(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
$19,97
Protección DDoS en MikroTik: Estrategias Avanzadas para ISPs y WISPs
- Ingrid Espinoza
- No hay comentarios
- Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
La protección DDoS (Distributed Denial of Service) es una de las prioridades en la administración de redes modernas, especialmente en entornos de ISPs, WISPs y redes corporativas.
Un ataque DDoS busca saturar recursos como ancho de banda, CPU o memoria de routers, firewalls y servidores, con el objetivo de interrumpir servicios críticos. Para los administradores de red, implementar estrategias de mitigación DDoS en equipos como MikroTik, Cisco o Linux es indispensable para mantener la disponibilidad y confiabilidad de la infraestructura.
Fundamentos Teóricos de un ataque DDoS
Tipos de ataques comunes
- Volumétricos: saturan el ancho de banda con tráfico masivo (UDP Flood, NTP Amplification).
- De protocolo: explotan debilidades en capas de red (SYN Flood, Ping of Death).
- De aplicación: atacan servicios específicos como HTTP, DNS o VoIP.
Funcionamiento técnico
Un DDoS se basa en botnets o redes de dispositivos comprometidos que generan tráfico malicioso. Este tráfico simula ser legítimo, lo que dificulta diferenciarlo del tráfico real. La saturación impide que clientes válidos accedan a los recursos.
Ventajas de implementar protección DDoS
Beneficios principales
- Continuidad del negocio: Evita caídas de servicios en ISPs y clientes corporativos.
- Protección de infraestructura: Minimiza riesgos de sobrecarga en routers, firewalls y servidores.
- Mejor experiencia de usuario: Reduce latencia y pérdidas de conectividad.
- Cumplimiento normativo: En ciertos sectores, mitigar ataques es un requisito regulatorio.
Desventajas y Limitaciones
- Costos elevados: Algunos métodos avanzados requieren hardware dedicado o servicios en la nube.
- Falsos positivos: Filtrar tráfico puede afectar a clientes legítimos.
- Complejidad técnica: Se necesita personal capacitado en redes y ciberseguridad. Requiere un diseño cuidadoso de reglas. Configuraciones erróneas pueden generar bloqueos legítimos.
- Consumo de Recursos: Un firewall mal optimizado puede incrementar el uso de CPU y memoria, afectando el rendimiento general.
- Ataques Masivos: La mitigación en MikroTik es efectiva contra ataques pequeños o medianos. Sin embargo, ataques de varios cientos de Gbps requieren soluciones de upstream o scrubbing centers.
Estrategias de mitigación en MikroTik (RouterOS)
Buenas prácticas incluyen:
Filtrado de tráfico sospechoso
- Configurar firewall rules para limitar conexiones simultáneas.
- Bloquear tráfico anómalo (ej. paquetes TCP sin flag establecido).
Rate-Limiting y Connection Tracking
- Usar limit en reglas de firewall para mitigar floods.
- Ajustar parámetros de connection tracking para reducir consumo de CPU.
Protección de servicios expuestos
- Limitar acceso a SSH, Winbox y API solo desde direcciones de confianza.
- Deshabilitar servicios innecesarios.
Casos de Uso Reales
ISP Mediano
Un ISP con clientes corporativos usa listas dinámicas en MikroTik para bloquear IPs que generan más de 100 conexiones por segundo.
WISP Rural
Un WISP aplica limitación de tráfico ICMP y UDP para evitar saturaciones durante intentos de flooding en su enlace principal.
Red Corporativa
Una empresa con sucursales utiliza túneles IPsec y reglas de firewall en MikroTik para detectar y bloquear SYN floods antes de ingresar a su LAN.
Tablas Comparativas con Tecnologías Alternativas
Tecnología | Ventajas | Limitaciones |
MikroTik RouterOS | Económico, flexible, integrado | Escala limitada |
Firewall dedicado (Fortinet, Palo Alto) | Rendimiento alto, protección avanzada | Costos elevados |
Servicios en la nube (Cloudflare, Akamai) | Mitigación global, scrubbing | Dependencia externa, costos recurrentes |
Ejemplo en MikroTik
Ejemplo 1
/ip firewall address-list
add list=ddos-attackers
add list=ddos-targets
/ip firewall filter
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddos-targets address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos
/ip firewall raw
add action=drop chain=prerouting dst-address-list=ddos-targets src-address-list=ddos-attackers
Explicación
Primero, se enviará cada nueva conexión a la cadena específica del firewall donde se detecta el DDoS:
/ip/firewall/filter/add chain=forward connection-state=new action=jump jump-target=detect-ddos
En la cadena recién creada, se agrega la siguiente regla con el parámetro “dst-limit”. Este parámetro se escribe en el siguiente formato:
dst-limit=count[/time],burst,mode[/expire].
Se hará 32 paquetes con un burst de 32 paquetes, basado en el flujo de dirección de destino y origen, el cual se renueva cada 10 segundos. La regla funcionará hasta que se exceda una tasa determinada.
/ip/firewall/filter/add chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s action=return
Hasta ahora, todo el tráfico legítimo debería pasar mediante “action=return”, pero en el caso de un ataque DoS/DDoS el búfer de “dst-limit” se llenará y la regla no “capturará” ningún tráfico nuevo.
Aquí entran las siguientes reglas, que se encargarán del ataque. Se comienza creando una lista de atacantes y víctimas que se va a descartar (drop):
ip/firewall/address-list/add list=ddos-attackers
ip/firewall/address-list/add list=ddos-targets
ip/firewall/raw/add chain=prerouting action=drop src-address-list=ddos-attackers dst-address-list=ddos-targets
Con la sección de firewall filter, se añadera a los atacantes en la lista “DDoS-attackers” y a las víctimas en la lista “ddos-targets”:
/ip/firewall/filter/
add action=add-dst-to-address-list address-list=ddos-targets address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddos-attackers address-list-timeout=10m chain=detect-ddos
Ejemplo 2 (SYN Flood)
/ip/settings/set tcp-syncookies=yes
La función trabaja enviando paquetes ACK que contienen un pequeño hash criptográfico, el cual el cliente que responde devolverá como parte de su paquete SYN-ACK. Si el kernel no ve esta “cookie” en el paquete de respuesta, asumirá que la conexión es falsa y la descartará (drop).
Ejemplo 3 (SYN-ACK Flood)
Un SYN-ACK flood es un método de ataque que consiste en enviar a un servidor de destino paquetes SYN-ACK falsificados a una alta velocidad.
Dado que el servidor requiere recursos significativos para procesar dichos paquetes fuera de orden (no siguiendo el mecanismo normal de three-way handshake TCP: SYN, SYN-ACK, ACK), puede llegar a ocuparse tanto en manejar el tráfico del ataque que no logre atender el tráfico legítimo, generando así una condición de DoS/DDoS.
En RouterOS, podemos configurar reglas similares a las mencionadas anteriormente, pero específicamente para mitigar un ataque de SYN-ACK flood:
/ip/firewall/filter add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s protocol=tcp tcp-flags=syn,ack
Ejemplo de mitigación en Cisco IOS
ip verify unicast source reachable-via rx
ip cef
interface GigabitEthernet0/1
ip verify unicast source reachable-via rx
Mitigación en Linux (iptables)
iptables -A INPUT -p tcp --syn -m limit --limit 10/s -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
Buenas prácticas generales
- Implementar monitoreo en tiempo real con herramientas como Zabbix, Grafana o NetFlow.
- Segmentar redes para aislar servicios críticos.
- Usar scrubbing centers o servicios externos de mitigación (ej. Cloudflare, Arbor, Akamai).
- Simular ataques en laboratorio para validar configuraciones.
Errores Comunes y Cómo Evitarlos
- Bloquear todo el tráfico ICMP: ICMP es necesario para diagnóstico. Mejor limitarlo.
- No usar listas dinámicas: genera sobrecarga en el firewall.
- Configurar reglas en orden incorrecto: el firewall en MikroTik evalúa reglas secuencialmente.
Conclusiones
La protección DDoS en MikroTik es una solución práctica y rentable para ISPs, WISPs y redes corporativas que necesitan defensa contra ataques comunes. Si bien no reemplaza un servicio profesional de mitigación masiva, proporciona una primera línea de defensa eficiente y adaptable.
Recursos Adicionales
Preguntas Frecuentes
¿MikroTik protege contra todos los ataques DDoS?
No, solo contra ataques pequeños y medianos. Para ataques grandes se requieren soluciones adicionales.
¿Es necesario un hardware especial?
No, cualquier RouterOS puede implementar protección básica, aunque el rendimiento depende del modelo.
¿Qué versión de RouterOS es más segura?
Se recomienda siempre la versión estable más reciente.
¿Se debe bloquear completamente ICMP?
No, es mejor limitarlo para evitar afectaciones a diagnósticos de red.
¿Cómo identificar un ataque DDoS en MikroTik?
A través de monitoreo de conexiones, gráficas de ancho de banda y picos de CPU.
¿Qué diferencia hay entre firewall dedicado y MikroTik?
Un firewall dedicado maneja mayores volúmenes y ataques complejos. MikroTik es más económico pero limitado.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
Libro Seguridad Avanzada RouterOS v7
Material de estudio para el Curso de Certificación MTCSE, actualizado a RouterOS v7
$19,97
Autoestudio MikroTik
Estudia las certificaciones MikroTik a tu propio ritmo
Autoestudio
Aprende a tu propio ritmo
advertisement (anuncio)
Artículos Relacionados
MikroLABs
Otros temas que te pueden interesar
Cómo funciona el DHCP Alert y para qué sirve
abril 22, 2026
Qué es el Burst y cómo funciona en redes
abril 21, 2026
advertisement (anuncio)
Escríbenos por WhatsApp (+593 98 700 0604)
¿Quieres sugerir un tema?
Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Próximos Cursos
Libros MikroTik (español)
advertisement (anuncio)
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear