MikroTik, proporciona una funcionalidad de firewall que incluye tanto reglas Stateful (de estado) como reglas Stateless (sin estado). El firewall implementa filtrado de paquetes con estado (mediante el seguimiento de conexiones) y sin estado y, por lo tanto, proporciona funciones de seguridad que se utilizan para administrar el flujo de datos hacía, desde y a través del enrutador.
Junto con la traducción de direcciones de red (NAT), sirve como herramienta para evitar el acceso no autorizado a redes conectadas directamente y al enrutador mismo, así como un filtro para el tráfico saliente.
Al final del artículo encontrarás un pequeño test que te permitirá evaluar los conocimientos adquiridos en esta lectura
Firewall Stateful (de estado)
Estas reglas siguen el estado de las conexiones, lo que significa que el firewall realiza un seguimiento del estado de cada conexión y permite el tráfico basándose en el estado de la conexión. Esto es útil para permitir el tráfico de respuesta en conexiones iniciadas desde el interior de la red.
Esto les permite tomar decisiones más informadas sobre qué paquetes permitir o bloquear, según el contexto de la conexión. Por ejemplo, un firewall con estado permitiría el paso de un paquete de respuesta a un paquete de solicitud previamente permitido, incluso si el paquete de solicitud en sí no está incluido explícitamente en las reglas del firewall.
Stateful ofrece beneficios de seguridad mejorados, ya que puede prevenir eficazmente intentos de acceso no autorizados y proteger contra ataques de suplantación de identidad.
También proporcionan mejores capacidades de filtrado a nivel de aplicaciones, lo que le permite controlar qué aplicaciones y protocolos pueden comunicarse a través del firewall.
Firewall Stateless (sin estado)
Estas reglas no siguen el estado de las conexiones y se aplican de manera independiente a cada paquete. Cada paquete se filtra según los criterios establecidos por la regla, independientemente de las conexiones previas.
Stateless por otro lado, no mantienen una tabla de estado y solo inspeccionan paquetes individuales en función de sus direcciones, puertos y encabezados de protocolo de origen y destino.
Operan como filtros de paquetes, tomando decisiones basadas únicamente en la información contenida en cada paquete.
Diferencia entre Firewall Stateful y Stateless
Característica | Firewall stateful | Firewall Stateless |
Seguimiento de conexión
| Si | No |
Seguridad
| Mejorado | Básico |
Filtrado a nivel de aplicación
| Granular | Limitado |
Actuación
| Más bajo | Más alto |
Consumo de recursos
| Más Alto | Más Bajo |
Idoneidad
| Redes empresariales, aplicaciones sensibles | Redes domésticas, entornos de gran ancho de banda |
Ejemplos de reglas Stateless
En MikroTik RouterOS, las reglas stateless del firewall se crean sin tener en cuenta el estado de las conexiones, es decir, se aplican independientemente de las conexiones anteriores. Aquí hay algunos ejemplos de reglas stateless que podrían ser útiles en ciertos escenarios:
1. Permitir tráfico desde una dirección IP específica:
/ip firewall filter add chain=forward src-address=192.168.1.100 action=accept
Esta regla permite el tráfico proveniente de la dirección IP 192.168.1.100 en la cadena de reenvío.
2. Permitir tráfico desde una subred específica:
/ip firewall filter add chain=forward src-address=192.168.2.0/24 action=accept
Esta regla permite el tráfico desde la subred 192.168.2.0/24 en la cadena de reenvío.
3. Bloquear tráfico hacia una dirección IP específica:
/ip firewall filter add chain=forward dst-address=203.0.113.10 action=drop
Esta regla bloquea todo el tráfico que se dirige a la dirección IP 203.0.113.10 en la cadena de reenvío.
Estos son solo ejemplos y debes adaptar las reglas según tus necesidades específicas y la topología de tu red. Además, ten en cuenta que estas reglas son stateless, por lo que no tienen en cuenta el estado de las conexiones anteriores.
Ejemplos de reglas Stateful
En MikroTik RouterOS, las reglas stateful del firewall se centran en el estado de las conexiones, lo que significa que permiten o bloquean el tráfico basándose en el estado de la conexión. Aquí tienes algunos ejemplos de reglas stateful:
1. Permitir todo el tráfico saliente y las respuestas relacionadas:
/ip firewall filter add chain=forward connection-state=established,related action=accept
Esta regla permite el tráfico que es parte de una conexión establecida o relacionada en la cadena de reenvío.
2. Permitir tráfico específico desde el exterior:
/ip firewall filter add chain=forward in-interface=ether1 connection-state=new protocol=tcp dst-port=80 action=accept
Esta regla permite el tráfico TCP destinado al puerto 80 desde el exterior a través de la interfaz ether1 en la cadena de reenvío.
3. Bloquear tráfico entrante no solicitado:
/ip firewall filter add chain=input connection-state=new action=drop
Esta regla bloquea todo el tráfico entrante que no es parte de una conexión establecida en la cadena de entrada.
4. Permitir tráfico ICMP entrante para solicitudes de ping:
/ip firewall filter add chain=input connection-state=new protocol=icmp action=accept
Esta regla permite el tráfico ICMP entrante para solicitudes de ping en la cadena de entrada.
5. Bloquear tráfico hacia un puerto específico desde el exterior:
/ip firewall filter add chain=input in-interface=ether1 connection-state=new dst-port=22 action=drop
Esta regla bloquea el tráfico entrante al puerto 22 (SSH) desde el exterior a través de la interfaz ether1 en la cadena de entrada.
Estos son solo ejemplos y debes ajustar las reglas según tus requisitos específicos y la configuración de tu red. Las reglas stateful son fundamentales para permitir el tráfico necesario y mantener la seguridad al bloquear el tráfico no deseado.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libro recomendado para éste artículo
Libro Control de Tráfico Avanzado, RouterOS v7
Material de estudio para el Curso de Certificación MTCTCE, actualizado a RouterOS v7