Filtros recomendados en redes conectadas a INTERNET
Se recomienda a los encargados de los Ministerios y Servicios que apliquen las recomendaciones que se adjuntan en el caso de conectar sus equipos a INTERNET.
La recomendación no pretende ser exhaustiva y sólo debe tomarse como una pauta básica para proteger las redes y sistemas de los Ministerios/Servicios.
Puerto |
Protocolo |
Descripción |
Comentario |
1-20 |
TCP/UDP |
Informativos |
Eliminar o filtrar. |
21 |
TCP |
FTP |
Restringir o eliminar. Permita sólo la salida. |
22 |
TCP |
Secure Shell |
Habilitar sólo desde IP conocidas para administración. |
23 |
TCP |
Telnet |
Eliminar (Usar SSH). |
25 |
TCP |
SMTP (Mail) |
Permitir acceso sólo a los servidores de correo de su red. |
53 |
TCP/UDP |
DNS |
Permitir acceso sólo a servidores de nombres de su red. |
69 |
UDP |
TFTP |
Eliminar o filtrar. |
79 |
TCP |
Finger |
Eliminar o filtrar. |
80 |
TCP |
HTTP (Web) |
Permita acceso sólo a los servidores web de su red. |
110 |
TCP |
POP3 |
Filtrar. Permita sólo acceso local. Prefiera POP3S |
111 |
TCP/UDP |
RPC |
Eliminar o filtrar. |
119 |
TCP |
NNTP (News) |
Eliminar o filtrar. |
123 |
TCP |
NTP (Time) |
Eliminar o filtrar. |
135-139 |
TCP/UDP |
Netbios Win32 |
Eliminar Netbios o aplicar filtros. |
143 |
TCP |
IMAP |
Filtrar. Permita sólo acceso local. |
161-162 |
TCP/UDP |
SNMP |
Eliminar o filtrar. |
389 |
TCP/UDP |
LDAP |
Eliminar o filtrar. |
443 |
TCP |
HTTPS (SSL) |
Permita acceso sólo a los servidores web de su red. |
445 |
TCP/UDP |
Netbios W2k |
Eliminar Netbios o aplicar filtros. |
512-514 |
TCP |
Remote BSD |
Eliminar o filtrar (Usar SSH). |
514 |
UDP |
Syslog |
Eliminar o filtrar. Permitir acceso sólo desde IP conocidas |
515 |
TCP |
LPD |
Eliminar o filtrar. |
1080 |
TCP |
SOCKS |
Eliminar o filtrar. |
2049 |
TCP/UDP |
NFS |
Eliminar o filtrar. |
4045 |
TCP/UDP |
NFS (lock) |
Eliminar o filtrar. |
6000-6255 |
TCP |
Xwindows |
Eliminar o filtrar. |
Ping |
ICMP |
- |
Eliminar o filtrar todos menos el tipo 3 código 4. |
|
|
|
|
También se recomienda que se apliquen filtros a las siguientes redes o direcciones especiales reservadas por IANA. Estas direcciones no debieran ser visibles en INTERNET. Cualquier paquete cuyo origen sea alguna de estas redes o direcciones es sospechoso.
Redes a filtrar en notación CIDR
0.0.0.0/7
127.0.0.0/8
169.254.0.0/16
172.16.0.0/12
192.0.2.0/24
192.168.0.0/16
198.18.0.0/15
224.0.0.0/3
Filtros sobre aplicaciones
Se recomienda además aplicar filtros sobre las siguientes aplicaciones orientadas a compartir archivos y que consumen mucho ancho de banda, tales como audio o radios en línea, p2p. En caso necesario el Ministerio del Interior filtrará este tipo de protocolos.
Puerto |
Protocolo |
Nombre aplicación |
5025 |
TCP |
Aimster |
6346 |
TCP |
Bearshare |
4661, 4662 |
TCP |
Edonkey |
4665 |
UDP |
Edonkey |
6346 |
TCP |
Gnutella |
1214 |
TCP |
Grokster |
1234, 5498, 5499, 550, 5501 |
TCP |
Hotline |
1214 |
TCP |
Kazaa |
6346, 6347 |
TCP |
LimeWire |
1214 |
TCP |
Morpheus |
6699-6670 |
TCP |
Napster |
6346 |
TCP |
Toadnode |
6346 |
TCP |
Xolox |
Existen además varias aplicaciones p2p que no tiene definidos puertos específicos, pero se caracterizan por generar tráfico a muchos destinos utilizandos muchos puertos en especial protocolo UDP.
El Ministerio del Interior filtrará o aplicará filtros o restricciones de ancho de banda en caso de detectar actividades que puedan estar comprometiendo la estabilidad de la red.
Gobierno de Chile
Ministerio del Interior - División Informática