Webinar incia en

0 Días
0 Horas
0 Minutos
0 Segundos

Webinar Gratuito

Introducción a Protocolo IPv6 con MikroTik RouterOS

Regístrate aqui

Cursos Certificación MikroTik

modalidad Autoestudio

¡ NUEVO ! ... MTCIPv6E (MikroTik Certified IPv6 Engineer)

MTCNA (Network Associate)

MTCTCE (Control de Tráfico y QoS)

MTCRE (Ruteo avanzado, OSPF, VRRP)

MTCINE (Internetworking, BGP, MPLS)

MTCSE (Seguridad Avanzada)

MTCSWE (Switching Avanzado)

Popular Keywords

Categories

No Record Found

View All Results
Facebook-f Twitter Linkedin Youtube Instagram Whatsapp
abcXperts by Academy Xperts - cursos y consultorías MikroTik y Ubiquiti

MikroTik-Cisco-Linux: Buenas Prácticas de Firewall para ISPs y WISPs

  • Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram

Un firewall básico para proteger al router y clientes de la red es el primer paso esencial en cualquier estrategia de seguridad informática. En entornos corporativos, ISPs y WISPs, los ataques externos representan un riesgo constante para la disponibilidad y estabilidad de los servicios.

Por este motivo, implementar un conjunto de reglas de firewall bien diseñadas garantiza la protección del router, los equipos de la red y la integridad de los datos que circulan por la infraestructura.

El firewall básico actúa como una barrera que filtra el tráfico de acuerdo con políticas predefinidas. Estas políticas permiten o bloquean conexiones en función de protocolos, direcciones IP, puertos o comportamientos específicos.

Gracias a este control, el administrador reduce la superficie de ataque y asegura que solo el tráfico legítimo llegue al destino correcto.

Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura

Ir al Test

Fundamentos Teóricos

Definición y funcionamiento del firewall

Un firewall es un sistema de filtrado que inspecciona paquetes y determina si deben permitirse o rechazarse. Este análisis puede realizarse en distintas capas del modelo OSI, dependiendo del tipo de firewall implementado.

Los más comunes se clasifican en tres niveles: filtrado de paquetes, inspección con estado (stateful) y firewalls de aplicación (proxy).

En un entorno básico, el firewall controla el tráfico entrante y saliente de un router. Esto protege tanto al propio dispositivo como a los usuarios detrás de él. Las reglas definen condiciones precisas, como el origen, destino, puerto o tipo de protocolo. Así, el administrador evita accesos no autorizados y mitiga amenazas como escaneos de puertos, intentos de fuerza bruta o ataques de denegación de servicio.

Los algoritmos de coincidencia de reglas utilizan listas ordenadas. El tráfico se procesa de arriba hacia abajo, aplicando la primera regla coincidente. Por ello, un diseño incorrecto puede dejar brechas abiertas. En cambio, un diseño correcto asegura consistencia y eficiencia.

Protocolos y capas involucradas

El firewall básico interactúa principalmente con protocolos de las capas 3 y 4 del modelo OSI. Entre ellos destacan:

  • IP (IPv4 e IPv6): determina direcciones de origen y destino.
  • TCP y UDP: controlan aplicaciones como web, correo, DNS y VoIP.
  • ICMP: usado para pruebas de conectividad, aunque puede explotarse en ataques de red.

Los firewalls modernos permiten además aplicar filtrado avanzado sobre protocolos como GRE, ESP (IPsec), o L2TP. De este modo, protegen tanto comunicaciones tradicionales como túneles VPN.

Ventajas del Firewall Básico

Beneficios principales para ISPs y WISPs

La principal ventaja de un firewall básico es su bajo consumo de recursos frente a soluciones más complejas. Puede ejecutarse directamente en el router sin necesidad de hardware adicional. Esto permite a los ISPs proteger la infraestructura de acceso sin encarecer los costos operativos.

Los firewalls básicos también reducen el impacto de ataques distribuidos al descartar tráfico malicioso en los primeros saltos de red. Al filtrar paquetes en la frontera, se evita saturar enlaces internos. Además, simplifican la gestión de clientes al bloquear intentos de conexión no autorizados hacia servicios internos como SSH, Telnet o Winbox.

Escalabilidad y compatibilidad

Otra ventaja es su flexibilidad. Se pueden aplicar reglas de firewall en equipos de diferentes fabricantes como MikroTik, Cisco o Linux sin alterar la arquitectura de red existente. Esto garantiza compatibilidad con sistemas heterogéneos y escalabilidad conforme la red crece.

Finalmente, la facilidad de replicar configuraciones en múltiples routers agiliza la operación de WISPs que atienden a decenas de nodos de acceso.

Desventajas y Limitaciones

Riesgos de configuraciones inadecuadas

Un firewall básico no está exento de limitaciones. La más común es el riesgo de configuraciones incorrectas que pueden bloquear tráfico legítimo o dejar servicios expuestos. En entornos corporativos, un error en una regla puede causar caídas masivas de conectividad.

Asimismo, los firewalls básicos no ofrecen mecanismos de inspección profunda (DPI). Esto limita la capacidad de detectar ataques más sofisticados como malware oculto en tráfico HTTPS o patrones anómalos en aplicaciones modernas.

Consumo de recursos en routers pequeños

Aunque eficientes, los firewalls básicos consumen CPU y memoria en routers de bajo costo. En escenarios de alto tráfico, una mala optimización de reglas puede degradar el rendimiento y afectar la calidad del servicio.

Por estas razones, en infraestructuras críticas se recomienda complementarlos con sistemas avanzados como IDS/IPS o firewalls de nueva generación (NGFW).

Cuadro Comparativo: Ventajas vs Desventajas

Aspecto

Ventajas

Desventajas

Complejidad

Fácil de implementar

Riesgo de errores de configuración

Rendimiento

Bajo consumo en routers medianos

Puede saturar routers pequeños

Protección

Bloquea accesos y ataques básicos

No detecta amenazas avanzadas

Costo

No requiere hardware adicional

Escalabilidad limitada

Flexibilidad

Compatible con MikroTik, Cisco y Linux

Funcionalidad reducida frente a NGFW

Casos de Uso Reales

ISP y backbone corporativo

En un ISP, el firewall básico se utiliza para proteger el router de borde contra escaneos de puertos y ataques de fuerza bruta hacia servicios de gestión. En redes corporativas, se aplica para restringir accesos internos a servidores críticos.

WISP y laboratorios

En WISPs, las reglas de firewall permiten evitar que un cliente mal configurado sature la red con tráfico broadcast o ponga en riesgo a otros usuarios. En entornos de laboratorio, los firewalls básicos sirven como primer nivel de práctica antes de implementar soluciones más avanzadas.

Tablas Comparativas con Tecnologías Alternativas

Tecnología

Nivel de protección

Complejidad

Costos

Firewall básico

Bajo-medio

Bajo

Nulo

IDS/IPS

Alto

Medio-alto

Medio

NGFW

Muy alto

Alto

Elevado

Proxy de aplicación

Alto

Medio

Variable

Ejercicios Prácticos / Laboratorio

Configuración en MikroTik RouterOS

Reglas básicas sugeridas

Un esquema de firewall inicial en RouterOS podría incluir:

/ip firewall filter
# Proteger el router (INPUT)

/ip firewall filter add chain=input connection-state=established,related action=accept comment="Permitir conexiones establecidas/relacionadas"
add chain=input connection-state=invalid action=drop comment="Descartar conexiones inválidas"
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add chain=input in-interface=WAN action=drop comment="Bloquear todo el tráfico hacia el router desde WAN"

/ip firewall address-list
add address=192.168.88.2-192.168.88.254 list=allowed_to_router

# Proteger a los clientes (FORWARD)
/ip firewall filter add chain=forward connection-state=established,related action=accept comment="Permitir tráfico válido"
add chain=forward connection-state=invalid action=drop comment="Descartar conexiones inválidas"
add action=drop chain=forward comment="Bloquear intentos desde la LAN hacia direcciones que no son públicas" dst-address-list=not_in_internet in-interface=bridge out-interface=!bridge
add action=drop chain=forward comment="Bloquear paquetes entrantes que no están traducidos por NAT" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add action=drop chain=forward comment="Bloquear tráfico entrante desde Internet que no usa direcciones IP públicas" in-interface=ether1 src-address-list=not_in_internet

# Regla final
/ip firewall filter add chain=forward action=drop comment="Bloquear todo lo no permitido"

/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=no_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=not_in_internet

Explicación

Input

  • Se autoriza únicamente el tráfico que ya forma parte de conexiones legítimas (ejemplo: respuesta a una petición web o ping iniciado desde dentro).
  • Se bloquean paquetes corruptos o que no corresponden a ninguna sesión activa.
  • Solo las direcciones definidas en la lista allowed_to_router pueden gestionar el router.
  • Se habilita el uso de ICMP para diagnósticos de red.
  • Se descarta cualquier intento de conexión directa hacia el router desde la interfaz WAN.

Forward

  • Solo pasan conexiones establecidas o relacionadas.
  • Elimina tráfico extraño o sospechoso.
  • Impide que los clientes intenten alcanzar direcciones reservadas que no existen en Internet (spoofing).
  • Protege contra accesos no autorizados a servicios internos que no están publicados.
  • Previene ataques de spoofing desde Internet usando direcciones falsas (ej. 10.x.x.x o 192.168.x.x).
  • Todo lo que no está explícitamente permitido, se bloquea.

Configuración en Cisco IOS

! Crear ACL para permitir solo tráfico válido hacia el router
ip access-list extended FIREWALL-IN
  permit tcp any any established
  permit icmp any any echo-reply
  permit icmp any any time-exceeded
  permit icmp any any unreachable
  deny   tcp any any eq 23      ! Bloquear Telnet
  deny   tcp any any eq 22      ! Bloquear SSH (si no se usa desde WAN)
  deny   tcp any any eq 80      ! Bloquear HTTP al router
  deny   tcp any any eq 8291    ! Similar a Winbox en MikroTik (puerto de gestión externo)
  deny   ip any any log         ! Bloquear todo lo demás

! Aplicar ACL en la interfaz WAN
interface GigabitEthernet0/0
 ip access-group FIREWALL-IN in

! Proteger plano de control (CoPP)
control-plane
 service-policy input FIREWALL-IN

Explicación

  • Se permite solo tráfico ya establecido y respuestas ICMP necesarias.
  • Se bloquean servicios de administración inseguros desde Internet.
  • Se aplica la ACL en la interfaz WAN para proteger el router.

Configuración en Linux IPTables

# Limpiar reglas previas
iptables -F
iptables -X

# Política por defecto: DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# Permitir loopback
iptables -A INPUT -i lo -j ACCEPT

# Permitir tráfico ya establecido
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Permitir ICMP (ping limitado)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Bloquear paquetes inválidos
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state INVALID -j DROP

# Proteger puertos de administración
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT   # SSH solo desde LAN
iptables -A INPUT -p tcp --dport 22 -j DROP                       # Bloquear SSH externo
iptables -A INPUT -p tcp --dport 80 -j DROP                       # Bloquear HTTP al router
iptables -A INPUT -p tcp --dport 443 -j DROP                      # Bloquear HTTPS al router

# Permitir NAT y forwarding a clientes (si es gateway)
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Explicación

  • La política por defecto es bloquear (DROP).
  • Solo se permite tráfico válido y controlado.
  • SSH está restringido a la red interna (LAN).
  • ICMP se permite con límite de tasa para evitar abusos.
  • Se definen reglas de FORWARD si el servidor hace NAT para clientes.

Buenas Prácticas y Recomendaciones

  • Definir políticas explícitas de deny all al final de la cadena.
  • Permitir únicamente servicios necesarios para administración.
  • Mantener actualizado el firmware o sistema operativo del router.
  • Documentar cada regla con comentarios claros.
  • Implementar copias de seguridad periódicas de la configuración.

Errores Comunes y Cómo Evitarlos

  • Abrir todos los puertos: reduce la seguridad y expone servicios.
  • No usar comentarios en reglas: dificulta la administración.
  • Orden incorrecto de reglas: puede invalidar configuraciones.
  • Ignorar tráfico ICMP: complica diagnósticos de red.

Conclusiones

El firewall básico para proteger al router y clientes de la red es una herramienta fundamental en la defensa perimetral de cualquier infraestructura. Aunque no sustituye a sistemas avanzados, proporciona un nivel de seguridad inicial suficiente para ISPs, WISPs y entornos corporativos. Su correcta implementación minimiza riesgos, mejora la estabilidad y asegura la continuidad de los servicios.

Recursos Adicionales

Preguntas Frecuentes

No completamente. Ayuda a mitigar tráfico no deseado, pero ataques masivos requieren soluciones avanzadas.

Sí, siempre que se complemente con monitoreo y buenas prácticas de seguridad.

El básico filtra por IP, puertos y protocolos; el avanzado realiza inspección profunda de paquetes y aplicaciones.

Sí, pero se deben definir reglas específicas para IPv6.

Las necesarias para cubrir políticas de seguridad, evitando configuraciones excesivas que afecten rendimiento.

En routers pequeños puede impactar el CPU, pero en equipos medianos y grandes es prácticamente imperceptible.

Breve cuestionario de conocimientos

¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?

QUIZ - MikroTik-Cisco-Linux: Buenas Prácticas de Firewall para ISPs y WISPs

Libros recomendados para éste artículo

Etiquetas: ISP, MikroTik RouterOS, Cisco IOS, WISP, hardening de routers, Seguridad de Red, Linux iptables, Reglas de Firewall, IDS/IPS, firewall básico

Autoestudio MikroTik

Estudia las certificaciones MikroTik a tu propio ritmo

Autoestudio

Aprende a tu propio ritmo

advertisement (anuncio)

Artículos Relacionados

MikroLABs

Otros temas que te pueden interesar

advertisement (anuncio)

Anuncia tu marca aquí - Escríbenos por WhatsApp (+593 98 700 0604) - abcXperts / Academy Xperts
Escríbenos por WhatsApp (+593 98 700 0604)

¿Quieres sugerir un tema?

Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Tema para el proximo Blog

Próximos Cursos

Libros MikroTik (español)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

MONARC Latin America: Soluciones Tecnológicas - Guatemala.
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear

AcademyXperts BETA 1.0

Tu asistente virtual de AcademyXperts

Cuéntanos un poco sobre tí.

Así podremos darte la mejor recomendación

El teléfono no es válido

Confírmanos tus datos

Nuestros horarios son de Lunes a Viernes de 9:00 AM a 6:00 PM.

Atención: Lunes a Viernes de 9:00 AM a 6:00 PM (Ecuador GMT-5).