Estimados amigos de Inseguros !!!
Seguimos con los controles CIS. Hoy toca el 1.4: activar los logs del DHCP como medida básica para controlar inventario.
Esto suena a “viejuno”. Y lo es. Pero también es de las cosas simples que, cuando pasa algo, te salva la vida.
El DHCP es el “registro civil” de la red. Un equipo llega, pide IP, trabaja, se va. Y si tú no tienes logs, luego te pones a investigar y te encuentras con el clásico: “esa IP ya no está”, “esa MAC ya no aparece”, “esa máquina virtual se apagó”, “en WiFi entró alguien media hora y desapareció”. Ahí empiezan las carreras.
Con DHCP logging, al menos puedes reconstruir qué pidió quién, cuándo, y qué pasó con ese lease. Concesiones, renovaciones, liberaciones, denegaciones… todo deja rastro.
Si estás en un entorno Windows DHCP, es bastante directo. Botón derecho sobre el servidor DHCP, propiedades, pestaña general, y habilitas el DHCP logging. Y ya está. Lo importante: no está en el visor de eventos, son ficheros. Normalmente los tienes en la ruta típica de dhcp bajo System32. Eso hay que sacarlo de ahí y centralizarlo.
Si quieres ver esta explicación en vídeo: https://www.youtube.com/@seguridadsi
Y ahora viene lo clave: este control no es para que abras un txt y lo mires con cara de “ajá”. Es para integrarlo en tu operación. Te llevas esos logs a tu SIEM con un agente o un shipper, normalizas el formato, y ya puedes buscar señales: activos nuevos que no están en inventario, patrones raros de concesiones, dispositivos que aparecen y desaparecen, rangos que no deberían estar vivos, o segmentos que se llenan de repente.
Y cuando lo tienes en SIEM, ya puedes automatizar. Si aparece un activo nuevo, ticket automático, validación, alta en inventario/CMDB y aplicación de políticas. Si aparece un activo nuevo en un segmento sensible, alerta inmediata y contención según lo que tengas (NAC, VLAN, reglas, etc.). Esto es pasar de “ver cosas” a “controlar cosas”.
Si no usas Windows, da igual. Si el DHCP lo da el firewall, el router, el controlador WiFi o el core, la idea es la misma: habilita logs, entiende el formato, centraliza y utiliza. Porque el atacante no te va a avisar. Se conecta, trabaja un rato, y se va. Y si no tienes esa pista, luego solo tienes sospechas, no evidencia.
Y cierro rápido: el control 1.4 es fácil. Precisamente por eso hay que hacerlo. Activa DHCP logs, centralízalos y úsalos como radar de inventario. No es glamuroso, pero funciona.
Y si quieres aprender esto bien, con mentalidad de empresa y paso a paso, pásate por www.seguridadsi.com y échale un ojo a los cursos de la academia.
Gracias por leerme
