Re: OT red por cable con portal captivo sin trafico interno.
El 3 de febrero de 2020 9:26:00 CET, Antonio Trujillo Carmona <antonio.trujillo.sspa@juntadeandalucia.es> escribió:
>El 1/2/20 a las 14:14, Ramses escribió:
>> El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona
><antonio.trujillo.sspa@juntadeandalucia.es> escribió:
>>> El 29/1/20 a las 17:41, Paynalton escribió:
>>>>
>>>>
>>>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>>>> (<antonio.trujillo.sspa@juntadeandalucia.es
>>>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es>>) escribió:
>>>>
>>>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>>>> > En nuestro hospital tenemos una VLan de gracia para los
>>>> equipos no
>>>> > identificados.
>>>> > Debido al abuso que se hace de esa vlan nos estamos
>planteando
>>>> poner un
>>>> > portal de validación y anular el trafico interno.
>>>> > No se trata tanto de bloquear o filtrar usuarios como de
>evitar
>>>> que se
>>>> > puedan conectar dispositivos electromédicos u OT a la red,
>por
>>>> lo que no
>>>> > es importante el nivel de seguridad, cualquier elección haría
>>> que un
>>>> > dispositivo automático fallara en adquirir red, que es lo que
>>>> buscamos.
>>>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles
>>>> formas de
>>>> > acceso y tienen activado el filtrado 802.1x y por MAC, por lo
>>>> que no se
>>>> > puede activar el acceso web.
>>>> > ¿Alguna idea?
>>>> >
>>>> Muchas gracias a todos por las respuestas.
>>>>
>>>> Realmente mi pregunta no iba sobre que portal usar, aunque
>>>> agradezco los
>>>> apuntes y los probare, si no por como configurar una red por
>dhcp
>>> para
>>>> que los equipos que estén en la misma red y en el mismo
>>> conmutador
>>>> (switch) no se vean entre ellos.
>>>>
>>>>
>>>>
>>>> Para mantener aislamiento debes usar vlans, manteniendo a la red
>>>> médica en una vlan y la red pública en otra.
>>>>
>>>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
>>>> servicios puede tener.
>>>>
>>>> En el gateway de la red pública debes colocar un acceso por proxy
>>>> controlado por temporizador como te había mencionado en un correo
>>>> anterior.
>>>>
>>>> El DHCP debe entregar la ruta de un wpad para la configuración
>>>> automática del proxy.
>>>>
>>>> Debes tener un servicio web que entregue el archivo wpad, el cual
>>>> indicará que la salida a internet es a través del proxy.
>>>>
>>>> Así, en un caso de uso típico sucede:
>>>>
>>>> Caso A:
>>>>
>>>> -visitante llega con su teléfono.
>>>> -visitante se conecta a la red pública abierta
>>>> -teléfono solicita configuración al DHCP
>>>> -DHCP entrega configuración de red y una ruta para wpad
>>>> -visitante intenta entrar a internet
>>>> -navegador del teléfono consulta el wpad
>>>> -navegador redirige la petición al proxy
>>>> -proxy redirige al visitante a una página de error donde le pide
>>>> contraseña, o una encuesta o la foto de la enfermera Salo en traje
>de
>>> baño
>>>> -visitante interactúa con la página y gana el acceso temporizado
>>>> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo
>el
>>>> pack de verano de la enfermera Salo.
>>>>
>>>> Caso B:
>>>>
>>>> -llega un interno con un novedoso aparato que no sirve para nada
>pero
>>>> que consiguió barato en amazon.
>>>> -interno conecta el aparato a la red pública por flojera de ir a
>>>> sistemas a pedir acceso
>>>> -aparato no tiene navegador, por lo que no puede ver las candentes
>>>> fotos de la enfermera Salo
>>>> -aparato no logra conectarse y el interno no tiene más remedio que
>ir
>>>> a pedir acceso a la red controlada.
>>>> -Helpdesk registra macaddress en el DHCP
>>>> -aparato se vuelve a conectar a la red
>>>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan
>>>> controlada.
>>>>
>>> Muchas gracias por las aportaciones.
>>>
>>> Si esto ya lo se, se trata de evitar que llegue un laboratorio e
>>> instale
>>> unos equipos sin pasar por el servicio de informática, en la
>>> actualidad,
>>> como no están identificados van a parar a la VLAN de gracia donde si
>se
>>> ven entre ellos y verifican el funcionamiento con el portatil que
>lleva
>>> el instalador, lo dan por bueno y se van, después llaman al servicio
>de
>>> informática por que la red del hospital esta mal y no se ven desde
>los
>>> ordenadores del hospital, porque ellos han verificado la instalación
>>> que
>>> hicieron.
>>>
>>> Como soy muy cabezota, tengo que encontrar la solución, me he
>planteado
>>> varios caminos:
>>>
>>> Investigar a fondo ipv6 que creo que traía algún protocolo para esto
>>> (forzando a levantar una comunicación punto a punto entre la maquina
>y
>>> un nodo centrar donde instalare alguno de los portales que me han
>>> aconsejado).
>>>
>>> Subdividir el rango de la VLAN en redes con prefijo 30, aunque en
>los
>>> conmutadores solo admiten una vlan por defecto, esto reduciria de
>254 a
>>> 64 los equipos que se permiten concurentemente en la Vlan de gracia,
>>> pero espero que sea un numero suficiente.
>>>
>>> Investigar el tema de la validación web para que "emule" la
>validación
>>> MAC y puedan acceder tanto los equipos con MAC autorizada (en sus
>>> Vlanes
>>> correspondientes) como los no autorizados a las Vlanes preparadas de
>la
>>> forma que he dicho antes.
>>>
>>>
>>> Contare como acaba la cosa, y otra vez muchas gracias por las
>>> aportaciones.
>> Antonio, buenos días,
>>
>> No veo lo de asignar /30 a los Hosts dentro de la misma VLAN.
>¿Podrías extender un poco más la idea?
>>
>> Es que no tengo muy clara la idea final y qué conseguirías con
>esto...
>>
>>
>> Saludos,
>>
>> Ramsés
>
>La idea es que dos equipos no identificados por el hospital puedan
>acceder a internet (se les de red), pero no puedan comunicarse entre
>si.
>
>Aclaro, muchas veces vienen personas al hospital ha hacer cosas
>exporádicas, presentaciones muestras comerciales ..., esas personas
>deberían poder acceder a internet sin pasar por informática (están en
>el
>centro menos tiempo del necesario para identificarlos), esto es
>correcto, pero nos hemos encontrado ya varias veces que empresas que
>vienen a instalar equipos que se van a quedar funcionando en el
>hospital, y que han sido contratadas por unidades que no nos han
>informado, vienen hacen su instalación, como todo lo que instalan
>funciona en la Vlan "de gracia" se van y dan la instalación por
>acabada,
>a los días cuando vemos que hay falta de ip, les a caducado el
>arrendamiento o cuando intentan conectarse desde ordenadores del
>hospital se dan cuenta que no pueden, (la red esta aislada) y nos
>llaman
>como si fuera problema nuestro, por eso queremos que los equipos que
>entren en esa red no se vean entre si, por la wifi es una opción de los
>AP, por la red cableada, algo habra.
Antonio, buenos días,
Sí, bien, esa es la idea, pero en un ejemplo práctico, qué direccionamiento se le asignarían a 2 equipos ejemplo:
Equipo_A:
---------------
IP: ¿?
Máscara: ¿?
Gateway: ¿?
Equipo_B:
---------------
IP: ¿?
Máscara: ¿?
Gateway: ¿?
Saludos,
Ramsés
Reply to: