Bogotá D.C.

,
29 de Diciembre del 2022

Señores:
Almeidas Comunicaciones s.a.s

ACLARACIONES CON RESPECTO AL LISTAMIENTO DE DIRECCIONES IP

Cordial saludo, el reporte de una dirección IP en las listas negras, se debe a varias razones, a saber:
• Generación de correo SPAM, el cual se puede producir por virus informáticos, troyanos y
adaware sin que el usuario sea consciente de este tipo de actividad. Pero también, se
puede producir conscientemente, por el envío masivo de correo publicitario usando
programas especiales para tal fin.
• Utilización de redes privadas virtuales (VPN) para acceder a plataformas de streaming o
videojuegos y de esta forma burlar el control de contenido zonal que estas tienen
implementadas.
• Uso de cuentas ilegales (piratas) para el acceso a plataformas de streaming o videojuegos.
• Generación de ciberataques a sistemas informáticos como DDoS, Phishing o Malaware.

Estas son las razones más comunes, por las cuales una dirección IP pública termina reportada en
listas negras. Para evitar esta situación, es necesario implementar mecanismos de seguridad
perimetral (firewall, Inspección de paquetes DPI, sistemas de detección y/o prevención de
intrusiones IDS/IPS, sistemas antiDDoS, pasarelas antivirus y antispam, etc.) al interior de la red
LAN, que revisen y supervisen permanentemente el tráfico y la actividad de la red LAN y de esta
forma prevenir que se presenten las situaciones antes mencionadas.

Dicho lo anterior, se entiende que es responsabilidad exclusiva del usuario del uso que le da a los
recursos asignados y que, si no se toman las medidas necesarias asegurar el tráfico de la red LAN,
los reportes a las listas negras se volverán a presentar, con cualquier pool que el canal esté usando.

SOLICITUD ELIMICACION DE IPS DE LISTA NEGRAS

Las acciones de remoción son independientes de cada lista. Cada lista tiene un procedimiento de
remoción, Las se limitan a la solicitud de remoción de la dirección IP de la lista. Esto no garantiza
que la IP va a ser removida ni se tienen acuerdos de nivel de servicio con estas organizaciones
que aseguren un tiempo específico para la remoción.

A continuación, se relaciona un manual para la solicitud de eliminación de listas negras, recuerde

que cada lista tiene su proceso diferente,
Consultar la IP que desea limpiar en la página https://mxtoolbox.com/blacklists.aspx

Una vez consultada la ip, nos arroja el listado de paginas en la cual esta esta enlistada,
procedemos a darle click en Detail

En Detail nos indica en que pagina esta reportada y la URL de dicha pagina a la cual nosotros
debemos dar click
Hasta este paso es lo general que se debe realizar para la consulta, puesto que desde ahora
depende que donde este enlistado será un proceso diferente, para este caso puntual en Rats,
daremos click en la opción de Removal, e ingresamos la ip de consulta. Y damos Check.
Para este caso puntual la ip 45.179.244.101 tiene un problema con el reverso, por lo cual ustedes
deben tomar las acciones correspondientes para este problema.

Se relaciona otro ejemplo común de sitio de lista negras, por temas de Spam,
https://www.spamhaus.org en esta página vamos a la opción de Blocklist Rmoval .
Ingresamos la ip a consultar y damos en Lookup

Nos indica que esta ip esta agregada, unas recomendaciones de la página y demás y en la parte de
inferior sale Show Details
Se aceptan políticas de la Paginas y se le da en Next Steps
Se diligencia la información muy importante, ingresar un correo al cual se tenga acceso. Puesto
que ahí nos llegara una confirmación del proceso que estamos realizando
Confirmación del envió del correo
Se valida en el correo la notificación de la pagina y damos click en el link.
El cuál es la finalización del proceso de forma satisfactoria,

FIREWALL SUGERIDO

Al eliminar las ip de las listas negras no asegura que las vuelvan a agregar, por lo cual desde el área
de ingeniería de IMS se sugiere sea implementados firewall y seguridad perimetral en su red. Por
lo cual se relaciona un firewall el cual puede implementar en su red revisándolo y ajustándolo a
su configuración de equipos.

/ip firewall filter

add action=drop chain=input comment="BLOQUEO PUERTO 53" dst-port=53 protocol=tcp
add action=drop chain=input dst-port=53 protocol=udp
add action=accept chain=forward comment="REGLA_SPAMWARE_permite el correo real
que no exceda 5 segundos" dst-port=25,110,465,143,2525,8025,138,995 limit=5,5:packet
protocol=\
tcp
add action=accept chain=forward comment="REGLA_SPAMWARE_permite el correo real
que no exceda 5 segundos" dst-port=25,110,465,143,2525,8025,138,995 limit=5,5:packet
protocol=\
udp
add action=drop chain=forward comment="REGLA_SPAMWARE_bloquea el trafico de correo
que exceda 5 segundos" dst-port=25,110,465,143,2525,8025,138,995 protocol=tcp
add action=drop chain=forward comment="REGLA_SPAMWARE_bloquea el trafico de correo
que exceda 5 segundos" dst-port=25,110,465,143,2525,8025,138,995 protocol=udp
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d
chain=virus comment="add to spammer list" dst-port=25,110,465,143,2525,8025,138,995
protocol=\
tcp
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d
chain=virus comment="add to spammer list" dst-port=25,110,465,143,2525,8025,138,995
protocol=\
udp
----------------------En esta in-interface es la interface WAN, si tiene varias se pone por cada una
----------------------------------------
/ip firewall filter

add action=drop chain=input comment=REGLA_BLOQUEO_PETICIONES_PROXY dst-

port=999,8080 in-interface=(WAN del cliente) protocol=tcp

-----------------------------------Bloquear Ataques externos----------------------------------------

/ip firewall filter

add action=add-src-to-address-list address-list=blocked-addr address-list-timeout=1d

chain=input comment="REGLAS_8-9_Evita_Ataque DoS" connection-limit=100,32 protocol=\
tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp src-address-list=blocked-
addr
add action=drop chain=forward comment=BLOQUEOMINITIC dst-address-
list=BLOQUEOMINITIC
add action=add-dst-to-address-list address-list=BLOQUEOMINITIC address-list-
timeout=none-dynamic chain=forward comment=BLOQUEOMINITIC protocol=tcp tls-host=\
*karatbars-oro.com
add action=add-dst-to-address-list address-list=BLOQUEOMINITIC address-list-
timeout=none-dynamic chain=forward comment=BLOQUEMINITIC protocol=tcp tls-host=\
*www.karatbars.com
-----------------------------------------------------------------------------------------------

/ip firewall filter

add action=drop chain=input comment=":::::::::::::::::Bloquear conexiones PPTP
externas::::::::::::::::::::" dst-port=1723 protocol=tcp
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w
chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="dropping port scanners" src-address-list="port
scanners"
add action=drop chain=forward comment="Filtra paquetes invalidos" connection-
state=invalid
add action=drop chain=input comment="Bloquear Ataques FTP" dst-port=21 protocol=tcp
src-address-list=ftp_blacklist
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h
chain=output content="530 Login incorrect" protocol=tcp
add action=add-src-to-address-list address-list="Port scanners" address-list-timeout=2w
chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="Port scanners" address-list-timeout=2w
chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Bloquear Ataques FTP" dst-port=21 protocol=tcp
src-address-list=ftp_blacklist
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h
chain=output content="530 Login incorrect" protocol=tcp
add action=drop chain=input comment="Proteccion VSC contra ataques via SSH" dst-port=22
protocol=tcp src-address-list=ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d
chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=\
ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m
chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m
chain=input connection-state=new dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m
chain=input connection-state=new dst-port=22 protocol=tcp
add action=drop chain=input comment="Drop FTP Brute Forcers" dst-port=21 protocol=tcp
src-address-list=ftp_blacklist
add action=add-src-to-address-list address-list=ftp_blacklist address-list-timeout=1d
chain=input connection-state=new dst-port=21 protocol=tcp src-address-list=\
ftp_stage3
add action=add-src-to-address-list address-list=ftp_stage3 address-list-timeout=1m
chain=input connection-state=new dst-port=21 protocol=tcp src-address-list=ftp_stage2
add action=add-src-to-address-list address-list=ftp_stage2 address-list-timeout=1m
chain=input connection-state=new dst-port=21 protocol=tcp src-address-list=ftp_stage1
add action=add-src-to-address-list address-list=ftp_stage1 address-list-timeout=1m
chain=input connection-state=new dst-port=21 protocol=tcp
add action=drop chain=input comment="Drop Telnet Brute Forcers" dst-port=23
protocol=tcp src-address-list=telnet_blacklist
add action=add-src-to-address-list address-list=telnet_blacklist address-list-timeout=1d
chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=\
telnet_stage3
add action=add-src-to-address-list address-list=telnet_stage3 address-list-timeout=1m
chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=\
telnet_stage2
add action=add-src-to-address-list address-list=telnet_stage2 address-list-timeout=1m
chain=input connection-state=new dst-port=23 protocol=tcp src-address-list=\
telnet_stage1
add action=add-src-to-address-list address-list=telnet_stage1 address-list-timeout=1m
chain=input connection-state=new dst-port=23 protocol=tcp

add action=jump chain=input comment="##############################

PROTECCI\D3N AL ROUTER MIKROTIK
#########################################################" \
jump-target=COMENTARIO src-address=222.0.0.0
add action=accept chain=input comment="permitir ping" limit=50/5s,2:packet
protocol=icmp
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=input comment="bloquear port scanners " src-address-list="port
scanners"
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=\
fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=\
fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=30m
chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2m
chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=\
!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop Winbox brute forcers" dst-port=8092
protocol=tcp src-address-list=winbox_blacklist
add action=add-src-to-address-list address-list=winbox_blacklist address-list-timeout=2w1d
chain=input comment="bloquear exceso de conexiones al winbox (3 conexiones )" \
connection-state=new dst-port=8092 protocol=tcp src-address-list=winbox_login3
add action=add-src-to-address-list address-list=winbox_login3 address-list-timeout=1m
chain=input connection-state=new dst-port=8092 protocol=tcp src-address-list=\
winbox_login2
add action=add-src-to-address-list address-list=winbox_login2 address-list-timeout=1m
chain=input connection-state=new dst-port=8092 protocol=tcp src-address-list=\
winbox_login1
add action=add-src-to-address-list address-list=winbox_login1 address-list-timeout=1m
chain=input connection-state=new dst-port=8092 protocol=tcp
add action=jump chain=forward comment="######################## Protecci\F3n a los
usuarios que estan atras del router #############################################"
\
jump-target=COMENTARIO src-address=222.0.0.0
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=drop chain=forward comment="bloquear exceso de conexiones al winbox (3
conexiones )" dst-port=22 protocol=tcp src-address-list=ssh-blacklist
add action=add-src-to-address-list address-list=ssh-blacklist address-list-timeout=2m
chain=forward connection-state=new dst-port=22 protocol=tcp src-address-list=ssh3
add action=add-src-to-address-list address-list=ssh3 address-list-timeout=2m chain=forward
connection-state=new dst-port=22 protocol=tcp src-address-list=ssh2
add action=add-src-to-address-list address-list=ssh2 address-list-timeout=2m chain=forward
connection-state=new dst-port=22 protocol=tcp src-address-list=ssh1
add action=add-src-to-address-list address-list=ssh1 address-list-timeout=2m chain=forward
connection-state=new dst-port=22 protocol=tcp
add action=jump chain=forward comment="Bloquear virus" jump-target=virus
add action=jump chain=input jump-target=virus
add action=drop chain=virus comment="Blaster Worm" dst-port=135-139 protocol=tcp
add action=drop chain=virus dst-port=4444 protocol=tcp
add action=drop chain=virus dst-port=4444 protocol=udp
add action=drop chain=virus dst-port=1433-1434 protocol=tcp
add action=drop chain=virus comment="Messenger Worm" dst-port=135-139 protocol=udp
add action=drop chain=virus comment="Blaster Worm" dst-port=445 protocol=tcp
add action=drop chain=virus comment="Blaster Worm" dst-port=445 protocol=udp
add action=drop chain=virus dst-port=593 protocol=tcp
add action=drop chain=virus dst-port=1024-1030 protocol=tcp
add action=drop chain=virus comment=" MyDoom" dst-port=1080 protocol=tcp
add action=drop chain=virus dst-port=1214 protocol=tcp
add action=drop chain=virus dst-port=3127-3128 protocol=tcp
add action=drop chain=virus comment="ndm requester" dst-port=1363 protocol=tcp
add action=drop chain=virus comment="ndm server" dst-port=1364 protocol=tcp
add action=drop chain=virus comment="screen cast" dst-port=1368 protocol=tcp
add action=drop chain=virus comment=hromgrafx dst-port=1373 protocol=tcp
add action=drop chain=virus comment=cichlid dst-port=1377 protocol=tcp
add action=drop chain=virus comment="Bagle Virus" dst-port=2745 protocol=tcp
add action=drop chain=virus comment="Drop Dumaru.Y" dst-port=2283 protocol=tcp
add action=drop chain=virus comment="Drop Beagle" dst-port=2535 protocol=tcp
add action=drop chain=virus comment="Drop Beagle.C-K" dst-port=2745 protocol=tcp
add action=drop chain=virus comment="Drop Backdoor OptixPro" dst-port=3410
protocol=tcp
add action=drop chain=virus comment="Drop Sasser" dst-port=5554 protocol=tcp
add action=drop chain=virus comment="Drop Beagle.B" dst-port=8866 protocol=tcp
add action=drop chain=virus comment="Drop Dabber.A-B" dst-port=9898 protocol=tcp
add action=drop chain=virus comment="Drop Dumaru.Y" dst-port=10000 protocol=tcp
add action=drop chain=virus comment="Drop MyDoom.B" dst-port=10080 protocol=tcp
add action=drop chain=virus comment="Drop NetBus" dst-port=12345 protocol=tcp
add action=drop chain=virus comment="Drop Kuang2" dst-port=17300 protocol=tcp
add action=drop chain=virus comment="Drop SubSeven" dst-port=27374 protocol=tcp
 add action=drop chain=virus comment="Drop PhatBot, Agobot, Gaobot" dst-port=65506
protocol=tcp
add action=drop chain=virus comment="Drop Spammer" dst-port=25 protocol=tcp src-
address-list=spammer
add action=add-src-to-address-list address-list=spammer address-list-timeout=1d
chain=virus comment="add to spammer list" connection-limit=30,32 dst-port=25 limit=50,5
\
protocol=tcp

RECOMENDACIONES Y BUENAS PRÁCTICAS PARA CLIENTES EN CASOS DE SPAM Y ENVÍO

MASIVO DE CORREO.

Recomendaciones acerca de las buenas prácticas de envío masivo de correos, las cuales mejorarán
o mantendrán una buena reputación del direccionamiento lógico y a su vez evitara que el
direccionamiento IP sea incluido en listas negras, los cuales afectarán el servicio de correo:

• Organizar los nombres de usuarios por grupos o listas de distribución en forma detallada,
obteniendo selectividad en la información a transmitir y eficiencia en la red. Con esta
buena práctica también es posible evitar bloqueos por parte de otros proveedores de
correo que monitorizan la cantidad de mensajes desde una dirección IP y una vez se llega
al máximo de estos, se comienzan a rechazar.
• Revisar con frecuencia la lista de distribución, revisar los contactos o usuarios de correo
con el fin de descartar posibles cuentas malintencionadas configuradas en los servidores.
• Configurar lapsos de tiempo específicos entre envíos y recepción de mensajes, es decir,
programar una cantidad de correos masivos (alrededor de 30 o 40 mensajes) a transmitir
en intervalos de tiempo (por ejemplo: cada 3 min) y fuera de horas pico.
• Analizar lista de distribución y encabezados de mensajes tales como: “abuse, alarm, spam”.
• Depurar constantemente las listas de correo eliminando direcciones de correo inexistentes
o que presentan fallas al enviar correos.
• Manejar un sistema de RETIRO o BAJA de la lista de distribución de tal manera que los
usuarios puedan solicitar no recibir más correos por medio de la eliminación de la dirección
de correo de la lista.
• Culturizar a los usuarios de correo acerca del uso corporativo que debe darse, no aceptar
invitaciones, ni dar clic a enlaces no conocidos, no inscribir su cuenta de correo en link
sospechosos, e implementar el uso de contraseñas fuertes.
• Realizar envíos de mensajes de tamaño pequeño evita encolamientos y otro tipo de fallas
en los servidores de correo, además de un rechazo del correo por parte de terceros.
• Solicitar la configuración del registro PTR por un nombre no genérico que identifique que
la dirección IP corresponde a un servidor y no a un usuario dinámico con el fin de establecer
un nivel de confianza con otros servidores de correo (MTA) en cuanto a que el
direccionamiento IP y dominio utilizado son los autorizados.
• Configurar el SPF (Sender Policy Framework) en el registro DNS de tipo TXT del dominio
del cual se envía el correo y por medio del cual se autoriza a la dirección IP en cuestión a
enviar correos a nombre del dominio.
 • Enviar correos únicamente del dominio autorizado de acuerdo con el SPF.
• Revisar direcciones IP de la LAN del cliente que generen mayor número de solicitudes al
puerto 25, descartar virus en la red LAN del cliente
• El enlista miento de un direccionamiento IP sólo afecta el servicio de correo y evitarlo es
responsabilidad del cliente.
• Depurar si los mensajes sospechosos de spam provienen siempre de un mismo pool de
direcciones

GRUPO DE INGENIERIA IMS

ingenieria@ims.net.co
Bogotá – Colombia