El 29/1/20 a las 17:41, Paynalton escribió: > > > > El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona > (<antonio.trujillo.sspa@juntadeandalucia.es > <mailto:antonio.trujillo.sspa@juntadeandalucia.es>>) escribió: > > El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió: > > En nuestro hospital tenemos una VLan de gracia para los > equipos no > > identificados. > > Debido al abuso que se hace de esa vlan nos estamos planteando > poner un > > portal de validación y anular el trafico interno. > > No se trata tanto de bloquear o filtrar usuarios como de evitar > que se > > puedan conectar dispositivos electromédicos u OT a la red, por > lo que no > > es importante el nivel de seguridad, cualquier elección haría que un > > dispositivo automático fallara en adquirir red, que es lo que > buscamos. > > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles > formas de > > acceso y tienen activado el filtrado 802.1x y por MAC, por lo > que no se > > puede activar el acceso web. > > ¿Alguna idea? > > > Muchas gracias a todos por las respuestas. > > Realmente mi pregunta no iba sobre que portal usar, aunque > agradezco los > apuntes y los probare, si no por como configurar una red por dhcp para > que los equipos que estén en la misma red y en el mismo conmutador > (switch) no se vean entre ellos. > > > > Para mantener aislamiento debes usar vlans, manteniendo a la red > médica en una vlan y la red pública en otra. > > El mismo DHCP puede decidir a qué vlan se va cada equipo y qué > servicios puede tener. > > En el gateway de la red pública debes colocar un acceso por proxy > controlado por temporizador como te había mencionado en un correo > anterior. > > El DHCP debe entregar la ruta de un wpad para la configuración > automática del proxy. > > Debes tener un servicio web que entregue el archivo wpad, el cual > indicará que la salida a internet es a través del proxy. > > Así, en un caso de uso típico sucede: > > Caso A: > > -visitante llega con su teléfono. > -visitante se conecta a la red pública abierta > -teléfono solicita configuración al DHCP > -DHCP entrega configuración de red y una ruta para wpad > -visitante intenta entrar a internet > -navegador del teléfono consulta el wpad > -navegador redirige la petición al proxy > -proxy redirige al visitante a una página de error donde le pide > contraseña, o una encuesta o la foto de la enfermera Salo en traje de baño > -visitante interactúa con la página y gana el acceso temporizado > -proxy permite el acceso por 15 minutos antes de mostrar de nuevo el > pack de verano de la enfermera Salo. > > Caso B: > > -llega un interno con un novedoso aparato que no sirve para nada pero > que consiguió barato en amazon. > -interno conecta el aparato a la red pública por flojera de ir a > sistemas a pedir acceso > -aparato no tiene navegador, por lo que no puede ver las candentes > fotos de la enfermera Salo > -aparato no logra conectarse y el interno no tiene más remedio que ir > a pedir acceso a la red controlada. > -Helpdesk registra macaddress en el DHCP > -aparato se vuelve a conectar a la red > -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan > controlada. > Muchas gracias por las aportaciones. Si esto ya lo se, se trata de evitar que llegue un laboratorio e instale unos equipos sin pasar por el servicio de informática, en la actualidad, como no están identificados van a parar a la VLAN de gracia donde si se ven entre ellos y verifican el funcionamiento con el portatil que lleva el instalador, lo dan por bueno y se van, después llaman al servicio de informática por que la red del hospital esta mal y no se ven desde los ordenadores del hospital, porque ellos han verificado la instalación que hicieron. Como soy muy cabezota, tengo que encontrar la solución, me he planteado varios caminos: Investigar a fondo ipv6 que creo que traía algún protocolo para esto (forzando a levantar una comunicación punto a punto entre la maquina y un nodo centrar donde instalare alguno de los portales que me han aconsejado). Subdividir el rango de la VLAN en redes con prefijo 30, aunque en los conmutadores solo admiten una vlan por defecto, esto reduciria de 254 a 64 los equipos que se permiten concurentemente en la Vlan de gracia, pero espero que sea un numero suficiente. Investigar el tema de la validación web para que "emule" la validación MAC y puedan acceder tanto los equipos con MAC autorizada (en sus Vlanes correspondientes) como los no autorizados a las Vlanes preparadas de la forma que he dicho antes. Contare como acaba la cosa, y otra vez muchas gracias por las aportaciones.
Attachment:
signature.asc
Description: OpenPGP digital signature