Viernes,
8:30 am, Hora de San Juan del Huarache Perdido
Me llama
al celular el coordinador:
- ¿Oye,
que tal, como va todo por allá?
A saber,
pero bueno sin problemas en la sede en la que esto, este quiere algo…
-Pues bien,
acá ya tiene un rato que llegue, voy revisando servidores y la red.
-A que no estás
en la sucursal $RedNumbers
- ¿No,
acaso no es mañana que voy?
-Cierto,
cierto, a no pues es que como estoy en $Norteña, ya estabas allá.
Pues nada,
ya mejor no pregunto sus razones tras ese pensamiento.
Sábado,
9:30 am Hora de San José García
Empiezo la
implementación de la nueva segmentación de red en la sucursal $RedNumbers.
Pero antes
de todo, hay que hacerle espacio a un Cisco SG220-50, que sí, es 1U, pero este “site”
solo tiene un rack, donde han colgado todo y de todo, de cualquier manera, con
o sin tornillos, bridas, cinchos, etc.… No me sorprendería encontrar algo pegado
con chicle.
Y la
primera en la cara al llegar, no está el compañero (si, a este si lo considero
compañero y no ganado).
Bueno, no
pasa nada, que el compañero no es de TI, y tiene que descansar.
Veo el
site, y creo que no estoy preparado para esta tarea.
No lo digo
por el cableado, ni por las extensiones que pueblan la parte baja, eso no da
miedo. Lo que da miedo, es la capa de mugre y polvo que recubre todos los aparatos,
las bandejas, el conmutador, e incluso, la mesita que funge como soporte de la ONT,
está cubierta de cables desechados, ratones, cubiertas de los organizadores del
rack, así como algunos discos y un switch de 24 puertos hp, y como no, También recubierta
de mugre y polvo…
Pues nada,
por mi mente cruzo un momento el huir y no regresar hasta tener un traje NBQ,
pero, no quiero pasar demasiado tiempo acá, así que, toca arremangarse, apretarse
el cinturón, y apañárselas con toallitas húmedas.
11:30 am
Por fin, después
de limpiar, escombrar, organizar, patalear, recordarles a sus antepasados al
que hizo los patch cord, puedo iniciar con los cambios, pero, aviso a los
compañeros que tienen hasta las 12 para terminar lo que sea que estén haciendo,
porque a las 12 en punto se corta el internet (cosas de tener direccionamiento fijo
en las PC).
Pues nada,
en lo que llegan las 12, reviso la configuración del Cisco, todo bien, todo
correcto, vlans bien configuradas, trunk configurada, descripciones bien hechas,
pasemos a configurar el HP, creamos vlans, ponemos los trunk, asigno las vlans
que pueden viajar por estos trunk y a qué acceso deben tener los puertos de
usuario.
Llegan las
12, y puntuales como hacienda, el proveedor del Firewall (Fortinet) corta comunicaciones.
¿Como lo es?
Sencillo, escuchando a los compañeros gritando como borregos: “¡No hay interné!”.
Y algunos,
oye, es que estaba a mitad de algo, ya sé que habías dicho que se cortaba a las
12, pero déjalo un ratito más.
Bueno,
pues nada, previniendo esto, pedí DHCP en una de las vlans, y pasé a quitar las
direcciones fijas, ole, se quedan trabajando los borregos.
Decido que
no hay mejor momento, que este para repórtame al gerente, y decirle que cambiare
mi vuelo, que esto ya casi esta.
-Que tal,
oye acá en $RedNumbers estoy a mitad del cambio, me regresare antes, espero no
haya problema.
-Pues no,
por mí no hay problema, nada más ayúdame, porque acá en la sede $Somoslomas
(que el responsable es… el gerente) se metió un virus.
Vale, tenemos
antivirus, probablemente haya sido algo puntual y en un solo equipo
desactualizado, pero mejor pregunto
-Que virus
fue? Seguro fue en uno de los XP, ¿verdad?
Al
escuchar la respuesta, me quede un tanto Pajarito…
-Pues fue
un ransomware, perdimos DOS servidores, uno con máquinas virtuales y el otro es
un file server.
Vale,
espera, ¿qué? … ¿QUE?
De seguro sigo
dormido en el avión, la altitud y la presión me están jugando una mala pasada… Pero
no, estoy despierto, solo me quede parado y viendo al vacío en medio de la oficina,
escucho a lo lejos a las personas berrean acerca de que no pueden poner música,
y al oído escucho berrear al gerente, acerca de que los dos servers están
bloqueados y encriptados, y que el file server, es el que tenía los Backups... el
mundo se ve gris...
Después de
esto, sigo la plática de lejos con el gerente, acerca de que esta contactando al
proveedor de Fortinet, para ver si le pueden ayudar…
El resto
del día fue un sin sabor de mucho ruido y pocas nueces en los cambios, una
tarea repetitiva:
Entrar al
equipo, cambiar IP, cambiar Puerto de las impresoras, mandar prueba de impresión,
registrar en el croquis y la memoria tecnica, el servicetag, ip y usuario.
Nada, al
final del día, me entero del recuento de daños:
1 servidor
hyper-v con 5 máquinas virtuales
1 servidor
de archivos con varios teras
Los Backups
de la localidad, que eran discos USB pinchados al servidor de archivos, al
menos 10 teras perdidos.
No hubo
sanciones, porque no pudieron (o quisieron) determinar la cuenta con la cual se
ejecutó el ransomware.
Las preguntas,
en esta situación, son las siguientes:
¿Cómo entro?
¿Qué cuenta
lo ejecuto, como para llevarse por delante 2 servidores?
¿Por qué el
gerente no quiso investigar más a fondo?
¿Qué pintaba
nuestro proveedor de Firewall en esto?
¿Por qué los
Backups eran simples discos USB?
¿Cómo puede
el gerente conservar su puesto?
Lo dicho,
ya no hace gracia.
