Volver al Blog
Ingeniería de Redes & Ciberseguridad

Hardening WAN Avanzado: Guía Técnica para Cerrar Puertos en MikroTik y Windows Server (2025)

Actualizado: 4 Dic, 2025 Nivel: SysAdmin / Network Engineer Enfoque: ISPs Colombia (Claro/Tigo)

En el panorama actual de ciberseguridad en Colombia, la "seguridad por oscuridad" ya no existe. Los escáneres automatizados como Shodan, Censys y bots de fuerza bruta masiva (como Mirai) barren todo el rango de direcciones IP de proveedores locales (ETB, Claro, Tigo) cada 4 horas.

Si eres responsable de la infraestructura TI de una empresa en Medellín, debes asumir una postura de "Zero Trust" en tu borde WAN. Esta guía técnica profundiza en la configuración avanzada de MikroTik RouterOS v7 y el hardening de Windows Server para mitigar ataques antes de que ocurran.

El Peligro del "Hairpin NAT" en Auditorías

Muchos administradores cometen el error crítico de escanear su IP pública desde dentro de la misma red. Esto a menudo da falsos positivos o negativos debido al Hairpin NAT (Loopback). Para una auditoría real, debes usar una VPS externa o una conexión móvil (4G) totalmente aislada.

1. Análisis de Superficie de Ataque: ¿Qué ve Shodan?

Antes de aplicar reglas de firewall, debemos entender qué estamos exponiendo. Shodan indexa "banners" de servicios. Si tu router responde con "MikroTik v7.14", ya has dado el primer paso para ser hackeado.

Comandos de Dorking para Auto-Auditoría

Usa estos filtros en Shodan para ver si tu empresa aparece en los listados de dispositivos vulnerables en Antioquia:

# Buscar routers MikroTik en Medellín con puerto Winbox abierto
port:8291 city:"Medellin" os:"MikroTik RouterOS"

# Buscar Servidores Windows con RDP expuesto y captura de pantalla activada
port:3389 city:"Bello" has_screenshot:true

2. Hardening de MikroTik RouterOS (Script Avanzado)

El firewall por defecto de MikroTik es bueno, pero genérico. Para un entorno empresarial hostil, necesitamos un filtrado granular en la cadena Input (tráfico dirigido al router) y Forward (tráfico que atraviesa el router).

Script de Protección de Input Chain (Copiar y Pegar)

Este script implementa las mejores prácticas: permite conexiones establecidas, bloquea paquetes inválidos y solo permite gestión desde una lista blanca estricta.

Terminal MikroTik (Safe Mode Recomendado)
# 1. Crear Lista de Acceso de Administradores (WhiteList)
/ip firewall address-list
add list=SECURE_ADMIN address=192.168.88.0/24 comment="Red Local LAN"
add list=SECURE_ADMIN address=10.10.10.0/24 comment="VPN WireGuard Subnet"
# Opcional: Tu IP Estática de casa si tienes
# add list=SECURE_ADMIN address=200.x.x.x comment="IP Casa Ing. Juan"

/ip firewall filter
# 2. Aceptar conexiones ya establecidas (Mejora CPU)
add action=accept chain=input connection-state=established,related comment="Accept Established/Related"

# 3. Dropear paquetes inválidos inmediatamente
add action=drop chain=input connection-state=invalid comment="Drop Invalid Packets"

# 4. Permitir acceso Winbox/SSH SOLO desde WhiteList
add action=accept chain=input dst-port=8291,22 protocol=tcp src-address-list=SECURE_ADMIN comment="Allow Admin Access ONLY from Secure List"

# 5. Permitir ICMP (Ping) limitado para evitar inundaciones
add action=accept chain=input limit=5,10:packet protocol=icmp comment="Allow Limited Ping"

# 6. REGLA FINAL: Bloquear TODO lo demás que venga de WAN
add action=drop chain=input in-interface-list=WAN comment="DROP ALL OTHER WAN INPUT" log=yes log-prefix="[WAN_DROP]"

3. Técnica Ninja: "Port Knocking" para Acceso de Emergencia

¿Qué pasa si estás de viaje y necesitas entrar a tu router, pero no tienes la VPN y tu IP es dinámica? Aquí es donde entra el Port Knocking. Es un método para "golpear" una secuencia de puertos cerrados que, si se hace en el orden correcto, abre dinámicamente el puerto de gestión para tu IP.

Script de Port Knocking (Secuencia: 7000 -> 8000 -> 9000)
/ip firewall filter
# Paso 1: Si golpean el puerto 7000, agregar a lista temporal "Knock-Step1" por 15 seg
add action=add-src-to-address-list address-list=Knock-Step1 address-list-timeout=15s \
    chain=input dst-port=7000 protocol=tcp comment="Knock 1: 7000"

# Paso 2: Si golpean 8000 Y ya están en "Knock-Step1", pasar a "Knock-Step2"
add action=add-src-to-address-list address-list=Knock-Step2 address-list-timeout=15s \
    chain=input dst-port=8000 protocol=tcp src-address-list=Knock-Step1 comment="Knock 2: 8000"

# Paso 3: Si golpean 9000 Y están en "Knock-Step2", ¡BINGO! Agregar a "SECURE_ADMIN" por 1 hora
add action=add-src-to-address-list address-list=SECURE_ADMIN address-list-timeout=1h \
    chain=input dst-port=9000 protocol=tcp src-address-list=Knock-Step2 comment="Success: Add to Admin List"

Con esto, tu router está invisible, pero si haces telnet a los puertos 7000, 8000 y 9000 en orden, se te abrirá la puerta mágica.

4. Hardening de Windows Server: RDP Seguro

Si tienes un Windows Server expuesto (VPS o Port Forwarding), cambiar el puerto 3389 por otro (ej: 33899) es "seguridad por oscuridad" y no sirve contra un escaneo de Nmap -p-. La solución real es restringir el Source IP en el firewall de Windows.

Procedimiento PowerShell para Restricción IP

En lugar de luchar con la GUI, usa este comando de PowerShell (como Administrador) para crear una regla que solo permita tu VPN u oficina:

PowerShell Hardening Script
# Crear regla que permite RDP solo desde IPs específicas
New-NetFirewallRule -DisplayName "RDP Seguro - Solo Admin" `
  -Direction Inbound `
  -LocalPort 3389 `
  -Protocol TCP `
  -Action Allow `
  -RemoteAddress "190.158.x.x","10.8.0.0/24" `
  -Profile Any

# Bloquear la regla RDP por defecto (que permite todo)
Disable-NetFirewallRule -DisplayGroup "Escritorio remoto"

5. WireGuard vs OpenVPN: ¿Por qué migrar?

En 2025, OpenVPN se considera "Legacy" para muchas aplicaciones debido a su sobrecarga (overhead). En nuestras pruebas en enlaces de fibra óptica en Medellín (Movistar 900Mbps), WireGuard ofrece:

  • 40% menos latencia que OpenVPN.
  • Roaming instantáneo: Si cambias de WiFi a 4G en tu celular, la conexión no se cae.
  • Código base mínimo: Menos superficie de ataque (4,000 líneas de código vs 100,000+ de OpenVPN).

Si aún usas L2TP/IPsec o PPTP (obsoleto y hackeable), migrar a WireGuard es la actualización de seguridad más crítica que puedes hacer este año.

¿Tu red pasaría una prueba de penetración hoy?

La teoría es buena, pero la configuración real es compleja. Un error en el script de firewall puede dejarte fuera de tu propio router. En CiberTechSolucion auditamos y aseguramos routers MikroTik todos los días.

Oferta Especial Medellín: Auditoría de Seguridad Perimetral + Hardening Certificado.

Agendar Hardening con Ingeniero
CTS

Ing. Juan Carlos - Especialista en Infraestructura

Líder técnico en CiberTechSolucion. Certificado MTCNA/MTCRE. Dedicado a proteger la infraestructura crítica de PYMES en Antioquia contra ransomware y espionaje corporativo. "Si no lo puedes monitorear, no lo puedes asegurar".