Re: OT red por cable con portal captivo sin trafico interno.

To: Paynalton <cxescalona@gmail.com>
Cc: debian-user-spanish <debian-user-spanish@lists.debian.org>,Antonio Trujillo Carmona <antonio.trujillo.sspa@juntadeandalucia.es>
Subject: Re: OT red por cable con portal captivo sin trafico interno.
From: Ramses <ramses.sevilla@gmail.com>
Date: Mon, 03 Feb 2020 18:26:01 +0100
Message-id: <[🔎] 6DEF6FBD-F455-41E9-BBAF-D41A14E6FFED@gmail.com>
In-reply-to: <[🔎] CAFNUVJdWAvOEEs4CnDMZm2v=z+vaaAxaGvpSNDzFevzwV=sncQ@mail.gmail.com>
References: <9f12133c-58dc-53b7-7be9-23187846569d@juntadeandalucia.es> <fb792fe1-6b40-0cb5-283a-bc33d2042a28@juntadeandalucia.es> <CAFNUVJdi2LMEXqxr0ZPD0rCJDJDBS+LEhZ0xsqCkOYAumumhug@mail.gmail.com> <665ef003-2758-125d-ac76-601835633125@juntadeandalucia.es> <[🔎] 75D5D086-E6A0-43D9-A3B0-B099615CB30E@gmail.com> <[🔎] c9b9f5a2-9d7d-b9a7-a014-df83a14fb134@juntadeandalucia.es> <[🔎] CAFNUVJfD17J3BcH=7OCUtkZs8v2h_xeg=UNFs0pqKLno=7uZkQ@mail.gmail.com> <[🔎] 3703E5A3-90B7-4475-9270-F39E0D3CF342@gmail.com> <[🔎] CAFNUVJcSxEGACijQV03c-QdTPMXdRfmBjQ-qknmcx7_SPB5TBA@mail.gmail.com> <[🔎] 2D6E5793-E1FE-42FB-A344-7A7F8C0AD585@gmail.com> <[🔎] CAFNUVJdWAvOEEs4CnDMZm2v=z+vaaAxaGvpSNDzFevzwV=sncQ@mail.gmail.com>

El 3 de febrero de 2020 15:59:03 CET, Paynalton <cxescalona@gmail.com> escribió:
>El lun., 3 de febrero de 2020 8:42 a. m., Ramses
><ramses.sevilla@gmail.com>
>escribió:
>
>> El 3 de febrero de 2020 15:33:46 CET, Paynalton
><cxescalona@gmail.com>
>> escribió:
>> >El lun., 3 de febrero de 2020 8:00 a. m., Ramses
>> ><ramses.sevilla@gmail.com>
>> >escribió:
>> >
>> >> El 3 de febrero de 2020 14:34:00 CET, Paynalton
>> ><cxescalona@gmail.com>
>> >> escribió:
>> >> >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo
>Carmona <
>> >> >antonio.trujillo.sspa@juntadeandalucia.es> escribió:
>> >> >
>> >> >> El 1/2/20 a las 14:14, Ramses escribió:
>> >> >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona
><
>> >> >> antonio.trujillo.sspa@juntadeandalucia.es> escribió:
>> >> >> >> El 29/1/20 a las 17:41, Paynalton escribió:
>> >> >> >>>
>> >> >> >>>
>> >> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>> >> >> >>> (<antonio.trujillo.sspa@juntadeandalucia.es
>> >> >> >>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es>>)
>escribió:
>> >> >> >>>
>> >> >> >>>     El 28/1/20 a las 8:42, Antonio Trujillo Carmona
>escribió:
>> >> >> >>>     >     En nuestro hospital tenemos una VLan de gracia
>para
>> >los
>> >> >> >>>     equipos no
>> >> >> >>>     > identificados.
>> >> >> >>>     > Debido al abuso que se hace de esa vlan nos estamos
>> >> >planteando
>> >> >> >>>     poner un
>> >> >> >>>     > portal de validación y anular el trafico interno.
>> >> >> >>>     > No se trata tanto de bloquear o filtrar usuarios como
>de
>> >> >evitar
>> >> >> >>>     que se
>> >> >> >>>     > puedan conectar dispositivos electromédicos u OT a la
>> >red,
>> >> >por
>> >> >> >>>     lo que no
>> >> >> >>>     > es importante el nivel de seguridad, cualquier
>elección
>> >> >haría
>> >> >> >> que un
>> >> >> >>>     > dispositivo automático fallara en adquirir red, que
>es
>> >lo
>> >> >que
>> >> >> >>>     buscamos.
>> >> >> >>>     > Los conmutadores (HP procurbe) solo admiten 2 de 3
>> >posibles
>> >> >> >>>     formas de
>> >> >> >>>     > acceso y tienen activado el filtrado 802.1x y por
>MAC,
>> >por
>> >> >lo
>> >> >> >>>     que no se
>> >> >> >>>     > puede activar el acceso web.
>> >> >> >>>     > ¿Alguna idea?
>> >> >> >>>     >
>> >> >> >>>     Muchas gracias a todos por las respuestas.
>> >> >> >>>
>> >> >> >>>     Realmente mi pregunta no iba sobre que portal usar,
>aunque
>> >> >> >>>     agradezco los
>> >> >> >>>     apuntes y los probare, si no por como configurar una
>red
>> >por
>> >> >dhcp
>> >> >> >> para
>> >> >> >>>     que los equipos que estén en la misma red y en el mismo
>> >> >> >> conmutador
>> >> >> >>>     (switch) no se vean entre ellos.
>> >> >> >>>
>> >> >> >>>
>> >> >> >>>
>> >> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a
>la
>> >red
>> >> >> >>> médica en una vlan y la red pública en otra.
>> >> >> >>>
>> >> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y
>qué
>> >> >> >>> servicios puede tener.
>> >> >> >>>
>> >> >> >>> En el gateway de la red pública debes colocar un acceso por
>> >proxy
>> >> >> >>> controlado por temporizador como te había mencionado en un
>> >correo
>> >> >> >>> anterior.
>> >> >> >>>
>> >> >> >>> El DHCP debe entregar la ruta de un wpad para la
>configuración
>> >> >> >>> automática del proxy.
>> >> >> >>>
>> >> >> >>> Debes tener un servicio web que entregue el archivo wpad,
>el
>> >cual
>> >> >> >>> indicará que la salida a internet es a través del proxy.
>> >> >> >>>
>> >> >> >>> Así, en un caso de uso típico sucede:
>> >> >> >>>
>> >> >> >>> Caso A:
>> >> >> >>>
>> >> >> >>> -visitante llega con su teléfono.
>> >> >> >>> -visitante se conecta a la red pública abierta
>> >> >> >>> -teléfono solicita configuración al DHCP
>> >> >> >>> -DHCP entrega configuración de red y una ruta para wpad
>> >> >> >>> -visitante intenta entrar a internet
>> >> >> >>> -navegador del teléfono consulta el wpad
>> >> >> >>> -navegador redirige la petición al proxy
>> >> >> >>> -proxy redirige al visitante a una página de error donde le
>> >pide
>> >> >> >>> contraseña, o una encuesta o la foto de la enfermera Salo
>en
>> >> >traje de
>> >> >> >> baño
>> >> >> >>> -visitante interactúa con la página y gana el acceso
>> >temporizado
>> >> >> >>> -proxy permite el acceso por 15 minutos antes de mostrar de
>> >nuevo
>> >> >el
>> >> >> >>> pack de verano de la enfermera Salo.
>> >> >> >>>
>> >> >> >>> Caso B:
>> >> >> >>>
>> >> >> >>> -llega un interno con un novedoso aparato que no sirve para
>> >nada
>> >> >pero
>> >> >> >>> que consiguió barato en amazon.
>> >> >> >>> -interno conecta el aparato a la red pública por flojera de
>ir
>> >a
>> >> >> >>> sistemas a pedir acceso
>> >> >> >>> -aparato no tiene navegador, por lo que no puede ver las
>> >> >candentes
>> >> >> >>> fotos de la enfermera Salo
>> >> >> >>> -aparato no logra conectarse y el interno no tiene más
>remedio
>> >> >que ir
>> >> >> >>> a pedir acceso a la red controlada.
>> >> >> >>> -Helpdesk registra macaddress en el DHCP
>> >> >> >>> -aparato se vuelve a conectar a la red
>> >> >> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de
>la
>> >vlan
>> >> >> >>> controlada.
>> >> >> >>>
>> >> >> >> Muchas gracias por las aportaciones.
>> >> >> >>
>> >> >> >> Si esto ya lo se, se trata de evitar que llegue un
>laboratorio
>> >e
>> >> >> >> instale
>> >> >> >> unos equipos sin pasar por el servicio de informática, en la
>> >> >> >> actualidad,
>> >> >> >> como no están identificados van a parar a la VLAN de gracia
>> >donde
>> >> >si se
>> >> >> >> ven entre ellos y verifican el funcionamiento con el
>portatil
>> >que
>> >> >lleva
>> >> >> >> el instalador, lo dan por bueno y se van, después llaman al
>> >> >servicio de
>> >> >> >> informática por que la red del hospital esta mal y no se ven
>> >desde
>> >> >los
>> >> >> >> ordenadores del hospital, porque ellos han verificado la
>> >> >instalación
>> >> >> >> que
>> >> >> >> hicieron.
>> >> >> >>
>> >> >> >> Como soy muy cabezota, tengo que encontrar la solución, me
>he
>> >> >planteado
>> >> >> >> varios caminos:
>> >> >> >>
>> >> >> >> Investigar a fondo ipv6 que creo que traía algún protocolo
>para
>> >> >esto
>> >> >> >> (forzando a levantar una comunicación punto a punto entre la
>> >> >maquina y
>> >> >> >> un nodo centrar donde instalare alguno de los portales que
>me
>> >han
>> >> >> >> aconsejado).
>> >> >> >>
>> >> >> >> Subdividir el rango de la VLAN en redes con prefijo 30,
>aunque
>> >en
>> >> >los
>> >> >> >> conmutadores solo admiten una vlan por defecto, esto
>reduciria
>> >de
>> >> >254 a
>> >> >> >> 64 los equipos que se permiten concurentemente en la Vlan de
>> >> >gracia,
>> >> >> >> pero espero que sea un numero suficiente.
>> >> >> >>
>> >> >> >> Investigar el tema de la validación web para que "emule" la
>> >> >validación
>> >> >> >> MAC y puedan acceder tanto los equipos con MAC autorizada
>(en
>> >sus
>> >> >> >> Vlanes
>> >> >> >> correspondientes) como los no autorizados a las Vlanes
>> >preparadas
>> >> >de la
>> >> >> >> forma que he dicho antes.
>> >> >> >>
>> >> >> >>
>> >> >> >> Contare como acaba la cosa, y otra vez muchas gracias por
>las
>> >> >> >> aportaciones.
>> >> >> > Antonio, buenos días,
>> >> >> >
>> >> >> > No veo lo de asignar /30 a los Hosts dentro de la misma VLAN.
>> >> >¿Podrías
>> >> >> extender un poco más la idea?
>> >> >> >
>> >> >> > Es que no tengo muy clara la idea final y qué conseguirías
>con
>> >> >esto...
>> >> >> >
>> >> >> >
>> >> >> > Saludos,
>> >> >> >
>> >> >> > Ramsés
>> >> >>
>> >> >> La idea es que dos equipos no identificados por el hospital
>puedan
>> >> >> acceder a internet (se les de red), pero no puedan comunicarse
>> >entre
>> >> >si.
>> >> >>
>> >> >> Aclaro, muchas veces vienen personas al hospital ha hacer cosas
>> >> >> exporádicas, presentaciones muestras comerciales ..., esas
>> >personas
>> >> >> deberían poder acceder a internet sin pasar por informática
>(están
>> >en
>> >> >el
>> >> >> centro menos tiempo del necesario para identificarlos), esto es
>> >> >> correcto, pero nos hemos encontrado ya varias veces que
>empresas
>> >que
>> >> >> vienen a instalar equipos que se van a quedar funcionando en el
>> >> >> hospital, y que han sido contratadas por unidades que no nos
>han
>> >> >> informado, vienen hacen su instalación, como todo lo que
>instalan
>> >> >> funciona en la Vlan "de gracia" se van y dan la instalación por
>> >> >acabada,
>> >> >> a los días cuando vemos que hay falta de ip, les a caducado el
>> >> >> arrendamiento  o cuando intentan conectarse desde ordenadores
>del
>> >> >> hospital se dan cuenta que no pueden, (la red esta aislada) y
>nos
>> >> >llaman
>> >> >> como si fuera problema nuestro, por eso queremos que los
>equipos
>> >que
>> >> >> entren en esa red no se vean entre si, por la wifi es una
>opción
>> >de
>> >> >los
>> >> >> AP, por la red cableada, algo habra.
>> >> >>
>> >> >> Ok, una solución a lo chino, pero nada barato, es ver que todos
>> >tus
>> >> >access
>> >> >points tengan capacidades de router y en cada uno de ellos
>bloquear
>> >el
>> >> >protocolo ICMP para tu vlan pública, lo cual hará que ningún
>equipo
>> >se
>> >> >vea
>> >> >entre sí.
>> >> >
>> >> >Otra es que configures tu DHCP para servir de forma pública a
>> >múltiples
>> >> >vlans con máscara /31. Tu gateway debe tener una IP para cada
>vlan y
>> >tu
>> >> >DHCP servir una vlan distinta a cada visitante.
>> >> >
>> >> >O puedes trabajarlo de forma social y recordar a todos
>> >periódicamente
>> >> >que
>> >> >deben reportarte la instalación de equipos nuevos. Usualmente
>cuando
>> >> >vas a
>> >> >instalar un equipo siempre preguntas por los requerimientos
>> >> >técnicos/burocráticos del lugar en donde se instalará
>> >> >
>> >> >>
>> >> >>
>> >>
>> >> Uuuuhhhhmmmm...
>> >>
>> >> ¿Máscara 31?
>> >>
>> >> Raro lo veo, ¿no?
>> >>
>> >>
>> >>
>> >Demasiado, por eso ese tipo de problemas organizacionales deben
>> >solucionarse por vía burocrática y no tecnológica.
>> >
>> >
>> >>
>> >>
>> >> Saludos,
>> >>
>> >> Ramsés
>> >>
>>
>> Demasiado, no, que en una máscara /31 no puedes meter las IP's que te
>> hacen falta para una Red IP, ¿no?
>>
>> ¿Máscara 255.255.255.254?
>>
>>
>
>Solo caben dos equipos, el cliente y el gateway. Así que a menos que el
>gateway te lo permita no puedes acceder a otros equipos.
>
>
>> Saludos,
>>
>> Ramsés
>>

¿Y la Dirección de Red y la Dirección de Broadcast de cada Red IP dónde la metemos? 


Saludos, 

Ramsés

Reply to:

Follow-Ups:
- Re: OT red por cable con portal captivo sin trafico interno.
  - From: Ramses <ramses.sevilla@gmail.com>

References:
- Re: OT red por cable con portal captivo sin trafico interno.
  - From: Ramses <ramses.sevilla@gmail.com>
- Re: OT red por cable con portal captivo sin trafico interno.
  - From: Antonio Trujillo Carmona <antonio.trujillo.sspa@juntadeandalucia.es>
- Re: OT red por cable con portal captivo sin trafico interno.
  - From: Paynalton <cxescalona@gmail.com>
- Re: OT red por cable con portal captivo sin trafico interno.
  - From: Ramses <ramses.sevilla@gmail.com>
- Re: OT red por cable con portal captivo sin trafico interno.
  - From: Paynalton <cxescalona@gmail.com>
- Re: OT red por cable con portal captivo sin trafico interno.
  - From: Ramses <ramses.sevilla@gmail.com>
- Re: OT red por cable con portal captivo sin trafico interno.
  - From: Paynalton <cxescalona@gmail.com>

Prev by Date: Re: OT red por cable con portal captivo sin trafico interno.
Next by Date: Re: OT red por cable con portal captivo sin trafico interno.
Previous by thread: Re: OT red por cable con portal captivo sin trafico interno.
Next by thread: Re: OT red por cable con portal captivo sin trafico interno.
Index(es):
- Date
- Thread