El 3 de febrero de 2020 15:33:46 CET, Paynalton <cxescalona@gmail.com> escribió:
>El lun., 3 de febrero de 2020 8:00 a. m., Ramses
><ramses.sevilla@gmail.com>
>escribió:
>
>> El 3 de febrero de 2020 14:34:00 CET, Paynalton
><cxescalona@gmail.com>
>> escribió:
>> >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona <
>> >antonio.trujillo.sspa@juntadeandalucia.es> escribió:
>> >
>> >> El 1/2/20 a las 14:14, Ramses escribió:
>> >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona <
>> >> antonio.trujillo.sspa@juntadeandalucia.es> escribió:
>> >> >> El 29/1/20 a las 17:41, Paynalton escribió:
>> >> >>>
>> >> >>>
>> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>> >> >>> (<antonio.trujillo.sspa@juntadeandalucia.es
>> >> >>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es>>) escribió:
>> >> >>>
>> >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>> >> >>> > En nuestro hospital tenemos una VLan de gracia para
>los
>> >> >>> equipos no
>> >> >>> > identificados.
>> >> >>> > Debido al abuso que se hace de esa vlan nos estamos
>> >planteando
>> >> >>> poner un
>> >> >>> > portal de validación y anular el trafico interno.
>> >> >>> > No se trata tanto de bloquear o filtrar usuarios como de
>> >evitar
>> >> >>> que se
>> >> >>> > puedan conectar dispositivos electromédicos u OT a la
>red,
>> >por
>> >> >>> lo que no
>> >> >>> > es importante el nivel de seguridad, cualquier elección
>> >haría
>> >> >> que un
>> >> >>> > dispositivo automático fallara en adquirir red, que es
>lo
>> >que
>> >> >>> buscamos.
>> >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3
>posibles
>> >> >>> formas de
>> >> >>> > acceso y tienen activado el filtrado 802.1x y por MAC,
>por
>> >lo
>> >> >>> que no se
>> >> >>> > puede activar el acceso web.
>> >> >>> > ¿Alguna idea?
>> >> >>> >
>> >> >>> Muchas gracias a todos por las respuestas.
>> >> >>>
>> >> >>> Realmente mi pregunta no iba sobre que portal usar, aunque
>> >> >>> agradezco los
>> >> >>> apuntes y los probare, si no por como configurar una red
>por
>> >dhcp
>> >> >> para
>> >> >>> que los equipos que estén en la misma red y en el mismo
>> >> >> conmutador
>> >> >>> (switch) no se vean entre ellos.
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a la
>red
>> >> >>> médica en una vlan y la red pública en otra.
>> >> >>>
>> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
>> >> >>> servicios puede tener.
>> >> >>>
>> >> >>> En el gateway de la red pública debes colocar un acceso por
>proxy
>> >> >>> controlado por temporizador como te había mencionado en un
>correo
>> >> >>> anterior.
>> >> >>>
>> >> >>> El DHCP debe entregar la ruta de un wpad para la configuración
>> >> >>> automática del proxy.
>> >> >>>
>> >> >>> Debes tener un servicio web que entregue el archivo wpad, el
>cual
>> >> >>> indicará que la salida a internet es a través del proxy.
>> >> >>>
>> >> >>> Así, en un caso de uso típico sucede:
>> >> >>>
>> >> >>> Caso A:
>> >> >>>
>> >> >>> -visitante llega con su teléfono.
>> >> >>> -visitante se conecta a la red pública abierta
>> >> >>> -teléfono solicita configuración al DHCP
>> >> >>> -DHCP entrega configuración de red y una ruta para wpad
>> >> >>> -visitante intenta entrar a internet
>> >> >>> -navegador del teléfono consulta el wpad
>> >> >>> -navegador redirige la petición al proxy
>> >> >>> -proxy redirige al visitante a una página de error donde le
>pide
>> >> >>> contraseña, o una encuesta o la foto de la enfermera Salo en
>> >traje de
>> >> >> baño
>> >> >>> -visitante interactúa con la página y gana el acceso
>temporizado
>> >> >>> -proxy permite el acceso por 15 minutos antes de mostrar de
>nuevo
>> >el
>> >> >>> pack de verano de la enfermera Salo.
>> >> >>>
>> >> >>> Caso B:
>> >> >>>
>> >> >>> -llega un interno con un novedoso aparato que no sirve para
>nada
>> >pero
>> >> >>> que consiguió barato en amazon.
>> >> >>> -interno conecta el aparato a la red pública por flojera de ir
>a
>> >> >>> sistemas a pedir acceso
>> >> >>> -aparato no tiene navegador, por lo que no puede ver las
>> >candentes
>> >> >>> fotos de la enfermera Salo
>> >> >>> -aparato no logra conectarse y el interno no tiene más remedio
>> >que ir
>> >> >>> a pedir acceso a la red controlada.
>> >> >>> -Helpdesk registra macaddress en el DHCP
>> >> >>> -aparato se vuelve a conectar a la red
>> >> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la
>vlan
>> >> >>> controlada.
>> >> >>>
>> >> >> Muchas gracias por las aportaciones.
>> >> >>
>> >> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio
>e
>> >> >> instale
>> >> >> unos equipos sin pasar por el servicio de informática, en la
>> >> >> actualidad,
>> >> >> como no están identificados van a parar a la VLAN de gracia
>donde
>> >si se
>> >> >> ven entre ellos y verifican el funcionamiento con el portatil
>que
>> >lleva
>> >> >> el instalador, lo dan por bueno y se van, después llaman al
>> >servicio de
>> >> >> informática por que la red del hospital esta mal y no se ven
>desde
>> >los
>> >> >> ordenadores del hospital, porque ellos han verificado la
>> >instalación
>> >> >> que
>> >> >> hicieron.
>> >> >>
>> >> >> Como soy muy cabezota, tengo que encontrar la solución, me he
>> >planteado
>> >> >> varios caminos:
>> >> >>
>> >> >> Investigar a fondo ipv6 que creo que traía algún protocolo para
>> >esto
>> >> >> (forzando a levantar una comunicación punto a punto entre la
>> >maquina y
>> >> >> un nodo centrar donde instalare alguno de los portales que me
>han
>> >> >> aconsejado).
>> >> >>
>> >> >> Subdividir el rango de la VLAN en redes con prefijo 30, aunque
>en
>> >los
>> >> >> conmutadores solo admiten una vlan por defecto, esto reduciria
>de
>> >254 a
>> >> >> 64 los equipos que se permiten concurentemente en la Vlan de
>> >gracia,
>> >> >> pero espero que sea un numero suficiente.
>> >> >>
>> >> >> Investigar el tema de la validación web para que "emule" la
>> >validación
>> >> >> MAC y puedan acceder tanto los equipos con MAC autorizada (en
>sus
>> >> >> Vlanes
>> >> >> correspondientes) como los no autorizados a las Vlanes
>preparadas
>> >de la
>> >> >> forma que he dicho antes.
>> >> >>
>> >> >>
>> >> >> Contare como acaba la cosa, y otra vez muchas gracias por las
>> >> >> aportaciones.
>> >> > Antonio, buenos días,
>> >> >
>> >> > No veo lo de asignar /30 a los Hosts dentro de la misma VLAN.
>> >¿Podrías
>> >> extender un poco más la idea?
>> >> >
>> >> > Es que no tengo muy clara la idea final y qué conseguirías con
>> >esto...
>> >> >
>> >> >
>> >> > Saludos,
>> >> >
>> >> > Ramsés
>> >>
>> >> La idea es que dos equipos no identificados por el hospital puedan
>> >> acceder a internet (se les de red), pero no puedan comunicarse
>entre
>> >si.
>> >>
>> >> Aclaro, muchas veces vienen personas al hospital ha hacer cosas
>> >> exporádicas, presentaciones muestras comerciales ..., esas
>personas
>> >> deberían poder acceder a internet sin pasar por informática (están
>en
>> >el
>> >> centro menos tiempo del necesario para identificarlos), esto es
>> >> correcto, pero nos hemos encontrado ya varias veces que empresas
>que
>> >> vienen a instalar equipos que se van a quedar funcionando en el
>> >> hospital, y que han sido contratadas por unidades que no nos han
>> >> informado, vienen hacen su instalación, como todo lo que instalan
>> >> funciona en la Vlan "de gracia" se van y dan la instalación por
>> >acabada,
>> >> a los días cuando vemos que hay falta de ip, les a caducado el
>> >> arrendamiento o cuando intentan conectarse desde ordenadores del
>> >> hospital se dan cuenta que no pueden, (la red esta aislada) y nos
>> >llaman
>> >> como si fuera problema nuestro, por eso queremos que los equipos
>que
>> >> entren en esa red no se vean entre si, por la wifi es una opción
>de
>> >los
>> >> AP, por la red cableada, algo habra.
>> >>
>> >> Ok, una solución a lo chino, pero nada barato, es ver que todos
>tus
>> >access
>> >points tengan capacidades de router y en cada uno de ellos bloquear
>el
>> >protocolo ICMP para tu vlan pública, lo cual hará que ningún equipo
>se
>> >vea
>> >entre sí.
>> >
>> >Otra es que configures tu DHCP para servir de forma pública a
>múltiples
>> >vlans con máscara /31. Tu gateway debe tener una IP para cada vlan y
>tu
>> >DHCP servir una vlan distinta a cada visitante.
>> >
>> >O puedes trabajarlo de forma social y recordar a todos
>periódicamente
>> >que
>> >deben reportarte la instalación de equipos nuevos. Usualmente cuando
>> >vas a
>> >instalar un equipo siempre preguntas por los requerimientos
>> >técnicos/burocráticos del lugar en donde se instalará
>> >
>> >>
>> >>
>>
>> Uuuuhhhhmmmm...
>>
>> ¿Máscara 31?
>>
>> Raro lo veo, ¿no?
>>
>>
>>
>Demasiado, por eso ese tipo de problemas organizacionales deben
>solucionarse por vía burocrática y no tecnológica.
>
>
>>
>>
>> Saludos,
>>
>> Ramsés
>>
Demasiado, no, que en una máscara /31 no puedes meter las IP's que te hacen falta para una Red IP, ¿no?
¿Máscara 255.255.255.254?
Solo caben dos equipos, el cliente y el gateway. Así que a menos que el gateway te lo permita no puedes acceder a otros equipos.