ΕΛΛΗΝΙΚΗ ΔΗΜΟΚΡΑΤΙΑ
ΝΟΜΟΣ ΜΑΓΝΗΣΙΑΣ
ΔΗΜΟΣ ΒΟΛΟΥ
ΔIEYΘYNΣH OIKONOMIKΩN
TMHMA ΠPOMHΘEIΩN
Πληροφορίες: Γεωργάκος Γ. & Παπαδανιήλ Β.
Tηλέφωνο: 2421350106 & 2421350177
Fax : 2421097610
e-mail : v.papadani@volos-city.gr

            Bόλος  19/3/2013

ΕΡΕΥΝΑ ΑΓΟΡΑΣ

 

Ο ΔΗΜΟΣ ΒΟΛΟΥ ενδιαφέρεται για την κατάθεση προσφορών για την προμήθεια ειδικού εξοπλισμού, όπως περιγράφονται αναλυτικά παρακάτω, προκειμένου να γίνει ο διαχωρισμός στο ασύρματο δίκτυο του Δήμου Βόλου σε public (δημόσιο ελεύθερης πρόσβασης ) και private ( εταιρικό περιορισμένης πρόσβασης).

 

Προδιαγραφές Εξοπλισμού

         Περιληπτική περιγραφή του εξοπλισμού που θα χρησιμοποιηθεί καθώς και των προδιαγραφών που πρέπει αυτός να πληρεί.

1. Firewall

Για τη διατήρηση του δικτύου ασφαλή, φιλτράροντας την κίνηση των δεδομένων που εισέρχονται και εξέρχονται από το τοπικό δίκτυο. Τα χαρακτηριστικά που ικανοποιεί το firewall είναι:

Πιστοποιημένο από το φορέα ICSA (International Computer Security Association)

Δυνατότητα λειτουργίας transparent (bridge) mode και routing για τη  δρομολόγηση των πακέτων μεταξύ των access-point του δικτύου

Απόρριψη ή αποδοχή πακέτων που εισέρχονται ή εξέρχονται το τοπικό δίκτυο με κριτήριο την προέλευση και τον προορισμό των δεδομένων σύμφωνα με τις δηλώσεις  της zone-based access control list

Έλεγχος πακέτων ως stateful packet inspection, δηλαδή με  βάση τη λειτουργία σε layer 4,ελέγχεται  αν τα πακέτα ξεκινούν μια καινούρια σύνδεση ή προορίζονται για μία υπάρχουσα σύνδεση ή δεν ανήκουν σε καμία σύνδεση.

User-aware policy enforcement

Δυνατότητα υποστήριξης των σε πραγματικό χρόνο επικοινωνιών (π.χ. φωνή, βίντεο) μέσω του firewall με SIP/H.323 NAT traversal

Δυνατότητα διάσχισης του firewall συγκεκριμένων εφαρμογών που αντιστοιχίζονται στα ports που χρησιμοποιούν στο επίπεδο εφαρμογής (layer 7), π.χ FTP πρωτόκολλο, με χρήση ALG supports custom ports.

2. IPv6 support

Εξαιτίας τις έλλειψης επαρκών διευθύνσεων IPv4 για την κάλυψη των αναγκών στα υπάρχοντα αλλά και μελλοντικά δίκτυα, καθώς υπάρχει συνεχή ανάπτυξη, έχει αρχίσει η σταδιακή αντικατάσταση τους από διευθύνσεις IPv6 που έχουν τη δυνατότητα να υποστηρίξουν 3,4 x 10³⁸ χρήστες. Η υποστήριξη όμως των IPv6 διευθύνσεων χρειάζεται τα παρακάτω χαρακτηριστικά που εξυπηρετούν την ομαλή μετάβαση και συνέχιση της λειτουργίας μηχανημάτων που χρησιμοποιούν και IPv4.

IPv6 Ready gold logo certified, πρόγραμμα ελέγχου που έχει ως σκοπό να πιστοποιήσει πως οι IPv6 είναι έτοιμες για χρήση.

Dual stack, τεχνολογία υποστήριξης IPv4 και IPv6 για  site-by-site εφαρμογή στην περίπτωση που και τα δύο πρωτόκολλα τρέχουν ταυτόχρονα στο δίκτυο.

IPv4 tunneling (6rd and 6to4 transition tunnel), στην περίπτωση που δεν υποστηρίζεται από κάποιο μηχάνημα του δικτύου dual stack, χρησιμοποιείται η τεχνική tunneling κατά την οποία τα  IPv6 πακέτα ενσωματώνονται σε πακέτα IPv4.

Τέλος θα πρέπει να ληφθεί υπόψη ότι τα μηχανήματα των  Host/Router/Firewal, θα πρέπει να είναι συμβατά για την υποστήριξη των παραπάνω.

3.Virtual Private Network (VPN)

Η τεχνολογία VPN έχει σκοπό  τη δημιουργία ασφαλών και εμπιστευτικών ιδιωτικών δικτύων με χρήση του δημόσιου διαδικτύου (Internet). Η χρήση VPN παρέχει μια εικονική WAN υποδομή για τη σύνδεση των κινητών απομακρυσμένων χρηστών με το κυρίως δίκτυο. Για εξασφάλιση των VPN ως ιδιωτικών δικτύων τα δεδομένα είναι κρυπτογραφημένα. Παρέχεται μεγαλύτερη ασφάλεια καθώς πρωτόκολλα πιστοποίησης(authentication) και κρυπτογράφησης (encryption) προστατεύουν τα δεδομένα από μη εξουσιοδοτημένους χρήστες.  Τα χαρακτηριστικά του είναι:

Ασφαλές πρωτόκολλο IPSec VPN πιστοποιημένο από ICSA (International Computer Security Association)

Αλγόριθμοι κρυπτογράφησης AES/3DES/DES

Ακεραιότητα (integrity) δεδομένων με χρήση SHA-1/MD5 αλγορίθμων πιστοποίησης

Η διαπραγμάτευση των κλειδιών για τη δημιουργία της ασφαλής σύνδεσης υποστηρίζεται από τις μεθόδους: Manual key ή IKE (Internet Key Exchange)

Δυνατότητα υποστήριξης ισχυρών κλειδιών διαπραγμάτευσης που ανήκουν στα  DH groups 1, 2, 5. (DH Group 1: 768-bit group, DH Group 2: 1024-bit group, DH Group 5: 1536-bit group)

Δυνατότητα διάσχισης του πρωτοκόλλου IPsec από NAT

Έλεγχος μη ενεργών συνδέσεων VPN και  έλεγχος αναμεταδόσεων

Υποστήριξη πρωτοκόλλων που πιστοποιούνται από  PKI (Public Key Infrastructure) (X.509), για παράδειγμα SSL, IPsec, SSH, HTTPS.

Κεντρικοποιημένη υποστήριξη των VPN χρηστών που δίνει τη δυνατότητα ελέγχου από ένα διαχειριστή ο οποίος μπορεί να διαμορφώσει τις παραμέτρους δρομολόγησης και ποιότητας της σύνδεσης.

Εύκολος οδηγός για την υποστήριξη της σύνδεσης VPN

Αυτόματη επανασύνδεση VPN για ευκολία του χρήστη

VPN HA (High Availability) (redundant remote VPN gateways)

 

1. SSL VPN

Secure Sockets Layer virtual private network είναι μία μορφή VPN που μπορεί να χρησιμοποιηθεί με συγκεκριμένο περιηγητή. Σε αντίθεση με το VPN δεν απαιτείται η εγκατάσταση συγκεκριμένου λογισμικού χρήστη, και οι χρήστες μπορούν να έχουν πρόσβαση σε εφαρμογές web, client/server και internal network συνδέσεις. Αποτελείται από μία ή περισσότερες συσκευές στις οποίες ο χρήστης συνδέεται χρησιμοποιώντας τον περιηγητή του. Με τον τρόπο αυτό υποστηρίζεται:

Ασφαλή απομακρυσμένη σύνδεση χρήστη

Τεχνολογίες reverse proxy και full tunnel για την υλοποίηση SSL VPN

Unified policy enforcement

Πιστοποίηση (authentication) two-factor, δηλαδή την απαίτηση για πιστοποίηση δύο ή περισσότερων παραγόντων για μεγαλύτερη ασφάλεια.

Δυνατότητα παραμετροποίησης του χρήστη.

5.Intrusion Detection and Prevention (IDP)

Τα συστήματα ανίχνευσης εισβολών (Intrusion Detection) ανιχνεύουν εισβολές στο δίκτυο και στέλνουν καταγραφές αυτών στην οθόνη διαχείρισης, ενώ τα συστήματα πρόληψης εισβολών, αποτρέπουν τις εισβολές στο δίκτυο και θα πρέπει να σταματούν την εισβολή και να μειώνουν την πιθανότητα από μελλοντική εισβολή στο δίκτυο. Είναι δηλαδή συστήματα για την προστασία και  ασφάλεια του δικτύου και έχουν τη δυνατότητα:

Λειτουργίας σε Routing and transparent (bridge) mode

Ανίχνευση εισβολών (IDP inspection) σε συγκεκριμένους τομείς του δικτύου

Δυνατότητα παραμετροποίησης του προφίλ ανίχνευσης

Ανίχνευση και πρόληψη με βάση ανωμαλιών στα πρωτόκολλα

Ανίχνευση και πρόληψη με βάση ανωμαλιών στην κίνηση δεδομένων

Ανίχνευση και πρόληψη εισβολών που έχουν ως μέσο επίθεσης την τεχνική flooding

Προστασία του δικτύου από τεχνικές επίθεσης DoS/DDoS (Denial of Service/ Distributed DoS)

 

6.Application Patrol

Για την εξασφάλιση της ασφάλειας του δικτύου σε μεγαλύτερο βαθμό, άλλο ένα κομμάτι εφαρμογών που πρέπει να ελεγχθεί, καθώς αποτελεί απειλή για διαρροή απόρρητων δεδομένων από το τοπικό δίκτυο αλλά και μέσω εισόδου εισβολών είναι αυτό των εφαρμογών άμεσης ανταλλαγής δεδομένων. Για το λόγο αυτό χρειάζεται:

Έλεγχος πρόσβασης των εφαρμογών IM(Instant Messaging)/P2P, stream base media, VoIP.

Λεπτομερής έλεγχος πρόσβαση των IM (chat, file transfer, video)

Έλεγχος εύρους ζώνης (bandwidth) εφαρμογών IM/P2P

Υποστήριξη πιστοποίησης (authentication) χρηστών

Αυτόματη ενημέρωση IM/P2P signature

Υποστήριξη περισσοτέρων από 15 καταλόγους με IM and P2P

Στατιστικές αναφορές σε πραγματικό χρόνο

Εξασφάλιση του μέγιστου δυνατού εύρου ζώνης (bandwidth)

 

7.Anti-Spam

Μια τεχνική που χρησιμοποιείται για την προστασία του ηλεκτρονικού ταχυδρομείου από spam μηνύματα και περιλαμβάνει:

Προστασία Zone to zone

Transparently intercept mail via SMTP/POP3 protocols

POP3/SMTP port configurable

Φιλτράρισμα με βάση την IP του αποστολέα

Commtouch RPD Query

Προστασία Zero-hour Virus Outbreak

Υποστήριξη X-Header

έλεγχος DNSBL

Υποστήριξη Spam tag

Στατιστικές αναφορές

 

 

8.High Availability

Εφαρμογή συστήματος διαχείρισης που εξασφαλίζει την λειτουργία του δικτύου σε ένα προκαθορισμένο όριο λειτουργικότητας. Περιλαμβάνει

Λειτουργία σε Active-Passive

Ανίχνευση και ειδοποίηση για πιθανή αποτυχία μηχανημάτων

Υποστήριξη ελέγχου με ICMP and TCP ping

Παρακολούθηση συνδεσιμότητας (Link monitoring)

Διαμόρφωση Auto-Sync

 

9.Content Filtering

Χρήση λογισμικού που έχει σκοπό τον έλεγχο των περιεχομένων που επιτρέπονται στο χρήστη να διαβάζει σε ότι αφορά υλικό που προέρχεται από το Internet. Συγκεκριμένα:

Έλεγχος των ιστοσελίδων κοινωνικής δικτύωσης

Web security—Security threat category

Απόρριψη συγκεκριμένων URL και  keyword

Profile base setting

Exempt list (blacklist and whitelist)

Απόρριψη java applet, cookies and active X

Δυναμικό φιλτράρισμα URL βάσεων δεδομένων

Απεριόριστη υποστήριξη δικαιωμάτων χρήστη

Διαμόρφωση μηνυμάτων προειδοποίησης και ανακατεύθυνση URL

 

10.Networking

Η ανάπτυξη του δικτύου για την βέλτιστη χρήση του αλλά και την μελλοντική εξέλιξή του θα πρέπει να υποστηρίζει:

Routing mode/bridge mode/mixed mode, λειτουργίες που στηρίζουν τη μεταφορά των πακέτων

Ομαδοποίηση Layer 2 port, για το διαχωρισμό διαφορετικών ομάδων χρηστών

Πρωτόκολλα δικτύωσης Ethernet/PPPoE

Χρήση NAT/PAT, για τη δυνατότητα χρήσης private διευθύνσεων

Tagged VLAN (802.1Q), για την λογική ομαδοποίηση χρηστών με στόχο τον περιορισμό των δικαιωμάτων τους.

Virtual interface (alias interface), διεπαφή που δεν έχει υλική υπόσταση και χρησιμοποιείται για διασφάλιση σταθερότητας στην ρύθμιση του δικτύου.

Δρομολόγηση πακέτων με βάση κριτήρια που έχουν καθοριστεί από το διαχειριστή του δικτύου (Policy-based routing (user-aware))

Μετάφραση private διευθύνσεων δικτύου με βάση συγκεκριμένα κριτήρια ασφάλειας (SNAT)

Δυναμική δρομολόγηση πακέτων ( με πρωτοκόλλα δρομολόγησης RIP v1/v2, OSPF)

Τεχνολογία DHCP client/server/relay για την δυναμική απόδοση διευθύνσεων IP

Υποστήριξη δυναμικού DNS, για την μετάφραση URL στις IP διευθύνσεις τους

WAN Trunk

Για κάθε χρήστη session limit

Εγγύηση ενός συγκεκριμένου εύρους ζώνης (bandwidth)

Μέγιστο εύρος ζώνης (bandwidth)

Εφαρμογή προτεραιότητας δεδομένων σε συγκεκριμένο εύρος ζώνης (bandwidth)

11.Authentication

Διαδικασία της πιστοποίησης, δηλαδή η διαδικασία κατά την οποία κάποιος ή κάτι πιστοποιεί ότι είναι αυτό που δηλώνει ότι είναι. Η διαδικασία της πιστοποίησης μπορεί να πραγματοποιηθεί με τις μεθόδους

Τοπική βάση δεδομένων χρηστών (Local user database)

Microsoft Windows active directory

Εξωτερική βάση χρηστών  LDAP/RADIUS

Xauth πάνω σε RADIUS για IPSec VPN

Forced user authentication (transparent authentication)

Συνδυασμός διευθύνσεων IP/MAC

 

12.System Management

Η διαχείριση του συστήματος είναι η διαδικασία κατά την οποία πρέπει να διασφαλιστεί ότι το δίκτυο μπορεί να εκπληρώσει όλες τις διεργασίες του και να επιτύχει τον σκοπό της υλοποίησής του. Για το λόγο αυτό πρέπει να υπάρχουν τα παρακάτω για την παρακολούθηση του δικτύου και τη δυνατότητα πρόσβασης σε αυτό για πιθανές παραμετροποιήσεις.

Role-Based administration

Multiple administrator login

Multi-Lingual web GUI (HTTPS/HTTP)

Object-based configuration

Command line interface (console/web console/SSH/TELNET)

SNMP v2c (MIB-II)

System configuration rollback

Firmware upgrade via FTP/FTP-TLS/web GUI

 

13. Logging/Monitoring

Η παρακολούθηση του συστήματος και η αποστολή αναφορών αποτελεί βασικό παράγοντα για την σταθερότητα του δικτύου, καθώς μπορεί να ανιχνεύσει προσπάθειες εισβολής στο δίκτυο, ιούς, προβλήματα υλικού, προβλήματα ρυθμίσεων, προβλήματα αποστολής και λήψης πακέτων και πολλά άλλα. Για την επιτυχή παρακολούθηση του συστήματος χρησιμοποιούνται:

Comprehensive local logging

Syslog (send to up to 4 servers)

E-mail alert (send to up to 2 servers)

Real-Time traffic monitoring

Built-in daily report

 

Οι προσφορές θα κατατεθούν στο ΤΜΗΜΑ ΠΡΟΜΗΘΕΙΩΝ έως την ΠΑΡΑΣΚΕΥΗ 22/3/2013 και ώρα 12.00 μ.μ.

 

Ο ΠΡΟΙΣΤΑΜΕΝΟΣ
ΤΟΥ ΤΜΗΜΑΤΟΣ ΠΡΟΜΗΘΕΙΩΝ

 

ΓΕΩΡΓΑΚΟΣ Γ.