El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona <antonio.trujillo.s...@juntadeandalucia.es> escribió: >El 29/1/20 a las 17:41, Paynalton escribió: >> >> >> >> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona >> (<antonio.trujillo.s...@juntadeandalucia.es >> <mailto:antonio.trujillo.s...@juntadeandalucia.es>>) escribió: >> >> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió: >> > En nuestro hospital tenemos una VLan de gracia para los >> equipos no >> > identificados. >> > Debido al abuso que se hace de esa vlan nos estamos planteando >> poner un >> > portal de validación y anular el trafico interno. >> > No se trata tanto de bloquear o filtrar usuarios como de evitar >> que se >> > puedan conectar dispositivos electromédicos u OT a la red, por >> lo que no >> > es importante el nivel de seguridad, cualquier elección haría >que un >> > dispositivo automático fallara en adquirir red, que es lo que >> buscamos. >> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles >> formas de >> > acceso y tienen activado el filtrado 802.1x y por MAC, por lo >> que no se >> > puede activar el acceso web. >> > ¿Alguna idea? >> > >> Muchas gracias a todos por las respuestas. >> >> Realmente mi pregunta no iba sobre que portal usar, aunque >> agradezco los >> apuntes y los probare, si no por como configurar una red por dhcp >para >> que los equipos que estén en la misma red y en el mismo >conmutador >> (switch) no se vean entre ellos. >> >> >> >> Para mantener aislamiento debes usar vlans, manteniendo a la red >> médica en una vlan y la red pública en otra. >> >> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué >> servicios puede tener. >> >> En el gateway de la red pública debes colocar un acceso por proxy >> controlado por temporizador como te había mencionado en un correo >> anterior. >> >> El DHCP debe entregar la ruta de un wpad para la configuración >> automática del proxy. >> >> Debes tener un servicio web que entregue el archivo wpad, el cual >> indicará que la salida a internet es a través del proxy. >> >> Así, en un caso de uso típico sucede: >> >> Caso A: >> >> -visitante llega con su teléfono. >> -visitante se conecta a la red pública abierta >> -teléfono solicita configuración al DHCP >> -DHCP entrega configuración de red y una ruta para wpad >> -visitante intenta entrar a internet >> -navegador del teléfono consulta el wpad >> -navegador redirige la petición al proxy >> -proxy redirige al visitante a una página de error donde le pide >> contraseña, o una encuesta o la foto de la enfermera Salo en traje de >baño >> -visitante interactúa con la página y gana el acceso temporizado >> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo el >> pack de verano de la enfermera Salo. >> >> Caso B: >> >> -llega un interno con un novedoso aparato que no sirve para nada pero >> que consiguió barato en amazon. >> -interno conecta el aparato a la red pública por flojera de ir a >> sistemas a pedir acceso >> -aparato no tiene navegador, por lo que no puede ver las candentes >> fotos de la enfermera Salo >> -aparato no logra conectarse y el interno no tiene más remedio que ir >> a pedir acceso a la red controlada. >> -Helpdesk registra macaddress en el DHCP >> -aparato se vuelve a conectar a la red >> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan >> controlada. >> > >Muchas gracias por las aportaciones. > >Si esto ya lo se, se trata de evitar que llegue un laboratorio e >instale >unos equipos sin pasar por el servicio de informática, en la >actualidad, >como no están identificados van a parar a la VLAN de gracia donde si se >ven entre ellos y verifican el funcionamiento con el portatil que lleva >el instalador, lo dan por bueno y se van, después llaman al servicio de >informática por que la red del hospital esta mal y no se ven desde los >ordenadores del hospital, porque ellos han verificado la instalación >que >hicieron. > >Como soy muy cabezota, tengo que encontrar la solución, me he planteado >varios caminos: > >Investigar a fondo ipv6 que creo que traía algún protocolo para esto >(forzando a levantar una comunicación punto a punto entre la maquina y >un nodo centrar donde instalare alguno de los portales que me han >aconsejado). > >Subdividir el rango de la VLAN en redes con prefijo 30, aunque en los >conmutadores solo admiten una vlan por defecto, esto reduciria de 254 a >64 los equipos que se permiten concurentemente en la Vlan de gracia, >pero espero que sea un numero suficiente. > >Investigar el tema de la validación web para que "emule" la validación >MAC y puedan acceder tanto los equipos con MAC autorizada (en sus >Vlanes >correspondientes) como los no autorizados a las Vlanes preparadas de la >forma que he dicho antes. > > >Contare como acaba la cosa, y otra vez muchas gracias por las >aportaciones.
Antonio, buenos días, No veo lo de asignar /30 a los Hosts dentro de la misma VLAN. ¿Podrías extender un poco más la idea? Es que no tengo muy clara la idea final y qué conseguirías con esto... Saludos, Ramsés