Rúbrica d'Avaluació: PR0202 — Monitorització DHCP amb Grafana i Detecció d'Amenaces
1. Personalització i Exportador de Mètriques (1,5 punts)
| Criteri |
Excel·lent (1,5) |
Notable (1,0) |
Acceptable (0,5) |
Insuficient (0) |
| Personalització NOMCOGNOM/XX |
Mateix XX (100+N) i NOMCOGNOM que a PR0201, aplicats de forma coherent |
1-2 inconsistències menors |
Personalització parcial |
Sense personalització o rang genèric |
| kea-exporter operatiu |
Servei systemd kea-exporter actiu, /metrics retorna kea_dhcp4_subnet_total_addresses i kea_dhcp4_subnet_assigned_addresses |
Exportador funciona sense servei systemd (execució manual) |
Exportador instal·lat sense mètriques vàlides |
No funciona |
Evidències requerides: captura de systemctl status kea-exporter i de curl .../metrics amb les mètriques de subnet.
2. Stack de Monitorització amb Docker (2,0 punts)
| Criteri |
Excel·lent (2,0) |
Notable (1,4) |
Acceptable (0,7) |
Insuficient (0) |
| Prometheus i Grafana operatius |
docker compose ps mostra els 2 contenidors Up, sense errors als logs |
Warnings menors |
Un dels 2 serveis amb problemes |
Stack no arrenca |
| Scraping correcte |
Els 2 jobs (kea-dhcp, rogue-detector) apareixen a /targets de Prometheus, almenys kea-dhcp en estat UP |
Només un job configurat correctament |
Targets configurats sense verificar |
Sense targets funcionals |
Evidències requerides: captura de docker compose ps i de la pàgina /targets de Prometheus.
3. Dashboard i Alerta d'Esgotament de Pool (2,0 punts)
| Criteri |
Excel·lent (2,0) |
Notable (1,4) |
Acceptable (0,7) |
Insuficient (0) |
| Dashboard complet |
Els 3 panells (ocupació %, concessions actives, adreces totals) mostren dades reals del servidor Kea |
2 dels 3 panells funcionals |
1 panell funcional |
Sense dashboard funcional |
| Alerta DHCPPoolExhaustionWarning configurada |
Regla present a Prometheus amb llindar del 90% (coherent amb Ciberseguretat DHCP), visible a /alerts |
Regla present amb llindar diferent sense justificar |
Regla present amb errors de sintaxi |
Sense alerta configurada |
4. Detector de Rogue DHCP Server (2,5 punts)
| Criteri |
Excel·lent (2,5) |
Notable (1,7) |
Acceptable (0,9) |
Insuficient (0) |
| Script de detecció funcional |
detect_rogue_dhcp.py captura trànsit DHCP i exposa dhcp_rogue_server_detected a /metrics (port 9101) |
Script funciona amb captura manual (no en segon pla) |
Script present amb errors d'execució |
Sense script funcional |
| Alerta RogueDHCPServerDetected configurada |
Regla present i visible a Prometheus /alerts |
Regla present amb error de sintaxi |
Regla incompleta |
Sense alerta |
| Referència als continguts de ciberseguretat |
Es reconeix explícitament que el detector implementa l'estratègia descrita a la pàgina de Ciberseguretat DHCP (tcpdump + IP del servidor legítim) |
Referència genèrica sense detall |
Sense referència |
— |
5. Proves Controlades i Documentació (2,0 punts)
| Criteri |
Excel·lent (2,0) |
Notable (1,4) |
Acceptable (0,7) |
Insuficient (0) |
| Simulació de starvation |
starvation_test.py executat en l'entorn aïllat, dashboard mostra la pujada d'ocupació i l'alerta passa a Firing |
Execució correcta però l'alerta no arriba a dispararse (llindar no assolit) |
Script executat sense captures del resultat |
No executat |
| Simulació de rogue DHCP |
Segon servidor DHCP desplegat a la xarxa aïllada, dhcp_rogue_server_detected passa a 1 i queda registrat al log |
Detecció parcial o amb retard |
Servidor rogue desplegat sense detecció confirmada |
No executat |
| Qüestions i README |
Les 4 qüestions respostes correctament, README amb instruccions de desplegament del stack |
1 qüestió incorrecta o README incomplet |
2 qüestions incorrectes |
Documentació absent |
Penalitzacions
| Situació |
Penalització |
Atac simulat fora de l'entorn de laboratori aïllat (192.168.XX.0/24 propi) |
Qualificació 0 (falta greu de seguretat) |
| Servidor DHCP rogue no aturat al final de la pràctica (deixat actiu a la xarxa) |
-1,0 punt |
| Sense personalització real (NOMCOGNOM/XX no substituïts) |
-2,0 punts |
Stack Docker no reproduïble (docker compose up -d falla en un entorn net) |
-2,0 punts |
| Còpia detectada (configuració idèntica sense personalització) |
Qualificació 0 |
Taula Resum de Puntuació
| Secció |
Punts |
| 1. Personalització i exportador de mètriques |
1,5 |
| 2. Stack de monitorització amb Docker |
2,0 |
| 3. Dashboard i alerta d'esgotament de pool |
2,0 |
| 4. Detector de rogue DHCP Server |
2,5 |
| 5. Proves controlades i documentació |
2,0 |
| TOTAL |
10,0 |
Criteris de Superació
Per superar la pràctica (nota ≥ 5,0) cal:
- ✅
kea-exporter operatiu i Prometheus fent scraping correcte
- ✅ Dashboard de Grafana amb almenys l'ocupació del pool visible
- ✅ Alerta d'esgotament de pool configurada (encara que no s'hagi disparat)
- ✅ Detector de rogue DHCP funcional, encara que la prova d'atac no s'hagi completat amb èxit
- ✅ Documentació amb les 4 qüestions respostes
Data de creació: Juliol 2026
Autor: Curs M0375 - Serveis de Xarxa i Internet