Lo mejor de esta semana: CALEA, Speed Test, Special Login y Disks en MikroTik

Q: ¿Cuáles son las consideraciones clave al usar la función Disks en MikroTik RouterOS?

La función /disk en MikroTik RouterOS permite gestionar dispositivos de almacenamiento externos (SD, USB, SATA, NVMe), lo que es útil para aumentar la capacidad, almacenar bases de datos, cachés o backups. Al utilizarla, es crucial tener en cuenta varias consideraciones y buenas prácticas: Desmontaje seguro: Siempre se debe usar el comando /disk eject-drive antes de desconectar físicamente cualquier dispositivo de almacenamiento. No hacerlo puede provocar la corrupción de datos en el dispositivo. Sistemas de archivos compatibles: Formatee los discos con sistemas de archivos soportados por RouterOS, como ext4, exfat o fat32. Limitaciones de tamaño: Evite usar discos de más de 2 TB en una única partición en dispositivos ARM/MIPS; es recomendable dividirlos en particiones más pequeñas o usar modelos CCR que soporten particiones mayores. Impacto en CPU y memoria: Al trabajar con muchos archivos (especialmente vía SMB) o con almacenamiento intensivo (NVMe, arreglos RAID), RouterOS puede escanear repetidamente la estructura de archivos, lo que puede causar una alta carga en la CPU y un consumo significativo de memoria. Es importante reservar suficiente memoria para estos servicios. Integración con ROSE-storage: Para soluciones empresariales que requieran RAID, cifrado, snapshots, iSCSI, SMBv3 o rsync, el paquete ROSE-storage es indispensable, pero añade complejidad y requisitos de recursos.

Mauro Escalante
agosto 8, 2025
12:56 pm
No hay comentarios

Esta semana presentamos un resumen de las funcionalidades esenciales de MikroTik RouterOS, destacando el paquete CALEA para interceptación legal, la herramienta Speed Test para diagnóstico de rendimiento, la función Special Login para acceso remoto a dispositivos seriales, y la gestión de almacenamiento externo mediante el submenú /disk.

1. MikroTik CALEA: Captura Legal y Monitoreo Avanzado de Tráfico

El paquete CALEA en MikroTik RouterOS es una herramienta crucial para el cumplimiento de estándares de interceptación legal, particularmente la Ley de Asistencia a las Fuerzas del Orden (CALEA) de EE. UU. Aunque CALEA es una ley estadounidense, “muchos países han adoptado leyes similares, como: LI (Lawful Interception) en Europa” o “Ley de Retención de Datos en varios países de América Latina”.

Puntos Clave:

Definición y Propósito: CALEA “exige a los proveedores de servicios de telecomunicaciones… facilitar las capacidades técnicas necesarias para que las agencias de aplicación de la ley puedan interceptar comunicaciones bajo orden judicial o legal.” Su objetivo principal es “Garantizar que los operadores de redes puedan proveer acceso legal a las comunicaciones digitales… cuando existe una orden judicial que lo autorice, sin afectar la privacidad del resto de usuarios ni interrumpir el servicio.”
Aplicación: Aplica a ISPs, proveedores de telefonía móvil y fija, empresas de VoIP, proveedores de mensajería, y ciertas redes privadas/corporativas en EE. UU.
Requisitos Técnicos:Capacidad de Interceptación: Capturar tráfico de un usuario específico sin afectar a otros.
Transporte Seguro: Enviar la información interceptada de forma segura a la agencia.
No Degradación del Servicio: La interceptación no debe afectar la calidad o disponibilidad del servicio.
Monitoreo Transparente: El usuario objetivo no debe percatarse de la interceptación.
Compatibilidad: Requiere routers, switches o firewalls compatibles con CALEA, capaces de realizar “mirroring” o duplicación de tráfico. Plataformas como MikroTik, Cisco, Juniper o Fortinet permiten estas configuraciones.
Funcionamiento del Paquete CALEA en MikroTik: Permite “capturar y reenviar tráfico en tiempo real a un destino externo (servidor o analizador), generando archivos en formato .pcap o enviando flujos directamente por red a una IP y puerto específicos.” Se configura desde /ip firewall calea.
Diferencia con Packet Flow: CALEA no es el diagrama lógico de procesamiento (packet flow), sino una funcionalidad que actúa “encima de ese flujo, permitiendo interceptar paquetes según reglas que se insertan en cadenas como forward, input o output.”
Captura de Dominios: No captura dominios como texto directo, pero sí “Captura consultas DNS” y “Captura tráfico HTTP → puedes ver el encabezado Host (dominio)”. En casos como “TLS 1.3 con ESNI, solo verás IPs, no dominios”.
Escenarios de Uso:Cumplimiento legal (ISP): Interceptación de tráfico de clientes bajo requerimiento judicial.
Análisis forense post-intrusión: Captura de tráfico de dispositivos comprometidos.
Detección de fugas de información: Monitoreo de tráfico saliente para detectar envío de datos sensibles.
Monitoreo de tráfico en eventos: Detección de firmas de ataque o uso indebido en redes públicas.
Diagnóstico de calidad de red: Análisis de tráfico VoIP para problemas de rendimiento.
Hardware Compatible: Requiere routers con licencia Level 4 o superior (L5, L6), como CCR, RB4011, hEX S, o CHR (Cloud Hosted Router). No funciona en modelos con licencia Level 3 (CPE) o equipos con hardware muy limitado.
Integración: Se combina con herramientas externas como “Wireshark, tcpdump, Arkime (ex-Moloch), Zeek (Bro), Suricata, Security Onion” para análisis detallado, ya que RouterOS v7 ya no puede guardar archivos .pcap como servidor CALEA (/tool calea fue removido).

2. Speed Test en MikroTik RouterOS: Diagnóstico de Rendimiento de Red

El Speed Test es una herramienta integrada en RouterOS diseñada para “medir el ping, jitter y rendimiento TCP/UDP entre dos dispositivos MikroTik”. Representa una mejora significativa sobre el tradicional Bandwidth Test.

Puntos Clave:

Funcionalidad: Combina el motor de Ping Tool para latencias y Bandwidth Test para throughput, ofreciendo una “solución todo en uno, ideal para pruebas de conectividad interna.”
Parámetros Configurables: Permite configurar la dirección IP del host de prueba, número de hilos concurrentes (connection-count), duración de la prueba (test-duration), y credenciales de usuario.
Métricas Proporcionadas:Ping: Mínima, media, máxima.
Jitter: Variación en el retraso (ej. un jitter promedio de 50µs indica “Excelente estabilidad de la red interna”).
Pérdida de Paquetes: Porcentaje de paquetes perdidos.
TCP Throughput: Rendimiento en ambas direcciones, con carga de CPU local/remota.
UDP Throughput: Similar a TCP, pero sin feedback de ACKs, y “más eficiente en CPU”.
Ventajas sobre Bandwidth Test:Multiproceso: Utiliza varios hilos para saturar mejor la conexión.
Loop de Tests: Mide throughput, latencia y jitter en una sola ejecución.
Visión Completa: Combina Ping, TCP y UDP.
Consideraciones de Seguridad y Buenas Prácticas:Consumo de Recursos: “Consume grandes recursos y puede saturar enlaces si no se controla”.
Modo Seguro: Recomendable usar safe-mode desde Winbox.
Limitación de Ancho de Banda y Duración: Usar parámetros de control para evitar saturación.
Topología Recomendada: “Colocar el dispositivo bajo prueba en medio de un testador y servidor, de forma que el router no sea el generador ni receptor directo de la carga.”
Advertencia de CPU: Si la CPU alcanza el 100%, “los resultados podrían estar limitados por dicho factor.”
Aplicaciones: Detección de cuellos de botella, análisis del impacto de la CPU, comparación TCP/UDP, monitoreo continuo, y validación de cambios en la configuración.
Integración Avanzada: Puede automatizarse mediante el scheduler y generar alertas.
Limitación: “Speed-test se limita a entorno MikroTik” (entre dos dispositivos MikroTik), a diferencia de herramientas como Ookla o iPerf3 que son “ideales para conexiones a Internet externa.”
Rendimiento en Distintos Modelos: La tabla comparativa muestra que modelos como el CCR2216-1G-12XS-2XQ pueden superar los 10 Gbps de throughput TCP, con una carga de CPU baja (<30%).

3. Special Login en MikroTik: Acceso Transparente a Dispositivos Seriales

El Special Login es una funcionalidad de MikroTik RouterOS que permite “acceder directamente a un dispositivo conectado al puerto serial (como un switch o segunda unidad RouterOS) a través de SSH/Telnet sin pasar por el login habitual de RouterOS.” Esto convierte el RouterBoard en un “proxy transparente”.

Puntos Clave:

Propósito: Usar el RouterOS como proxy para acceder a la interfaz de línea de comandos (CLI) de un dispositivo conectado a su puerto serial.

Configuración Paso a Paso:Desvincular la Consola Serial: Si la consola está vinculada al puerto serial, debe deshabilitarse (/system console disable 0).
Crear Usuario: Crear un usuario específico para Special Login (/user add name=serial group=full).
Asignar Puerto Serial: Vincular el usuario al puerto serial deseado (/special-login add user=serial port=serial0 disabled=no).
Conexión: Se accede vía SSH/Telnet al RouterOS utilizando el usuario configurado para Special Login, y automáticamente se redirige a la CLI del dispositivo conectado al serial. Para salir, se usa Ctrl-A + Q.

Consideraciones de Reinicio: Es importante configurar la tecla de ingreso al bootloader (ej. a <Delete>) o activar el “silent boot” para evitar bloqueos si el router recibe datos aleatorios por el serial durante el arranque.
Usos Prácticos:“Administración remota de switches o routers sin interfaz IP” en sitios aislados.
“Monitoreo de modems, radioenlaces o equipos industriales vía RS-232” usando RouterOS como gateway.
Limitaciones y Buenas Prácticas:Riesgo de Bloqueo: Si no hay otro acceso por red, se podría perder el acceso al propio RouterOS.
Compatibilidad USB-serial Múltiple: Todos los logins acceden al mismo canal, no personalizado por puerto/usuario.
Automatización: “No apto para automatización bidireccional dentro de scripts”, ya que envía a la consola pero no permite capturar respuestas para procesamiento interno.
Plan de Contingencia: Asegurarse de tener otro canal de acceso (Ethernet, Wi-Fi, VPN).
Seguridad: Usar contraseñas robustas y restringir el acceso SSH por IP.

4. Función Disks en MikroTik RouterOS: Gestión de Almacenamiento Externo

El submenú /disk en RouterOS permite listar y gestionar dispositivos de almacenamiento externo (SD, USB, SATA, NVMe) en equipos RouterBOARD o sistemas x86. Es fundamental para “extender almacenamiento del sistema” cuando el interno es limitado.

Puntos Clave:

Evolución: A partir de RouterOS v6.20, reemplaza a /store disk.
Comandos Disponibles:/disk print: Lista discos, tipo, formato, espacio.
/disk format-drive: Formatea discos (ext4, exfat, fat32, wipe), permite etiquetar y crear tabla MBR.
/disk eject-drive: “Desmonta de forma segura el disco… antes de extraerlo físicamente.” Es crucial usarlo para evitar corrupción de datos.
/disk reset-counters: Resetea estadísticas.
/disk test: Ejecuta pruebas de rendimiento (v7.16+).
Ventajas de Usar Almacenamiento Externo:Mayor Capacidad: Amplía el almacenamiento para bases de datos (User Manager), cache proxy, backups, o archivos SMB.
Migraciones y Backups: Facilita la replicación o clonación de bases de datos.
Mini-NAS: Posibilidad de exponer discos grandes vía SMB (con impacto en CPU/recursos).
Alta Fiabilidad: Combinación con el paquete ROSE-storage permite “RAID y cifrado (mínimo dm-crypt)”, añadiendo tolerancia a fallos y cifrado transparente.
Ejemplo Práctico: Conectar un pendrive USB, listarlo (/disk print), formatearlo (/disk format-drive 0 file-system=ext4 label=usb1), y desmontarlo de forma segura (/disk eject-drive 0).
Integración Avanzada con ROSE-storage: Este paquete adicional ofrece “funcionalidades adicionales como RAID, cifrado (crypted), snapshots, iSCSI, NVMe-over-TCP, SMBv3 y rsync.” Permite configurar arreglos RAID1 cifrados en discos NVMe, formateados en Btrfs, para “integridad de datos en un entorno empresarial.”
Consideraciones y Buenas Prácticas:Desconexión Segura: Siempre usar /disk eject-drive antes de desconectar físicamente para evitar “corrupción del dispositivo”.
Formatos Soportados: Usar ext4, exfat, fat32.
Limitaciones de Tamaño: Evitar discos de más de 2TB en partición única en ARM/MIPS; usar CCR o dividirlos.
Carga en SMB: El escaneo repetido de la estructura de archivos en SMB puede causar “alta carga en red y CPU”.
Reserva de Memoria: Asegurar suficiente memoria para NVMe o servicios intensivos.

Preguntas Frecuentes sobre el resumen de esta semana

¿Qué es el paquete CALEA en MikroTik y cuál es su objetivo principal?

El paquete CALEA en MikroTik RouterOS es una funcionalidad que permite la captura de tráfico de red de manera legal y controlada. CALEA (Communications Assistance for Law Enforcement Act) es una ley federal de los Estados Unidos de 1994 que exige a los proveedores de servicios de telecomunicaciones (como ISPs, proveedores de telefonía móvil y fija, empresas de VoIP y mensajería) facilitar la interceptación legal de comunicaciones bajo orden judicial.

El objetivo principal de CALEA es asegurar que los operadores de redes puedan proporcionar acceso legal a las comunicaciones digitales (voz, datos, VoIP, etc.) cuando existe una orden judicial que lo autoriza, sin afectar la privacidad del resto de usuarios ni interrumpir el servicio.

Esto implica la capacidad de interceptar el tráfico de un usuario específico sin afectar a otros, enviar la información interceptada de forma segura a la agencia autorizada, y asegurar que el usuario objetivo no note la interceptación.

¿Para qué se utiliza el paquete CALEA en MikroTik más allá del cumplimiento legal?

Aunque el cumplimiento legal para ISPs es el uso principal del paquete CALEA, su funcionalidad de captura de tráfico tiene varias aplicaciones prácticas adicionales:

Análisis forense post-intrusión: Permite capturar el tráfico de un dispositivo comprometido después de un ataque o acceso no autorizado para un análisis detallado.
Detección de fugas de información: Facilita la interceptación de tráfico saliente de una máquina sospechosa para verificar si se están enviando datos sensibles por canales no autorizados.
Monitoreo de tráfico en eventos: En redes públicas o ferias tecnológicas, puede usarse para capturar tráfico que coincida con firmas de ataque, torrents o uso indebido de la red.
Diagnóstico de calidad de red: Permite la captura de tráfico VoIP (SIP/RTP) para revisar problemas como la pérdida de paquetes, el jitter o los retardos, utilizando herramientas de análisis externas como Wireshark.

¿Cómo se configura el paquete CALEA en MikroTik y qué herramientas externas se necesitan?

El paquete CALEA en MikroTik se configura desde /ip firewall calea, permitiendo definir qué tráfico capturar (basado en IPs, puertos, protocolos o interfaces) y reenviarlo a un destino externo.

Por ejemplo, se pueden añadir reglas para capturar el tráfico entrante y saliente de una IP específica y reenviarlo a un servidor CALEA en una dirección IP y puerto determinados.

Es importante destacar que, en RouterOS v7.x, MikroTik ya no puede guardar archivos .pcap como servidor CALEA. El router solo puede reenviar el tráfico a un servidor externo o sniffer. Para recibir y analizar los paquetes reenviados, se necesitan herramientas compatibles como:

Wireshark: Para captura y análisis gráfico de tráfico.
tcpdump: Para captura en línea de comandos.
Arkime (ex-Moloch): Para captura y análisis masivo con interfaz web.
Zeek (Bro): Para análisis forense y detección de amenazas.
Suricata: Un IDS/IPS que puede recibir tráfico para inspección.
Security Onion: Una distribución completa de monitoreo de red que integra varias de estas herramientas.

¿Qué es el Speed Test en MikroTik RouterOS y en qué se diferencia del Bandwidth Test?

El Speed Test es una herramienta integrada en RouterOS diseñada para medir el ping, jitter y el rendimiento TCP/UDP entre dos dispositivos MikroTik.

Combina la funcionalidad del Ping Tool para latencias y del Bandwidth Test para el rendimiento, ofreciendo una solución todo en uno ideal para pruebas de conectividad interna.

Las mejoras clave del Speed Test sobre el Bandwidth Test tradicional son:

Multiproceso: Utiliza varios hilos para saturar mejor la conexión, ofreciendo resultados más representativos del rendimiento real.
Loop de tests: No solo mide el throughput, sino también la latencia (ping) y el jitter, proporcionando una visión más completa del estado de la conexión.
Visión completa: Combina mediciones de ping, TCP y UDP en una sola ejecución, facilitando un diagnóstico integral.

Mientras que el Bandwidth Test se enfoca principalmente en el throughput, el Speed Test ofrece un conjunto más robusto de métricas para evaluar la calidad y el rendimiento de la red interna de manera más exhaustiva.

¿Qué métricas proporciona el Speed Test de MikroTik y cómo se interpretan sus resultados?

El Speed Test en MikroTik proporciona varias métricas clave para evaluar el rendimiento de la red:

Ping: Mide la latencia mínima, media y máxima entre los dispositivos. Valores bajos indican una excelente respuesta de la red.
Jitter: Mide la variación en el retraso de los paquetes. Un jitter bajo (ej., 50 µs) sugiere una excelente estabilidad de la red interna.
Pérdida de paquetes: Indica el porcentaje de paquetes perdidos, lo cual es crucial para la fiabilidad de la conexión.
Throughput TCP: Mide el rendimiento de transferencia de datos en ambas direcciones (descarga y carga) utilizando el protocolo TCP. También muestra la carga de CPU local y remota.
Throughput UDP: Similar al TCP, mide el rendimiento de transferencia de datos en ambas direcciones usando UDP, que es un protocolo sin conexión. A menudo, el UDP puede ser ligeramente menor pero más eficiente en el uso de CPU.

Una advertencia importante es que si la carga de CPU alcanza el 100% durante la prueba, los resultados podrían estar limitados por el hardware del router y no reflejar el rendimiento real de la red.

¿Qué es el Special Login en MikroTik y cuál es su principal utilidad?

El Special Login en MikroTik RouterOS es una característica que permite acceder directamente a un dispositivo conectado al puerto serial de un RouterBoard (como un switch, otro router o equipos industriales) a través de SSH o Telnet, sin necesidad de pasar por el proceso de inicio de sesión habitual de RouterOS. Básicamente, convierte tu RouterBoard en un “proxy transparente” para la consola serial.

La principal utilidad del Special Login es la administración remota de dispositivos que no tienen una interfaz IP propia o que se encuentran en ubicaciones remotas (como torres o sitios aislados) sin conectividad de red directa.

Permite que, al conectarse vía SSH/Telnet al RouterOS, el usuario sea redirigido automáticamente a la interfaz de línea de comandos (CLI) del dispositivo conectado al puerto serial, como si estuviera físicamente frente a él.

¿Cuáles son las consideraciones clave al usar la función Disks en MikroTik RouterOS?

La función /disk en MikroTik RouterOS permite gestionar dispositivos de almacenamiento externos (SD, USB, SATA, NVMe), lo que es útil para aumentar la capacidad, almacenar bases de datos, cachés o backups. Al utilizarla, es crucial tener en cuenta varias consideraciones y buenas prácticas:

Desmontaje seguro: Siempre se debe usar el comando /disk eject-drive antes de desconectar físicamente cualquier dispositivo de almacenamiento. No hacerlo puede provocar la corrupción de datos en el dispositivo.
Sistemas de archivos compatibles: Formatee los discos con sistemas de archivos soportados por RouterOS, como ext4, exfat o fat32.
Limitaciones de tamaño: Evite usar discos de más de 2 TB en una única partición en dispositivos ARM/MIPS; es recomendable dividirlos en particiones más pequeñas o usar modelos CCR que soporten particiones mayores.
Impacto en CPU y memoria: Al trabajar con muchos archivos (especialmente vía SMB) o con almacenamiento intensivo (NVMe, arreglos RAID), RouterOS puede escanear repetidamente la estructura de archivos, lo que puede causar una alta carga en la CPU y un consumo significativo de memoria. Es importante reservar suficiente memoria para estos servicios.
Integración con ROSE-storage: Para soluciones empresariales que requieran RAID, cifrado, snapshots, iSCSI, SMBv3 o rsync, el paquete ROSE-storage es indispensable, pero añade complejidad y requisitos de recursos.

¿Qué funcionalidades avanzadas de almacenamiento ofrece MikroTik RouterOS con el paquete ROSE-storage?

El paquete ROSE-storage extiende significativamente las capacidades de almacenamiento en MikroTik RouterOS, ofreciendo funcionalidades avanzadas ideales para entornos empresariales o que requieren alta disponibilidad y seguridad:

RAID (Redundant Array of Independent Disks): Permite configurar arreglos RAID (como RAID1 para redundancia) combinando múltiples discos para mejorar el rendimiento o la tolerancia a fallos.
Cifrado (Crypted): Proporciona cifrado transparente de los datos almacenados, añadiendo una capa de seguridad crucial para proteger la información sensible. Esto se implementa utilizando dm-crypt.
Snapshots: Permite crear “fotografías” de los datos en un punto específico del tiempo, facilitando la recuperación ante desastres o errores.
iSCSI: Habilita el uso de almacenamiento a través de la red utilizando el protocolo iSCSI, ideal para entornos de virtualización o acceso centralizado a datos.
NVMe-over-TCP: Permite el uso de dispositivos NVMe a través de una red TCP/IP, aprovechando el alto rendimiento de estas unidades de almacenamiento.
SMBv3 y rsync: Mejora la compatibilidad con protocolos de intercambio de archivos, permitiendo exposer discos grandes como mini-NAS y facilitar la sincronización de datos.