Seguridad de Red

Firewall MikroTik y seguridad de red con RouterOS

Diseñamos políticas de firewall en RouterOS según tu operación real: filtrado, segmentación y protección perimetral para ISPs y empresas con infraestructura crítica. Llave en mano, documentado y con el control en tus manos.

Firewall MikroTik y seguridad de red con RouterOS — MikroTik Chile

Reglas de firewall diseñadas para tu operación

No aplicamos plantillas genéricas. Levantamos tu topología, tus servicios expuestos y tus flujos de tráfico reales para construir una cadena de reglas filter, NAT y mangle ordenada, auditable y con políticas por defecto en deny. Cada regla responde a una necesidad concreta de tu red, no a una lista de copy-paste.

Trabajamos sobre RouterOS aprovechando connection tracking, address lists dinámicas, raw para descartar tráfico antes del conntrack y reglas con logging selectivo. El resultado es un firewall que filtra lo que debe, deja pasar lo que necesitas y te permite entender por qué cada paquete fue aceptado o descartado.

Segmentación, perímetro y hardening de RouterOS

Separamos tu red en zonas con interface lists y reglas inter-VLAN para que un equipo comprometido no exponga toda la infraestructura. La protección perimetral combina filtrado de entrada, control de servicios de administración y mitigación de abusos como escaneos, fuerza bruta y floods mediante address lists con tiempo de vida y límites de conexión.

El hardening cierra la propia exposición del router: deshabilitamos servicios innecesarios, restringimos el acceso de gestión por IP y por interfaz, endurecemos credenciales y dejamos el equipo en una configuración mínima y vigilada. Entregamos todo documentado, sin credenciales externas ni dependencias ocultas.

Anatomía de un firewall RouterOS bien hecho

El orden de las reglas define el rendimiento y la seguridad. Una cadena input limpia protege al propio router:

/ip firewall filter
# Aceptar lo ya establecido (rápido) y descartar lo inválido
add chain=input action=accept connection-state=established,related,untracked
add chain=input action=drop   connection-state=invalid
# ICMP controlado: NO bloquearlo todo (rompe Path MTU y, en IPv6, Neighbor Discovery)
add chain=input action=accept protocol=icmp
# Gestión solo desde IPs/zona autorizada
add chain=input action=accept src-address-list=admin
# Política por defecto: deny (regla final)
add chain=input action=drop   log=yes log-prefix="DROP-input"

Contra floods y escaneos, descartar antes del conntrack con la tabla raw ahorra CPU; y una address-list dinámica frena la fuerza bruta a Winbox:

/ip firewall filter
add chain=input protocol=tcp dst-port=8291 connection-state=new \
  src-address-list=!admin action=add-src-to-address-list \
  address-list=blacklist address-list-timeout=1h
/ip firewall raw
add chain=prerouting src-address-list=blacklist action=drop

Hardening del propio router

# Apagar servicios que no usas y limitar Winbox a la red de gestión
/ip service set telnet disabled=yes
/ip service set ftp    disabled=yes
/ip service set www    disabled=yes
/ip service set api    disabled=yes
/ip service set winbox address=192.168.88.0/24
# Descubrimiento y MAC-server solo en la LAN, nunca hacia la WAN
/ip neighbor discovery-settings set discover-interface-list=LAN
/tool mac-server set allowed-interface-list=LAN

Errores comunes de firewall

  • Política por defecto en accept (olvidar el drop final): el firewall no filtra nada.
  • Filtrar solo forward y dejar input abierto: la red parece protegida, pero el router queda expuesto.
  • Exponer Winbox (8291) o la API a Internet.
  • Poner el drop antes de los accept: te cortas a ti mismo.
  • Bloquear todo el ICMP: rompes Path MTU Discovery (conexiones que se cuelgan) y, en IPv6, el Neighbor Discovery.
  • No usar address-list para la gestión: cada cambio de IP es una regla nueva.

La protección perimetral se complementa con VPN para el acceso remoto, y todo esto es lo que se certifica en el MTCSE. Si prefieres que lo operemos por ti, lo cubre el soporte 24/7.

Política por defecto deny

Cadenas filter ordenadas que bloquean todo lo no explícito, con NAT y mangle limpios y reglas trazables una por una.

Segmentación por zonas

Separación con VLAN e interface lists para contener incidentes y aislar usuarios, servidores y enlaces de gestión.

Mitigación de amenazas

Address lists dinámicas y límites de conexión contra escaneos, fuerza bruta y floods, descartando tráfico hostil en raw.

Hardening del router

Acceso de administración restringido por IP e interfaz, servicios innecesarios apagados y superficie de ataque reducida al mínimo.

Entrega llave en mano

Configuración documentada y explicada, con el control 100% en tus manos: sin candados ni dependencias de terceros.

FAQ

Preguntas frecuentes

Resolvemos las dudas más comunes sobre firewall.

Conversemos
¿Trabajan sobre mi configuración actual o parten de cero?

Ambos escenarios. Hacemos un diagnóstico de tu firewall actual y decidimos contigo si lo endurecemos sobre lo existente o reconstruimos las cadenas desde una base limpia. Lo definimos según el riesgo y la operación, nunca a ciegas.

¿El firewall MikroTik sirve para una red de ISP con mucho tráfico?

Sí. RouterOS maneja firewall, NAT y QoS a escala de proveedor. Diseñamos reglas eficientes que cuidan el uso de CPU y conntrack, y las complementamos con segmentación y control de tráfico para sostener disponibilidad en infraestructura crítica.

¿Quedo dependiendo de ustedes para administrar el firewall?

No. La entrega es llave en mano: te dejamos la configuración documentada y explicada, con todas las credenciales y el control en tus manos. Puedes mantenerlo tu equipo o seguir con nuestro soporte, pero la decisión siempre es tuya.

¿Forman a mi equipo en seguridad y firewall de RouterOS?

Sí. Somos trainers oficiales MikroTik y ofrecemos formación, incluyendo certificaciones oficiales como MTCNA y MTCRE, para que tu equipo entienda y opere las políticas de firewall que implementamos.

¿Bloquear todo el ICMP no es más seguro?

No. Bloquear el ICMP por completo rompe Path MTU Discovery (páginas y VPNs que quedan colgadas) y, en IPv6, rompe el Neighbor Discovery, que es esencial. Lo correcto es permitir el ICMP necesario y limitar su tasa, no eliminarlo.

Asegura tu red con un firewall MikroTik diseñado para tu operación

Conversemos