El 4 de febrero de 2020 8:45:18 CET, Antonio Trujillo Carmona <antonio.trujillo.s...@juntadeandalucia.es> escribió: >El 3/2/20 a las 14:34, Paynalton escribió: >> >> >> El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona >> <antonio.trujillo.s...@juntadeandalucia.es >> <mailto:antonio.trujillo.s...@juntadeandalucia.es>> escribió: >> >> El 1/2/20 a las 14:14, Ramses escribió: >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona >> <antonio.trujillo.s...@juntadeandalucia.es >> <mailto:antonio.trujillo.s...@juntadeandalucia.es>> escribió: >> >> El 29/1/20 a las 17:41, Paynalton escribió: >> >>> >> >>> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona >> >>> (<antonio.trujillo.s...@juntadeandalucia.es >> <mailto:antonio.trujillo.s...@juntadeandalucia.es> >> >>> <mailto:antonio.trujillo.s...@juntadeandalucia.es >> <mailto:antonio.trujillo.s...@juntadeandalucia.es>>>) escribió: >> >>> >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió: >> >>> > En nuestro hospital tenemos una VLan de gracia para >los >> >>> equipos no >> >>> > identificados. >> >>> > Debido al abuso que se hace de esa vlan nos estamos >> planteando >> >>> poner un >> >>> > portal de validación y anular el trafico interno. >> >>> > No se trata tanto de bloquear o filtrar usuarios como >de >> evitar >> >>> que se >> >>> > puedan conectar dispositivos electromédicos u OT a la >> red, por >> >>> lo que no >> >>> > es importante el nivel de seguridad, cualquier elección >> haría >> >> que un >> >>> > dispositivo automático fallara en adquirir red, que es >> lo que >> >>> buscamos. >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 >posibles >> >>> formas de >> >>> > acceso y tienen activado el filtrado 802.1x y por MAC, >> por lo >> >>> que no se >> >>> > puede activar el acceso web. >> >>> > ¿Alguna idea? >> >>> > >> >>> Muchas gracias a todos por las respuestas. >> >>> >> >>> Realmente mi pregunta no iba sobre que portal usar, >aunque >> >>> agradezco los >> >>> apuntes y los probare, si no por como configurar una red >> por dhcp >> >> para >> >>> que los equipos que estén en la misma red y en el mismo >> >> conmutador >> >>> (switch) no se vean entre ellos. >> >>> >> >>> >> >>> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a la >red >> >>> médica en una vlan y la red pública en otra. >> >>> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y >qué >> >>> servicios puede tener. >> >>> >> >>> En el gateway de la red pública debes colocar un acceso por >proxy >> >>> controlado por temporizador como te había mencionado en un >correo >> >>> anterior. >> >>> >> >>> El DHCP debe entregar la ruta de un wpad para la >configuración >> >>> automática del proxy. >> >>> >> >>> Debes tener un servicio web que entregue el archivo wpad, el >cual >> >>> indicará que la salida a internet es a través del proxy. >> >>> >> >>> Así, en un caso de uso típico sucede: >> >>> >> >>> Caso A: >> >>> >> >>> -visitante llega con su teléfono. >> >>> -visitante se conecta a la red pública abierta >> >>> -teléfono solicita configuración al DHCP >> >>> -DHCP entrega configuración de red y una ruta para wpad >> >>> -visitante intenta entrar a internet >> >>> -navegador del teléfono consulta el wpad >> >>> -navegador redirige la petición al proxy >> >>> -proxy redirige al visitante a una página de error donde le >pide >> >>> contraseña, o una encuesta o la foto de la enfermera Salo en >> traje de >> >> baño >> >>> -visitante interactúa con la página y gana el acceso >temporizado >> >>> -proxy permite el acceso por 15 minutos antes de mostrar de >> nuevo el >> >>> pack de verano de la enfermera Salo. >> >>> >> >>> Caso B: >> >>> >> >>> -llega un interno con un novedoso aparato que no sirve para >> nada pero >> >>> que consiguió barato en amazon. >> >>> -interno conecta el aparato a la red pública por flojera de >ir a >> >>> sistemas a pedir acceso >> >>> -aparato no tiene navegador, por lo que no puede ver las >candentes >> >>> fotos de la enfermera Salo >> >>> -aparato no logra conectarse y el interno no tiene más >remedio >> que ir >> >>> a pedir acceso a la red controlada. >> >>> -Helpdesk registra macaddress en el DHCP >> >>> -aparato se vuelve a conectar a la red >> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la >vlan >> >>> controlada. >> >>> >> >> Muchas gracias por las aportaciones. >> >> >> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio >e >> >> instale >> >> unos equipos sin pasar por el servicio de informática, en la >> >> actualidad, >> >> como no están identificados van a parar a la VLAN de gracia >> donde si se >> >> ven entre ellos y verifican el funcionamiento con el portatil >> que lleva >> >> el instalador, lo dan por bueno y se van, después llaman al >> servicio de >> >> informática por que la red del hospital esta mal y no se ven >> desde los >> >> ordenadores del hospital, porque ellos han verificado la >> instalación >> >> que >> >> hicieron. >> >> >> >> Como soy muy cabezota, tengo que encontrar la solución, me he >> planteado >> >> varios caminos: >> >> >> >> Investigar a fondo ipv6 que creo que traía algún protocolo >para >> esto >> >> (forzando a levantar una comunicación punto a punto entre la >> maquina y >> >> un nodo centrar donde instalare alguno de los portales que me >han >> >> aconsejado). >> >> >> >> Subdividir el rango de la VLAN en redes con prefijo 30, aunque >> en los >> >> conmutadores solo admiten una vlan por defecto, esto reduciria >> de 254 a >> >> 64 los equipos que se permiten concurentemente en la Vlan de >> gracia, >> >> pero espero que sea un numero suficiente. >> >> >> >> Investigar el tema de la validación web para que "emule" la >> validación >> >> MAC y puedan acceder tanto los equipos con MAC autorizada (en >sus >> >> Vlanes >> >> correspondientes) como los no autorizados a las Vlanes >> preparadas de la >> >> forma que he dicho antes. >> >> >> >> >> >> Contare como acaba la cosa, y otra vez muchas gracias por las >> >> aportaciones. >> > Antonio, buenos días, >> > >> > No veo lo de asignar /30 a los Hosts dentro de la misma VLAN. >> ¿Podrías extender un poco más la idea? >> > >> > Es que no tengo muy clara la idea final y qué conseguirías con >> esto... >> > >> > >> > Saludos, >> > >> > Ramsés >> >> La idea es que dos equipos no identificados por el hospital >puedan >> acceder a internet (se les de red), pero no puedan comunicarse >> entre si. >> >> Aclaro, muchas veces vienen personas al hospital ha hacer cosas >> exporádicas, presentaciones muestras comerciales ..., esas >personas >> deberían poder acceder a internet sin pasar por informática >(están >> en el >> centro menos tiempo del necesario para identificarlos), esto es >> correcto, pero nos hemos encontrado ya varias veces que empresas >que >> vienen a instalar equipos que se van a quedar funcionando en el >> hospital, y que han sido contratadas por unidades que no nos han >> informado, vienen hacen su instalación, como todo lo que instalan >> funciona en la Vlan "de gracia" se van y dan la instalación por >> acabada, >> a los días cuando vemos que hay falta de ip, les a caducado el >> arrendamiento o cuando intentan conectarse desde ordenadores del >> hospital se dan cuenta que no pueden, (la red esta aislada) y nos >> llaman >> como si fuera problema nuestro, por eso queremos que los equipos >que >> entren en esa red no se vean entre si, por la wifi es una opción >> de los >> AP, por la red cableada, algo habra. >> >> Ok, una solución a lo chino, pero nada barato, es ver que todos tus >> access points tengan capacidades de router y en cada uno de ellos >> bloquear el protocolo ICMP para tu vlan pública, lo cual hará que >> ningún equipo se vea entre sí. >> >> Otra es que configures tu DHCP para servir de forma pública a >> múltiples vlans con máscara /31. Tu gateway debe tener una IP para >> cada vlan y tu DHCP servir una vlan distinta a cada visitante. >> >> O puedes trabajarlo de forma social y recordar a todos periódicamente >> que deben reportarte la instalación de equipos nuevos. Usualmente >> cuando vas a instalar un equipo siempre preguntas por los >> requerimientos técnicos/burocráticos del lugar en donde se instalará >> >> >Buen apunte lo del ICMP, lo voy a investigar. > >Lo de poner una red 31 fue una de mis primeras ideas, pero el hecho es >que si no preguntan por como instalar un equipo, muchas veces tampoco >preguntan nada mas, miran que ip se le ha servido al equipo del >instalador, hacen ping y asignan ipes fijas a los dispositivos con la >mascara que les da la gana, por lo que si no va acompañado de unas >vlanes "adhoc" para cada subred me temo que no va a funcionar, a lo que >hay que añadir que los conmutadores solo admiten una vlan por defecto, >lo que hace que no funcione el sistema actual de tener una vlan por >defecto que sea la de equipos no autorizados. > >Se que debería ser un problema administrativo, pero en un sitio donde >trabajan mas de 8k personas y que hay muchos "jefes" que ganan y >administran mas dinero que el departamento de informática entero, la >realidad nos ha demostrado que al final es trabajo para nosotros y que >quedamos como los "rompedores", las empresas de fuera vienen e instalan >las cosas bien y a los 2 días el departamento de informática lo rompe, >por eso no queremos que puedan usar la red sin nuestra intervención.
Antonio, olvídate de la máscara /31. Prueba a configurar un Windows con máscara /31 y veras la risa. La más /31 sólo está "soportada" en Enlaces Punto a Punto y no la soportan todos los dispositivos... Debían se lo traga, pero Windows, prueba y verás... Saludos,
