Tema 27. Administración de redes de área local. Gestión de usuarios. Gestión de dispositivos. Monitorización y control de tráfico.

1. Administración de redes de área local

1. Administración de redes de área local

🎯 Idea clave

• La administración de redes de área local se sustenta en protocolos estandarizados como SNMP, complementados con tecnologías de análisis de flujos y registros centralizados.
• El protocolo SNMP en su versión 3 es el estándar obligatorio en entornos de la Administración Pública por requerimientos del Esquema Nacional de Seguridad.
• La gestión operativa requiere herramientas específicas que permitan la recolección de métricas y la detección de anomalías en tiempo real.
• La centralización de logs mediante syslog constituye un requisito obligatorio para garantizar la trazabilidad y seguridad de las operaciones.
• Los directorios corporativos basados en LDAP, especialmente Active Directory, forman parte esencial de la infraestructura de gestión de la red.
• La integración de sistemas de monitorización con plataformas SIEM facilita la observabilidad y respuesta ante incidentes en entornos complejos.

📚 Desarrollo

Gestión operativa fundamental. La administración de redes de área local en entornos corporativos y de la Administración Pública se apoya principalmente en SNMP (Simple Network Management Protocol), que permite a los gestores recolectar métricas de dispositivos mediante agentes que exponen información en bases de datos jerárquicas denominadas MIBs.

Evolución y seguridad del protocolo. SNMP ha evolucionado desde la versión 1, que presentaba graves vulnerabilidades al transmitir comunidades en texto plano, hasta la versión 3, que incorpora un modelo de seguridad robusto basado en usuarios con autenticación mediante HMAC-MD5 o HMAC-SHA y cifrado con DES, 3DES o AES. En entornos AAPP, el uso de SNMPv3 con autenticación y cifrado es obligatorio según el ENS, reservando versiones anteriores únicamente para sistemas heredados incompatibles.

Análisis de tráfico y flujos. Complementariamente, tecnologías como NetFlow (propiedad Cisco), sFlow (estándar abierto) e IPFIX (definido en RFC 7011) permiten exportar información agregada sobre flujos de comunicación hacia colectores centrales. Estos flujos resumen datos de origen, destino, puertos, protocolos y volumen, facilitando el análisis de consumos y la detección de patrones anómalos sin necesidad de almacenar el contenido completo de los paquetes.

Herramientas de gestión. La gestión operativa se materializa mediante plataformas como Zabbix, Cacti, PRTG, LibreNMS, Observium o Nagios, ampliamente utilizadas en la Administración Pública por su carácter libre o asequible y su amplia base de plantillas para dispositivos diversos. Estas herramientas procesan métricas de CPU, memoria, errores de interfaces y eventos traps generados por los equipos gestionados.

Infraestructura de directorios. La administración de la red integra servicios de directorio basados en LDAP (Lightweight Directory Access Protocol), operando sobre TCP/389 o TCP/636 con TLS. Active Directory, el directorio predominante en la Administración General del Estado, combina LDAP, Kerberos, DNS y replicación multimaster, estructurando la red en bosques, dominios, unidades organizativas y sitios que reflejan la topología física y lógica de la organización.

Centralización y cumplimiento. El mantenimiento de trazas de operación y seguridad mediante syslog centralizado, utilizando servidores como rsyslog o syslog-ng con reenvío a plataformas de seguridad, constituye un requisito obligatorio del ENS. Esta centralización protege la evidencia contra manipulaciones locales y facilita la correlación de eventos y la respuesta ante incidentes cuando se integra con sistemas SIEM.

🧩 Elementos esenciales

• SNMPv3: Protocolo estándar actual obligatorio que proporciona autenticación mediante HMAC-MD5 o HMAC-SHA y cifrado con algoritmos DES, 3DES o AES.
• SNMPv2c: Versión intermedia que mejora la eficiencia con operaciones GetBulk y soporta contadores de 64 bits, aunque mantiene el modelo de seguridad débil basado en comunidades.
• MIB (Management Information Base): Bases de datos jerárquicas que los agentes SNMP exponen para que los gestores consulten variables de dispositivos.
• IPFIX: Protocolo estándar definido en RFC 7011 para exportar información de flujos IP desde dispositivos de medición hacia colectores.
• Syslog: Mecanismo estándar para el envío de mensajes de registro desde dispositivos a servidores centralizados, obligatorio en AAPP para conservación de trazas.
• Active Directory: Directorio dominante en la AGE que integra LDAP, Kerberos y DNS mediante una arquitectura de bosques y dominios con replicación multimaster.
• DIT (Directory Information Tree): Estructura jerárquica de directorios LDAP que organiza entradas mediante nombres distinguidos (DN).
• GPO (Group Policy Objects): Directivas de grupo en Active Directory que permiten aplicar configuraciones de seguridad y software según la ubicación en el árbol de directorios.
• SIEM: Plataformas de seguridad con las que se integran las herramientas de monitorización en entornos grandes para análisis de logs y respuesta a incidentes.
• Herramientas OSS: Soluciones como Zabbix, LibreNMS u Observium, prevalentes en AAPP por su licenciamiento abierto y capacidad de gestión diversa.

🧠 Recuerda

• SNMPv3 es obligatorio en entornos AAPP; evita v1 y v2c salvo en sistemas heredados sin alternativa.
• La autenticación en SNMPv3 utiliza HMAC-MD5 o HMAC-SHA, y el cifrado puede emplear DES, 3DES o AES.
• IPFIX es el estándar abierto para exportación de flujos, mientras que NetFlow es propiedad de Cisco y sFlow es un estándar abierto alternativo.
• El syslog centralizado es obligatorio por el ENS para garantizar la integridad de las trazas de seguridad.
• Active Directory utiliza puertos LDAP (389) y LDAPS (636) con TLS para consultas seguras.
• La estructura de AD incluye bosques como unidad máxima de seguridad, dominios como unidades de replicación y OUs para delegación administrativa.
• Los colectores de flujos permiten detectar anomalías sin almacenar todo el contenido de los paquetes, optimizando recursos.
• Las herramientas como Zabbix o Nagios se utilizan mediante plantillas que facilitan la monitorización de métricas específicas por tipo de dispositivo.

2. Gestión de usuarios

2. Gestión de usuarios

🎯 Idea clave

• La gestión de usuarios se fundamenta en los directorios corporativos, que constituyen bases de datos jerárquicas optimizadas para lectura mediante el protocolo LDAP.
• Active Directory es el directorio dominante en la Administración General del Estado, integrando LDAP, Kerberos, DNS y replicación multimaster.
• Los elementos arquitectónicos de Active Directory incluyen el bosque, los dominios, las unidades organizativas y las directivas de grupo o GPO.
• En sistemas Linux, cada proceso y archivo se asocia a usuarios y grupos identificados mediante UID y GID, gestionándose la elevación de privilegios mediante sudo.
• Los grupos en Active Directory se clasifican según su ámbito (local, global, universal) y su finalidad (seguridad para permisos, distribución para listas de correo).
• La autenticación centralizada permite integrar servidores Linux en directorios corporativos mediante LDAP, Kerberos o SSSD, diferenciando permisos locales de los provenientes del directorio.

📚 Desarrollo

Directorios corporativos. Un directorio es una base de datos jerárquica optimizada para lecturas que almacena identidades y sus atributos siguiendo históricamente el modelo X.500. Se consultan mediante el protocolo LDAP (Lightweight Directory Access Protocol), que opera sobre TCP/389 o TCP/636 con TLS, permitiendo el acceso a la información de forma estandarizada.

Estructura jerárquica. La organización de entradas sigue un árbol DIT (Directory Information Tree) que parte de un sufijo raíz y se ramifica en unidades organizativas (OU), grupos y usuarios. Cada entrada se identifica mediante nombres distinguidos (DN) que reflejan su ubicación en la jerarquía, como por ejemplo el formato cn=juan,ou=informatica,dc=ministerio,dc=es.

Active Directory. Es el directorio dominante en la AGE y combina múltiples servicios: LDAP para consultas, Kerberos para autenticación, DNS para resolución de nombres y un motor de replicación multimaster. Sus elementos principales son el bosque (forest), los dominios, las unidades organizativas, los sitios y las directivas de grupo o GPO, que permiten aplicar configuraciones de seguridad, contraseñas y restricciones según la ubicación en el árbol.

Gestión de cuentas. Las cuentas de Active Directory se administran mediante consolas como Active Directory Users and Computers o mediante PowerShell con cmdlets específicos como New-ADUser, Set-ADUser o Add-ADGroupMember. Los grupos se clasifican según su ámbito (local, global, universal) y según su finalidad: los grupos de seguridad conceden permisos, mientras que los de distribución se emplean únicamente para listas de correo.

Administración en Linux. En sistemas Linux, cada proceso y archivo se asocia a usuarios y grupos identificados mediante UID (User ID) y GID (Group ID). Los conceptos fundamentales incluyen el usuario, el grupo primario, los grupos suplementarios, el shell asignado, el directorio personal y la contraseña o método de autenticación asociada.

Elevación de privilegios. La herramienta sudo permite ejecutar comandos con privilegios elevados sin iniciar sesión directamente como root. La configuración se establece en el archivo /etc/sudoers y en archivos ubicados en /etc/sudoers.d/, determinando qué usuarios pueden ejecutar acciones administrativas. La autenticación centralizada en entornos integrados utiliza servicios como LDAP, Kerberos o SSSD, requiriendo que las cuentas locales se limiten a necesidades concretas y que se distinga claramente entre permisos locales y los gestionados por el directorio corporativo.

🧩 Elementos esenciales

• LDAP: Protocolo abierto sobre TCP/389 o TCP/636 con TLS para consultar directorios X.500.
• DIT (Directory Information Tree): Estructura de árbol que organiza las entradas del directorio con sufijo raíz, unidades organizativas y objetos.
• DN (Distinguished Name): Nombre distinguido que identifica únicamente cada entrada en el directorio mediante su ruta jerárquica.
• Active Directory: Directorio de Microsoft que integra LDAP, Kerberos, DNS y replicación multimaster, dominante en la AGE.
• GPO (Group Policy Objects): Directivas de grupo que aplican configuraciones de seguridad, software y restricciones a equipos y usuarios.
• Bosque (Forest): Elemento superior de la arquitectura AD que puede contener múltiples dominios con confianza transitiva.
• Grupos de seguridad vs. distribución: Los primeros otorgan permisos de acceso; los segundos sirven exclusivamente para listas de correo.
• Ámbito de grupos: Clasificación de grupos AD en local, global y universal según su radio de acción en el bosque.
• UID/GID: Identificadores numéricos de usuarios y grupos en sistemas Linux.
• sudo: Mecanismo de elevación de privilegios en Linux configurado en /etc/sudoers.
• SSSD: Servicio de seguridad de sistemas que permite la autenticación centralizada integrando Linux con directorios corporativos.
• PowerShell para AD: Cmdlets como New-ADUser, Set-ADUser y Add-ADGroupMember para gestión automatizada de cuentas.

🧠 Recuerda

• Active Directory es el estándar en la AGE y combina LDAP, Kerberos y DNS.
• Las GPO aplican configuraciones según la ubicación en el árbol del directorio.
• Los grupos de seguridad conceden permisos; los de distribución solo listas de correo.
• En Linux, cada archivo y proceso tiene asociado un UID y GID propietarios.
• El primer usuario creado en Ubuntu Server pertenece al grupo sudo por defecto.
• /etc/sudoers y /etc/sudoers.d/ controlan quién puede elevar privilegios en Linux.
• LDAP y Kerberos permiten autenticación centralizada de servidores Linux contra AD.
• SSSD facilita la integración de Linux con directorios corporativos externos.
• Las cuentas locales deben limitarse a necesidades concretas cuando existe directorio corporativo.
• Los DN reflejan la ruta completa del objeto en la jerarquía del directorio.

3. Gestión de dispositivos

3. Gestión de dispositivos

🎯 Idea clave

• La red local integra equipos personales, servidores, impresoras y dispositivos específicos como terminales IoT, biométricos y de digitalización.
• Los dispositivos de red requieren revisión periódica de configuraciones activas, interfaces y tablas de encaminamiento.
• La administración correcta de equipos de infraestructura exige guardar configuraciones y documentar cualquier cambio realizado.
• El diagnóstico de incidencias en dispositivos terminales requiere verificar conectividad, direccionamiento y resolución de nombres.

📚 Desarrollo

Diversidad de dispositivos conectados. La LAN de una Administración Pública soporta un parque heterogéneo que incluye equipos personales, servidores, impresoras, dispositivos de Internet de las Cosas, terminales de control de presencia, equipos biométricos y sistemas de digitalización, todos ellos compartiendo recursos y servicios mediante enlaces cableados o inalámbricos.

Gestión de configuraciones. En dispositivos de red como switches, la operativa diaria requiere revisar el estado de interfaces, tablas MAC, VLAN, rutas, vecinos y registros de eventos, utilizando comandos específicos que varían según el fabricante pero siguen un razonamiento común de verificación por capas.

Backup y documentación. Una práctica esencial consiste en almacenar las configuraciones activas de los equipos de infraestructura, permitiendo su restauración ante fallos, junto con la obligación de documentar sistemáticamente cualquier modificación aplicada sobre la configuración operativa.

Herramientas de diagnóstico. Para verificar el estado de los dispositivos terminales conectados, el técnico debe dominar utilidades básicas como ping, traceroute, ipconfig o nslookup, diferenciando si los problemas residen en el enlace físico, el direccionamiento IP, la puerta de enlace, la resolución DNS o el servicio destino.

Procedimientos de verificación. El diagnóstico estructurado evita conclusiones precipitadas al comprobar secuencialmente la conectividad física, la negociación de puertos, la asignación de VLAN, las rutas disponibles, las reglas de seguridad aplicables y el estado final del servicio solicitado.

🧩 Elementos esenciales

• Dispositivos IoT: equipos conectados a la red local que requieren integración en la segmentación y control de acceso.
• Terminales de control de presencia: dispositivos específicos de gestión administrativa conectados a la LAN.
• Equipos biométricos: dispositivos de seguridad física y lógica que forman parte del parque tecnológico de la red.
• Sistemas de digitalización: equipos especializados en gestión documental conectados a la red corporativa.
• Tablas MAC: estructuras de datos en switches que asocian direcciones físicas de dispositivos a puertos específicos.
• VLAN: segmentación lógica configurada en dispositivos de red para aislar tráfico y dispositivos por funcionalidad.
• Configuraciones activas: estado operativo actual de un dispositivo de red, susceptible de ser exportado y restaurado.
• Comandos de estado: instrucciones específicas para consultar interfaces, rutas y registros en equipos de infraestructura.

🧠 Recuerda

• La LAN integra dispositivos específicos como terminales IoT, biométricos y de digitalización junto a equipos tradicionales.
• Documentar cambios en dispositivos de red es una obligación operativa fundamental.
• Guardar configuraciones permite recuperar el servicio ante fallos críticos o errores de configuración.
• Cada fabricante utiliza sintaxis propia para la gestión de sus equipos de red.
• El diagnóstico por capas evita atribuir errores a dispositivos cuando el problema reside en la red.
• Las herramientas básicas como ping o traceroute son insustituibles para verificar conectividad de dispositivos.

4. Monitorización y control de tráfico

4. Monitorización y control de tráfico

🎯 Idea clave

• La monitorización permite observar el estado de la red, detectar fallos y comportamientos anormales sin interrumpir el servicio.
• El control de tráfico posibilita aplicar reglas, prioridades y medidas de seguridad para garantizar estabilidad y eficiencia.
• SNMP constituye el protocolo histórico más extendido para la gestión de dispositivos de red, existiendo tres versiones con distintos niveles de seguridad.
• La centralización de logs mediante Syslog es obligatoria en entornos de Administraciones Públicas para conservar trazas de operación y seguridad.
• NetFlow, sFlow e IPFIX permiten analizar flujos de red para detectar consumos anómalos sin necesidad de almacenar todo el contenido de los paquetes.
• En entornos AAPP debe utilizarse SNMPv3 con autenticación y cifrado, dejando versiones anteriores solo para sistemas heredados.

📚 Desarrollo

Funciones esenciales. La monitorización y el control de tráfico constituyen funciones esenciales de la administración de redes de área local. La monitorización permite observar el estado de la red, detectar fallos, medir rendimiento, registrar eventos y descubrir comportamientos anormales. El control de tráfico posibilita aplicar reglas, prioridades, límites, segmentación y medidas de seguridad para que la red funcione de forma estable, eficiente y protegida.

Protocolo SNMP. El protocolo más extendido históricamente es SNMP (Simple Network Management Protocol), diseñado para consultar y modificar variables en dispositivos remotos. Existen tres versiones principales: SNMPv1 ofrece funcionalidad básica pero utiliza comunidades en texto plano con graves problemas de seguridad; SNMPv2c mejora la eficiencia con operaciones como GetBulk pero mantiene el modelo de seguridad débil basado en comunidades.

Seguridad en SNMPv3. SNMPv3 incorpora un modelo de seguridad robusto basado en usuarios (USM) con autenticación mediante HMAC-MD5 o HMAC-SHA y cifrado con DES, 3DES o AES, además de controles de acceso granulares mediante VACM (View-based Access Control Model). En cualquier despliegue actual y especialmente en entornos de Administraciones Públicas debe utilizarse SNMPv3 con autenticación y cifrado, reservando v1 y v2c únicamente para sistemas heredados.

Centralización de logs. Syslog constituye un mecanismo muy extendido para enviar mensajes de registro desde dispositivos a un servidor central. Su utilidad aumenta cuando los logs se centralizan, se conservan con políticas claras y se protegen frente a manipulación, ya que sin esta centralización un atacante puede destruir la evidencia en el dispositivo afectado. La arquitectura SNMPv3 está definida en la familia de RFC 3411.

Análisis de flujos. NetFlow, IPFIX y tecnologías equivalentes permiten analizar flujos de red. IPFIX está definido en RFC 7011 como protocolo para exportar información de flujos IP desde dispositivos de medición hacia colectores. A diferencia de una captura completa de paquetes, un flujo resume comunicaciones indicando origen, destino, puertos, protocolo, volumen y tiempo, resultando útil para detectar patrones y comunicaciones anormales sin almacenar todo el contenido.

Herramientas y obligatoriedad. Herramientas como Zabbix, Cacti, PRTG, LibreNMS, Observium o Nagios son las más utilizadas en Administraciones Públicas por su carácter libre o asequible y su amplia base de plantillas. El syslog centralizado, con servidores rsyslog o syslog-ng y reenvío a la plataforma de seguridad, es obligado por el Esquema Nacional de Seguridad (ENS) para conservar trazas de operación y seguridad.

🧩 Elementos esenciales

• SNMPv1: Versión original con funcionalidad básica y graves problemas de seguridad por uso de comunidades en texto plano.
• SNMPv2c: Mejora la eficiencia con operaciones GetBulk y manejo de contadores de 64 bits, pero mantiene el modelo de seguridad débil.
• SNMPv3: Versión recomendada con modelo de seguridad basado en usuarios (USM), autenticación HMAC-MD5 o HMAC-SHA y cifrado DES, 3DES o AES.
• VACM: Mecanismo de controles de acceso granulares en SNMPv3 (View-based Access Control Model).
• Syslog: Protocolo para centralización de mensajes de registro, obligatorio en AAPP para conservar trazas de operación y seguridad.
• NetFlow: Tecnología propietaria de Cisco para exportación de flujos de tráfico hacia colectores.
• sFlow: Estándar abierto para monitorización de flujos de red.
• IPFIX: Protocolo definido en RFC 7011 para exportar información de flujos IP desde dispositivos de medición.
• MIB: Bases de información de gestión expuestas por los agentes SNMP en los equipos.
• Herramientas libres: Zabbix, Cacti, PRTG, LibreNMS, Observium y Nagios como soluciones más utilizadas en AAPP.
• ENS: Esquema Nacional de Seguridad que obliga al uso de SNMPv3 y syslog centralizado en entornos de Administraciones Públicas.

🧠 Recuerda

• SNMPv3 es obligatorio en AAPP con autenticación y cifrado activados.
• Las versiones SNMPv1 y v2c solo deben usarse para sistemas heredados que no admitan otra opción.
• La centralización de logs protege la evidencia frente a manipulación o destrucción local.
• IPFIX está definido específicamente en la RFC 7011.
• Un flujo de red resume comunicaciones sin almacenar el contenido completo de los paquetes.
• Las herramientas Zabbix, Cacti, LibreNMS y Nagios destacan en entornos AAPP por ser libres o asequibles.
• Los agentes SNMP exponen MIBs que los gestores consultan para obtener métricas de rendimiento.
• El syslog centralizado es obligatorio por el ENS para trazas de operación y seguridad.