El protocolo DHCP no permite implementar una solución de autenticación, por lo tanto cualquier equipo puede recibir una concesión DHCP. La solicitud resultará en una asignación aunque el equipo no esté autorizado para recibirla.
1. Securizar la distribución de concesiones DHCP
La obtención de una concesión permite el acceso a la red. De esta forma, una persona malintencionada puede fácilmente intentar corromper los datos o simplemente obtener datos confidenciales. Es necesario poner en práctica un esquema de seguridad adecuado. En primer lugar es posible reducir el acceso físico activando en el conmutador solamente los puertos utilizados. Es posible realizar una auditoria para ver un historial de accesos validos. Sin embargo, es preferible implantar una solución de autenticación robusta. Esta última puede
implementarse siguiendo la norma 802.1x (RADIUS - Remote Authentication Dial-In User
Service), empleada a nivel empresarial para autenticar y autorizar el acceso a un equipo
(conmutador, punto de acceso Wi-Fi). Su nombre es cliente RADIUS. El equipamiento debe ser, a su vez, compatible con la norma 802.1x.
En un punto de acceso Wi-Fi, se emplean los protocolos WPA-Enterprise (Wi-Fi Protected
Access-Enterprise) y WPA2-Enterprise (Wi-fi Protected Access 2-Enterprise) para la
autenticación RADIUS. Por último, es posible implantar un servidor NAP (Network Access
Protection). Este último autoriza el acceso al servidor DHCP para los clientes que cumplan con
la política de seguridad (antivirus actualizado, cortafuegos activado…).
2. Utilización de las estadísticas y registros de auditoría
Las estadísticas proporcionan información sobre la actividad y utilización del servidor. Es muy fácil detectar un posible problema. Un número elevado de acuses de recibo negativos indica una mala configuración del ámbito (dos ámbitos que proporcionan las mismas direcciones IP).
Los intervalos de actualización pueden actualizarse modificando el parámetro en las propiedades del campo IPv4 (pestaña General).
A diferencia de las estadísticas del servidor, que proporcionan información sobre su estado, las estadísticas del ámbito proporcionan solamente el número de direcciones presentes en el rango permitido y el número de direcciones utilizadas y disponibles.
Como complemento a las estadísticas, es posible utilizar el registro de auditoría, que permite el seguimiento de cualquier actividad. Hace referencia a todas las concesiones distribuidas y también a aquellas que han sido rechazadas.
Se encuentra en la carpeta Windows\System32\dhcp y es posible visualizarlo mediante el bloc de notas de Windows. El nombre de archivo contiene el día en que ha sido creado.
Podemos ver el archivo DhcpSrvLog-Dim en la carpeta BddDHCP. El principio del nombre de archivo (DhcpSrvLog) es común a todos los archivos, solo varía el nombre del día.
El archivo contiene varios campos:
ID: corresponde al número de evento (el enunciado de los diferentes ID se encuentra al
principio del archivo).
Fecha: al grabar el evento en el registro, se incluye la fecha.
Descripción: información sobre la operación efectuada.
Dirección IP: dirección IP del cliente DHCP.
Nombre del equipo: nombre del equipo.
Dirección MAC: dirección MAC del cliente DHCP.
En este registro existen otros datos (ID de transacción, resultado...).
IPAM
IPAM (IP Address Management) es una característica integrada a partir del sistema operativo Windows Server 2012. Permite descubrir, supervisar y auditar un grupo de direcciones IP. La administración y seguimiento de servidores DHCP (Dynamic Host Configuration Protocol) y DNS (Domain Name Service) puede realizarse desde IPAM.
Los siguientes componentes se incluyen en la función:
Descubrimiento automático de la infraestructura de direcciones IP: permite
descubrir automáticamente controladores de dominio, servidores DHCP y servidores DNS en el dominio deseado.
Ver, crear informes personalizados y administración del espacio de direcciones IP: muestra los datos detallados de seguimiento y uso de las direcciones IP. Los
espacios de direcciones IPv4 e IPv6 se organizan en bloques de direcciones IP, en rangos de direcciones IP y en direcciones IP individuales.
Auditar los cambios de configuración del servidor y seguimiento del uso de las direcciones IP: permite ver los eventos operativos relacionados con los servidores
IPAM y DHCP administrados. A su vez, se realiza un seguimiento de las direcciones IP, ID de cliente, nombre de host o nombre de usuario y una captura de eventos de concesiones DHCP y se registran los eventos de inicio de sesión de usuario en los servidores NPS (Network Policy Server), en los controladores de dominio y los servidores DHCP.
Antes de desplegar la característica IPAM es necesario tener en cuenta el método de despliegue seleccionado. Se nos presentan dos posibilidades de despliegue. El método distribuido, con un servidor IPAM en cada sitio de la empresa, o el método centralizado, con un servidor para el conjunto de la empresa.
IPAM realiza intentos periódicos para localizar controladores de dominio, servidores DNS y DHCP para servidores que están dentro del alcance del área de descubrimiento especificada. Para poder ser gestionados por IPAM y autorizar su acceso, se deben configurar los parámetros de seguridad y los puertos del servidor.
La comunicación entre el servidor IPAM y los servidores administrados se efectúa mediante WMI o RPC.
1. Las especificaciones IPAM
El ámbito de descubrimiento para los servidores IPAM está limitado a un único bosque Active Directory. Entre los servidores soportados encontramos NPS, DNS y DHCP. Deben ejecutar
Windows Server 2008 o versiones posteriores y estar unidos a un dominio. Ciertos elementos de red (WINS - Windows Internet Name Service, proxy…) no están contemplados por el servidor IPAM. Solo se actualizan las bases de datos internas de Windows.
Un servidor puede abarcar 150 servidores DHCP y 500 servidores DNS (6.000 ámbitos y 150 zonas DNS).
No hay implementada ninguna estrategia para vaciar la base de datos después de un tiempo, el administrador debe hacerlo manualmente.
Con la instalación de IPAM, se instalan también las siguientes funcionalidades:
Herramientas de administración remota del servidor: instalación de las
herramientas DHCP, DNS y el cliente IPAM que permiten administrar de manera remota los servidores DHCP, DNS e IPAM.
Base de datos interna de Windows: base de datos interna que puede ser instalada
por los roles y características internos.
Servicio de activación de procesos Windows: elimina la dependencia del protocolo
HTTP generalizando el modelo de procesos IIS.
Administración de directivas de grupo: instala la consola MMC que permite
administrar las directivas de grupo.
.NET Framework: instalación de la característica .NET Framework 4.5.
Durante la instalación de la característica, se crean los siguientes grupos locales:
Usuarios IPAM: los miembros del grupo tienen la posibilidad de ver toda la información
de descubrimiento de servidores, al igual que la relativa al rango de direcciones y la gestión del servidor. El acceso a la información de seguimiento de direcciones IP les está prohibido.
Administradores IPAM MSM (Multi-Server Management): tienen permisos de
usuario IPAM, también tienen la posibilidad de efectuar tareas de administración del servidor y tareas de administración corrientes IPAM.
Administradores IPAM ASM (Addess Space Management): además de los permisos
del usuario IPAM, también tienen la posibilidad de efectuar las tareas relacionadas con el espacio de direcciones y tareas de gestión habitual de IPAM.
Administradores de auditoría IPAM IP: los miembros de este grupo pueden efectuar
las tareas de gestión habitual de IPAM y, además, ver la información de seguimiento de direcciones IP.
Administradores IPAM: los administradores IPAM tienen acceso a todos los datos
IPAM y pueden realizar cualquier tarea.
Las tareas IPAM se inician regularmente en función de una periodicidad dada. Se encuentran en el administrador de tareas (Microsoft/Windows/IPAM).
Discovery: permite el descubrimiento automático de los servidores DC, DHCP y DNS.
AddressUtilizationCollection: efectúa la recogida de datos de utilización del rango de
direcciones para los servidores DHCP.
Audit: se recopila la información de auditoría de los servidores DHCP, IPAM, NPS y DC
Configuration: se recopila la información de configuración de los servidores DHCP, DNS
para ASM y MSM.
ServerAvailability: se recupera el estado de servicio de los servidores DHCP y DNS.
La instalación y configuración de la característica IPAM se realiza en los talleres.