jueves, 5 de febrero de 2015

DHCP Logs & Backup. Sistemas Windows

Amigos de Inseguros !!!

Como hablábamos hace unos días en el post sobre el log del servidor Radius en Windows, el tener activado y controlada la gestión de los logs es vital para analizar en tiempo real, o en modo forense, la actividad de todos los componentes susceptibles a verse implicados en un ataque hacia nuestras infraestructuras.


Uno de los logs que me parece interesante es el log del serviio DHCP. Pude ser muy útil para detectar una intrusión física en la sede, un portátil que se conecta a un punto de red, o un cliente WiFi !!!

Lo primero que hacemos es habilitar el registro en Acciones-Propiedades.


La ruta del registro para DHCP es c:\windows\system32\dhcp\

Original eh !!!

Un ejemplo del fichero que podemos visualizar:


Cabe mencionar que el fichero de logs tiene un tamaño máximo de 1MB, y guarda uno de histórico.
Hay que controlar el tamaño del log con actividad normal, para calcular la frecuencia de copias que queremos establecer. Puede ser que el MB se llene en un día, o en un mes.

La información de campos relevante la podéis consultar aquí.

Y puestos a dejar esto bien configurado, podemos hacer una tarea con el siguiente comando para que nos haga un backup de la configuración del DHCP para evitar problemas, como yo que borrado 100 reservas dhcp :-).
Backup-DhcpServer -ComputerName host -Path C:\Windows\system32\dhcp\backup
Si vives en el mundo NETSH aún, aparte de animarte a actualizar, aquí tienes el comando:
netsh dhcp nombre export c:\ruta.txt all

Si quieres hacerlo automáticamente, sin tarea, puedes configurarlo en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters\BackupInterval

Espero que os guste el artículo y que os sirva de ayuda.
Gracias por leerme.

Recuerda que puedes buscar entre mis libros de hacking en español en en recopilatorio de libros sobre hacking