Proteccion perimetral para una linea adicional de
 defensa.
 

En esta seccion, listamos los puertos que son habitualmente sondeados y atacados.  El bloqueo de estos puertos se considera un requisito minimo para la seguridad perimetral, aunque no debe considerarse como una lista de especificaciones completa para el cortafuegos.  Una norma mucho mejor es bloquear todos los puertos que no se utilicen.  E incluso sabiendo que estos puertos estan bloqueados, deberemos monitorizarlos activamente para detectar intentos de intrusion.  De todas formas, se hace necesario un aviso.  El bloqueo de algunos de los puertos incluidos en la lista puede deshabilitar algunos servicios necesarios.  Por tanto deben considerarse los efectos potenciales de estas recomendaciones de forma previa a su implementacion.

1. Bloquear las direcciones suplantadas --paquetes provenientes del exterior con una direccion de origen dentro del rango de direcciones internas o privadas (RFC1918 y red 127) asi como los rangos de direcciones reservados por la IANA.  Bloquear, igualmente, los paquetes de direccionamiento en origen.
    
2. Servicios de conexion -- telnet (23/tcp), SSH (22/tcp), FTP 21/tcp), NetBIOS (139/tcp), rlogin, etc... (del 512/tcp al 514/tcp)
    
3. RPC y NFS-- Portmap/rpcbind (111/tcp y 111/udp), NFS (2049/tcp y 2049/udp), lockd (4045/tcp y 4045/udp)
    
4. NetBIOS en Windows NT --  135 (tcp y udp), 137 (udp), 138 (udp), 139 (tcp). Windows 2000 - los puertos anteriores y tambien el 445 (tcp y udp)
    
5. X Windows -- puertos tcp del 6000 al 6255
    
6. Servicios de nombres -- DNS (53/udp) en todas las maquinas que no sean servidores de DNS, transferencias de zona de DNS (53/tcp) excepto en los servidores secundarios externos,  LDAP (389/tcp y 389/udp)
    
7. Correo -- SMTP (25/tcp) en todas las maquinas excepto en los servidores de correo visibles desde el exterior; POP (109/tcp y 110/tcp), IMAP (143/tcp)
    
8. Web -- HTTP (80/tcp) y SSL (443/tcp) excepto en los servidores web accesibles desde el exterior; deberian bloquearse igualmente los puertos no privilegiados habitualmente utilizados por los servidores web (8000/tcp, 8080/tcp, 8888/tcp, etc.)
    
9. "Small Services"-- puertos inferiores al 20/tcp y 20/udp, time (37/tcp y 37/udp).
    
10. Miscelanea -- TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP (123/tcp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp y 161/udp, 162/tcp y 162/udp), BGP (179/tcp), SOCKS (1080/tcp).
     
11. ICMP --bloquear las solicitudes de eco entrantes (ping y traceroute) asi como las  solicitudes salientes de eco, tiempo excedido y no accesible excepto los mensajes de "paquete muy grande" (tipo 3, codigo 4). Esta limitacion asume que deseamos privarnos de los usos legitimos del protocolo ICMP en vistas a impedir su utilizacion de forma maliciosa.

Consultar, adicionalmente los documentos "Top Ten Blocking Recommendations Using ipchains" y "Top Ten Blocking Recommendations Using CISCO ACLs", disponibles en SANS Infosec Reading Room.
 

[Pagina Inicial] [Soluciones] [Socios] [Informes] [Ofertas de Empleo] [Contacto]

© Copyright The Sans Institute, 2000-2001
© Copyright 2000-2001 de la traduccion, Selesta Seguridad Informatica