BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

¿Puede tu operadora bloquear algunos puertos en la conexión de fibra?

Josh
Bloqueo de puertos

Las operadoras impiden a sus clientes conectarse a través de algunos puertos, como el 25, alegando razones de seguridad. En algunos casos es imposible alojar un servidor en ciertos puertos. ¿Es legal que la operadora impida que aproveches tu conexión?

Para qué sirven los puertos y cómo se bloquean

Además de la dirección IP a la que deben entregarse, los paquetes que circulan por la red especifican el número de puerto al que van destinados. El equipo que tiene la IP de destino asignada puede entonces entregar los datos a la aplicación que escucha en ese puerto. De esta forma hasta 65.536 aplicaciones, tantas como números de puertos existen, pueden utilizar la conexión a la vez en un mismo equipo.

Cuando el equipo emite un paquete IP incluye en él su dirección, puerto de origen y la dirección IP y puerto de destino. Si por el contrario el equipo actúa como servidor, abre un puerto para esperar que lleguen conexiones entrantes en forma de paquetes destinados a ese número de puerto. Esta comunicación entre un equipo en nuestra red y un equipo remoto puede verse interrumpida cuando la operadora analiza el número de puerto que contiene el paquete y por alguna razón lo descarta no entregándolo a su destino. Cuando esto ocurre decimos que el puerto está bloqueado.

Qué puertos bloquean las operadoras

Operadora filtrando puertos

Las operadoras de internet pueden bloquear puertos tanto para el tráfico saliente como para el entrante. El puerto comúnmente más bloqueado para el tráfico saliente es el 25, utilizado habitualmente por el servicio SMTP, que corre en millones de servidores de internet esperando correo entrante. El objetivo de este bloqueo es impedir que ordenadores de la red local infectados de malware puedan usarse para enviar spam sin que el propietario lo sepa. También podría bloquearse el puerto 53 para evitar que el cliente utilice servidores DNS alternativos a los de la operadora, pero como veremos, esto no se sustentaría legalmente.

Cuando se bloquea el tráfico entrante, el objetivo suele ser frenar el ataque a puertos que el usuario puede tener abiertos por error, como los puertos NetBIOS (135-139, 445), utilizado tradicionalmente por Windows para compartir archivos e impresoras, o directamente para impedir que el cliente albergue servicios en su conexión, como un servidores web o FTP. Esto normalmente se hace bloqueando las conexiones entrantes al puerto 1024 e inferiores.

También puedes encontrarte los puertos bloqueados de forma indirecta. Por ejemplo si utilizas una conexión móvil, donde se bloquea el tráfico de entrada para evitar que el móvil tenga que responder a peticiones y escanéos, lo que consumiría batería, o porque tu conexión detrás de CG-NAT, lo que hace que los puertos que abres en tu router sean inalcanzables desde internet. También en algunos casos el router impide utilizar ciertos puertos.

¿Es legal bloquear puertos?

El reglamento europeo sobre neutralidad de la red1 permite que las operadoras tomen "medidas razonables de gestión del tráfico", pero esto no incluye el bloqueo de "contenidos, aplicaciones o servicios concretos o categorías específicas". Hay excepciones a esta prohibición, y es cuando sean necesario tomar medidas extraordinarias con el fin de proteger la red de un ataque.

Medidas de gestión del tráfico que van más allá de las medidas razonables de gestión del tráfico, pueden ser necesarias para proteger la integridad y la seguridad de la red, por ejemplo para evitar ciberataques consistentes en la propagación de programas informáticos malintencionados o en la usurpación de la identidad de los usuarios finales consecuencia de los programas espía.

El "super" regulador de telecomunicaciones de la UE dice2 que esto puede hacerse con las siguientes medidas:

  • Bloqueo de direcciones IP, o rangos de ellas, porque son fuentes conocidas de ataques.
  • Bloqueo de direcciones IP desde las que se origina un ataque real.
  • Bloqueo de direcciones IP/IAS (Internet Access Service) que muestren un comportamiento sospechoso (por ejemplo, comunicación con componentes de red, falsificación de direcciones).
  • Bloqueo de direcciones IP cuando existan claros indicios de que forman parte de una red de bots.
  • Bloqueo de números de puerto específicos que constituyen una amenaza para la seguridad y la integridad.

Estos bloqueos no pueden ser fijos, sino que primero debe detectarse una amenaza por algún sistema de monitoreo activo y entonces aplicarse el bloqueo de forma temporal mientras sea necesario.

Como vemos, la operadora sólo puede bloquear para proteger la red y nunca por cuestiones comerciales, como obligar a que el usuario contrate una conexión de empresa si quiere alojar servidores.

Las operadoras españolas admiten3 a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales que bloquean sistemáticamente el puerto 25 para las conexiones salientes para evitar el envío de spam, pero deshabilitan este filtrado si el cliente lo pide.

Cuando un cliente se ve afectado negativamente por este bloqueo, por ejemplo, por tener un servidor de correo funcionando en su domicilio, podría solicitar al operador el desbloqueo del mismo.

La segunda medida habitual consiste en bloquear el tráfico cuando detectan que la conexión se está utilizando en un ataque de denegación de servicio distribuido DDoS.

La segunda práctica sería la restricción del tráfico al detectarse ataques de denegación de servicio distribuido (DDoS – Distributed Denial of Service): Cuando se detecta un ataque DDoS, el tráfico se redirige a unos equipos que bloquean el tráfico ilícito y dejan pasar el lícito.

Fuera de estos dos supuestos, cualquier bloqueo podría ser contrario a la normativa y una reclamación ante Usuarios Teleco obligaría a la operadora a retirarlo.

  1. Reglamento (UE) 2015/2120
  2. BEREC Guidelines on the Implementation of the Open Internet Regulation pág. 28
  3. Informe Neutralidad SETELECO pág. 73
vukits
5

y luego están los firmwares buggeados de cablerouters de Vodafone, que alguonos puertos no hay forma humana de abrirlos

Amenhotep

Recuerdo que algún router de Orange impedía acceder a la dirección 1.1.1.1 porque formaba parte de una VLAN interna del fabricante chino del router ¿Eso acabaron arreglándolo?

🗨️ 6
apocalypse
1

Y el HGU de Movistar. Para comunicarse con el SoC de Quantenna.

mateodd

También el H500S de Vodafone

🗨️ 1
apocalypse

Yo creo que todos o casi todos los routers con SoC Quantenna. Parece como si su SDK tuviese esa IP por defecto y así quedó.

rbetancor

Orange nunca lo arregló, Movistar, lo arregló a medias … XDD

🗨️ 1
skgsergio

Patadon para adelante, en mi HGU cambiaron la interfaz que secuestraba el 1.1.1.1 por 2.2.2.2…

pjpmosteiro
3

También te digo, de poco sirve abrir el 25 porque las IPs de los pools de las operadoras suelen estar más que blacklisted en los servidores, cuando empecé a montar servidores de correo hace 10 años me acuerdo que lo montara en casa, pedí a R levantar el 25 y era imposible mandar nada, todos los servidores me rechazaban la conexión porque estaba marcado en spamhaus y demás.

🗨️ 2
PercebesBenz

Aún hay de esas llamadas al 1002, y no me faltan ganas de decir ¿Pero para qué lo quieres alma cándida?

yomimmo

Yo en Vodafone (Ono Blanco HFC ) sigo teniendo abierto el 25 tanto de entrada como de salida y aunque casi no lo uso aun mantengo un servidor de correo (ahora mismo acabo de mandar un mail a mi cuenta de gmail y no ha habido ningun rechazo al mismo.

Guderian

Buenas tardes. Esto me vendria bien para que permitiera el saliente del 445 para SMB 3.

Vodafone / Lowi lo tiene capado, pero Movistar / O2 lo permite.

De lo mismo lo reclamo. En su dia la excusa fue 'medidas de seguridad'.

Saludos

🗨️ 2
Amenhotep
3

No te recomiendo abrir un puerto SMB en Internet en efecto por TU seguridad.

El SMB no es un protocolo pensado para una red abierta sino para redes locales.

Mejor usa una VPN o ZeroTier y ahí puedes meterle SMB o lo que te apetezca.

🗨️ 1
Guderian

Hola, gracias por tu respuesta. Es para unas pruebas de rendimiento contra una cuenta de almacenamiento de Azure.

Nada serio.

Saludos

Metro Copito

Como usuario doméstico agradezco que las operadoras velen por mi propia seguridad, manteniendo cerrados puertos por los que nada bueno puede entrar.

Y aun así el Fortnite me funciona divinamente, cabe añadir.

🗨️ 14
Aeri

Como usuario avanzado odio que las operadoras digan que "velan por mi propia seguridad", no proporcionando los datos de mi propia conexión o las credenciales de administrador de los CPE.

Nunca llueve al gusto de todos.

🗨️ 13
Metro Copito

¿Por qué piensa usted que, por norma general, no quieren proporcionar dicha información?

🗨️ 12
Aeri

Está clarísimo, para no dejar a los usuarios usar sus propios equipos, estar supeditado a sus configuraciones y de paso quitarse eso de encima de los centros de atención al cliente, pero NO provee de forma alguna mayor seguridad.

Luego está el blog de MásMóvil diciendo lo bueno que es que ellos usen CG-NAT argumentando que es un mecanismo de seguridad y que la conexión va a ser más privada :) lo de la seguridad es siempre una excusa.

🗨️ 11
Metro Copito

Soy un usuario muy básico e ingenuo, pero tengo la sensación de que con este tipo de medidas SÍ que obtienen mayor seguridad: Para sus propios sistemas y para el resto de conectados a la red. Dado que los usuarios avanzados suelen ser de naturaleza más traviesa.

Y la mayoría de clientes tan contentos con el Netflix, torrents y nuestro Fortnite. Así que bien, todo en orden.

🗨️ 10
yomimmo
🗨️ 5
Pretur

No sé que interés puede tener hoy en día que te abran el 25 si total desde una IP sin resolución inversa vas a estar bloqueado antes de empezar en todos los servidores de correo del planeta.

🗨️ 7
PezEnLaBoca

Para hacer comprobaciones vía telnet (ni que sea para ver que el servidor rechaza la conexión o el mensaje después del MAIL FROM o del RCPT TO), para pasar los correos a un relay que usa el puerto 25 y seguramente hay muchos más casos.

🗨️ 6
Pretur

Para hacer comprobaciones en el servidor de correo no hace falta que tengas abierto el 25, además de que primero haría falta que te dejen llegar al servidor y no tengas antes una autenticación con un proxy Nginx o similar, cada día más común.

Si haces relay a través de tu IP a un servidor de correo externo van a spam directos

🗨️ 5
PezEnLaBoca

Pues, yo sigo haciendo comprobaciones desde casa y, claro, si el servidor al otro lado está en el puerto 25, hace falta que el 25 esté abierto (es de perogrullo).

Por otro lado, desde que las direcciones residenciales están en las listas negras uso un relay y los correos llegan sin problema a su destino (como tiene que ser).

En todo caso será cada usuario que tendrá que decidir si necesita el puerto abierto, no la operadora.

🗨️ 4
Pretur

Si el servidor del otro lado está en el 25 tendrá que tenerlo abierto el servidor, no tú.

🗨️ 3
Pretur
🗨️ 1