Re: OT red por cable con portal captivo sin trafico interno.
El 4 de febrero de 2020 8:45:18 CET, Antonio Trujillo Carmona <antonio.trujillo.sspa@juntadeandalucia.es> escribió:
>El 3/2/20 a las 14:34, Paynalton escribió:
>>
>>
>> El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona
>> <antonio.trujillo.sspa@juntadeandalucia.es
>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es>> escribió:
>>
>> El 1/2/20 a las 14:14, Ramses escribió:
>> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona
>> <antonio.trujillo.sspa@juntadeandalucia.es
>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es>> escribió:
>> >> El 29/1/20 a las 17:41, Paynalton escribió:
>> >>>
>> >>>
>> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>> >>> (<antonio.trujillo.sspa@juntadeandalucia.es
>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es>
>> >>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es
>> <mailto:antonio.trujillo.sspa@juntadeandalucia.es>>>) escribió:
>> >>>
>> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>> >>> > En nuestro hospital tenemos una VLan de gracia para
>los
>> >>> equipos no
>> >>> > identificados.
>> >>> > Debido al abuso que se hace de esa vlan nos estamos
>> planteando
>> >>> poner un
>> >>> > portal de validación y anular el trafico interno.
>> >>> > No se trata tanto de bloquear o filtrar usuarios como
>de
>> evitar
>> >>> que se
>> >>> > puedan conectar dispositivos electromédicos u OT a la
>> red, por
>> >>> lo que no
>> >>> > es importante el nivel de seguridad, cualquier elección
>> haría
>> >> que un
>> >>> > dispositivo automático fallara en adquirir red, que es
>> lo que
>> >>> buscamos.
>> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3
>posibles
>> >>> formas de
>> >>> > acceso y tienen activado el filtrado 802.1x y por MAC,
>> por lo
>> >>> que no se
>> >>> > puede activar el acceso web.
>> >>> > ¿Alguna idea?
>> >>> >
>> >>> Muchas gracias a todos por las respuestas.
>> >>>
>> >>> Realmente mi pregunta no iba sobre que portal usar,
>aunque
>> >>> agradezco los
>> >>> apuntes y los probare, si no por como configurar una red
>> por dhcp
>> >> para
>> >>> que los equipos que estén en la misma red y en el mismo
>> >> conmutador
>> >>> (switch) no se vean entre ellos.
>> >>>
>> >>>
>> >>>
>> >>> Para mantener aislamiento debes usar vlans, manteniendo a la
>red
>> >>> médica en una vlan y la red pública en otra.
>> >>>
>> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y
>qué
>> >>> servicios puede tener.
>> >>>
>> >>> En el gateway de la red pública debes colocar un acceso por
>proxy
>> >>> controlado por temporizador como te había mencionado en un
>correo
>> >>> anterior.
>> >>>
>> >>> El DHCP debe entregar la ruta de un wpad para la
>configuración
>> >>> automática del proxy.
>> >>>
>> >>> Debes tener un servicio web que entregue el archivo wpad, el
>cual
>> >>> indicará que la salida a internet es a través del proxy.
>> >>>
>> >>> Así, en un caso de uso típico sucede:
>> >>>
>> >>> Caso A:
>> >>>
>> >>> -visitante llega con su teléfono.
>> >>> -visitante se conecta a la red pública abierta
>> >>> -teléfono solicita configuración al DHCP
>> >>> -DHCP entrega configuración de red y una ruta para wpad
>> >>> -visitante intenta entrar a internet
>> >>> -navegador del teléfono consulta el wpad
>> >>> -navegador redirige la petición al proxy
>> >>> -proxy redirige al visitante a una página de error donde le
>pide
>> >>> contraseña, o una encuesta o la foto de la enfermera Salo en
>> traje de
>> >> baño
>> >>> -visitante interactúa con la página y gana el acceso
>temporizado
>> >>> -proxy permite el acceso por 15 minutos antes de mostrar de
>> nuevo el
>> >>> pack de verano de la enfermera Salo.
>> >>>
>> >>> Caso B:
>> >>>
>> >>> -llega un interno con un novedoso aparato que no sirve para
>> nada pero
>> >>> que consiguió barato en amazon.
>> >>> -interno conecta el aparato a la red pública por flojera de
>ir a
>> >>> sistemas a pedir acceso
>> >>> -aparato no tiene navegador, por lo que no puede ver las
>candentes
>> >>> fotos de la enfermera Salo
>> >>> -aparato no logra conectarse y el interno no tiene más
>remedio
>> que ir
>> >>> a pedir acceso a la red controlada.
>> >>> -Helpdesk registra macaddress en el DHCP
>> >>> -aparato se vuelve a conectar a la red
>> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la
>vlan
>> >>> controlada.
>> >>>
>> >> Muchas gracias por las aportaciones.
>> >>
>> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio
>e
>> >> instale
>> >> unos equipos sin pasar por el servicio de informática, en la
>> >> actualidad,
>> >> como no están identificados van a parar a la VLAN de gracia
>> donde si se
>> >> ven entre ellos y verifican el funcionamiento con el portatil
>> que lleva
>> >> el instalador, lo dan por bueno y se van, después llaman al
>> servicio de
>> >> informática por que la red del hospital esta mal y no se ven
>> desde los
>> >> ordenadores del hospital, porque ellos han verificado la
>> instalación
>> >> que
>> >> hicieron.
>> >>
>> >> Como soy muy cabezota, tengo que encontrar la solución, me he
>> planteado
>> >> varios caminos:
>> >>
>> >> Investigar a fondo ipv6 que creo que traía algún protocolo
>para
>> esto
>> >> (forzando a levantar una comunicación punto a punto entre la
>> maquina y
>> >> un nodo centrar donde instalare alguno de los portales que me
>han
>> >> aconsejado).
>> >>
>> >> Subdividir el rango de la VLAN en redes con prefijo 30, aunque
>> en los
>> >> conmutadores solo admiten una vlan por defecto, esto reduciria
>> de 254 a
>> >> 64 los equipos que se permiten concurentemente en la Vlan de
>> gracia,
>> >> pero espero que sea un numero suficiente.
>> >>
>> >> Investigar el tema de la validación web para que "emule" la
>> validación
>> >> MAC y puedan acceder tanto los equipos con MAC autorizada (en
>sus
>> >> Vlanes
>> >> correspondientes) como los no autorizados a las Vlanes
>> preparadas de la
>> >> forma que he dicho antes.
>> >>
>> >>
>> >> Contare como acaba la cosa, y otra vez muchas gracias por las
>> >> aportaciones.
>> > Antonio, buenos días,
>> >
>> > No veo lo de asignar /30 a los Hosts dentro de la misma VLAN.
>> ¿Podrías extender un poco más la idea?
>> >
>> > Es que no tengo muy clara la idea final y qué conseguirías con
>> esto...
>> >
>> >
>> > Saludos,
>> >
>> > Ramsés
>>
>> La idea es que dos equipos no identificados por el hospital
>puedan
>> acceder a internet (se les de red), pero no puedan comunicarse
>> entre si.
>>
>> Aclaro, muchas veces vienen personas al hospital ha hacer cosas
>> exporádicas, presentaciones muestras comerciales ..., esas
>personas
>> deberían poder acceder a internet sin pasar por informática
>(están
>> en el
>> centro menos tiempo del necesario para identificarlos), esto es
>> correcto, pero nos hemos encontrado ya varias veces que empresas
>que
>> vienen a instalar equipos que se van a quedar funcionando en el
>> hospital, y que han sido contratadas por unidades que no nos han
>> informado, vienen hacen su instalación, como todo lo que instalan
>> funciona en la Vlan "de gracia" se van y dan la instalación por
>> acabada,
>> a los días cuando vemos que hay falta de ip, les a caducado el
>> arrendamiento o cuando intentan conectarse desde ordenadores del
>> hospital se dan cuenta que no pueden, (la red esta aislada) y nos
>> llaman
>> como si fuera problema nuestro, por eso queremos que los equipos
>que
>> entren en esa red no se vean entre si, por la wifi es una opción
>> de los
>> AP, por la red cableada, algo habra.
>>
>> Ok, una solución a lo chino, pero nada barato, es ver que todos tus
>> access points tengan capacidades de router y en cada uno de ellos
>> bloquear el protocolo ICMP para tu vlan pública, lo cual hará que
>> ningún equipo se vea entre sí.
>>
>> Otra es que configures tu DHCP para servir de forma pública a
>> múltiples vlans con máscara /31. Tu gateway debe tener una IP para
>> cada vlan y tu DHCP servir una vlan distinta a cada visitante.
>>
>> O puedes trabajarlo de forma social y recordar a todos periódicamente
>> que deben reportarte la instalación de equipos nuevos. Usualmente
>> cuando vas a instalar un equipo siempre preguntas por los
>> requerimientos técnicos/burocráticos del lugar en donde se instalará
>>
>>
>Buen apunte lo del ICMP, lo voy a investigar.
>
>Lo de poner una red 31 fue una de mis primeras ideas, pero el hecho es
>que si no preguntan por como instalar un equipo, muchas veces tampoco
>preguntan nada mas, miran que ip se le ha servido al equipo del
>instalador, hacen ping y asignan ipes fijas a los dispositivos con la
>mascara que les da la gana, por lo que si no va acompañado de unas
>vlanes "adhoc" para cada subred me temo que no va a funcionar, a lo que
>hay que añadir que los conmutadores solo admiten una vlan por defecto,
>lo que hace que no funcione el sistema actual de tener una vlan por
>defecto que sea la de equipos no autorizados.
>
>Se que debería ser un problema administrativo, pero en un sitio donde
>trabajan mas de 8k personas y que hay muchos "jefes" que ganan y
>administran mas dinero que el departamento de informática entero, la
>realidad nos ha demostrado que al final es trabajo para nosotros y que
>quedamos como los "rompedores", las empresas de fuera vienen e instalan
>las cosas bien y a los 2 días el departamento de informática lo rompe,
>por eso no queremos que puedan usar la red sin nuestra intervención.
Antonio, olvídate de la máscara /31.
Prueba a configurar un Windows con máscara /31 y veras la risa.
La más /31 sólo está "soportada" en Enlaces Punto a Punto y no la soportan todos los dispositivos...
Debían se lo traga, pero Windows, prueba y verás...
Saludos,
Reply to: