GUIA DA SOLUO DE SEGURANA DE REDES

Ref.: Prego por Sistema de Registro de Preos objetivando a contratao de empresa

especializada no fornecimento de solues de segurana de redes compostas de firewall
corporativo e multifuncional.

Braslia, agosto de 2016.

Objetivo

Esta cartilha tem como objetivo orientar os rgos que pretendem fazer aquisio
utilizando-se da Ata de Registro de Preo oriunda da contratao conjunta a ser realizada
pelo Ministrio do Planejamento, Desenvolvimento e Gesto (MP), para a compra de
Soluo de Segurana de Redes. Essa orientao compreende um dimensionamento do
rgo, analisando caractersticas como arquitetura de sua rede, seu consumo de banda de
Internet, funcionalidades que sero habilitadas na compra do equipamento e outros
aspectos que impactam na escolha do lote correto para atendimento de suas necessidades.

Contextualizao

Essa contratao refere-se a uma compra conjunta pelo Sistema de Registro de Preos, que
se justifica pelos motivos a seguir: (i) possibilidade de melhoria da qualidade tcnica da
soluo adquirida, por meio de uma definio mais robusta da especificao tcnica e das
condies do termo de referncia; (ii) alinhamento com os objetivos estratgicos da
Estratgia de Governo Digital (EGD); (iii) reduo de esforo administrativo e processual; (iv)
padronizao da soluo visando atender a diferentes portes de rgos, mas com solues
levantadas a partir da necessidade da maioria; (v) ganho em escala em funo da
concentrao de um grande volume; e (vi) elaborao do Termo de Referncia e do processo
licitatrio por parte de um Grupo de Trabalho multidisciplinar, que conta com a expertise em
contrataes da Central de Compras deste Ministrio, alm do

apoio tcnico de

especialistas que atuam diretamente com o objeto da contratao, representados pela

Diretoria de Tecnologia da Informao (DTI/SE-MP), pela Fundao Universidade de Braslia
(FUB) e pela Secretaria de Financias e Oramento (SOF-MP), e com a conduo do processo
de contrao, representado pela Secretaria de Tecnologia da Informao (STI-MP).

O objeto da presente licitao a contratao de empresa especializada no fornecimento

de solues de segurana de redes compostas de firewall corporativo e multifuncional para
prover segurana e proteo da rede dos rgos e dos servidores de rede, contemplando
gerncia unificada com garantia de funcionamento pelo perodo de 60 (sessenta) meses,
includos todos os softwares e suas licenas de uso, gerenciamento centralizado, servios de
implantao, garantia de atualizao contnua, suporte tcnico e repasse de conhecimento
de toda a soluo a fim de atender s necessidades dos rgos contratantes.
Um Firewall Multifuncional compreende uma soluo que agrega as seguintes
funcionalidades, desenvolvidas em appliances:
1)
2)
3)
4)
5)

Firewall multifuncional
Funcionalidades IPS/IDS
Funcionalidades de anti-vrus e anti-malware
Funcionalidades para tratamento de contedo web
Funcionalidade para controle de aplicaes e anlise profunda

Alm disso, ser tambm objeto da licitao a contratao de treinamento para at 5 (cinco)
pessoas e de soluo de gerncia centralizada. O treinamento destina-se transferncia de
contedo e conhecimento necessrios para preparar os funcionrios dos rgos
contratantes para operar esses equipamentos, aproveitando ao mximo o potencial dessas
funcionalidades. A gerncia centralizada serve para ambientes que faam uso de mais de um
equipamento, ou com alto nvel de virtualizao, a fim de facilitar e prover ferramentas
necessrias para gerenciar esses cenrios mais complexos.

Pblico Alvo

Essa contratao se destina a qualquer rgo da Administrao Pblica Federal, que tenha
necessidade de adquirir Soluo de Segurana de Redes na forma definidas nas
especificaes constantes no Termo de Referncia, ou seja, Firewall Multifuncional,
composto das funcionalidades de filtro de pacotes, VPN (Rede Virtual Privada), IPS/IDS

(Sistema de Preveno a Intruso e Sistema de Deteco de Intruso), funcionalidade para

tratamento de contedo web, funcionalidade de anti-vrus e anti-malware, funcionalidade
para controle de aplicaes e anlise profunda, treinamento e gerncia centralizada.

A especificao dos equipamentos e funcionalidades surgiu da anlise feita sobre um

questionrio enviado aos rgos do SISP. Participaram 52 (cinquenta e dois) rgos. Dessas
respostas se fez a anlise das necessidades e levantou-se 7 (sete) itens que atenderiam a
maioria deles. Dado que a licitao ser realizada por meio do Sistema de Registro de Preos
e destina-se ao atendimento da necessidade da maioria dos rgos,, tem-se que essa
contratao no recomendada para rgos com necessidades muito particulares ou
complexas ou que precisem de funcionalidades no especificadas, ou ainda nos casos em
que as funcionalidades no atendam por completo a demanda do rgo, ou nos quais o
porte do equipamento seja insuficiente para suprir sua demanda. Tambm no indicada
essa contratao nas hipteses em que o perodo proposto da contratao no seja
compatvel com poltica de segurana do rgo. Para tais casos especficos um processo de
contratao prprio mais indicado, pois ser centrado no atendimento de especificidades
do rgo, no fazendo uso de uma soluo padro focada em atender a maioria.

Sobre o armazenamento

Para fazer a aquisio desses equipamentos os rgos devem se atentar s questes

pertinentes ao seu armazenamento. recomendado, segundo especificao tcnica, para os
lotes 1 e 2, que haja previso de armazenamento dos equipamentos em bandejas, a fim de
que possam ser guardados em racks menores. J para os lotes 3, 4 e 5, necessrio que os
equipamentos sejam guardados em racks de 19 polegadas. Alm disso, deve ser reservado
local aclimatizado, para evitar aquecimento, com controle de acesso e monitoramento, a fim
de que somente seja acessado por funcionrios autorizados, e cuja limpeza seja feita de
maneira adequada, por servidores qualificados para realiz-la sem danificar cabeamentos ou
equipamentos.

Gerncia centralizada e gerncia local

A gerncia centralizada um recurso que permite ao firewall multifuncional acessar todos os

demais firewalls da rede, trabalhar com logs em maior volume, padronizar a aplicao de
regras, fazer anlises e bloqueios conjuntos, sem precisar acessar equipamento por
equipamento. Sua aquisio altamente recomendada para os rgos que pretendem
adquirir muitos equipamentos, ou mais de um equipamento de portes maiores.

A gerncia local uma funcionalidade que no precisa ser adquirira a parte, pois trata-se de
uma configurao presente em todos os equipamentos e se destina a realizar o
gerenciamento de cada equipamento. uma funcionalidade para o gerenciamento dos
recursos do equipamento, tais como, consumo de memria e processamento. Na gerncia
local, no se acessa outros equipamentos e se tem uma gerncia somente do prprio
equipamento.

Alta disponibilidade

Existe para alguns rgos a necessidade de uso de alta disponibilidade, decorrente das suas
atividades. Essa alta disponibilidade auxilia para que servios crticos, que no podem sofrer
interrupes, tenham continuidade de maneira quase imperceptvel para seus usurios. Essa
caracterstica definida em sua poltica de continuidade e, para que seja efetiva, foi previsto
suporte para esse tipo de perfil nesta contratao. No entanto, a aquisio por si s no
garante alta disponibilidade aos rgos, razo pela qual so necessrios cuidados adicionais.

Na Ata de Registro de Preo que resultar da licitao em epgrafe, deve-se ter em mente
que o preo dos equipamentos leva em considerao somente um equipamento fsico e
funcionalidades especificadas para atender a esse equipamento. No padro da soluo
que possua implementaes de cluster nativamente, ou que tenha seus ambientes virtuais j
configurados, mas to somente a previso para essas configuraes. O rgo que optar por
alta disponibilidade dever adquirir mais de um equipamento, e recomenda-se que sejam
comprados aos pares, para que todo equipamento tenha sua redundncia. Outra
redundncia necessria a de infraestrutura, pois embora alguns lotes tenham fontes
redundantes, recomendvel que a infraestrutura tenha suporte de geradores de

eletricidade, alm de cabeamentos duplicados e preparados para casos em que seja preciso
acessar a redundncia para dar continuidade ao negcio.

Cluster

Cluster uma tecnologia capaz de fazer vrios computadores realizarem a mesma tarefa.
Por exemplo, tem-se um site bastante acessado e para evitar que o site no aguente a
demanda de acessos, divide-se a carga de acessos em mais de um servidor que hospede o
mesmo site, tendo assim, um cluster desse mesmo servidor. Para isso necessrio ter pelo
menos dois equipamentos.

Virtualizao
a possibilidade de um equipamento fsico simular mais de um equipamento sobre os
mesmos recursos fsicos. Esses servidores so virtuais e no existem fisicamente, dividem a
plataforma e tm seus recursos derivados da mquina fsica e limitados a capacidade dela.
Exemplo: um rgo pode fazer a aquisio de um equipamento de mdio porte e virtualizlo em 3 firewalls virtuais, um que proteja sua rede de permetro, um para proteo de sua
rede interna e um para proteo de sua rede externa.

Uma soluo interessante para o contexto de alta disponibilidade construir um cluster com
um par de equipamentos e esses mesmos pares virtualizados para proteger redes diferentes
do mesmo rgo. Assim, tem-se um equipamento que desempenha mais de uma funo e
sua replicao para garantir continuidade do servio de proteo de algumas das redes
protegidas.

Conectividade
Para transmisso e emisso no ambiente de rede necessrio ter conectores, receptores e
transmissores de sinais de rede. Esses sinais podem trafegar como sinais eltricos,
analgicos, ou pticos. Entretanto, quando chegam ao equipamento, podem precisar ser
convertidos em sinais por eles reconhecidos, seja para a realizao do processamento ou

para que possam comunicar com outros dispositivos. Isso possvel pelo uso de transceivers
que compem esses equipamentos e convertem, transmitem e recebem tais sinais.

Esses equipamentos possuem diferentes tipos licenciados de conectores. Para essa

aquisio, o grupo tcnico fez um levantamento de um quantitativo que atendam a maioria
dos rgos com a licena j fornecida como parte da aquisio. Alm disso, prevendo uma
expanso ou alguma necessidade, pedido o dobro de transceivers para os lotes 3, 4 e 5.

Sobre as funcionalidades

Firewall Multifuncional: um item obrigatrio no lote. Trata-se de um equipamento

com suas portas de comunicao e interfaces habilitadas, bloqueio de trfego,
criao de regras/polticas de acesso, com tecnologia statefull, funcionalidades de
gerncia local e VPN.

IPS/IDS: sistemas que auxiliam o funcionamento do firewall para controle de acesso.

O IPS (Sistema de preveno de intruso) previne e impede ameaas, enquanto que o
IDS (Sistema de deteco de intruso) identifica as ameaas.

Antivrus e antimalware: Ferramentas antimalware so aquelas que procuram

detectar e, ento, anular ou remover os cdigos maliciosos de um computador.
(CERT.BR)

Tratamento para contedo Web: classificar, separar, bloquear e monitorar acessos

aos contedos Web.

Controle de aplicaes e anlise profunda: a anlise profunda captura pacotes de

rede e os filtra, examinando dados para localizar, identificar, classificar, redirecionar
ou bloquear pacotes. O controle de aplicaes examina o comportamento de
determinado aplicativo na rede e o monitora para evitar que possa agir como uma
ameaa.

Sobre as licenas
Para a contratao em epgrafe, as licenas devem ser atualizadas em suas ltimas verses,
sem custo adicional durante todo o perodo de garantia da soluo. Ao final da garantia,
todas as funcionalidades e o hardware do equipamento devem continuar operando, mesmo
sem renovao das licenas, com as bases da ltima atualizao, exceto com relao

funcionalidade de tratamento de contedo web, por depender de acesso online para seu
funcionamento. Essas exigncias so com o intuito de manter o equipamento funcionando,
com o software adquirido, at o momento final da garantia da soluo. A nica limitao
ocorre em funo do limite operacional do equipamento, pois essas atualizaes devem
manter o seu correto funcionamento.

Throughput

Os throughputs dos equipamentos constituem caractersticas diferenciadoras dos lotes de

equipamentos dessa contratao. Indicam a quantidade de dados que trafega no
equipamento quando em processamento. Cada funcionalidade consome esse throughput de
diferente forma, pois algumas tm um processamento mais complexo que outras. Alm das
funcionalidades que sero adquiridas, outros fatores impactam o throughput dos
equipamentos e precisam ser avaliados para a escolha correta do equipamento. So eles:
tamanho da banda de Internet utilizado pelo rgo; quantidade de funcionrios e
equipamentos da rede; e arquitetura da rede.

Aspectos da durao da contratao

Alm de levar em conta a influncia da arquitetura e a capacidade do throughput de

aguentar vrias funcionalidades, de suportar a vazo de internet, e de sustentar o consumo
por parte de funcionrios, os rgos precisam, ainda, fazer uma prospeco de crescimento
desses fatores, considerando a perspectiva de crescimento do rgo nos os prximos 5
(cinco) anos. Para isso, podem-se tomar como base as seguintes informaes:

O crescimento dos 5 anos anteriores;

As tendncias no setor pblico;

O tamanho da banda consumida de Internet no rgo;

O pblico alvo do rgo e suas formas de comunicao eletrnica (portal, aplicativos

web ou mveis);

A computao em nuvem, que altamente fundamentada em consumo de Internet;

A rotatividade de funcionrios e o crescimento do quadro pessoal;

Aquisio de novos equipamentos e quantitativo dos equipamentos em uso;

Sua estrutura de armazenamento e sua perspectiva de expanso;

Outros fatores.

Tais informaes serviro de auxilio para dimensionar um equipamento que atenda as

necessidades atuais do perodo que a aquisio for vlida. Alm desse dimensionamento,
deve-se tentar prever as provveis necessidades futuras durante a contratao, para
levantamento do quantitativo de portas, de transceivers, de memria, de processamento e
de logs. necessrio tambm fazer uma anlise do comportamento da soluo tanto para o
cenrio atual, quanto para todo o perodo da garantia do equipamento. Essa previso pode
no ser precisa, mas vai garantir que a soluo no entre em defasagem antes do final
estimado, ou gere mais custos para o rgo.

Alm do crescimento, aspectos de continuidade devem ser levados em conta, em razo da

perenidade da contratao tais como a renovao do contrato. A renovao do contrato
deve se iniciar antes do fim da garantia do equipamento adquirido, nas condies da nova
contratao e dando continuidade anteriormente realizada, de forma a garantir que o
servio no seja interrompido em decorrncia do tempo necessrio para conduzir processo
licitatrio visando uma nova contratao.

Forma de contratao

Para esta licitao a forma de contratao a aquisio. Foram avaliados os aspectos de

uma possvel contratao como servio, mas essa iria requer uma maturidade que ainda no
a realidade da maioria dos rgos. Isso em decorrncia das dificuldades de auditorias,
transio contratual, fiscalizao desses contratos, transio de modelo de contratao,
continuidade dos servios, caracterstica do pagamento elstico ligado ao consumo, relao
da contratada com atrasos no pagamento e seu impacto na continuidade dos servios, e
expanso - que embora nesse modelo seja uma vantagem, quando mal planejada pode ser
mais dispendioso do que no modelo de aquisio. Alm disso, existem vantagens do modelo

de aquisio, dentre as quais se destaca o fato de que o equipamento torna-se parte do

patrimnio do rgo. No obstante, vale ressaltar que a contratao como servio pode se
tornar uma tendncia no futuro, pois se mostra como vantagem em muitos casos e para o
caso especfico de muitos rgos.

Testes de conformidade

Em contrataes de firewall multifuncional encontra-se uma dificuldade: no existem rgos

reguladores, que atestem o desempenho desses equipamentos. So os prprios fabricantes
que fazem essa mensurao e cada um usa uma mtrica diferente. Em razo da falta de
padronizao, temos equipamentos que nominalmente teriam a mesma capacidade de
outros, mas que no conseguem demonstrar o mesmo desempenho quando submetidas a
cargas similares.

Tendo em vista essa dificuldade, o grupo que organizou a presente licitao optou por
realizar testes de conformidade para mensurar de forma mais igualitria o desempenho dos
equipamentos. Os testes foram pensados para provarem a capacidade de desempenhar
funcionalidades simultneas, e ainda assim, suportar um throughput mnimo. Ligando as
mesmas funcionalidades, simulando ambientes iguais e baseando-se em cenrios reais para
todos, torna-se possvel definir mtricas mais padronizadas e simular os equipamentos em
condies que se assemelham com a realidade de grande parte dos rgos. Alm disso,
esses testes garantem que boa parte da especificao seja verificada e validada. Esses testes
so baseados nos padres do NSS Labs, nas diretrizes e polticas de Firewalls do NIST e em
testes realizados por alguns rgos.

Gerncia de certificados
O rgo deve prever uma soluo de gerenciamento de certificados, que se mostra como
uma soluo alternativa, que no dependa de funcionalidade implementada no firewall para
realizar essa gerncia. O presente processo de licitao, por ser uma compra conjunta, por
ser padronizada, por buscar atender a maioria dos rgos e por buscar um ganho de escala,
foi especificado sem este recurso, em razo de ter solues diversas que atenda a contento
essa necessidade e no oneram a contratao.