El Connection Tracking en MikroTik es un tema profundo e interesante. Además, es fundamental en el funcionamiento general del enrutador. Pero, ¿qué es y cómo funciona? Comenzaremos nuestra exploración de este tema de inmediato.
Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura
Qué es el Connection Tracking
En pocas palabras, es una característica de los routers MikroTik que rastrea las conexiones de red que pasan por el router. Se utiliza principalmente para el filtrado de paquetes, el seguimiento del estado de las conexiones y para hacer NAT (Network Address Translation).
Cómo funciona
El Connection Tracking sigue un protocolo de trabajo bastante intuitivo. Cuando se establece una conexión a través del router, el router recuerda detalles de esta conexión, esencialmente “rastreándola“.
Estos detalles pueden incluir:
- la dirección IP de origen y destino
- los puertos utilizados, y
- el estado actual de la conexión.
Esto es extremadamente útil para administrar la red y garantizar la seguridad, ya que permite al router tomar decisiones basadas en el estado actual de la conexión.
Por ejemplo
Si un paquete llega a una conexión que el router no reconoce, puede bloquearlo, lo que ayuda a proteger la red de intrusiones y ataques. Del mismo modo, el router puede redirigir paquetes según las reglas de NAT basadas en la información de seguimiento de conexiones.
Estados de conexión
Ahora, echemos un vistazo más de cerca a cómo el Connection Tracking de MikroTik maneja los diferentes estados de conexión.
En términos generales, existen cuatro estados principales:
- NEW
- ESTABLISHED
- RELATED, y
- INVALID
NEW
Este estado se aplica cuando se inicia una nueva conexión.
- Ejemplo: Un usuario intenta abrir una nueva página web en su navegador. Al enviar la primera solicitud al servidor web, esta conexión se considera NEW.
ESTABLISHED
Este estado se aplica cuando los paquetes comienzan a fluir a través de la conexión después de que se ha iniciado.
- Ejemplo: Después de que el usuario abre la página web, la conexión con el servidor web se establece y comienza a enviar y recibir paquetes.
RELATED
Este estado se aplica a los paquetes que son parte de una conexión ya establecida, pero no de la conexión principal.
- Ejemplo: Un usuario está viendo un vídeo en un sitio web. La conexión para la carga del vídeo puede considerarse RELATED, ya que es parte de la conexión establecida con el sitio web pero no es la conexión principal (la conexión principal sería la conexión con la página web en sí).
INVALID
Este estado se aplica cuando el Connection Tracking no puede asociar un paquete con ninguna conexión existente.
- Ejemplo: Un paquete llega al router de un servidor que no ha estado en comunicación con el usuario. No puede ser asociado con ninguna conexión existente, por lo que se considera INVALID.
Ejemplos de cada estado de la conexión TCP en el Connection Tracking
established
Este es el estado normal para el intercambio de datos una vez que una conexión TCP se ha completado. Ejemplo: Un usuario está navegando por una página web después de que se ha establecido la conexión con el servidor.
time-wait
Este estado ocurre después de que una conexión ha sido cerrada, y dura por un período de tiempo definido para manejar paquetes que pueden estar en tránsito. Ejemplo: Un usuario cierra una página web, pero el navegador aún puede recibir datos durante unos minutos.
close
Este es el estado final después de que una conexión ha sido completamente cerrada y ya no existe. Ejemplo: Un usuario ha cerrado su navegador y la conexión con el servidor web se ha cerrado completamente.
syn-sent
Este estado ocurre cuando una conexión está siendo inicializada y el primer paquete SYN ha sido enviado, pero aún no ha recibido la respuesta del servidor. Ejemplo: Un usuario intenta abrir una página web y su navegador envía una solicitud al servidor web, pero aún no ha recibido respuesta.
syn-received
Este estado ocurre cuando se ha recibido un paquete SYN, pero la conexión aún no está completamente establecida. Ejemplo: Un servidor web recibe una solicitud de un navegador, pero todavía está procesando la solicitud.
Cada uno de estos estados representa una etapa en el ciclo de vida de una conexión TCP y es esencial para el correcto funcionamiento del protocolo.
Seguridad
El Connection Tracking en MikroTik juega un papel vital en el manejo de la red y la seguridad. No solo permite al router recordar detalles de las conexiones para un mejor manejo de la red, sino que también contribuye a una mayor seguridad al bloquear paquetes de conexiones no reconocidas.
Ventajas y desventajas del Connection Tracking:
Es importante recordar que, aunque el Connection Tracking es una herramienta potente, también tiene sus desventajas. Puede consumir una cantidad considerable de recursos del router, por lo que es importante equilibrar su uso con las necesidades específicas de tu red.
Ventajas | Desventajas |
---|---|
Análisis detallado: El Connection Tracking permite obtener información detallada sobre cada conexión en tu red, incluyendo el estado, el protocolo utilizado, la dirección de origen y destino, y muchos otros detalles. | Consumo de recursos: El Connection Tracking puede consumir recursos significativos en el enrutador, especialmente en redes con un gran número de conexiones. |
Seguridad mejorada: Al hacer un seguimiento de cada conexión, puedes identificar comportamientos sospechosos o anómalos que pueden indicar un problema de seguridad. | Complejidad: El Connection Tracking puede ser complejo de entender y gestionar, especialmente para los usuarios menos técnicos. |
Soporte para características avanzadas: Algunas características avanzadas de MikroTik, como la NAT de destino y origen y la marcación de conexiones, dependen del Connection Tracking. | Posibles problemas de rendimiento: En algunos casos, el Connection Tracking puede afectar al rendimiento de la red, especialmente si el enrutador tiene recursos limitados. |
Soporte para protocolos complejos: El Connection Tracking puede manejar protocolos complejos que implican múltiples conexiones, como FTP y SIP. |
Es importante recordar que, aunque el Connection Tracking puede tener desventajas, estas pueden mitigarse mediante una gestión adecuada de la red y la elección de un enrutador adecuado para tus necesidades.
Tabla: descripción y ejemplo de cada propiedad del Connection Tracking
Propiedad | Descripción | Ejemplo |
---|---|---|
assured | Indica si la conexión es segura | Tienes una VPN establecida y quieres asegurarte de que no se borrará |
confirmed | Confirma que se ha enviado un paquete | Un paquete es enviado desde tu dispositivo a un servidor remoto |
connection-mark | Marca de conexión establecida por la regla de mangle | Has configurado una regla de mangle para marcar ciertas conexiones para QoS |
connection-type | Tipo de conexión | Has establecido una conexión PPTP para una VPN o estás transfiriendo archivos utilizando FTP |
dst-address | Dirección y puerto de destino | Estás enviando una solicitud a un servidor web, la dirección de destino sería la dirección IP de ese servidor |
dstnat | La conexión ha pasado a través de DST-NAT | Has configurado un reenvío de puerto para que tu servidor web sea accesible desde el exterior |
dying | La conexión está finalizando debido a un tiempo de espera de conexión | Una conexión no se ha utilizado durante un tiempo y está a punto de cerrarse |
expected | La conexión se establece usando asistentes de conexión | Has configurado reglas de servicio predefinidas para ciertos protocolos como FTP |
fasttrack | La conexión está en FastTrack | Estás utilizando la característica FastTrack para mejorar el rendimiento de ciertas conexiones |
gre-key | Contenido del campo Clave GRE | Estás utilizando una conexión GRE VPN que utiliza una clave específica para la seguridad |
gre-protocol | Protocolo de la carga útil encapsulada | Estás transmitiendo datos a través de una conexión VPN GRE |
gre-version | Versión del protocolo GRE utilizada en la conexión | Estás utilizando una versión específica del protocolo GRE para tus conexiones VPN |
icmp-code, icmp-id, icmp-type | Campos de paquetes ICMP | Estás enviando o recibiendo paquetes ICMP, como pings |
orig-bytes, orig-packets, orig-rate | Cantidad de tráfico enviado desde tu red | Estás midiendo la cantidad de tráfico enviado desde tu red |
orig-fasttrack-bytes, orig-fasttrack-packets | Cantidad de tráfico FastTrack enviado desde tu red | Estás midiendo la cantidad de tráfico FastTrack enviado desde tu red |
protocol | Tipo de protocolo de una conexión | Estás monitoreando el tipo de protocolo de una conexión, como TCP o UDP |
repl-bytes, repl-packets, repl-rate | Cantidad de tráfico que tu red está recibiendo | Estás midiendo la cantidad de tráfico que tu red está recibiendo |
repl-fasttrack-bytes, repl-fasttrack-packets | Cantidad de tráfico FastTrack que tu red está recibiendo | Estás midiendo la cantidad de tráfico FastTrack que tu red está recibiendo |
reply-dst-address, reply-src-address | Dirección esperada de los paquetes de retorno | Estás monitorizando el tráfico de ida y vuelta en una conexión específica |
seen-reply | La dirección de destino ha respondido a la dirección de origen | Has enviado una solicitud a un servidor y estás esperando su respuesta |
src-address | Dirección de origen | Estás enviando una solicitud a un servidor web, la dirección de origen sería la dirección IP de tu dispositivo |
srcnat | La conexión pasa por SRC-NAT | Has configurado tu enrutador para realizar NAT de origen en ciertos paquetes |
tcp-state | El estado actual de la conexión TCP | Estás monitoreando el estado de una conexión TCP, por ejemplo, esperando que una conexión se establezca después de enviar una solicitud SYN |
timeout | Tiempo después de que la conexión se eliminará de la lista de conexiones | Una conexión no ha sido utilizada durante un tiempo y está a punto de ser eliminada de la lista de conexiones rastreadas |
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Artículos Relacionados
- WireGuard en MikroTik RouterOS: Una Solución Segura y Eficiente para VPN
- Wi-Fi 6 (802.11ax): El Futuro de la Conectividad Inalámbrica
- Wake on LAN: funcionamiento y situaciones prácticas
- Virtual Private LAN Service (VPLS): Un enfoque avanzado para la conectividad de redes
- UPnP en MikroTik: Ventajas, Desafíos y Prácticas de Seguridad Esenciales