Re: OT red por cable con portal captivo sin trafico interno.
El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona <antonio.trujillo.sspa@juntadeandalucia.es> escribió:
>El 29/1/20 a las 17:41, Paynalton escribió:
>>
>>
>>
>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>> (<antonio.trujillo.sspa@juntadeandalucia.es
>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es>>) escribió:
>>
>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>> > En nuestro hospital tenemos una VLan de gracia para los
>> equipos no
>> > identificados.
>> > Debido al abuso que se hace de esa vlan nos estamos planteando
>> poner un
>> > portal de validación y anular el trafico interno.
>> > No se trata tanto de bloquear o filtrar usuarios como de evitar
>> que se
>> > puedan conectar dispositivos electromédicos u OT a la red, por
>> lo que no
>> > es importante el nivel de seguridad, cualquier elección haría
>que un
>> > dispositivo automático fallara en adquirir red, que es lo que
>> buscamos.
>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles
>> formas de
>> > acceso y tienen activado el filtrado 802.1x y por MAC, por lo
>> que no se
>> > puede activar el acceso web.
>> > ¿Alguna idea?
>> >
>> Muchas gracias a todos por las respuestas.
>>
>> Realmente mi pregunta no iba sobre que portal usar, aunque
>> agradezco los
>> apuntes y los probare, si no por como configurar una red por dhcp
>para
>> que los equipos que estén en la misma red y en el mismo
>conmutador
>> (switch) no se vean entre ellos.
>>
>>
>>
>> Para mantener aislamiento debes usar vlans, manteniendo a la red
>> médica en una vlan y la red pública en otra.
>>
>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
>> servicios puede tener.
>>
>> En el gateway de la red pública debes colocar un acceso por proxy
>> controlado por temporizador como te había mencionado en un correo
>> anterior.
>>
>> El DHCP debe entregar la ruta de un wpad para la configuración
>> automática del proxy.
>>
>> Debes tener un servicio web que entregue el archivo wpad, el cual
>> indicará que la salida a internet es a través del proxy.
>>
>> Así, en un caso de uso típico sucede:
>>
>> Caso A:
>>
>> -visitante llega con su teléfono.
>> -visitante se conecta a la red pública abierta
>> -teléfono solicita configuración al DHCP
>> -DHCP entrega configuración de red y una ruta para wpad
>> -visitante intenta entrar a internet
>> -navegador del teléfono consulta el wpad
>> -navegador redirige la petición al proxy
>> -proxy redirige al visitante a una página de error donde le pide
>> contraseña, o una encuesta o la foto de la enfermera Salo en traje de
>baño
>> -visitante interactúa con la página y gana el acceso temporizado
>> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo el
>> pack de verano de la enfermera Salo.
>>
>> Caso B:
>>
>> -llega un interno con un novedoso aparato que no sirve para nada pero
>> que consiguió barato en amazon.
>> -interno conecta el aparato a la red pública por flojera de ir a
>> sistemas a pedir acceso
>> -aparato no tiene navegador, por lo que no puede ver las candentes
>> fotos de la enfermera Salo
>> -aparato no logra conectarse y el interno no tiene más remedio que ir
>> a pedir acceso a la red controlada.
>> -Helpdesk registra macaddress en el DHCP
>> -aparato se vuelve a conectar a la red
>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan
>> controlada.
>>
>
>Muchas gracias por las aportaciones.
>
>Si esto ya lo se, se trata de evitar que llegue un laboratorio e
>instale
>unos equipos sin pasar por el servicio de informática, en la
>actualidad,
>como no están identificados van a parar a la VLAN de gracia donde si se
>ven entre ellos y verifican el funcionamiento con el portatil que lleva
>el instalador, lo dan por bueno y se van, después llaman al servicio de
>informática por que la red del hospital esta mal y no se ven desde los
>ordenadores del hospital, porque ellos han verificado la instalación
>que
>hicieron.
>
>Como soy muy cabezota, tengo que encontrar la solución, me he planteado
>varios caminos:
>
>Investigar a fondo ipv6 que creo que traía algún protocolo para esto
>(forzando a levantar una comunicación punto a punto entre la maquina y
>un nodo centrar donde instalare alguno de los portales que me han
>aconsejado).
>
>Subdividir el rango de la VLAN en redes con prefijo 30, aunque en los
>conmutadores solo admiten una vlan por defecto, esto reduciria de 254 a
>64 los equipos que se permiten concurentemente en la Vlan de gracia,
>pero espero que sea un numero suficiente.
>
>Investigar el tema de la validación web para que "emule" la validación
>MAC y puedan acceder tanto los equipos con MAC autorizada (en sus
>Vlanes
>correspondientes) como los no autorizados a las Vlanes preparadas de la
>forma que he dicho antes.
>
>
>Contare como acaba la cosa, y otra vez muchas gracias por las
>aportaciones.
Antonio, buenos días,
No veo lo de asignar /30 a los Hosts dentro de la misma VLAN. ¿Podrías extender un poco más la idea?
Es que no tengo muy clara la idea final y qué conseguirías con esto...
Saludos,
Ramsés
Reply to: