El 3 de febrero de 2020 15:33:46 CET, Paynalton <cxescal...@gmail.com> escribió: >El lun., 3 de febrero de 2020 8:00 a. m., Ramses ><ramses.sevi...@gmail.com> >escribió: > >> El 3 de febrero de 2020 14:34:00 CET, Paynalton ><cxescal...@gmail.com> >> escribió: >> >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona < >> >antonio.trujillo.s...@juntadeandalucia.es> escribió: >> > >> >> El 1/2/20 a las 14:14, Ramses escribió: >> >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona < >> >> antonio.trujillo.s...@juntadeandalucia.es> escribió: >> >> >> El 29/1/20 a las 17:41, Paynalton escribió: >> >> >>> >> >> >>> >> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona >> >> >>> (<antonio.trujillo.s...@juntadeandalucia.es >> >> >>> <mailto:antonio.trujillo.s...@juntadeandalucia.es>>) escribió: >> >> >>> >> >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió: >> >> >>> > En nuestro hospital tenemos una VLan de gracia para >los >> >> >>> equipos no >> >> >>> > identificados. >> >> >>> > Debido al abuso que se hace de esa vlan nos estamos >> >planteando >> >> >>> poner un >> >> >>> > portal de validación y anular el trafico interno. >> >> >>> > No se trata tanto de bloquear o filtrar usuarios como de >> >evitar >> >> >>> que se >> >> >>> > puedan conectar dispositivos electromédicos u OT a la >red, >> >por >> >> >>> lo que no >> >> >>> > es importante el nivel de seguridad, cualquier elección >> >haría >> >> >> que un >> >> >>> > dispositivo automático fallara en adquirir red, que es >lo >> >que >> >> >>> buscamos. >> >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 >posibles >> >> >>> formas de >> >> >>> > acceso y tienen activado el filtrado 802.1x y por MAC, >por >> >lo >> >> >>> que no se >> >> >>> > puede activar el acceso web. >> >> >>> > ¿Alguna idea? >> >> >>> > >> >> >>> Muchas gracias a todos por las respuestas. >> >> >>> >> >> >>> Realmente mi pregunta no iba sobre que portal usar, aunque >> >> >>> agradezco los >> >> >>> apuntes y los probare, si no por como configurar una red >por >> >dhcp >> >> >> para >> >> >>> que los equipos que estén en la misma red y en el mismo >> >> >> conmutador >> >> >>> (switch) no se vean entre ellos. >> >> >>> >> >> >>> >> >> >>> >> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a la >red >> >> >>> médica en una vlan y la red pública en otra. >> >> >>> >> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué >> >> >>> servicios puede tener. >> >> >>> >> >> >>> En el gateway de la red pública debes colocar un acceso por >proxy >> >> >>> controlado por temporizador como te había mencionado en un >correo >> >> >>> anterior. >> >> >>> >> >> >>> El DHCP debe entregar la ruta de un wpad para la configuración >> >> >>> automática del proxy. >> >> >>> >> >> >>> Debes tener un servicio web que entregue el archivo wpad, el >cual >> >> >>> indicará que la salida a internet es a través del proxy. >> >> >>> >> >> >>> Así, en un caso de uso típico sucede: >> >> >>> >> >> >>> Caso A: >> >> >>> >> >> >>> -visitante llega con su teléfono. >> >> >>> -visitante se conecta a la red pública abierta >> >> >>> -teléfono solicita configuración al DHCP >> >> >>> -DHCP entrega configuración de red y una ruta para wpad >> >> >>> -visitante intenta entrar a internet >> >> >>> -navegador del teléfono consulta el wpad >> >> >>> -navegador redirige la petición al proxy >> >> >>> -proxy redirige al visitante a una página de error donde le >pide >> >> >>> contraseña, o una encuesta o la foto de la enfermera Salo en >> >traje de >> >> >> baño >> >> >>> -visitante interactúa con la página y gana el acceso >temporizado >> >> >>> -proxy permite el acceso por 15 minutos antes de mostrar de >nuevo >> >el >> >> >>> pack de verano de la enfermera Salo. >> >> >>> >> >> >>> Caso B: >> >> >>> >> >> >>> -llega un interno con un novedoso aparato que no sirve para >nada >> >pero >> >> >>> que consiguió barato en amazon. >> >> >>> -interno conecta el aparato a la red pública por flojera de ir >a >> >> >>> sistemas a pedir acceso >> >> >>> -aparato no tiene navegador, por lo que no puede ver las >> >candentes >> >> >>> fotos de la enfermera Salo >> >> >>> -aparato no logra conectarse y el interno no tiene más remedio >> >que ir >> >> >>> a pedir acceso a la red controlada. >> >> >>> -Helpdesk registra macaddress en el DHCP >> >> >>> -aparato se vuelve a conectar a la red >> >> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la >vlan >> >> >>> controlada. >> >> >>> >> >> >> Muchas gracias por las aportaciones. >> >> >> >> >> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio >e >> >> >> instale >> >> >> unos equipos sin pasar por el servicio de informática, en la >> >> >> actualidad, >> >> >> como no están identificados van a parar a la VLAN de gracia >donde >> >si se >> >> >> ven entre ellos y verifican el funcionamiento con el portatil >que >> >lleva >> >> >> el instalador, lo dan por bueno y se van, después llaman al >> >servicio de >> >> >> informática por que la red del hospital esta mal y no se ven >desde >> >los >> >> >> ordenadores del hospital, porque ellos han verificado la >> >instalación >> >> >> que >> >> >> hicieron. >> >> >> >> >> >> Como soy muy cabezota, tengo que encontrar la solución, me he >> >planteado >> >> >> varios caminos: >> >> >> >> >> >> Investigar a fondo ipv6 que creo que traía algún protocolo para >> >esto >> >> >> (forzando a levantar una comunicación punto a punto entre la >> >maquina y >> >> >> un nodo centrar donde instalare alguno de los portales que me >han >> >> >> aconsejado). >> >> >> >> >> >> Subdividir el rango de la VLAN en redes con prefijo 30, aunque >en >> >los >> >> >> conmutadores solo admiten una vlan por defecto, esto reduciria >de >> >254 a >> >> >> 64 los equipos que se permiten concurentemente en la Vlan de >> >gracia, >> >> >> pero espero que sea un numero suficiente. >> >> >> >> >> >> Investigar el tema de la validación web para que "emule" la >> >validación >> >> >> MAC y puedan acceder tanto los equipos con MAC autorizada (en >sus >> >> >> Vlanes >> >> >> correspondientes) como los no autorizados a las Vlanes >preparadas >> >de la >> >> >> forma que he dicho antes. >> >> >> >> >> >> >> >> >> Contare como acaba la cosa, y otra vez muchas gracias por las >> >> >> aportaciones. >> >> > Antonio, buenos días, >> >> > >> >> > No veo lo de asignar /30 a los Hosts dentro de la misma VLAN. >> >¿Podrías >> >> extender un poco más la idea? >> >> > >> >> > Es que no tengo muy clara la idea final y qué conseguirías con >> >esto... >> >> > >> >> > >> >> > Saludos, >> >> > >> >> > Ramsés >> >> >> >> La idea es que dos equipos no identificados por el hospital puedan >> >> acceder a internet (se les de red), pero no puedan comunicarse >entre >> >si. >> >> >> >> Aclaro, muchas veces vienen personas al hospital ha hacer cosas >> >> exporádicas, presentaciones muestras comerciales ..., esas >personas >> >> deberían poder acceder a internet sin pasar por informática (están >en >> >el >> >> centro menos tiempo del necesario para identificarlos), esto es >> >> correcto, pero nos hemos encontrado ya varias veces que empresas >que >> >> vienen a instalar equipos que se van a quedar funcionando en el >> >> hospital, y que han sido contratadas por unidades que no nos han >> >> informado, vienen hacen su instalación, como todo lo que instalan >> >> funciona en la Vlan "de gracia" se van y dan la instalación por >> >acabada, >> >> a los días cuando vemos que hay falta de ip, les a caducado el >> >> arrendamiento o cuando intentan conectarse desde ordenadores del >> >> hospital se dan cuenta que no pueden, (la red esta aislada) y nos >> >llaman >> >> como si fuera problema nuestro, por eso queremos que los equipos >que >> >> entren en esa red no se vean entre si, por la wifi es una opción >de >> >los >> >> AP, por la red cableada, algo habra. >> >> >> >> Ok, una solución a lo chino, pero nada barato, es ver que todos >tus >> >access >> >points tengan capacidades de router y en cada uno de ellos bloquear >el >> >protocolo ICMP para tu vlan pública, lo cual hará que ningún equipo >se >> >vea >> >entre sí. >> > >> >Otra es que configures tu DHCP para servir de forma pública a >múltiples >> >vlans con máscara /31. Tu gateway debe tener una IP para cada vlan y >tu >> >DHCP servir una vlan distinta a cada visitante. >> > >> >O puedes trabajarlo de forma social y recordar a todos >periódicamente >> >que >> >deben reportarte la instalación de equipos nuevos. Usualmente cuando >> >vas a >> >instalar un equipo siempre preguntas por los requerimientos >> >técnicos/burocráticos del lugar en donde se instalará >> > >> >> >> >> >> >> Uuuuhhhhmmmm... >> >> ¿Máscara 31? >> >> Raro lo veo, ¿no? >> >> >> >Demasiado, por eso ese tipo de problemas organizacionales deben >solucionarse por vía burocrática y no tecnológica. > > >> >> >> Saludos, >> >> Ramsés >>
Demasiado, no, que en una máscara /31 no puedes meter las IP's que te hacen falta para una Red IP, ¿no? ¿Máscara 255.255.255.254? Saludos, Ramsés
