(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
$19,97
¿Qué es un firewall de filtrado de paquetes y cómo funciona?
- Ingrid Espinoza
- No hay comentarios
- Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Un firewall de filtrado de paquetes (o packet filtering firewall) es un sistema de seguridad que controla el tráfico de red analizando cada paquete de datos de forma individual y tomando decisiones basadas en reglas predefinidas.
En términos simples: revisa la “etiqueta” del paquete (no su contenido interno) y decide si lo deja pasar o lo bloquea.
Es uno de los tipos de firewall más antiguos y también uno de los más rápidos, porque trabaja con información básica como:
Dirección IP de origen
Dirección IP de destino
Puerto
Protocolo (TCP, UDP, ICMP)
Sin embargo, su simplicidad también es su mayor limitación.
¿Qué es un firewall de filtrado de paquetes?
Un firewall de filtrado de paquetes es un dispositivo o software que opera en la capa 3 (Red) del modelo OSI y toma decisiones basándose únicamente en los datos del encabezado del paquete.
No inspecciona el contenido interno (payload).
No analiza comportamiento.
No recuerda conexiones anteriores (en su versión stateless).
Imagina que es como un guardia que solo mira:
De dónde vienes
A dónde vas
Por qué puerta quieres entrar
Pero no revisa lo que llevas dentro de la mochila.
El proceso ocurre en milisegundos:
Llega un paquete a la red.
El firewall revisa su encabezado.
Compara los datos con una lista de reglas (ACL – Access Control List).
Decide: permitir o bloquear.
Qué información analiza
El firewall examina:
Dirección IP de origen y destino
Puerto de origen y destino
Protocolo (TCP, UDP, ICMP)
Flags del encabezado TCP
Interfaz de red utilizada
Por ejemplo:
Permitir tráfico TCP entrante al puerto 80
Bloquear todo tráfico FTP (puerto 21)
Denegar IP 192.168.10.15
Si el paquete coincide con una regla de permiso → entra.
Si coincide con una regla de bloqueo → se descarta.
Si no coincide con ninguna regla → normalmente se bloquea (según configuración).
En qué capa del modelo OSI opera
El firewall de filtrado de paquetes trabaja principalmente en:
Capa 3 (Red)
A veces parte de Capa 4 (Transporte)
Eso significa que no tiene visibilidad sobre la capa de aplicación (HTTP, HTTPS, etc.), a diferencia de los firewalls modernos como los NGFW.
Tipos de firewall de filtrado de paquetes
Aunque suelen considerarse simples, existen varias variantes.
Firewall estático
Las reglas se configuran manualmente y permanecen iguales hasta que el administrador las cambie.
- Fácil de implementar
- Poco flexible
Suele usarse en redes pequeñas o entornos muy controlados.
Firewall dinámico
Permite abrir o cerrar puertos automáticamente según condiciones predefinidas.
Por ejemplo:
Abrir un puerto solo durante una transferencia FTP.
Cerrar automáticamente después.
Ofrece más flexibilidad que el estático.
Firewall stateless
Evalúa cada paquete de forma independiente.
No recuerda conexiones anteriores.
Ventaja: extremadamente rápido.
Desventaja: menos seguro.
Si un atacante envía tráfico malicioso por un puerto permitido, el firewall lo dejará pasar.
Firewall stateful
Mantiene una tabla de estados de conexión.
Sabe si un paquete forma parte de una sesión ya establecida.
Esto mejora considerablemente la seguridad, aunque aumenta el consumo de recursos.
Ventajas del firewall de filtrado de paquetes
Alta velocidad
Al no hacer inspección profunda, el procesamiento es muy rápido.
Bajo consumo de recursos
Ideal para entornos con hardware limitado.
Costo reducido
Muchos routers incluyen filtrado de paquetes integrado.
Implementación sencilla
En redes pequeñas puede configurarse en minutos.
Desventajas y limitaciones
Aquí es donde la competencia suele quedarse corta. Vamos más allá.
No inspecciona el contenido
Si un archivo malicioso viaja por el puerto 80 (HTTP), el firewall lo dejará pasar.
Vulnerable a IP spoofing
Puede ser engañado si el atacante falsifica la dirección IP.
No almacena contexto (en modo stateless)
No detecta patrones complejos de ataque.
Registro limitado
Muchos sistemas de filtrado de paquetes generan pocos logs, lo que dificulta auditorías y cumplimiento normativo.
Escalabilidad limitada
En redes grandes, gestionar manualmente cientos de reglas puede volverse caótico.
Firewall de filtrado de paquetes vs otros tipos de firewall
Vs firewall stateful
| Característica | Packet Filtering | Stateful |
|---|---|---|
| Guarda estado | No (en versión básica) | Sí |
| Velocidad | Muy alta | Alta |
| Seguridad | Básica | Media-Alta |
| Inspección profunda | No | Parcial |
Vs Proxy Firewall
El proxy trabaja en capa 7 (aplicación).
Puede inspeccionar contenido.
Puede autenticar usuarios.
El firewall de filtrado de paquetes no hace nada de eso.
Vs NGFW (Next Generation Firewall)
Un NGFW incluye:
Deep Packet Inspection
IPS/IDS
Control de aplicaciones
Inspección SSL
Inteligencia de amenazas
En comparación, el packet filtering firewall es una tecnología básica.
¿Cuándo conviene usar un firewall de filtrado de paquetes?
Puede ser útil cuando:
Se necesita máxima velocidad.
La red es pequeña.
Se usa como primera capa perimetral.
Forma parte de una arquitectura en capas.
No es recomendable como única defensa en entornos empresariales modernos.
Errores comunes al configurarlo
Permitir rangos IP demasiado amplios.
Dejar puertos abiertos innecesariamente.
No establecer una política “deny all” por defecto.
No revisar reglas antiguas.
No documentar cambios en ACL.
Estos errores reducen drásticamente su eficacia.
Conclusión: ¿Sigue siendo útil hoy?
El firewall de filtrado de paquetes fue la base de la seguridad perimetral en los años 80 y 90.
Hoy sigue siendo útil, pero no suficiente por sí solo.
Es rápido, simple y económico.
Pero carece de inspección profunda y análisis contextual.
En una arquitectura moderna, funciona mejor como:
Primera capa de filtrado
Componente dentro de una estrategia de seguridad en capas
Complemento a firewalls stateful o NGFW
Preguntas Frecuentes
¿Qué hace un firewall de filtrado de paquetes?
Controla el tráfico de red permitiendo o bloqueando paquetes según reglas basadas en IP, puertos y protocolos.
¿Es lo mismo que un firewall stateless?
No exactamente. El filtrado de paquetes suele ser stateless, pero puede existir versión stateful.
¿Es seguro usarlo hoy?
Sí, pero no como única protección en entornos empresariales.
¿En qué capa del modelo OSI trabaja?
Principalmente en la capa 3 (Red).
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
Libro Conceptos Fundamentales de MikroTik, RouterOS v7
Material de estudio para el Curso de Certificación MTCNA, actualizado a RouterOS v7
$19,97
Autoestudio MikroTik
Estudia las certificaciones MikroTik a tu propio ritmo
Autoestudio
Aprende a tu propio ritmo
advertisement (anuncio)
Artículos Relacionados
MikroLABs
Otros temas que te pueden interesar
advertisement (anuncio)
Escríbenos por WhatsApp (+593 98 700 0604)
¿Quieres sugerir un tema?
Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Próximos Cursos
Libros MikroTik (español)
advertisement (anuncio)
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear