Cómo interpretar los registros de auditoría del servidor DHCP

En la mayoría de los casos, cuando se habla de logs de auditoría en artículos relacionados con Windows, estos logs están relacionados con seguridad. Sin embargo, en el caso de los servicios DHCP, los logs de auditoría son mucho más útiles desde un punto de vista diagnóstico que de seguridad. Después de todo, el único trabajo de un servidor DHCP es asignar direcciones IP a los clientes de la red, por lo que no hay muchas razones para realizar una auditoría de seguridad de la actividad del servidor DHCP (aunque es importante estar al tanto de los logs de auditoría del sistema operativo).

Algunos podrían argumentar que si los servicios DHCP proporcionan información de auditoría que puede ser utilizada para monitorear la actividad de la red, entonces su personal de seguridad debería revisar esos logs con detenimiento. Sin embargo, en mi opinión, revisar los logs de auditoría de DHCP en busca de posibles brechas de seguridad es tedioso y, en general, poco productivo. Si hay cientos de PCs en una red, ¿cuáles son las probabilidades de detectar una sola dirección MAC no autorizada entre cientos o miles de entradas legítimas? En mi opinión, el tiempo de su personal de seguridad se aprovecha mejor revisando otros tipos de logs de auditoría.

Dicho esto, eso no significa que los logs de auditoría de DHCP sean inútiles. Aunque no son prácticos para el monitoreo diario de seguridad, son una excelente herramienta de diagnóstico. Los logs de auditoría de DHCP proporcionan una gran cantidad de información sobre la funcionalidad del servidor DHCP. El objetivo de este artículo es mostrarte cómo interpretar estos logs.

Índice de Contenido
  1. Configuración de la auditoría de DHCP
  2. Examinando los logs de DHCP
  3. La limpieza de la base de datos del servidor DHCP
  4. Arrendamientos de direcciones IP

Configuración de la auditoría de DHCP

La auditoría está habilitada de forma predeterminada para la versión de DHCP en Windows Server 2003. Los logs de auditoría se encuentran en la carpeta c:\windows\system32\dhcp. Los archivos de logs tienen el nombre DhcpSrvLog-XXX.log, donde XXX es una serie de tres letras que representa el día de la semana en que se creó el log. Por ejemplo, un log llamado DhcpSrvLog-Fri.log sería el archivo de log creado el viernes.

Aunque la auditoría está habilitada de forma predeterminada, existen algunas restricciones relacionadas con los tamaños de los logs. Estas restricciones tienen que ver con el tamaño máximo de los archivos de log. Un archivo de log puede crecer hasta un tamaño máximo de 1 MB. Además, si los logs de DHCP en conjunto superan los 20 MB, la función de logging se deshabilitará para conservar espacio en disco.

En su mayoría, no se pueden evitar estas limitaciones. Sin embargo, hay un par de cosas relacionadas con la auditoría de DHCP que se pueden cambiar. Para hacerlo, abre la consola de DHCP seleccionando el comando DHCP del menú Herramientas administrativas. Cuando se abra la consola, haz clic derecho en la lista del servidor DHCP actual y selecciona la opción Propiedades dentro del menú contextual resultante.

Cómo rastrear y auditar cambios en una base de datos

En este punto, se abrirá la hoja de propiedades del servidor DHCP. Si miras la pestaña General de las propiedades, verás una casilla de verificación que puedes utilizar para habilitar o deshabilitar el logging de DHCP. Como mencioné anteriormente, el logging de DHCP está habilitado de forma predeterminada. En la mayoría de los casos, probablemente sea una buena idea dejar habilitado el logging de DHCP. Sin embargo, si tu servidor DHCP está teniendo problemas de rendimiento, deshabilitar la auditoría de logs es una forma de ayudar al servidor a mejorar su rendimiento.

Otro ajuste relacionado con la auditoría de logs de DHCP que se puede cambiar es la ruta de los archivos de log. Para hacerlo, ve a la pestaña Avanzado. Esta pestaña contiene un cuadro de texto etiquetado como Ruta del archivo de log de auditoría. Si por alguna razón no te gusta la ruta predeterminada de los logs, puedes utilizar este cuadro de texto para establecer la ruta a cualquier cosa que desees.

Examinando los logs de DHCP

Ahora que te he mostrado las opciones de logging que existen, quiero mostrarte cómo puedes utilizar los logs de DHCP. Los archivos de log son simplemente archivos de texto. Si haces doble clic en un archivo de log, se abrirá nuevamente en el Bloc de notas. A continuación se muestra un extracto de un log de DHCP bastante típico:

Registro de actividad del servicio DHCP de Microsoft

ID de evento - Significado

00 - El log se inició

10 formas de monitorear las actividades de los empleados en la empresa

01 - El log se detuvo

02 - El log se pausó temporalmente debido a falta de espacio en disco

10 - Una nueva dirección IP se asignó a un cliente

11 - Se renovó un arrendamiento por parte de un cliente

12 - Se liberó un arrendamiento por parte de un cliente

13 - Se encontró una dirección IP en uso en la red

Cómo usar el componente PrintDocument en aplicaciones VB.NET

14 - No se pudo satisfacer una solicitud de arrendamiento debido a que el grupo de direcciones de la subred estaba agotado

15 - Se denegó un arrendamiento

16 - Se eliminó un arrendamiento

17 - Un arrendamiento ha expirado

20 - Se asignó una dirección BOOTP a un cliente

21 - Se asignó una dirección BOOTP dinámica a un cliente

Microsoft planea adquirir una participación del 5% en Facebook por $500 millones

22 - No se pudo satisfacer una solicitud BOOTP debido a que el grupo de direcciones de la subred estaba agotado

23 - Se eliminó una dirección IP BOOTP después de comprobar que no se encontraba en uso

24 - Se ha iniciado una operación de limpieza de direcciones IP

25 - Estadísticas de limpieza de direcciones IP

30 - Solicitud de actualización de DNS al servidor DNS especificado

31 - Error de actualización de DNS

Cómo filtrar correctamente el tráfico ICMP en Cisco IOS

32 - Actualización de DNS exitosa

50+ - Códigos por encima de 50 se utilizan para información de detección de servidores no autorizados

ID, Fecha, Hora, Descripción, Dirección IP, Nombre de Host, Dirección MAC

00, 21/07/06, 19:42:47, Iniciado,,,,

56, 21/07/06, 19:42:48, Fallo de autorización, se detiene el servicio,,production.com,,

55, 21/07/06, 19:50:52, Autorizado (en servicio),,production.com,,

La verdad detrás del inicio de Streem: el pasado oscuro que no te contaron

24, 21/07/06, 20:42:48, Inicio de limpieza de la base de datos,,,,

25, 21/07/06, 20:42:48, Se han expirado 0 arrendamientos y 0 arrendamientos se han eliminado,,,,

25, 21/07/06, 20:42:48, Se han expirado 0 arrendamientos y 0 arrendamientos se han eliminado,,,,

50, 21/07/06, 20:49:01, Dominio inalcanzable,,production.com,8250,

24, 21/07/06, 21:42:49, Inicio de limpieza de la base de datos,,,,

25, 21/07/06, 21:42:49, Se han expirado 0 arrendamientos y 0 arrendamientos se han eliminado,,,,

Twitter se convierte en objetivo para el malware según usuarios australianos

25, 21/07/06, 21:42:49, Se han expirado 0 arrendamientos y 0 arrendamientos se han eliminado,,,,

Si observas la muestra del archivo de log, verás que la primera parte del archivo contiene una lista de códigos. Volveremos a estos códigos en un momento. Por ahora, mira justo debajo de la lista de códigos y verás una fila de encabezado que comienza con ID, Fecha, Hora, etc. Las entradas de log en sí comienzan debajo de esta fila de encabezado.

La parte de log del archivo se presenta en formato CSV (valores separados por comas). Esto significa que cada campo está separado por una coma. Los archivos CSV pueden ser difíciles de leer en un procesador de texto, pero se pueden importar a Microsoft Excel para facilitar su lectura. Las entradas de log a continuación muestran un subconjunto de las entradas de log anteriores, pero presentadas en un formato similar a cómo se mostrarían en Microsoft Excel, como se muestra en la Tabla A.

En este conjunto particular de entradas de log, puedes ver un ID, fecha, hora y descripción para cada evento. Obviamente, la fecha y la hora son bastante autoexplicativas. Sin embargo, a primera vista, los datos en los campos ID y descripción pueden no tener mucho sentido.

Anteriormente te mostré la lista de ID de eventos al comienzo del archivo de log. Estos ID de eventos corresponden al número que se muestra en la columna de ID. El campo de descripción simplemente contiene una explicación de la información transmitida a través del ID de evento.

Por ejemplo, echemos un vistazo a la primera entrada del archivo de log mostrado anteriormente. Como puedes ver, el ID de evento es 0 y la descripción es "Iniciado". Si miras la sección de "Significado de los ID de evento" en la parte superior del archivo de log, verás que el significado del ID de evento 0 es que se inició el log. En este caso particular, la descripción realmente no es necesaria. Supongo que Microsoft probablemente solo la puso allí para facilitar un poco tu vida.

No hay nada que hacer: la realidad de un impresora dañada por incendio

Si observas la segunda entrada en el archivo de log, verás que el número de ID de evento es 56 y que la descripción es "Fallo de autorización". Si vuelves a la sección de "Significado de los ID de evento" en la parte superior del archivo de log, verás que no hay una lista para el número de ID de evento 56. La sección de "Significado de los ID de evento" simplemente indica que los códigos por encima de 50 se utilizan para información de detección de servidores no autorizados. Aunque el archivo de log no te dice específicamente qué significa el código número 56, he investigado y encontrado una lista de lo que significan los números de código por encima de 50. A continuación se muestra una descripción:

50 – El servidor DHCP no pudo localizar el dominio necesario.

51 – La autorización se realizó correctamente.

52 – El servidor se actualizó recientemente a Windows Server 2003 Standard Edition. Durante el proceso de actualización, se deshabilitó el mecanismo de detección de servidores DHCP no autorizados, que se utiliza para determinar si el servidor DHCP ha sido autorizado en el directorio activo.

53 – El directorio activo no estaba accesible en el momento en que los servicios de DHCP se iniciaron. Por este motivo, se utilizó información en caché para autorizar los servicios de DHCP para que se inicien.

54 – Este es un código de falla de autorización. Cuando se produce este evento, es porque el servidor DHCP no está autorizado en el directorio activo. Un evento de código 54 debe ir seguido de un ID de evento que muestre que los servicios de DHCP se han detenido.

Cómo imprimir varias diapositivas en una hoja de papel

55 – Los servicios de DHCP fueron autorizados para iniciar.

56 – El evento número 56 fue el evento que apareció en nuestro ejemplo de archivo de log. Este evento indica que el servicio DHCP no estaba autorizado para iniciar y, en consecuencia, se detuvo. Como probablemente sabes, debes autorizar un servidor DHCP en el directorio activo antes de iniciar los servicios de DHCP.

57 – Ya existe otro servidor DHCP en el dominio especificado.

58 – El servidor DHCP no pudo localizar el dominio necesario.

59 – Un problema de conectividad de red impide que el servidor determine si ha sido autorizado o no.

60 – Este código de error necesita un poco de explicación. El ID de evento significa que no hay un controlador de dominio habilitado para Servicios de Directorio. Este ID de evento solo se encuentra en entornos de modo mixto en los que hay controladores de dominio de Windows NT presentes. Como un servidor DHCP solo puede ser autorizado a través del Directorio Activo, el servidor DHCP debe poder comunicarse con el Directorio Activo para determinar si ha sido autorizado o no. Por lo tanto, si el servidor DHCP solo puede comunicarse con controladores de dominio basados en Windows NT, el archivo de log reflejará un ID de evento de 60.

Los 10 problemas más comunes de QuickBooks y cómo solucionarlos

61 – Este ID de evento significa que se encontró otro servidor DHCP que pertenece al mismo dominio en la red. Este ID de evento es diferente del número 57 en el sentido de que el servidor DHCP detectado no necesariamente tiene que estar autorizado. Por ejemplo, los servicios de DHCP podrían estar en ejecución en un antiguo servidor Windows NT.

62 – El número de ID de evento 62 significa que se detectó otro servidor DHCP en la red. La diferencia entre el número de ID de evento 62 y los números de ID de evento 61 y 57 es que el número de ID de evento 62 no está relacionado con un dominio específico. De hecho, el servidor DHCP detectado ni siquiera tiene que ser un servidor de Windows. Este es simplemente un número de evento genérico que se produce cada vez que se detecta otro servidor DHCP.

63 – El número de ID de evento 63 se genera cuando el servidor DHCP tiene problemas con el mecanismo de detección de servidores no autorizados. Este evento se genera cuando el mecanismo de detección de servidores no autorizados se reinicia. Reiniciar el mecanismo de detección de servidores no autorizados implica que el servidor intentará una vez más determinar si está autorizado o no.

64 – Este ID de evento indica que no hay interfaces de red habilitadas para DHCP. Esto significa que ninguna de las interfaces de red del servidor está configurada de una manera que sea aceptable para los servicios de DHCP. Por lo general, esto significa una de tres cosas: es posible que no haya un cable de red conectado al adaptador de red en cuestión, que todas las interfaces de red del servidor DHCP estén configuradas para usar direcciones IP dinámicas o que todas las tarjetas de red vinculadas a direcciones IP estáticas hayan sido deshabilitadas.

La limpieza de la base de datos del servidor DHCP

A continuación, quiero mostrarte las referencias a la limpieza de la base de datos que se encuentran en los archivos de log. Como seguro sabes, los arrendamientos de direcciones IP expiran periódicamente. Cuando un arrendamiento expira, el servidor DHCP debe revocar el arrendamiento. Para hacerlo, el servidor DHCP se basa en un proceso interno de limpieza de la base de datos que se ejecuta una vez por hora. Además de limpiar arrendamientos expirados, el proceso de mantenimiento realiza algunas tareas menores de mantenimiento y crea una copia de seguridad de la base de datos. El proceso de limpieza de la base de datos y sus resultados se incluyen en el archivo de log de DHCP. Los siguientes extractos de un archivo de log muestran lo que verás normalmente en cuanto al proceso de limpieza de la base de datos:

24, 22/07/06, 00:00:34, Inicio de limpieza de la base de datos,,,,

25, 22/07/06, 00:00:34, Se han expirado 0 arrendamientos y 0 arrendamientos se han eliminado,,,,

Arrendamientos de direcciones IP

Por supuesto, la parte más grande de los logs de un servidor DHCP típico son las entradas relacionadas con los clientes que arriendan, renuevan o liberan direcciones IP. A continuación se muestra un extracto de un log de servidor DHCP que muestra este tipo de actividad:

10, 22/07/06, 22:19:56, Asignado, 147.100.100.120, e2k7., 0013D30C227E,

31, 22/07/06, 22:19:56, Error de actualización de DNS, 147.100.100.120, e2k7., -1,

30, 22/07/06, 22:20:19, Solicitud de actualización de DNS, 120.100.100.147, e2k7., ,

12, 22/07/06, 22:20:19, Liberado, 147.100.100.120, e2k7., 0013D30C227E,

31, 22/07/06, 22:20:19, Error de actualización de DNS, 147.100.100.120, e2k7., -1,

30, 22/07/06, 22:20:25, Solicitud de actualización de DNS, 120.100.100.147, e2k7., ,

10, 22/07/06, 22:20:25, Asignado, 147.100.100.120, e2k7., 0013D30C227E,

Si observas este extracto del archivo de log, verás que utiliza los mismos códigos de estado que mencioné anteriormente. Estos códigos pueden ser muy útiles para diagnosticar posibles problemas. Por ejemplo, si te fijas en la segunda línea de código del extracto anterior, verás un mensaje que indica que ha fallado una actualización de DNS. Generé este error configurando mi servidor con una dirección incorrecta del servidor DNS. En el mundo real, sin embargo, este tipo de error podría ser difícil de solucionar a menos que se revisen los logs del servidor DHCP.

Aunque las actualizaciones de DHCP están fallando, las direcciones IP aún se están arrendando. Por lo tanto, el servidor DHCP da la ilusión de que todo está funcionando perfectamente. Los problemas solo se mostrarían si un cliente de red intentara comunicarse con otro cliente de red que haya obtenido su dirección IP de este servidor DNS. La comunicación probablemente fallaría porque el servidor DNS no podría resolver el nombre de host del cliente a una dirección IP.

En una situación como esta, sería muy fácil entrar en una búsqueda infructuosa. Un administrador sin experiencia probablemente estaría buscando un mal funcionamiento del servidor DNS que no existe. Mientras tanto, la clave para resolver el problema se encuentra en los logs del servidor DHCP. Esta es una de las razones por las que es importante revisar periódicamente los logs de tu servidor DHCP.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre General, allí encontraras muchos artículos similares a Cómo interpretar los registros de auditoría del servidor DHCP , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.