Filtros recomendados en redes conectadas a INTERNET

Se recomienda a los encargados de los Ministerios y Servicios que apliquen las recomendaciones que se adjuntan en el caso de conectar sus equipos a INTERNET.

La recomendación no pretende ser exhaustiva y sólo debe tomarse como una pauta básica para proteger las redes y sistemas de los Ministerios/Servicios.

Puerto

Protocolo

Descripción

Comentario

1-20

TCP/UDP

Informativos

Eliminar o filtrar.

21

TCP

FTP

Restringir o eliminar. Permita sólo la salida.

22

TCP

Secure Shell

Habilitar sólo desde IP conocidas para administración.

23

TCP

Telnet

Eliminar (Usar SSH).

25

TCP

SMTP (Mail)

Permitir acceso sólo a los servidores de correo de su red.

53

TCP/UDP

DNS

Permitir acceso sólo a servidores de nombres de su red.

69

UDP

TFTP

Eliminar o filtrar.

79

TCP

Finger

Eliminar o filtrar.

80

TCP

HTTP (Web)

Permita acceso sólo a los servidores web de su red.

110

TCP

POP3

Filtrar. Permita sólo acceso local. Prefiera POP3S

111

TCP/UDP

RPC

Eliminar o filtrar.

119

TCP

NNTP (News)

Eliminar o filtrar.

123

TCP

NTP (Time)

Eliminar o filtrar.

135-139

TCP/UDP

Netbios Win32

Eliminar Netbios o aplicar filtros.

143

TCP

IMAP

Filtrar. Permita sólo acceso local.

161-162

TCP/UDP

SNMP

Eliminar o filtrar.

389

TCP/UDP

LDAP

Eliminar o filtrar.

443

TCP

HTTPS (SSL)

Permita acceso sólo a los servidores web de su red.

445

TCP/UDP

Netbios W2k

Eliminar Netbios o aplicar filtros.

512-514

TCP

Remote BSD

Eliminar o filtrar (Usar SSH).

514

UDP

Syslog

Eliminar o filtrar. Permitir acceso sólo desde IP conocidas

515

TCP

LPD

Eliminar o filtrar.

1080

TCP

SOCKS

Eliminar o filtrar.

2049

TCP/UDP

NFS

Eliminar o filtrar.

4045

TCP/UDP

NFS (lock)

Eliminar o filtrar.

6000-6255

TCP

Xwindows

Eliminar o filtrar.

Ping

ICMP

-

Eliminar o filtrar todos menos el tipo 3 código 4.







También se recomienda que se apliquen filtros a las siguientes redes o direcciones especiales reservadas por IANA. Estas direcciones no debieran ser visibles en INTERNET. Cualquier paquete cuyo origen sea alguna de estas redes o direcciones es sospechoso.

Redes a filtrar en notación CIDR

Filtros sobre aplicaciones

Se recomienda además aplicar filtros sobre las siguientes aplicaciones orientadas a compartir archivos y que consumen mucho ancho de banda, tales como audio o radios en línea, p2p. En caso necesario el Ministerio del Interior filtrará este tipo de protocolos.

Puerto

Protocolo

Nombre aplicación

5025

TCP

Aimster

6346

TCP

Bearshare

4661, 4662

TCP

Edonkey

4665

UDP

Edonkey

6346

TCP

Gnutella

1214

TCP

Grokster

1234, 5498, 5499, 550, 5501

TCP

Hotline

1214

TCP

Kazaa

6346, 6347

TCP

LimeWire

1214

TCP

Morpheus

6699-6670

TCP

Napster

6346

TCP

Toadnode

6346

TCP

Xolox



Existen además varias aplicaciones p2p que no tiene definidos puertos específicos, pero se caracterizan por generar tráfico a muchos destinos utilizandos muchos puertos en especial protocolo UDP.

El Ministerio del Interior filtrará o aplicará filtros o restricciones de ancho de banda en caso de detectar actividades que puedan estar comprometiendo la estabilidad de la red.


Gobierno de Chile

Ministerio del Interior - División Informática