Webinar incia en

0 Días
0 Horas
0 Minutos
0 Segundos

Webinar Gratuito

Introducción a Protocolo IPv6 con MikroTik RouterOS

Regístrate aqui

Cursos Certificación MikroTik

modalidad Autoestudio

¡ NUEVO ! ... MTCIPv6E (MikroTik Certified IPv6 Engineer)

MTCNA (Network Associate)

MTCTCE (Control de Tráfico y QoS)

MTCRE (Ruteo avanzado, OSPF, VRRP)

MTCINE (Internetworking, BGP, MPLS)

MTCSE (Seguridad Avanzada)

MTCSWE (Switching Avanzado)

Popular Keywords

Categories

No Record Found

View All Results
Facebook-f Twitter Linkedin Youtube Instagram Whatsapp
abcXperts by Academy Xperts - cursos y consultorías MikroTik y Ubiquiti

Protege tu MikroTik con Port Knocking: Oculta y protege tus servicios de forma invisible

  • Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram

El Port Knocking en MikroTik RouterOS es una técnica de seguridad que mantiene cerrados todos los puertos expuestos al Internet hasta que un cliente autorizado envía una secuencia secreta de “golpes” (knocks) en puertos previamente definidos.

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

Solo tras recibir dicha secuencia en el orden correcto, el router permite temporalmente el acceso al host, añadiéndolo a una lista blanca.

Con esta estrategia, los servicios como SSH, Winbox o VPN permanecen invisibles a bots y escaneos, incrementando significativamente la protección perimetral  .

Funcionamiento y configuración inicial

La configuración básica de Port Knocking en RouterOS sigue esta lógica:

  1. Primer knock: se detecta un intento de conexión a un puerto, y se añade la IP del cliente a una lista temporal.
  2. Knock intermedio(s): se verifica que dicha IP esté en la lista anterior antes de avanzar.
  3. Knock final: se ubica al cliente en una lista segura (“secured”), a la que luego se permite acceder a servicios específicos.
  4. Reglas firewall: permiten conexiones solo desde direcciones incluidas en “secured”; el resto se descarta.

Ventajas y limitaciones

Ventajas:

  • Añade una capa de seguridad “por oscuridad”, ocultando puertos expuestos  .
  • Es eficiente en recursos, ya que solo se procesan paquetes aparentemente inocuos sin payload.
  • Personalizable: se puede combinar con listas negras, tiempos límite, protocolos variados y hasta inspección Layer7  .

Limitaciones:

  • No sustituye mecanismos robustos de autenticación o VPN.
  • Puede ser vulnerable a sniffing o ataques de repetición sin cifrado adicional. Por ello, es recomendable integrarlo en una estrategia de defensa en profundidad  .
  • Si la configuración falla, podrías bloquearte a ti mismo.

Ejemplo práctico: secuencia de tres knocks

Basado en la guía oficial:

/ip firewall filter
add action=add-src-to-address-list address-list=knock1 address-list-timeout=30s \
    chain=input dst-port=888 in-interface-list=WAN protocol=tcp

add action=add-src-to-address-list address-list=knock2 address-list-timeout=30s \
    chain=input dst-port=555 in-interface-list=WAN protocol=tcp src-address-list=knock1

add action=add-src-to-address-list address-list=secured address-list-timeout=5m \
    chain=input dst-port=222 in-interface-list=WAN protocol=tcp src-address-list=knock2

add chain=input src-address-list=secured action=accept in-interface-list=WAN

add action=drop chain=input in-interface-list=WAN

Integraciones avanzadas

  • Blacklisting: puedes agregar reglas adicionales que penalicen accesos erróneos recurrentes (ej., añadir a lista “blacklist”).
  • Knocks con Layer7: permite que los paquetes contengan frases secretas, incrementando la seguridad.
  • Snippets de usuarios: implementaciones en foros y Reddit demuestran el uso de scheduler y scripts para automatizar acciones luego del knock exitoso, como activar NAT o cambiar VLANs.

Ejemplo avanzado: port knocking ICMP + tamaño de paquete

/ip firewall filter
add action=add-src-to-address-list address-list=first-knock packet-size=100 protocol=icmp \
    chain=input

add action=add-src-to-address-list address-list=second-knock packet-size=200 protocol=icmp \
    chain=input src-address-list=first-knock

add action=accept chain=input src-address-list=second-knock dst-port=8291,22 protocol=tcp
add action=drop chain=input dst-port=8291,22 protocol=tcp src-address-list=!second-knock

El cliente puede ejecutar:

ping -s 100 tuIP
ping -s 200 tuIP

Recomendaciones finales

  1. Mantén tiempos de timeout razonables (por ejemplo, 30 segundos entre knocks).
  2. Combina port knocking con debidas capas de autenticación (VPN, SSH keys).
  3. Implementa listas negras (blacklist) para bloquear patrones sospechosos.
  4. Incrementa secuencias con Layer7 si necesitas mayor seguridad.
  5. Prueba siempre en modo Safe-mode para evitar perder acceso.

Conclusión

El Port Knocking en MikroTik RouterOS es una técnica eficaz para mantener oculta la superficie de ataque de tu router, especialmente cuando los servicios deben estar protegidos contra escaneos automatizados.

Bien configurado, este sistema ofrece una capa adicional de defensa con bajo impacto de recursos, ideal para administradores que buscan fortalecer la seguridad perimetral.

Breve cuestionario de conocimientos

¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?

QUIZ - Protege tu MikroTik con Port Knocking: Oculta y protege tus servicios de forma invisible

Libros recomendados para éste artículo

Etiquetas: Blacklist MikroTik, Técnicas de ocultamiento de puertos, Reglas Firewall Avanzadas, Mikrotik avanzado, Knock Sequence MikroTik, Protección SSH Winbox, Seguridad perimetral routers, Firewall MikroTik, Seguridad en RouterOS, Port Knocking MikroTik

Autoestudio MikroTik

Estudia las certificaciones MikroTik a tu propio ritmo

Autoestudio

Aprende a tu propio ritmo

advertisement (anuncio)

Artículos Relacionados

MikroLABs

Otros temas que te pueden interesar

advertisement (anuncio)

Anuncia tu marca aquí - Escríbenos por WhatsApp (+593 98 700 0604) - abcXperts / Academy Xperts
Escríbenos por WhatsApp (+593 98 700 0604)

¿Quieres sugerir un tema?

Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Tema para el proximo Blog

Próximos Cursos

Libros MikroTik (español)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

MONARC Latin America: Soluciones Tecnológicas - Guatemala.
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear

AcademyXperts BETA 1.0

Tu asistente virtual de AcademyXperts

Cuéntanos un poco sobre tí.

Así podremos darte la mejor recomendación

El teléfono no es válido

Confírmanos tus datos

Nuestros horarios son de Lunes a Viernes de 9:00 AM a 6:00 PM.

Atención: Lunes a Viernes de 9:00 AM a 6:00 PM (Ecuador GMT-5).