Recomendaciones básicas para un buen rendimiento
Se recomienda a los encargados técnicos de los Ministerios/Servicios seguir las siguientes recomendaciones para obtener el mejor rendimiento posible de los recursos instalados.
Los responsables técnicos de cada Ministerio deben tener en claro que el ancho de banda de acceso a Internet en el segmento Internacional es un recurso escaso y deben velar porque las configuraciones de los servicios de red que usan o prestan se ajusten a esta realidad.
1. Instalar Servidores de Nombres en red local
Se sugiere instalar uno o más servidores de nombres en la red local. La resolución de nombres será más rápida. Considere además aprovechar algunas facilidades de los SO para aprovechar las resoluciones de nombres previas (cache). Se deben configurar las tablas de reversos.
Proveer al servidor de nombres de suficiente RAM e interfaces de red rápidas.
Tener uno o más servidores de nombre dedicados.
Configurar reversos para el servicio de nombres (in-addr.arpa).
Conectar el servidor de nombres a un puerto dedicado en la red (Ej: 100Mbps fdx)
Actualizar permanentemente las versiones de los servidores de nombres.
2. Instalar Servidores Proxy/Cache y filtros
Se sugiere que en el perímetro o antes de la salida a INTERNET sea instalado uno o más servidores Proxy con Cache que cumplan las siguientes funciones:
Mantener copias de la información consultada frecuentemente
Aplicar filtros de acceso a información objetable o que consuma mucho ancho de banda (adultos, mp3, mov, mpeg, avi).
Usar procedimientos de autorización para el uso del proxy mediante usuario y password.
Balancear carga en los proxy soluciones basadas en hardware o software
Aplicar filtros sobre aplicaciones del tipo peer to peer (Ejemplos: kazaa, napster, etc)
Se recomienda aplicar filtros sobre las siguientes aplicaciones orientadas a compartir archivos y que consumen mucho ancho de banda. En caso necesario el Ministerio del Interior filtrará este tipo de protocolos y aplicará restricciones o limitaciones al ancho de banda ocupado.
|
Puerto |
Protocolo |
Nombre aplicación |
|
5025 |
TCP |
Aimster |
|
6346 |
TCP |
Bearshare |
|
4661, 4662 |
TCP |
Edonkey |
|
4665 |
UDP |
Edonkey |
|
6346 |
TCP |
Gnutella |
|
1214 |
TCP |
Grokster |
|
1234, 5498, 5499, 550, 5501 |
TCP |
Hotline |
|
1214 |
TCP |
Kazaa |
|
6346, 6347 |
TCP |
LimeWire |
|
1214 |
TCP |
Morpheus |
|
6699 |
TCP |
Napster |
|
6346 |
TCP |
Toadnode |
|
6346 |
TCP |
Xolox |
Otros sitios como AudioGalaxy y similares, y sus rangos de puertos tcp/udp usados más frecuentemente serán filtrados. Se recomienda vigilar que los firewalls utilizados en el caso que presenten dificultades y corregir de acuerdo a las recomendaciones del fabricante.
Ejemplos:
Muestreo efectuado durante los días 13 y 14 de Enero 2005
|
IP |
Sesiones Kazaa |
Red |
|
163.247.49.52 |
10104 |
Red Mideplan |
|
163.247.46.15 |
10000 |
Red Justicia |
|
163.247.40.58 |
5704 |
Red Agricultura |
|
163.247.42.10 |
4858 |
Red Defensa |
|
163.247.52.24 |
3063 |
Red Transportes y Telecomunicaciones |
|
163.247.53.2 |
2660 |
Red Vivienda |
|
163.247.50.11 |
2525 |
Red Relaciones Exteriores |
|
163.247.63.19 |
2284 |
Red SII |
|
163.247.49.11 |
2025 |
Red Mideplan |
|
163.247.41.11 |
1680 |
Red Bienes Nacionales |
Muestreo efectuado durante los días 24 de abril 2004 – 5 de mayo de 2004
|
IP |
Sesiones Kazaa |
|
163.247.51.210 |
52558 |
|
163.247.55.42 |
25375 |
|
163.247.49.52 |
22308 |
|
163.247.51.200 |
20694 |
|
163.247.62.121 |
16755 |
|
163.247.70.218 |
15738 |
|
163.247.55.35 |
15650 |
|
163.247.40.58 |
14679 |
|
163.247.40.50 |
13576 |
|
163.247.44.21 |
11876 |
|
163.247.46.100 |
7597 |
|
163.247.52.33 |
6003 |
|
163.247.50.11 |
4415 |
|
163.247.44.224 |
2979 |
|
163.247.42.10 |
2923 |
|
163.247.56.51 |
2818 |
|
163.247.52.24 |
2240 |
|
163.247.46.126 |
1603 |
|
163.247.49.11 |
1376 |
|
163.247.63.19 |
1293 |
|
163.247.70.219 |
1199 |
|
163.247.51.11 |
1091 |
También se recomiendo filtrar o controlar el acceso a radios en línea. Por lo general usan aplicaciones asociadas a winamp.com o shoutcast.com
El tráfico asociado a las radios en línea se concentra en puertos tcp variables en el rango 8000 – 8999.
3. Configurar firewall adecuadamente
Se sugiere escoger como plataforma de firewall un equipo basado en hardware dedicado, o usar dos o más servidores de propósito general con la función de firewall.
Conectar el firewall a un puerto dedicado en la red local interna.
Verificar que todos los elementos de red estén configurados adecuadamente velocidad y duplex. (Ideal: FastEthernet 100Mbps y full duplex)
Se sugiere restringir el N° de estaciones con conexión directa a INTERNET usando un firewall o NAT con reglas que permitan sólo conexiones de los servidores o servidores proxy cache. Evitar las conexiones directas de cada estación interna a INTERNET para evitar propagación de virus.
4. Registrar las actividades de los usuarios externos e internos
Se sugiere llevar registros vía logs de las actividades de los usuarios externos e internos.
Usar aplicaciones o sistemas de detección de intrusos
Obtener estadísticas de las páginas o servicios más frecuentemente usados o consultados.
Bloquear actividades externas o internas que de acuerdo a lo registrado sean innecesarias o usen mucho ancho de banda.
Ejemplos:
Durante el 23-04-2004 y 27-04-2004 se llevaron estadísticas de los sitios internos y externo mas frecuentemente consultados dentro y fuera de la Intranet del Estado (IE).
Revisando los datos se puede concluir que los Ministerios y Servicios deben optimizar la forma en que acceder a Internet usando servidores proxy con cache, además de usar estrategias para actualizar desde un sitio central local sus aplicaciones (Ejemplo: windowupdate.com).
Por otra parte deben ser tomadas precauciones en el caso de aplicaciones o servicios que son ampliamente reconocidos spyware que contribuyen al sobre consumo de ancho de banda (Ejemplo: gator.com, hotbar.com)
|
Sitio |
Hits |
Zona |
|
www.lun.com. |
3,249,007 |
|
|
www.terra.cl. |
1,129,781 |
|
|
www.emol.com. |
1,081,611 |
|
|
www.registrocivil.cl. |
1,017,810 |
IE |
|
www.latercera.cl. |
904,706 |
|
|
www.sbif.cl. |
690,521 |
IE |
|
app2.sigfe.cl. |
666,320 |
IE |
|
www.chilecompra.cl. |
626,474 |
|
|
download.windowsupdate.com. |
625,471 |
|
|
www.lacuarta.cl. |
534,367 |
|
|
hits.e.cl. |
520,329 |
|
|
windowsupdate.microsoft.com. |
481,279 |
|
|
www.lasegunda.com. |
461,219 |
|
|
diario.elmercurio.com. |
448,756 |
|
|
www.minvu.cl. |
408,158 |
IE |
|
www.lanacion.cl. |
371,754 |
|
|
www.inp.cl. |
366,755 |
IE |
|
www.tvn.cl. |
358,141 |
|
|
bc2.gator.com. |
354,085 |
Spyware |
|
www.cooperativa.cl. |
335,776 |
|
|
ads.emol.com. |
325,173 |
|
|
rad.msn.com. |
310,692 |
|
|
www.chilecompras.cl. |
275,431 |
|
|
updates.hotbar.com. |
272,365 |
Spyware |
|
www.google.cl. |
264,624 |
|
|
chat.emol.com. |
257,713 |
|
|
www.bancoestado.cl. |
239,488 |
|
|
trafico.latercera.cl. |
231,133 |
|
|
www.conaf.cl. |
228,618 |
IE |
|
www.elmostrador.cl. |
210,908 |
|
|
www.lasultimasnoticias.cl. |
205,545 |
|
|
www.minsal.cl. |
204,966 |
IE |
|
www.loteria.cl. |
199,241 |
|
|
www.dipres.cl. |
188,886 |
IE |
|
www.almacenes-paris.cl. |
180,699 |
|
|
images.google.cl. |
180,047 |
|
|
www.mideplan.cl. |
179,313 |
IE |
|
www.bancochile.cl. |
175,560 |
|
|
ad.doubleclick.net. |
173,374 |
|
|
www.fosis.cl. |
170,299 |
IE |
|
www.santandersantiago.cl. |
161,215 |
|
|
www.tercera.cl. |
155,639 |
|
|
www.123.cl. |
149,888 |
|
|
sitios.cl. |
148,785 |
|
|
www.falabella.com. |
144,319 |
|
|
latam.msn.com. |
142,196 |
|
|
ad.cl.doubleclick.net. |
132,062 |
|
|
www.sag.gob.cl. |
131,722 |
IE |
|
publicidad.elmostrador.cl. |
124,182 |
|
|
windowsmedia.com. |
117,414 |
|
|
Intranet.chilecompra.cl. |
115,745 |
IE |
|
www.rezebra.cl. |
115,466 |
|
|
www.entelpcs.cl. |
115,459 |
|
|
www.sii.cl. |
112,967 |
|
|
www.minrel.cl. |
111,455 |
IE |
|
www.mujereschile.cl. |
110,724 |
IE |
|
h.msn.com. |
107,800 |
|
|
us.i1.yimg.com. |
107,054 |
|
|
www.subtel.cl. |
105,183 |
IE |
|
www.interior.gov.cl. |
104,320 |
IE |
|
chile.deremate.com. |
102,384 |
|
|
www.antro.cl. |
99,568 |
|
|
www.valorfuturoplus.com. |
98,039 |
|
|
www.telefonicamovil.cl. |
94,223 |
|
|
www.inia.cl. |
92,821 |
IE |
|
www.airelibrechile.org. |
91,409 |
|
|
iweb.entelchile.net. |
89,842 |
|
|
www.planos.cl. |
88,698 |
|
|
hb.terra.cl. |
88,581 |
|
|
www.junaeb.cl. |
88,494 |
IE |
|
www.poderjudicial.cl. |
88,375 |
|
|
zates2.canal13.cl. |
87,907 |
|
|
www.chileriego.cl. |
86,891 |
|
|
www.paginadeinicio.cl. |
86,415 |
|
|
m3.doubleclick.net. |
86,061 |
|
|
www.microsoft.com. |
85,908 |
|
|
web.latercera.cl. |
85,316 |
|
|
Servmap.mapcity.com. |
85,297 |
|
|
207.46.110.6. |
85,104 |
|
|
207.46.110.40. |
83,202 |
|
|
207.46.110.4. |
82,661 |
|
|
global.msads.net. |
82,339 |
|
|
homeweb.entelchile.net. |
82,329 |
|
|
ads1.emol.com. |
80,853 |
|
|
www.contraloria.cl. |
80,622 |
IE |
|
207.46.110.45. |
79,770 |
|
|
207.46.110.11. |
78,768 |
|
|
207.46.110.2. |
78,303 |
|
|
207.46.110.43. |
78,134 |
|
|
www.minhda.cl. |
77,936 |
IE |
|
www.amarillas.cl. |
77,594 |
|
|
207.46.110.3. |
77,587 |
|
|
207.46.110.13. |
76,346 |
|
|
www.bci.cl. |
76,248 |
|
|
www.mapcity.com. |
76,079 |
|
|
www.indap.cl. |
75,257 |
IE |
|
207.46.110.15. |
75,064 |
|
|
olivia.canal13.cl. |
74,938 |
|
|
64.4.48.24. |
74,028 |
|
|
www.falabella.cl. |
73,895 |
|
5. Centralizar actualizaciones de Sistemas operativos y Antivirus
Se recomienda centralizar la actualización de sistemas operativos y Antivirus
- Antivirus:
Usar uno o dos equipos servidores que sean los únicos que obtienen signaturas actualizados de virus. El resto de las estaciones de la red debe actualizarse sólo desde estos servidores. Debieran evitarse conexiones directas y repetitivas a servidores ftp desde cada estación de trabajo al interior de las redes.
Ejemplo:
Durante el 23-04-2004 y 27-04-2004 se han medido las conexiones a servidores ftp desde las redes de los Ministerios y Servicios.
|
IP |
Accesos ftp |
|
163.247.53.2 |
115,029 |
|
163.247.63.19 |
63,807 |
|
163.247.44.31 |
50,068 |
|
163.247.62.121 |
38,101 |
|
163.247.44.21 |
25,569 |
|
163.247.40.120 |
22,760 |
|
163.247.40.79 |
16,402 |
|
163.247.44.224 |
14,978 |
|
163.247.70.71 |
12,633 |
|
163.247.56.25 |
11,492 |
|
163.247.49.52 |
9,249 |
|
163.247.49.11 |
7,235 |
|
163.247.40.58 |
6,586 |
|
163.247.60.12 |
6,490 |
|
163.247.40.21 |
6,017 |
|
163.247.45.120 |
4,706 |
|
163.247.51.210 |
4,556 |
|
163.247.45.94 |
4,447 |
|
163.247.40.50 |
3,937 |
|
163.247.45.18 |
3,437 |
- Sistemas operativos:
Usar estrategias de mirror o similares para obtener las nuevas copias de los sistemas operativos buscados, o configurar una o dos estaciones que estén destinadas al propósito de bajar nuevas versiones de SO o parches. Evitar la conexión repetitiva a servidores ftp desde cada estación de trabajo al interior de las redes.
Caso de Microsoft: Considerando que los parches generados por el sistema operativo de Microsoft son por lo general de gran tamaño, se recomienda usar un servidor SUS o similar. El proceso de actualización de Windows Update debiera efectuarse desde este servidor SUS.
Para mayor información ver: http://www.microsoft.com/windowsserversystem/sus/default.mspx
Gobierno de Chile
Ministerio del Interior - División Informática