INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE

1. Nombre del Área

Gerencia de Operaciones y Sistemas.

2. Responsable de la Evaluación

Isaac Rotstain Helfman

3. Cargo

Analista de Soporte Técnico

4. Fecha

14/09/2007

5. Justificación

Permitirá establecer los atributos o características mínimas para la renovación o

adquisición de un software Firewall.

Actualmente, Agrobanco cuenta con dos equipos Firewall que atienden a segmentos
deferentes, dichos equipos (appliance) ya tienen más de 4 años de antigüedad y
actualmente ya no tienen contrato de mantenimiento (actualizaciones). En tal sentido,
se ha evaluado la posibilidad de renovar el contrato de mantenimiento frente a la
adquisición un nuevo Firewall bajo un nuevo esquema de red, tomando en cuenta que
estamos próximos a interconectarnos con el Banco de la Nación para realizar
transacciones en línea.

Con esta nueva modalidad de trabajo (en línea) con el Banco de la Nación, es
necesario contar con un esquema de redundancia de alta disponibilidad y con
tolerancia a fallas.

6. Alternativas

Se analizaron los siguientes productos Firewall:

• Checkpoint
• Juniper
• Cisco

PDF created with pdfFactory Pro trial version www.pdffactory.com

 7. Análisis Comparativo Técnico

Se realizó aplicando la parte 3 de la Guía de Evaluación de Software.

a. Propósito de la Evaluación:

Determinar los atributos o características mínimas para la renovación del actual

Firewall o la adquisición de un nuevo Software Firewall.

b. Identificar el tipo de producto

• Software Firewall.

c. Especificación del Modelo de Calidad

• Se aplicará el Modelo de Calidad de Software descrito en la Parte I de la Guía de

Evaluación de Software aprobado por Resolución Ministerial N° 139-2004-PCM.

d. Selección de métricas

Las métricas fueron seleccionadas en base al análisis de la información técnica de los

productos Firewall señalados en el punto “6. ALTERNATIVAS”, como son las
características del producto y requerimientos de instalación y que fueron obtenidas de
las siguientes empresas proveedoras de software:

• Cosapi Data
• TrendCorp
• GMD

En el Anexo I, se puede apreciar el cuadro de análisis con las características resumidas

de los Firewall.

En el Anexo III, se presenta copias de las proformas proporcionadas por los

proveedores, en las que se detallan las características propias de cada Firewall.

Del análisis realizado se ha determinado las siguientes características técnicas

mínimas:

ITEM ATRIBUTOS DESCRIPCION

ATRIBUTOS INTERNOS
1 Sistema operativo
2 Tipo de solución
3 Actualizaciones y Mantenimiento
4 Interfaces
El producto debe correr sobre un sistema
operativo propietario.
Deberá ser basada en hardware y software con
un esquema de redundancia de alta
disponibilidad (activo – pasivo) y tolerancia a
fallas. El hardware deberá de estar certificado
por el fabricante del software Firewall y podrá
ser de la misma marca.
Debe de incluir actualizaciones y mantenimiento
mínimo por un año de hardware y software,
tanto del módulo de Firewall y de otros
adicionales que pudieran tener.
Debe de tener por lo menos 03 interfaces de red
Fast Ethernet 10/100 Mbps y 02 interfaces de
red Fast Ethernet 10/100/1000 Mbps.

PDF created with pdfFactory Pro trial version www.pdffactory.com

 5 Licenciamiento
6 Servidor VPN
7 Sesiones concurrentes
8 Throughput del Firewall
ATRIBUTOS EXTERNOS
9 Administración
10 Protección contra ataques
PDF created with pdfFactory Pro trial version www.pdffactory.com
Mínimo 200 licencias.
Debe incluir servidor de VPN.
Mínimo 32,000.
Mínimo 300 Mbps
Debe de contar con administración remota
(interface gráfica) con cuentas para el acceso a
dicha administración.
Los componentes de la solución deberán poseer
las configuraciones localmente, no dependiendo
su funcionamiento de las consolas de
administración, una falla en la consola de
administración no debe dejar fuera de servicio a
los equipos remotos
Debe ser desde máquinas específicas.
Los administradores que acceden a los firewalls
deben autenticarse mediante algún medio
seguro.
El equipo permitirá la vuelta atrás (roll-back) a la
ultima configuración estable aplicada, luego de
realizada una modificación en la misma.
Debe manejar calidad de servicio: priorización y
limitación de ancho de banda por aplicación
atravesando el firewall.
Debe incluir manejo de NAT, PAT, y mapeo de
múltiples hosts internos en una dirección global
para servicios TCP y UDP.
Las reglas permanecer en medio físico, no
volátil.
Debe permitir bloquear código Java, Active X y
otros scripts y applets que puedan ser
maliciosos.
Debe poder hacer filtraje dentro de puertos TCP
conocidos (por ejemplo el puerto 80 de http),
aplicaciones potencialmente peligrosas como
P2P (KaZaA, Gnutella, Morpheus) o
Messengers (Yahoo!, MSN, ICQ).
Debe permitir bloquear comandos HTTP no
deseados y cadena de caracteres que indiquen
la posibilidad de ser un gusano/troyano en
general.
Debe soportar la activación y desactivación de
técnicas de detección y evasión de ataques de
DOS (Denegación de servicio).
Debe soportar la activación y desactivación de
técnicas de anti-spoofing sobre cada zona de
seguridad.
 Debe poseer técnicas que mitigan los ataques
conocidos como : Ping Of Death , TearDrop
Attack y WinNuke

Debe incluir protección contra ataques ICMP

para si mismo.

El equipo deberá tener la potencialidad de

incorporación de las siguientes funcionalidades
de procesamiento de contenidos en el mismo
equipo y en forma simultánea:
11 Módulos Adicionales
Antivirus.
Detección y prevención de intrusos.
Filtro de contenidos para tráfico Web.

Debe soportar VPN mediante IPSec con calidad

de servicio.

VPN tipo site to site y client to site

12 Conexión VPN
Mínimo 25 VPN en simultáneo.

Debe soportar VPN mediante certificados

digitales.

ATRIBUTOS DE USO
Debe permitir ver en tiempo real la actividad del
firewall, ataques de red, eventos de seguridad,
13 Reportes actividad de la red, túneles VPN y uso de
recursos de memoria del firewall.

El software Firewall debe incluir capacitación

para el personal de Soporte Técnico en la
14 Facilidad de uso
administración del producto.

Debe ser 24x7x365 con un tiempo de respuesta

15 Soporte Técnico no mayor a 4 horas.

Debe de incluir la instalación y la migración de la

16 Instalación y Migración solución actual hasta la puesta a punto.

PDF created with pdfFactory Pro trial version www.pdffactory.com

 e. Niveles, escalas para las métricas

ITEM ATRIBUTOS ESCALAS

ATRIBUTOS INTERNOS
1 Sistema operativo 9
2 Tipo de Solución 9
3 Actualizaciones 8
4 Interfaces 5
5 Licenciamiento 5
6 Servidor VPN 5
7 Sesiones concurrentes 5
8 Throughput del Firewall 5
ATRIBUTOS EXTERNOS
9 Administración 6
10 Protección contra ataques 10
11 Módulos Adicionales 5
12 Conexión VPN 5
ATRIBUTOS DE USO
13 Reportes 5
14 Facilidad de uso 5
15 Soporte Técnico 8
16 Instalación y Migración 5
PUNTAJE TOTAL 100

8. Análisis Comparativo de Costo – Beneficio

• En el Anexo II se puede apreciar un cuadro comparativo de ventajas de los productos

software que fueron analizados técnicamente y un análisis costo – beneficio teniendo
como referencia la renovación para los siguientes años.

9. Conclusiones

• Técnicamente es necesario hacer una adquisición de un nuevo Firewall que tenga

interfaces suficientes para soportar todas las zonas actuales y las futuras debido a que
los Firewall actuales solo tienen 3 interfaces de red cada uno, en tal sentido, no sería
posible ponerlos como redundantes si es que se toma la decisión de instalarlos en
paralelo para que sirva de redundancia, luego de realizar la actualización de los
mismos.

• En el análisis de costo beneficio, la renovación de los Firewall actuales frente a la

adquisición de un nuevo Firewall no es conveniente.

• Se determinó que es conveniente hacer una adquisición de un nuevo Firewall con otro
que trabaje en redundancia (alta disponibilidad), dicho Firewall deberá de tener más
interfaces para poder reemplazar a los 2 Firewall que tenemos actualmente atendiendo
segmentos de red separados y adicionalmente se podrá segmentar otras redes que
tengamos a futuro.

PDF created with pdfFactory Pro trial version www.pdffactory.com