none
Monitorizar conexiones de red & Bonus RRS feed

  • Pregunta

  • Hola, saludos a todos los participantes y expertos del foro.

    Esta es mi primera colaboración y me he (des)animado a ponerla después de llevar casi 2 semanas sin éxito buscando una respuesta y/o solución a mi problema. He investigado en estos foros de soporte y no he encontrado nada parecido a mi problemática (quizás soy un poco lerdo y no lo he visto bien), así que espero no equivocarme de sitio para plantear mi problema, ni importunar a nadie con estas dudas.

    Veréis, os explico primero el escenario que tengo montado. Tengo una red pequeña, con varios servidores y varios equipos clientes. Los detalles de estos no vienen a cuento.

    Uno de esos servidores es Windows Server 2008 R2 Enterprise de 64 bits con Service Pack 1, que llamaremos SRVPRD01. Dicho servidor es controlador primario y único de dominio, y tiene los Servicios de dominio de Active Directory activados y actúa como servidor DNS. Adicionalmente, actúa también como servidor DHCP y como servidor de Enrutamiento y acceso remoto.

    El servidor tiene dos tarjetas de red, una que he llamado "WAN" y otra llamada "LAN". La tarjeta "WAN" se conecta a un router de cable, que me proporciona IP y DNS automáticamente mediante DHCP. La IP de la tarjeta WAN es 192.168.1.3, los demás detalles no creo que sean necesarios. Router y tarjeta WAN están conectados ellos solos en una VLAN a parte.

    La tarjeta llamada LAN es la que está conectada a mi red interna, tiene IP 192.168.0.101. Los clientes y demás servidores se conectan a Internet y resuelven DNS a través de esta tarjeta perfectamente, no hay problema ninguno. Esta tarjeta llamada LAN y los demás servidores y clientes están conectados a parte en otra VLAN (quiero decir, ningún cliente u otro servidor tiene acceso lógico / físico al router ni puede salir al exterior sin pasar por mi SRVPRD01).

    Esto se resume en que los clientes y servidores (menos el DC) tienen la configuración dinámica (con las excepciones de los servidores y algunos clientes, que tienen IP reservada, etc), están unidos al dominio, tienen sus cuentas de usuario y de equipo creadas en Active Directory, resuelven bien búsquedas DNS directas e inversas etc.

    ¿Porqué está montado esto así? Entre otras necesidades técnicas y organizativas, es una exigencia para la ISO 27001.

    A pesar de que todo funciona a la perfección, tengo varios problemas y dudas con los que espero que alguien pueda arrojarme un poco de luz:

    • Uno de los requisitos de la ISO 27001 es monitorizar (y guardar en un registro durante X tiempo) de todo el tráfico que se produce entre mi red interna y mi red externa (Internet). He estado revisando eventos, configurando y revisando archivos de registro propios de Windows, pero no me vale nada (o yo no he sabido ver lo que me hace falta). Necesito algo que monitorice las conexiones de mi red interna hacia y desde Internet. Del estilo "La IP de mi red interna 192.168.0.25 se ha conectado a la IP/Página/Servicio XXXXXXXX".
    • He probado con otro software adicional, como Microsoft Threat Management Gateway 2010, algunos sniffers, etc. Pero no me terminan de convencer. Microsoft TMG sería lo más viable, pero no me registra (guarda un registro) todas las conexiones, sólo protocolos HTTP y poco más (o yo no he sabido configurarlo).

    Tengo otro problema que la verdad, no afecta a funcionamiento del sistema, pero me lleva de cabeza y me gustaría resolverlo, o al menos saber porqué ocurre. El tema está en que si voy a las propiedades del servidor DNS y me dirijo a la pestaña "Supervisión", al ejecutar las pruebas de consultas recursivas y de consultas únicas, obtengo error en ambas. Sin embargo, a parte de que los clientes están usando este servidor para resolver nombres y está funcionando correctamente, todos los servidores que tengo en la pestaña de "Reenviadores" están resolviendo correctamente (ya lo he comprobado al ir agregándolos).

    ¿Alguna idea de porqué obtengo esos errores en las pruebas y cómo podría solucionarlos? Puedo proporcionar toda la información adicional que sea necesaria, así como capturas de pantalla de ser necesario.

    Mil perdones por este "tocho" de consulta, y mil gracias de antemano a todos.

    Saludos.

    martes, 22 de enero de 2013 15:09

Respuestas

  • Benito,

    Efectivamente. Un port mirroring o Span te permite enviar una copia del tráfico que se genera en un determinado puerto o vlan hacia este puerto al que conectarás un servidor / equipo para tratar este tráfico. Es parecido a un sniffer.

    Respecto a los errores de DNS, nunca es buena idea los DCs con varias interfaces, sobre todo si ambas están registradas como NS en el servidor DNS de tu dominio. Prueba a eliminar las referencias en todas las zonas DNS de la IP que corresponde a la NIC WAN y eliminar caché DNS del servidor y clientes antes de realizar más pruebas.

    Saludos

    Julio Rosua

    miércoles, 23 de enero de 2013 8:43

Todas las respuestas

  • Hola Benito,

    De chapa nada,  mejor esto que un post con "No funciona" como descripción :-)

    Varias cosas, de entrada el problema de DNS es muy probablemente debido a que el DC es multihomed, y al tener 2 NICs es normal que tengas problemas si ambas IPs están registradas en el servidor DNS.

    Para corregir esto prueba a realizar lo que se propone en el siguiente enlace:

    http://support.microsoft.com/default.aspx?scid=kb;en-us;272294&wa=wsignin1.0

    Por otro lado, sobre auditar todo el tráfico de/desde Internet/Red Interna hay varias soluciones, pero dejarme decirte de entrada que de todas las cosas buenas que tiene Microsoft (y no son pocas...) el logging no está en el top ten. Particularmente en el caso de Forefront TMG.

    Normalmente esto no acostumbra a realizarse de esta manera, este DC en particular almacena ya demasiados roles, si además has instalado un TMG en él casi un milagro que no te haya tumbado toda la red. En cualquier caso, lo más lógico para realizar lo que te propones es realizarlo desde tu electrónica de red.

    Lo normal para hacer esto sería configurar en tu switch troncal un port mirroring para reenviar los paquetes de red por esa boca a un equipo (no tiene que ser un server) desde el que procesarías la información. Este equipo actuaría a modo de sonda. Una vez capturados los paquetes puedes tratar esto con muchos tools como Cacti, Splunk... 

    Saludos

    Julio Rosua



    • Editado Julian Ros martes, 22 de enero de 2013 21:22
    martes, 22 de enero de 2013 21:07
  • Hola Julio, buenos días y muchas gracias por contestar.

    Sobre lo de los DNS, he probado a seguir las instrucciones que aparecen en el KB de Microsoft sin éxito. La verdad es que hoy no puedo dedicarle mucho tiempo, así que mañana le daré más vueltas, quizá me haya dejado algo de lado.

    El tema de los roles del servidor, pues sí, tiene demasiados (y porque no he comentado que también tiene instalado el rol de Hyper-V Server con 4 máquinas virtuales, que si no... jajajaja), pero como indiqué, no es por desconocimiento o dejadez; son necesidades técnicas y organizativas de la empresa. En realidad tengo tres servidores físicos, y distribuyo los roles como creo más conveniente. Este servidor en concreto que he mencionado es el más potente que tenemos, y también está preparado para soportar mucha carga de trabajo; está bien mimado con 8 cores, 16 hilos de proceso, 16Gb RAM, etc, que no es mucho hoy en día pero a nosotros nos sobra :-)

    Volviendo al tema de los roles, no, no tiene instalado Forefront TMG jajaja. Usé una máquina virtual con un WinServer2008 instalado para la ocasión para probar precisamente el Forefront TMG 2010; es por eso que lo he podido probar y ver en funcionamiento y no me termina de convencer.

    Pero la idea de hacer el port mirrowing en el switch no se me había ocurrido. Tiene buena pinta. Aunque eso que me comentas es casi lo mismo que instalar un sniffer en el servidor para que escuche todas las conexiones de la tarjeta "LAN", ¿me equivoco? De todas formas, como he dicho, hoy no puedo dedicarle mucho tiempo, así que mañana probaré las soluciones y ya postearé aquí cómo me ha ido.

    Muchas gracias de nuevo por tu tiempo y tu respuesta.

    miércoles, 23 de enero de 2013 8:22
  • Benito,

    Efectivamente. Un port mirroring o Span te permite enviar una copia del tráfico que se genera en un determinado puerto o vlan hacia este puerto al que conectarás un servidor / equipo para tratar este tráfico. Es parecido a un sniffer.

    Respecto a los errores de DNS, nunca es buena idea los DCs con varias interfaces, sobre todo si ambas están registradas como NS en el servidor DNS de tu dominio. Prueba a eliminar las referencias en todas las zonas DNS de la IP que corresponde a la NIC WAN y eliminar caché DNS del servidor y clientes antes de realizar más pruebas.

    Saludos

    Julio Rosua

    miércoles, 23 de enero de 2013 8:43
  • Hola de nuevo Julio.

    Probé lo de la redirección del puerto en el switch y la verdad es que funciona perfectama. En cambio, lo del DNS me sigue dando problemas. Es curioso que los clientes siguen funcionando correctamente y resolviendo correctamente los nombres externos de la red, pero que las pruebas en el propio servidor DNS fallen me hace tener la mosca detrás de la oreja y no estar tanquilo del todo...

    Como he puesto en otro post que tengo abierto, hasta que no verifique mi cuenta, no puedo subir imágenes ni postear enlaces, y como no se indica cómo hacer eso pues nada, me he quedado con las ganas de pegar una captura de un diagrama que había hecho con Visio para explicar un poco mejor cómo tengo configurado el servidor y la red.

    He seguido las indicaciones que me has dado, pero sigo obteniendo los mismos errores al realizar las pruebas de la pestaña Supervisión. ¿Alguna otra idea de lo que podría probar?

    Un saludo y gracias de nuevo por tu tiempo.

    jueves, 24 de enero de 2013 16:22
  • Benito,

    Sin conocer al detalle tu infraestructura DNS, tiene toda la pinta de estar relacionado con la existencia de varias tarjetas de red.

    Puedes realizar la siguiente prueba, no te solucionará nada pero podrás confirmar si este es el origen:

    - Cuando te lo puedas permitir (fuera de horas p.ej) deshabilita la interfaz de red WAN

    - Asegúrate que la NIC LAN del DC tiene como DNS primario su IP Privada y no 127.0.0.1

    - Elimina cache de servidor DNS y cliente desde CMD -> ipconfig /flushdns

    - De cara a la recursividad, verifica que la lista de sugerencias raiz es correcta o configura un forwarder correcto.

    Vuelve a realizar los tests. Si funciona, prueba a rehabilitar la interfaz WAN y repite las pruebas.

    Saludos

    Julio Rosua

    jueves, 24 de enero de 2013 16:56
  • Muchas gracias de nuevo por tu tiempo Julio.

    Hoy a última hora probaré con esto que me comentas, y ya postearé el lunes si me ha funcionado correctamente.

    Si sigue sin funcionar, estoy pensando dejarlo correr, ya que como he comentado antes, los clientes no pueden acceder al router para nada, pero están resolviendo correctamente los nombres, y sólo tienen configurado como único servidor DNS, mi servidor DNS.

    Además, las pruebas con tracert, nslookup y demás, están resultando correctas (buena respuesta para nombres de mi dominio, y respuestas no autoritativas para nombres de fueras de mi dominio [internet]).

    Como he dicho, el lunes comento los resultas.

    ¡Muchas gracias de nuevo!

    viernes, 25 de enero de 2013 8:09
  • Hola Julio, muchas gracias por tu tiempo.

    He probado todo esto que me comentabas, pero me hallo en la misma situación.

    Una duda... si alguno de los forwarders que tengo configurados da error, aunque el resto funcione bien, ¿la prueba se considera fallida? Lo digo porque tengo varios forwarders configurados, pero hay algunos que de vez en cuando dan error por timeout (quizá de una lista de 12, siempre falla 1 o 2).

    ¿Tendrá eso algo que ver?

    Un saludo y muchas gracias.

    miércoles, 30 de enero de 2013 7:53