El 3 de febrero de 2020 15:59:03 CET, Paynalton <cxescal...@gmail.com> escribió: >El lun., 3 de febrero de 2020 8:42 a. m., Ramses ><ramses.sevi...@gmail.com> >escribió: > >> El 3 de febrero de 2020 15:33:46 CET, Paynalton ><cxescal...@gmail.com> >> escribió: >> >El lun., 3 de febrero de 2020 8:00 a. m., Ramses >> ><ramses.sevi...@gmail.com> >> >escribió: >> > >> >> El 3 de febrero de 2020 14:34:00 CET, Paynalton >> ><cxescal...@gmail.com> >> >> escribió: >> >> >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo >Carmona < >> >> >antonio.trujillo.s...@juntadeandalucia.es> escribió: >> >> > >> >> >> El 1/2/20 a las 14:14, Ramses escribió: >> >> >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona >< >> >> >> antonio.trujillo.s...@juntadeandalucia.es> escribió: >> >> >> >> El 29/1/20 a las 17:41, Paynalton escribió: >> >> >> >>> >> >> >> >>> >> >> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona >> >> >> >>> (<antonio.trujillo.s...@juntadeandalucia.es >> >> >> >>> <mailto:antonio.trujillo.s...@juntadeandalucia.es>>) >escribió: >> >> >> >>> >> >> >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona >escribió: >> >> >> >>> > En nuestro hospital tenemos una VLan de gracia >para >> >los >> >> >> >>> equipos no >> >> >> >>> > identificados. >> >> >> >>> > Debido al abuso que se hace de esa vlan nos estamos >> >> >planteando >> >> >> >>> poner un >> >> >> >>> > portal de validación y anular el trafico interno. >> >> >> >>> > No se trata tanto de bloquear o filtrar usuarios como >de >> >> >evitar >> >> >> >>> que se >> >> >> >>> > puedan conectar dispositivos electromédicos u OT a la >> >red, >> >> >por >> >> >> >>> lo que no >> >> >> >>> > es importante el nivel de seguridad, cualquier >elección >> >> >haría >> >> >> >> que un >> >> >> >>> > dispositivo automático fallara en adquirir red, que >es >> >lo >> >> >que >> >> >> >>> buscamos. >> >> >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 >> >posibles >> >> >> >>> formas de >> >> >> >>> > acceso y tienen activado el filtrado 802.1x y por >MAC, >> >por >> >> >lo >> >> >> >>> que no se >> >> >> >>> > puede activar el acceso web. >> >> >> >>> > ¿Alguna idea? >> >> >> >>> > >> >> >> >>> Muchas gracias a todos por las respuestas. >> >> >> >>> >> >> >> >>> Realmente mi pregunta no iba sobre que portal usar, >aunque >> >> >> >>> agradezco los >> >> >> >>> apuntes y los probare, si no por como configurar una >red >> >por >> >> >dhcp >> >> >> >> para >> >> >> >>> que los equipos que estén en la misma red y en el mismo >> >> >> >> conmutador >> >> >> >>> (switch) no se vean entre ellos. >> >> >> >>> >> >> >> >>> >> >> >> >>> >> >> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a >la >> >red >> >> >> >>> médica en una vlan y la red pública en otra. >> >> >> >>> >> >> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y >qué >> >> >> >>> servicios puede tener. >> >> >> >>> >> >> >> >>> En el gateway de la red pública debes colocar un acceso por >> >proxy >> >> >> >>> controlado por temporizador como te había mencionado en un >> >correo >> >> >> >>> anterior. >> >> >> >>> >> >> >> >>> El DHCP debe entregar la ruta de un wpad para la >configuración >> >> >> >>> automática del proxy. >> >> >> >>> >> >> >> >>> Debes tener un servicio web que entregue el archivo wpad, >el >> >cual >> >> >> >>> indicará que la salida a internet es a través del proxy. >> >> >> >>> >> >> >> >>> Así, en un caso de uso típico sucede: >> >> >> >>> >> >> >> >>> Caso A: >> >> >> >>> >> >> >> >>> -visitante llega con su teléfono. >> >> >> >>> -visitante se conecta a la red pública abierta >> >> >> >>> -teléfono solicita configuración al DHCP >> >> >> >>> -DHCP entrega configuración de red y una ruta para wpad >> >> >> >>> -visitante intenta entrar a internet >> >> >> >>> -navegador del teléfono consulta el wpad >> >> >> >>> -navegador redirige la petición al proxy >> >> >> >>> -proxy redirige al visitante a una página de error donde le >> >pide >> >> >> >>> contraseña, o una encuesta o la foto de la enfermera Salo >en >> >> >traje de >> >> >> >> baño >> >> >> >>> -visitante interactúa con la página y gana el acceso >> >temporizado >> >> >> >>> -proxy permite el acceso por 15 minutos antes de mostrar de >> >nuevo >> >> >el >> >> >> >>> pack de verano de la enfermera Salo. >> >> >> >>> >> >> >> >>> Caso B: >> >> >> >>> >> >> >> >>> -llega un interno con un novedoso aparato que no sirve para >> >nada >> >> >pero >> >> >> >>> que consiguió barato en amazon. >> >> >> >>> -interno conecta el aparato a la red pública por flojera de >ir >> >a >> >> >> >>> sistemas a pedir acceso >> >> >> >>> -aparato no tiene navegador, por lo que no puede ver las >> >> >candentes >> >> >> >>> fotos de la enfermera Salo >> >> >> >>> -aparato no logra conectarse y el interno no tiene más >remedio >> >> >que ir >> >> >> >>> a pedir acceso a la red controlada. >> >> >> >>> -Helpdesk registra macaddress en el DHCP >> >> >> >>> -aparato se vuelve a conectar a la red >> >> >> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de >la >> >vlan >> >> >> >>> controlada. >> >> >> >>> >> >> >> >> Muchas gracias por las aportaciones. >> >> >> >> >> >> >> >> Si esto ya lo se, se trata de evitar que llegue un >laboratorio >> >e >> >> >> >> instale >> >> >> >> unos equipos sin pasar por el servicio de informática, en la >> >> >> >> actualidad, >> >> >> >> como no están identificados van a parar a la VLAN de gracia >> >donde >> >> >si se >> >> >> >> ven entre ellos y verifican el funcionamiento con el >portatil >> >que >> >> >lleva >> >> >> >> el instalador, lo dan por bueno y se van, después llaman al >> >> >servicio de >> >> >> >> informática por que la red del hospital esta mal y no se ven >> >desde >> >> >los >> >> >> >> ordenadores del hospital, porque ellos han verificado la >> >> >instalación >> >> >> >> que >> >> >> >> hicieron. >> >> >> >> >> >> >> >> Como soy muy cabezota, tengo que encontrar la solución, me >he >> >> >planteado >> >> >> >> varios caminos: >> >> >> >> >> >> >> >> Investigar a fondo ipv6 que creo que traía algún protocolo >para >> >> >esto >> >> >> >> (forzando a levantar una comunicación punto a punto entre la >> >> >maquina y >> >> >> >> un nodo centrar donde instalare alguno de los portales que >me >> >han >> >> >> >> aconsejado). >> >> >> >> >> >> >> >> Subdividir el rango de la VLAN en redes con prefijo 30, >aunque >> >en >> >> >los >> >> >> >> conmutadores solo admiten una vlan por defecto, esto >reduciria >> >de >> >> >254 a >> >> >> >> 64 los equipos que se permiten concurentemente en la Vlan de >> >> >gracia, >> >> >> >> pero espero que sea un numero suficiente. >> >> >> >> >> >> >> >> Investigar el tema de la validación web para que "emule" la >> >> >validación >> >> >> >> MAC y puedan acceder tanto los equipos con MAC autorizada >(en >> >sus >> >> >> >> Vlanes >> >> >> >> correspondientes) como los no autorizados a las Vlanes >> >preparadas >> >> >de la >> >> >> >> forma que he dicho antes. >> >> >> >> >> >> >> >> >> >> >> >> Contare como acaba la cosa, y otra vez muchas gracias por >las >> >> >> >> aportaciones. >> >> >> > Antonio, buenos días, >> >> >> > >> >> >> > No veo lo de asignar /30 a los Hosts dentro de la misma VLAN. >> >> >¿Podrías >> >> >> extender un poco más la idea? >> >> >> > >> >> >> > Es que no tengo muy clara la idea final y qué conseguirías >con >> >> >esto... >> >> >> > >> >> >> > >> >> >> > Saludos, >> >> >> > >> >> >> > Ramsés >> >> >> >> >> >> La idea es que dos equipos no identificados por el hospital >puedan >> >> >> acceder a internet (se les de red), pero no puedan comunicarse >> >entre >> >> >si. >> >> >> >> >> >> Aclaro, muchas veces vienen personas al hospital ha hacer cosas >> >> >> exporádicas, presentaciones muestras comerciales ..., esas >> >personas >> >> >> deberían poder acceder a internet sin pasar por informática >(están >> >en >> >> >el >> >> >> centro menos tiempo del necesario para identificarlos), esto es >> >> >> correcto, pero nos hemos encontrado ya varias veces que >empresas >> >que >> >> >> vienen a instalar equipos que se van a quedar funcionando en el >> >> >> hospital, y que han sido contratadas por unidades que no nos >han >> >> >> informado, vienen hacen su instalación, como todo lo que >instalan >> >> >> funciona en la Vlan "de gracia" se van y dan la instalación por >> >> >acabada, >> >> >> a los días cuando vemos que hay falta de ip, les a caducado el >> >> >> arrendamiento o cuando intentan conectarse desde ordenadores >del >> >> >> hospital se dan cuenta que no pueden, (la red esta aislada) y >nos >> >> >llaman >> >> >> como si fuera problema nuestro, por eso queremos que los >equipos >> >que >> >> >> entren en esa red no se vean entre si, por la wifi es una >opción >> >de >> >> >los >> >> >> AP, por la red cableada, algo habra. >> >> >> >> >> >> Ok, una solución a lo chino, pero nada barato, es ver que todos >> >tus >> >> >access >> >> >points tengan capacidades de router y en cada uno de ellos >bloquear >> >el >> >> >protocolo ICMP para tu vlan pública, lo cual hará que ningún >equipo >> >se >> >> >vea >> >> >entre sí. >> >> > >> >> >Otra es que configures tu DHCP para servir de forma pública a >> >múltiples >> >> >vlans con máscara /31. Tu gateway debe tener una IP para cada >vlan y >> >tu >> >> >DHCP servir una vlan distinta a cada visitante. >> >> > >> >> >O puedes trabajarlo de forma social y recordar a todos >> >periódicamente >> >> >que >> >> >deben reportarte la instalación de equipos nuevos. Usualmente >cuando >> >> >vas a >> >> >instalar un equipo siempre preguntas por los requerimientos >> >> >técnicos/burocráticos del lugar en donde se instalará >> >> > >> >> >> >> >> >> >> >> >> >> Uuuuhhhhmmmm... >> >> >> >> ¿Máscara 31? >> >> >> >> Raro lo veo, ¿no? >> >> >> >> >> >> >> >Demasiado, por eso ese tipo de problemas organizacionales deben >> >solucionarse por vía burocrática y no tecnológica. >> > >> > >> >> >> >> >> >> Saludos, >> >> >> >> Ramsés >> >> >> >> Demasiado, no, que en una máscara /31 no puedes meter las IP's que te >> hacen falta para una Red IP, ¿no? >> >> ¿Máscara 255.255.255.254? >> >> > >Solo caben dos equipos, el cliente y el gateway. Así que a menos que el >gateway te lo permita no puedes acceder a otros equipos. > > >> Saludos, >> >> Ramsés >>
¿Y la Dirección de Red y la Dirección de Broadcast de cada Red IP dónde la metemos? Saludos, Ramsés
