El 1/2/20 a las 14:14, Ramses escribió: > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona <antonio.trujillo.sspa@juntadeandalucia.es> escribió: >> El 29/1/20 a las 17:41, Paynalton escribió: >>> >>> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona >>> (<antonio.trujillo.sspa@juntadeandalucia.es >>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es>>) escribió: >>> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió: >>> > En nuestro hospital tenemos una VLan de gracia para los >>> equipos no >>> > identificados. >>> > Debido al abuso que se hace de esa vlan nos estamos planteando >>> poner un >>> > portal de validación y anular el trafico interno. >>> > No se trata tanto de bloquear o filtrar usuarios como de evitar >>> que se >>> > puedan conectar dispositivos electromédicos u OT a la red, por >>> lo que no >>> > es importante el nivel de seguridad, cualquier elección haría >> que un >>> > dispositivo automático fallara en adquirir red, que es lo que >>> buscamos. >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles >>> formas de >>> > acceso y tienen activado el filtrado 802.1x y por MAC, por lo >>> que no se >>> > puede activar el acceso web. >>> > ¿Alguna idea? >>> > >>> Muchas gracias a todos por las respuestas. >>> >>> Realmente mi pregunta no iba sobre que portal usar, aunque >>> agradezco los >>> apuntes y los probare, si no por como configurar una red por dhcp >> para >>> que los equipos que estén en la misma red y en el mismo >> conmutador >>> (switch) no se vean entre ellos. >>> >>> >>> >>> Para mantener aislamiento debes usar vlans, manteniendo a la red >>> médica en una vlan y la red pública en otra. >>> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué >>> servicios puede tener. >>> >>> En el gateway de la red pública debes colocar un acceso por proxy >>> controlado por temporizador como te había mencionado en un correo >>> anterior. >>> >>> El DHCP debe entregar la ruta de un wpad para la configuración >>> automática del proxy. >>> >>> Debes tener un servicio web que entregue el archivo wpad, el cual >>> indicará que la salida a internet es a través del proxy. >>> >>> Así, en un caso de uso típico sucede: >>> >>> Caso A: >>> >>> -visitante llega con su teléfono. >>> -visitante se conecta a la red pública abierta >>> -teléfono solicita configuración al DHCP >>> -DHCP entrega configuración de red y una ruta para wpad >>> -visitante intenta entrar a internet >>> -navegador del teléfono consulta el wpad >>> -navegador redirige la petición al proxy >>> -proxy redirige al visitante a una página de error donde le pide >>> contraseña, o una encuesta o la foto de la enfermera Salo en traje de >> baño >>> -visitante interactúa con la página y gana el acceso temporizado >>> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo el >>> pack de verano de la enfermera Salo. >>> >>> Caso B: >>> >>> -llega un interno con un novedoso aparato que no sirve para nada pero >>> que consiguió barato en amazon. >>> -interno conecta el aparato a la red pública por flojera de ir a >>> sistemas a pedir acceso >>> -aparato no tiene navegador, por lo que no puede ver las candentes >>> fotos de la enfermera Salo >>> -aparato no logra conectarse y el interno no tiene más remedio que ir >>> a pedir acceso a la red controlada. >>> -Helpdesk registra macaddress en el DHCP >>> -aparato se vuelve a conectar a la red >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan >>> controlada. >>> >> Muchas gracias por las aportaciones. >> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio e >> instale >> unos equipos sin pasar por el servicio de informática, en la >> actualidad, >> como no están identificados van a parar a la VLAN de gracia donde si se >> ven entre ellos y verifican el funcionamiento con el portatil que lleva >> el instalador, lo dan por bueno y se van, después llaman al servicio de >> informática por que la red del hospital esta mal y no se ven desde los >> ordenadores del hospital, porque ellos han verificado la instalación >> que >> hicieron. >> >> Como soy muy cabezota, tengo que encontrar la solución, me he planteado >> varios caminos: >> >> Investigar a fondo ipv6 que creo que traía algún protocolo para esto >> (forzando a levantar una comunicación punto a punto entre la maquina y >> un nodo centrar donde instalare alguno de los portales que me han >> aconsejado). >> >> Subdividir el rango de la VLAN en redes con prefijo 30, aunque en los >> conmutadores solo admiten una vlan por defecto, esto reduciria de 254 a >> 64 los equipos que se permiten concurentemente en la Vlan de gracia, >> pero espero que sea un numero suficiente. >> >> Investigar el tema de la validación web para que "emule" la validación >> MAC y puedan acceder tanto los equipos con MAC autorizada (en sus >> Vlanes >> correspondientes) como los no autorizados a las Vlanes preparadas de la >> forma que he dicho antes. >> >> >> Contare como acaba la cosa, y otra vez muchas gracias por las >> aportaciones. > Antonio, buenos días, > > No veo lo de asignar /30 a los Hosts dentro de la misma VLAN. ¿Podrías extender un poco más la idea? > > Es que no tengo muy clara la idea final y qué conseguirías con esto... > > > Saludos, > > Ramsés La idea es que dos equipos no identificados por el hospital puedan acceder a internet (se les de red), pero no puedan comunicarse entre si. Aclaro, muchas veces vienen personas al hospital ha hacer cosas exporádicas, presentaciones muestras comerciales ..., esas personas deberían poder acceder a internet sin pasar por informática (están en el centro menos tiempo del necesario para identificarlos), esto es correcto, pero nos hemos encontrado ya varias veces que empresas que vienen a instalar equipos que se van a quedar funcionando en el hospital, y que han sido contratadas por unidades que no nos han informado, vienen hacen su instalación, como todo lo que instalan funciona en la Vlan "de gracia" se van y dan la instalación por acabada, a los días cuando vemos que hay falta de ip, les a caducado el arrendamiento o cuando intentan conectarse desde ordenadores del hospital se dan cuenta que no pueden, (la red esta aislada) y nos llaman como si fuera problema nuestro, por eso queremos que los equipos que entren en esa red no se vean entre si, por la wifi es una opción de los AP, por la red cableada, algo habra.
Attachment:
signature.asc
Description: OpenPGP digital signature