minimum: , Maximum: , Presná hodnota: 2; Technické vlastnosti: 1.3. Záruka firewall-u (minimálne 24 mesiacov, oprava do 48 hodín), Jednotka: ks, Minimum: , Maximum: , Presná hodnota: 2; Technické vlastnosti: Požadované parametre na virtuálnu appliance, Jednotka: *, Minimum: , Maximum: , Presná hodnota: *; Technické vlastnosti: HTTP priepustnosť, Jednotka: Mbps, Minimum: 500, Maximum: , Presná hodnota: ; Technické vlastnosti: administratívne domény, Jednotka: počet, Minimum: 4, Maximum: 64, Presná hodnota: ; Technické vlastnosti: počet vCPU, Jednotka: počet, Minimum: 2, Maximum: 4, Presná hodnota: ; Technické vlastnosti: sieťové rozhrania, Jednotka: počet, Minimum: 1, Maximum: 4, Presná hodnota: ; Technické vlastnosti: minimálny podporovaný úložný priestor, Jednotka: GB, Minimum: 40, Maximum: , Presná hodnota: ; Technické vlastnosti: maximálny podporovaný úložný priestor, Jednotka: TB, Minimum: , Maximum: 2, Presná hodnota: ; Technické vlastnosti: pamäť, Jednotka: GB, Minimum: 4, Maximum: , Presná hodnota: