El 3 de febrero de 2020 9:26:00 CET, Antonio Trujillo Carmona <antonio.trujillo.s...@juntadeandalucia.es> escribió: >El 1/2/20 a las 14:14, Ramses escribió: >> El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona ><antonio.trujillo.s...@juntadeandalucia.es> escribió: >>> El 29/1/20 a las 17:41, Paynalton escribió: >>>> >>>> >>>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona >>>> (<antonio.trujillo.s...@juntadeandalucia.es >>>> <mailto:antonio.trujillo.s...@juntadeandalucia.es>>) escribió: >>>> >>>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió: >>>> > En nuestro hospital tenemos una VLan de gracia para los >>>> equipos no >>>> > identificados. >>>> > Debido al abuso que se hace de esa vlan nos estamos >planteando >>>> poner un >>>> > portal de validación y anular el trafico interno. >>>> > No se trata tanto de bloquear o filtrar usuarios como de >evitar >>>> que se >>>> > puedan conectar dispositivos electromédicos u OT a la red, >por >>>> lo que no >>>> > es importante el nivel de seguridad, cualquier elección haría >>> que un >>>> > dispositivo automático fallara en adquirir red, que es lo que >>>> buscamos. >>>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles >>>> formas de >>>> > acceso y tienen activado el filtrado 802.1x y por MAC, por lo >>>> que no se >>>> > puede activar el acceso web. >>>> > ¿Alguna idea? >>>> > >>>> Muchas gracias a todos por las respuestas. >>>> >>>> Realmente mi pregunta no iba sobre que portal usar, aunque >>>> agradezco los >>>> apuntes y los probare, si no por como configurar una red por >dhcp >>> para >>>> que los equipos que estén en la misma red y en el mismo >>> conmutador >>>> (switch) no se vean entre ellos. >>>> >>>> >>>> >>>> Para mantener aislamiento debes usar vlans, manteniendo a la red >>>> médica en una vlan y la red pública en otra. >>>> >>>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué >>>> servicios puede tener. >>>> >>>> En el gateway de la red pública debes colocar un acceso por proxy >>>> controlado por temporizador como te había mencionado en un correo >>>> anterior. >>>> >>>> El DHCP debe entregar la ruta de un wpad para la configuración >>>> automática del proxy. >>>> >>>> Debes tener un servicio web que entregue el archivo wpad, el cual >>>> indicará que la salida a internet es a través del proxy. >>>> >>>> Así, en un caso de uso típico sucede: >>>> >>>> Caso A: >>>> >>>> -visitante llega con su teléfono. >>>> -visitante se conecta a la red pública abierta >>>> -teléfono solicita configuración al DHCP >>>> -DHCP entrega configuración de red y una ruta para wpad >>>> -visitante intenta entrar a internet >>>> -navegador del teléfono consulta el wpad >>>> -navegador redirige la petición al proxy >>>> -proxy redirige al visitante a una página de error donde le pide >>>> contraseña, o una encuesta o la foto de la enfermera Salo en traje >de >>> baño >>>> -visitante interactúa con la página y gana el acceso temporizado >>>> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo >el >>>> pack de verano de la enfermera Salo. >>>> >>>> Caso B: >>>> >>>> -llega un interno con un novedoso aparato que no sirve para nada >pero >>>> que consiguió barato en amazon. >>>> -interno conecta el aparato a la red pública por flojera de ir a >>>> sistemas a pedir acceso >>>> -aparato no tiene navegador, por lo que no puede ver las candentes >>>> fotos de la enfermera Salo >>>> -aparato no logra conectarse y el interno no tiene más remedio que >ir >>>> a pedir acceso a la red controlada. >>>> -Helpdesk registra macaddress en el DHCP >>>> -aparato se vuelve a conectar a la red >>>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan >>>> controlada. >>>> >>> Muchas gracias por las aportaciones. >>> >>> Si esto ya lo se, se trata de evitar que llegue un laboratorio e >>> instale >>> unos equipos sin pasar por el servicio de informática, en la >>> actualidad, >>> como no están identificados van a parar a la VLAN de gracia donde si >se >>> ven entre ellos y verifican el funcionamiento con el portatil que >lleva >>> el instalador, lo dan por bueno y se van, después llaman al servicio >de >>> informática por que la red del hospital esta mal y no se ven desde >los >>> ordenadores del hospital, porque ellos han verificado la instalación >>> que >>> hicieron. >>> >>> Como soy muy cabezota, tengo que encontrar la solución, me he >planteado >>> varios caminos: >>> >>> Investigar a fondo ipv6 que creo que traía algún protocolo para esto >>> (forzando a levantar una comunicación punto a punto entre la maquina >y >>> un nodo centrar donde instalare alguno de los portales que me han >>> aconsejado). >>> >>> Subdividir el rango de la VLAN en redes con prefijo 30, aunque en >los >>> conmutadores solo admiten una vlan por defecto, esto reduciria de >254 a >>> 64 los equipos que se permiten concurentemente en la Vlan de gracia, >>> pero espero que sea un numero suficiente. >>> >>> Investigar el tema de la validación web para que "emule" la >validación >>> MAC y puedan acceder tanto los equipos con MAC autorizada (en sus >>> Vlanes >>> correspondientes) como los no autorizados a las Vlanes preparadas de >la >>> forma que he dicho antes. >>> >>> >>> Contare como acaba la cosa, y otra vez muchas gracias por las >>> aportaciones. >> Antonio, buenos días, >> >> No veo lo de asignar /30 a los Hosts dentro de la misma VLAN. >¿Podrías extender un poco más la idea? >> >> Es que no tengo muy clara la idea final y qué conseguirías con >esto... >> >> >> Saludos, >> >> Ramsés > >La idea es que dos equipos no identificados por el hospital puedan >acceder a internet (se les de red), pero no puedan comunicarse entre >si. > >Aclaro, muchas veces vienen personas al hospital ha hacer cosas >exporádicas, presentaciones muestras comerciales ..., esas personas >deberían poder acceder a internet sin pasar por informática (están en >el >centro menos tiempo del necesario para identificarlos), esto es >correcto, pero nos hemos encontrado ya varias veces que empresas que >vienen a instalar equipos que se van a quedar funcionando en el >hospital, y que han sido contratadas por unidades que no nos han >informado, vienen hacen su instalación, como todo lo que instalan >funciona en la Vlan "de gracia" se van y dan la instalación por >acabada, >a los días cuando vemos que hay falta de ip, les a caducado el >arrendamiento o cuando intentan conectarse desde ordenadores del >hospital se dan cuenta que no pueden, (la red esta aislada) y nos >llaman >como si fuera problema nuestro, por eso queremos que los equipos que >entren en esa red no se vean entre si, por la wifi es una opción de los >AP, por la red cableada, algo habra.
Antonio, buenos días, Sí, bien, esa es la idea, pero en un ejemplo práctico, qué direccionamiento se le asignarían a 2 equipos ejemplo: Equipo_A: --------------- IP: ¿? Máscara: ¿? Gateway: ¿? Equipo_B: --------------- IP: ¿? Máscara: ¿? Gateway: ¿? Saludos, Ramsés
