El 3/2/20 a las 14:34, Paynalton escribió: > > > El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona > <antonio.trujillo.sspa@juntadeandalucia.es > <mailto:antonio.trujillo.sspa@juntadeandalucia.es>> escribió: > > El 1/2/20 a las 14:14, Ramses escribió: > > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona > <antonio.trujillo.sspa@juntadeandalucia.es > <mailto:antonio.trujillo.sspa@juntadeandalucia.es>> escribió: > >> El 29/1/20 a las 17:41, Paynalton escribió: > >>> > >>> > >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona > >>> (<antonio.trujillo.sspa@juntadeandalucia.es > <mailto:antonio.trujillo.sspa@juntadeandalucia.es> > >>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es > <mailto:antonio.trujillo.sspa@juntadeandalucia.es>>>) escribió: > >>> > >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió: > >>> > En nuestro hospital tenemos una VLan de gracia para los > >>> equipos no > >>> > identificados. > >>> > Debido al abuso que se hace de esa vlan nos estamos > planteando > >>> poner un > >>> > portal de validación y anular el trafico interno. > >>> > No se trata tanto de bloquear o filtrar usuarios como de > evitar > >>> que se > >>> > puedan conectar dispositivos electromédicos u OT a la > red, por > >>> lo que no > >>> > es importante el nivel de seguridad, cualquier elección > haría > >> que un > >>> > dispositivo automático fallara en adquirir red, que es > lo que > >>> buscamos. > >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles > >>> formas de > >>> > acceso y tienen activado el filtrado 802.1x y por MAC, > por lo > >>> que no se > >>> > puede activar el acceso web. > >>> > ¿Alguna idea? > >>> > > >>> Muchas gracias a todos por las respuestas. > >>> > >>> Realmente mi pregunta no iba sobre que portal usar, aunque > >>> agradezco los > >>> apuntes y los probare, si no por como configurar una red > por dhcp > >> para > >>> que los equipos que estén en la misma red y en el mismo > >> conmutador > >>> (switch) no se vean entre ellos. > >>> > >>> > >>> > >>> Para mantener aislamiento debes usar vlans, manteniendo a la red > >>> médica en una vlan y la red pública en otra. > >>> > >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué > >>> servicios puede tener. > >>> > >>> En el gateway de la red pública debes colocar un acceso por proxy > >>> controlado por temporizador como te había mencionado en un correo > >>> anterior. > >>> > >>> El DHCP debe entregar la ruta de un wpad para la configuración > >>> automática del proxy. > >>> > >>> Debes tener un servicio web que entregue el archivo wpad, el cual > >>> indicará que la salida a internet es a través del proxy. > >>> > >>> Así, en un caso de uso típico sucede: > >>> > >>> Caso A: > >>> > >>> -visitante llega con su teléfono. > >>> -visitante se conecta a la red pública abierta > >>> -teléfono solicita configuración al DHCP > >>> -DHCP entrega configuración de red y una ruta para wpad > >>> -visitante intenta entrar a internet > >>> -navegador del teléfono consulta el wpad > >>> -navegador redirige la petición al proxy > >>> -proxy redirige al visitante a una página de error donde le pide > >>> contraseña, o una encuesta o la foto de la enfermera Salo en > traje de > >> baño > >>> -visitante interactúa con la página y gana el acceso temporizado > >>> -proxy permite el acceso por 15 minutos antes de mostrar de > nuevo el > >>> pack de verano de la enfermera Salo. > >>> > >>> Caso B: > >>> > >>> -llega un interno con un novedoso aparato que no sirve para > nada pero > >>> que consiguió barato en amazon. > >>> -interno conecta el aparato a la red pública por flojera de ir a > >>> sistemas a pedir acceso > >>> -aparato no tiene navegador, por lo que no puede ver las candentes > >>> fotos de la enfermera Salo > >>> -aparato no logra conectarse y el interno no tiene más remedio > que ir > >>> a pedir acceso a la red controlada. > >>> -Helpdesk registra macaddress en el DHCP > >>> -aparato se vuelve a conectar a la red > >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan > >>> controlada. > >>> > >> Muchas gracias por las aportaciones. > >> > >> Si esto ya lo se, se trata de evitar que llegue un laboratorio e > >> instale > >> unos equipos sin pasar por el servicio de informática, en la > >> actualidad, > >> como no están identificados van a parar a la VLAN de gracia > donde si se > >> ven entre ellos y verifican el funcionamiento con el portatil > que lleva > >> el instalador, lo dan por bueno y se van, después llaman al > servicio de > >> informática por que la red del hospital esta mal y no se ven > desde los > >> ordenadores del hospital, porque ellos han verificado la > instalación > >> que > >> hicieron. > >> > >> Como soy muy cabezota, tengo que encontrar la solución, me he > planteado > >> varios caminos: > >> > >> Investigar a fondo ipv6 que creo que traía algún protocolo para > esto > >> (forzando a levantar una comunicación punto a punto entre la > maquina y > >> un nodo centrar donde instalare alguno de los portales que me han > >> aconsejado). > >> > >> Subdividir el rango de la VLAN en redes con prefijo 30, aunque > en los > >> conmutadores solo admiten una vlan por defecto, esto reduciria > de 254 a > >> 64 los equipos que se permiten concurentemente en la Vlan de > gracia, > >> pero espero que sea un numero suficiente. > >> > >> Investigar el tema de la validación web para que "emule" la > validación > >> MAC y puedan acceder tanto los equipos con MAC autorizada (en sus > >> Vlanes > >> correspondientes) como los no autorizados a las Vlanes > preparadas de la > >> forma que he dicho antes. > >> > >> > >> Contare como acaba la cosa, y otra vez muchas gracias por las > >> aportaciones. > > Antonio, buenos días, > > > > No veo lo de asignar /30 a los Hosts dentro de la misma VLAN. > ¿Podrías extender un poco más la idea? > > > > Es que no tengo muy clara la idea final y qué conseguirías con > esto... > > > > > > Saludos, > > > > Ramsés > > La idea es que dos equipos no identificados por el hospital puedan > acceder a internet (se les de red), pero no puedan comunicarse > entre si. > > Aclaro, muchas veces vienen personas al hospital ha hacer cosas > exporádicas, presentaciones muestras comerciales ..., esas personas > deberían poder acceder a internet sin pasar por informática (están > en el > centro menos tiempo del necesario para identificarlos), esto es > correcto, pero nos hemos encontrado ya varias veces que empresas que > vienen a instalar equipos que se van a quedar funcionando en el > hospital, y que han sido contratadas por unidades que no nos han > informado, vienen hacen su instalación, como todo lo que instalan > funciona en la Vlan "de gracia" se van y dan la instalación por > acabada, > a los días cuando vemos que hay falta de ip, les a caducado el > arrendamiento o cuando intentan conectarse desde ordenadores del > hospital se dan cuenta que no pueden, (la red esta aislada) y nos > llaman > como si fuera problema nuestro, por eso queremos que los equipos que > entren en esa red no se vean entre si, por la wifi es una opción > de los > AP, por la red cableada, algo habra. > > Ok, una solución a lo chino, pero nada barato, es ver que todos tus > access points tengan capacidades de router y en cada uno de ellos > bloquear el protocolo ICMP para tu vlan pública, lo cual hará que > ningún equipo se vea entre sí. > > Otra es que configures tu DHCP para servir de forma pública a > múltiples vlans con máscara /31. Tu gateway debe tener una IP para > cada vlan y tu DHCP servir una vlan distinta a cada visitante. > > O puedes trabajarlo de forma social y recordar a todos periódicamente > que deben reportarte la instalación de equipos nuevos. Usualmente > cuando vas a instalar un equipo siempre preguntas por los > requerimientos técnicos/burocráticos del lugar en donde se instalará > > Buen apunte lo del ICMP, lo voy a investigar. Lo de poner una red 31 fue una de mis primeras ideas, pero el hecho es que si no preguntan por como instalar un equipo, muchas veces tampoco preguntan nada mas, miran que ip se le ha servido al equipo del instalador, hacen ping y asignan ipes fijas a los dispositivos con la mascara que les da la gana, por lo que si no va acompañado de unas vlanes "adhoc" para cada subred me temo que no va a funcionar, a lo que hay que añadir que los conmutadores solo admiten una vlan por defecto, lo que hace que no funcione el sistema actual de tener una vlan por defecto que sea la de equipos no autorizados. Se que debería ser un problema administrativo, pero en un sitio donde trabajan mas de 8k personas y que hay muchos "jefes" que ganan y administran mas dinero que el departamento de informática entero, la realidad nos ha demostrado que al final es trabajo para nosotros y que quedamos como los "rompedores", las empresas de fuera vienen e instalan las cosas bien y a los 2 días el departamento de informática lo rompe, por eso no queremos que puedan usar la red sin nuestra intervención.
Attachment:
signature.asc
Description: OpenPGP digital signature