El lun., 3 de febrero de 2020 8:00 a. m., Ramses <ramses.sevi...@gmail.com> escribió:
> El 3 de febrero de 2020 14:34:00 CET, Paynalton <cxescal...@gmail.com> > escribió: > >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona < > >antonio.trujillo.s...@juntadeandalucia.es> escribió: > > > >> El 1/2/20 a las 14:14, Ramses escribió: > >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona < > >> antonio.trujillo.s...@juntadeandalucia.es> escribió: > >> >> El 29/1/20 a las 17:41, Paynalton escribió: > >> >>> > >> >>> > >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona > >> >>> (<antonio.trujillo.s...@juntadeandalucia.es > >> >>> <mailto:antonio.trujillo.s...@juntadeandalucia.es>>) escribió: > >> >>> > >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió: > >> >>> > En nuestro hospital tenemos una VLan de gracia para los > >> >>> equipos no > >> >>> > identificados. > >> >>> > Debido al abuso que se hace de esa vlan nos estamos > >planteando > >> >>> poner un > >> >>> > portal de validación y anular el trafico interno. > >> >>> > No se trata tanto de bloquear o filtrar usuarios como de > >evitar > >> >>> que se > >> >>> > puedan conectar dispositivos electromédicos u OT a la red, > >por > >> >>> lo que no > >> >>> > es importante el nivel de seguridad, cualquier elección > >haría > >> >> que un > >> >>> > dispositivo automático fallara en adquirir red, que es lo > >que > >> >>> buscamos. > >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles > >> >>> formas de > >> >>> > acceso y tienen activado el filtrado 802.1x y por MAC, por > >lo > >> >>> que no se > >> >>> > puede activar el acceso web. > >> >>> > ¿Alguna idea? > >> >>> > > >> >>> Muchas gracias a todos por las respuestas. > >> >>> > >> >>> Realmente mi pregunta no iba sobre que portal usar, aunque > >> >>> agradezco los > >> >>> apuntes y los probare, si no por como configurar una red por > >dhcp > >> >> para > >> >>> que los equipos que estén en la misma red y en el mismo > >> >> conmutador > >> >>> (switch) no se vean entre ellos. > >> >>> > >> >>> > >> >>> > >> >>> Para mantener aislamiento debes usar vlans, manteniendo a la red > >> >>> médica en una vlan y la red pública en otra. > >> >>> > >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué > >> >>> servicios puede tener. > >> >>> > >> >>> En el gateway de la red pública debes colocar un acceso por proxy > >> >>> controlado por temporizador como te había mencionado en un correo > >> >>> anterior. > >> >>> > >> >>> El DHCP debe entregar la ruta de un wpad para la configuración > >> >>> automática del proxy. > >> >>> > >> >>> Debes tener un servicio web que entregue el archivo wpad, el cual > >> >>> indicará que la salida a internet es a través del proxy. > >> >>> > >> >>> Así, en un caso de uso típico sucede: > >> >>> > >> >>> Caso A: > >> >>> > >> >>> -visitante llega con su teléfono. > >> >>> -visitante se conecta a la red pública abierta > >> >>> -teléfono solicita configuración al DHCP > >> >>> -DHCP entrega configuración de red y una ruta para wpad > >> >>> -visitante intenta entrar a internet > >> >>> -navegador del teléfono consulta el wpad > >> >>> -navegador redirige la petición al proxy > >> >>> -proxy redirige al visitante a una página de error donde le pide > >> >>> contraseña, o una encuesta o la foto de la enfermera Salo en > >traje de > >> >> baño > >> >>> -visitante interactúa con la página y gana el acceso temporizado > >> >>> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo > >el > >> >>> pack de verano de la enfermera Salo. > >> >>> > >> >>> Caso B: > >> >>> > >> >>> -llega un interno con un novedoso aparato que no sirve para nada > >pero > >> >>> que consiguió barato en amazon. > >> >>> -interno conecta el aparato a la red pública por flojera de ir a > >> >>> sistemas a pedir acceso > >> >>> -aparato no tiene navegador, por lo que no puede ver las > >candentes > >> >>> fotos de la enfermera Salo > >> >>> -aparato no logra conectarse y el interno no tiene más remedio > >que ir > >> >>> a pedir acceso a la red controlada. > >> >>> -Helpdesk registra macaddress en el DHCP > >> >>> -aparato se vuelve a conectar a la red > >> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan > >> >>> controlada. > >> >>> > >> >> Muchas gracias por las aportaciones. > >> >> > >> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio e > >> >> instale > >> >> unos equipos sin pasar por el servicio de informática, en la > >> >> actualidad, > >> >> como no están identificados van a parar a la VLAN de gracia donde > >si se > >> >> ven entre ellos y verifican el funcionamiento con el portatil que > >lleva > >> >> el instalador, lo dan por bueno y se van, después llaman al > >servicio de > >> >> informática por que la red del hospital esta mal y no se ven desde > >los > >> >> ordenadores del hospital, porque ellos han verificado la > >instalación > >> >> que > >> >> hicieron. > >> >> > >> >> Como soy muy cabezota, tengo que encontrar la solución, me he > >planteado > >> >> varios caminos: > >> >> > >> >> Investigar a fondo ipv6 que creo que traía algún protocolo para > >esto > >> >> (forzando a levantar una comunicación punto a punto entre la > >maquina y > >> >> un nodo centrar donde instalare alguno de los portales que me han > >> >> aconsejado). > >> >> > >> >> Subdividir el rango de la VLAN en redes con prefijo 30, aunque en > >los > >> >> conmutadores solo admiten una vlan por defecto, esto reduciria de > >254 a > >> >> 64 los equipos que se permiten concurentemente en la Vlan de > >gracia, > >> >> pero espero que sea un numero suficiente. > >> >> > >> >> Investigar el tema de la validación web para que "emule" la > >validación > >> >> MAC y puedan acceder tanto los equipos con MAC autorizada (en sus > >> >> Vlanes > >> >> correspondientes) como los no autorizados a las Vlanes preparadas > >de la > >> >> forma que he dicho antes. > >> >> > >> >> > >> >> Contare como acaba la cosa, y otra vez muchas gracias por las > >> >> aportaciones. > >> > Antonio, buenos días, > >> > > >> > No veo lo de asignar /30 a los Hosts dentro de la misma VLAN. > >¿Podrías > >> extender un poco más la idea? > >> > > >> > Es que no tengo muy clara la idea final y qué conseguirías con > >esto... > >> > > >> > > >> > Saludos, > >> > > >> > Ramsés > >> > >> La idea es que dos equipos no identificados por el hospital puedan > >> acceder a internet (se les de red), pero no puedan comunicarse entre > >si. > >> > >> Aclaro, muchas veces vienen personas al hospital ha hacer cosas > >> exporádicas, presentaciones muestras comerciales ..., esas personas > >> deberían poder acceder a internet sin pasar por informática (están en > >el > >> centro menos tiempo del necesario para identificarlos), esto es > >> correcto, pero nos hemos encontrado ya varias veces que empresas que > >> vienen a instalar equipos que se van a quedar funcionando en el > >> hospital, y que han sido contratadas por unidades que no nos han > >> informado, vienen hacen su instalación, como todo lo que instalan > >> funciona en la Vlan "de gracia" se van y dan la instalación por > >acabada, > >> a los días cuando vemos que hay falta de ip, les a caducado el > >> arrendamiento o cuando intentan conectarse desde ordenadores del > >> hospital se dan cuenta que no pueden, (la red esta aislada) y nos > >llaman > >> como si fuera problema nuestro, por eso queremos que los equipos que > >> entren en esa red no se vean entre si, por la wifi es una opción de > >los > >> AP, por la red cableada, algo habra. > >> > >> Ok, una solución a lo chino, pero nada barato, es ver que todos tus > >access > >points tengan capacidades de router y en cada uno de ellos bloquear el > >protocolo ICMP para tu vlan pública, lo cual hará que ningún equipo se > >vea > >entre sí. > > > >Otra es que configures tu DHCP para servir de forma pública a múltiples > >vlans con máscara /31. Tu gateway debe tener una IP para cada vlan y tu > >DHCP servir una vlan distinta a cada visitante. > > > >O puedes trabajarlo de forma social y recordar a todos periódicamente > >que > >deben reportarte la instalación de equipos nuevos. Usualmente cuando > >vas a > >instalar un equipo siempre preguntas por los requerimientos > >técnicos/burocráticos del lugar en donde se instalará > > > >> > >> > > Uuuuhhhhmmmm... > > ¿Máscara 31? > > Raro lo veo, ¿no? > > > Demasiado, por eso ese tipo de problemas organizacionales deben solucionarse por vía burocrática y no tecnológica. > > > Saludos, > > Ramsés >