Localizar físicamente dispositivos conectados a la red a partir de su IP o MAC

En redes de gran tamaño y con movimiento constante de dispositivos, es complejo saber en qué lugar está conectado cada uno en cada momento. En ocasiones es necesario conocer la ubicación debido a que el dispositivo presenta alguna falla, o bien se está utilizando para realizar tareas indebidas en la red.
Como monitoreador de la red, podemos detectar una IP atacante, y si sabemos dónde está conectada esa máquina, podemos ir a ver quién es.

Por ello creé un procedimiento que permite ubicar dónde está conectado un dispositivo a partir de su dirección IP o MAC. Para lograrlo, debemos tener la red debidamente documentada. Es decir, necesitamos saber cómo es la conexión entre switches y routers (uplinks), y la ubicación física de estos dispositivos.
Si bien el procedimiento está pensado en redes con equipamiento Cisco, debe existir el comando equivalente en otros equipos de red.

Entonces, las herramientas necesarias son:

- Switches con IOS que soporte el comando “show mac-address-table address <dirección>” (o similar).
- Documentación de las conexiones entre switches y routers (i.e. uplinks).
- Documentación de la dirección IP de cada switch/router.
- Documentación de la ubicación física de cada switch/router.
- Documentación de las bocas de red patcheadas a cada switch.

Si se posee la IP, primero es necesario conocer la dirección MAC de la placa de red del dispositivo. Suponiendo que la IP es 192.168.1.10, la MAC se puede obtener haciendo un ping y luego viendo la cache arp con el comando arp (tanto en Windows como en Linux es igual):

$ ping 192.168.1.10
$ arp -a

Con esto se obtiene la dirección MAC asociada, por ejemplo: 00:11:22:33:44:55.

sugerencia: en GNU/Linux se puede utilizar el comando $ arping <IP>

Una vez obtenida la dirección MAC, el procedimiento es el siguiente:

1. Conectarse (ssh o telnet, dependiendo que tipo de conexión acepte) a alguno de los switches de la red. Si se sospecha en que switch puede estar conectado el dispositivo, comenzar con el mismo para ahorrar tiempo de búsqueda. Igualmente el mecanismo funciona aunque se comience desde cualquier otro switch.

2. Ejecutar el comando:

switch #show mac-address-table address 0011.2233.4455

para obtener en que port del switch se encuentra el dispositivo.

3. Utilizar el documento de uplinks para reconocer si el port es un uplink o una conexión directa a una máquina. Si el port no es un uplink ya obtuvimos el switch y port que buscábamos, ir a 5. Sino, ir a 4.

4. Si el port es un uplink, a partir del documento de uplinks y de IPs, obtener la dirección IP del switch al que está conectado. Conectarse a dicho switch y repetir desde el paso 2.

5. Mirar el documento con el mapeo de links -> localización física para saber dónde se encuentra el switch.

6. Ver a que boca de red se encuentra patcheado el port del switch.

7. A partir de la documentación de las bocas de red, obtener en qué lugar del edificio se encuentra el puesto conectado al port del switch.

De esta forma podemos encontrar rápidamente el dispositivo que buscamos. Imaginen que esto en redes con muchos puestos, muchos switches y routers, poder determinar donde se encuentra un dispositivo a partir de una IP es extremadamente útil.