El 3 de febrero de 2020 18:26:01 CET, Ramses <ramses.sevi...@gmail.com> escribió: >El 3 de febrero de 2020 15:59:03 CET, Paynalton <cxescal...@gmail.com> >escribió: >>El lun., 3 de febrero de 2020 8:42 a. m., Ramses >><ramses.sevi...@gmail.com> >>escribió: >> >>> El 3 de febrero de 2020 15:33:46 CET, Paynalton >><cxescal...@gmail.com> >>> escribió: >>> >El lun., 3 de febrero de 2020 8:00 a. m., Ramses >>> ><ramses.sevi...@gmail.com> >>> >escribió: >>> > >>> >> El 3 de febrero de 2020 14:34:00 CET, Paynalton >>> ><cxescal...@gmail.com> >>> >> escribió: >>> >> >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo >>Carmona < >>> >> >antonio.trujillo.s...@juntadeandalucia.es> escribió: >>> >> > >>> >> >> El 1/2/20 a las 14:14, Ramses escribió: >>> >> >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo >Carmona >>< >>> >> >> antonio.trujillo.s...@juntadeandalucia.es> escribió: >>> >> >> >> El 29/1/20 a las 17:41, Paynalton escribió: >>> >> >> >>> >>> >> >> >>> >>> >> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona >>> >> >> >>> (<antonio.trujillo.s...@juntadeandalucia.es >>> >> >> >>> <mailto:antonio.trujillo.s...@juntadeandalucia.es>>) >>escribió: >>> >> >> >>> >>> >> >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona >>escribió: >>> >> >> >>> > En nuestro hospital tenemos una VLan de gracia >>para >>> >los >>> >> >> >>> equipos no >>> >> >> >>> > identificados. >>> >> >> >>> > Debido al abuso que se hace de esa vlan nos estamos >>> >> >planteando >>> >> >> >>> poner un >>> >> >> >>> > portal de validación y anular el trafico interno. >>> >> >> >>> > No se trata tanto de bloquear o filtrar usuarios >como >>de >>> >> >evitar >>> >> >> >>> que se >>> >> >> >>> > puedan conectar dispositivos electromédicos u OT a >la >>> >red, >>> >> >por >>> >> >> >>> lo que no >>> >> >> >>> > es importante el nivel de seguridad, cualquier >>elección >>> >> >haría >>> >> >> >> que un >>> >> >> >>> > dispositivo automático fallara en adquirir red, que >>es >>> >lo >>> >> >que >>> >> >> >>> buscamos. >>> >> >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 >>> >posibles >>> >> >> >>> formas de >>> >> >> >>> > acceso y tienen activado el filtrado 802.1x y por >>MAC, >>> >por >>> >> >lo >>> >> >> >>> que no se >>> >> >> >>> > puede activar el acceso web. >>> >> >> >>> > ¿Alguna idea? >>> >> >> >>> > >>> >> >> >>> Muchas gracias a todos por las respuestas. >>> >> >> >>> >>> >> >> >>> Realmente mi pregunta no iba sobre que portal usar, >>aunque >>> >> >> >>> agradezco los >>> >> >> >>> apuntes y los probare, si no por como configurar una >>red >>> >por >>> >> >dhcp >>> >> >> >> para >>> >> >> >>> que los equipos que estén en la misma red y en el >mismo >>> >> >> >> conmutador >>> >> >> >>> (switch) no se vean entre ellos. >>> >> >> >>> >>> >> >> >>> >>> >> >> >>> >>> >> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a >>la >>> >red >>> >> >> >>> médica en una vlan y la red pública en otra. >>> >> >> >>> >>> >> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y >>qué >>> >> >> >>> servicios puede tener. >>> >> >> >>> >>> >> >> >>> En el gateway de la red pública debes colocar un acceso >por >>> >proxy >>> >> >> >>> controlado por temporizador como te había mencionado en un >>> >correo >>> >> >> >>> anterior. >>> >> >> >>> >>> >> >> >>> El DHCP debe entregar la ruta de un wpad para la >>configuración >>> >> >> >>> automática del proxy. >>> >> >> >>> >>> >> >> >>> Debes tener un servicio web que entregue el archivo wpad, >>el >>> >cual >>> >> >> >>> indicará que la salida a internet es a través del proxy. >>> >> >> >>> >>> >> >> >>> Así, en un caso de uso típico sucede: >>> >> >> >>> >>> >> >> >>> Caso A: >>> >> >> >>> >>> >> >> >>> -visitante llega con su teléfono. >>> >> >> >>> -visitante se conecta a la red pública abierta >>> >> >> >>> -teléfono solicita configuración al DHCP >>> >> >> >>> -DHCP entrega configuración de red y una ruta para wpad >>> >> >> >>> -visitante intenta entrar a internet >>> >> >> >>> -navegador del teléfono consulta el wpad >>> >> >> >>> -navegador redirige la petición al proxy >>> >> >> >>> -proxy redirige al visitante a una página de error donde >le >>> >pide >>> >> >> >>> contraseña, o una encuesta o la foto de la enfermera Salo >>en >>> >> >traje de >>> >> >> >> baño >>> >> >> >>> -visitante interactúa con la página y gana el acceso >>> >temporizado >>> >> >> >>> -proxy permite el acceso por 15 minutos antes de mostrar >de >>> >nuevo >>> >> >el >>> >> >> >>> pack de verano de la enfermera Salo. >>> >> >> >>> >>> >> >> >>> Caso B: >>> >> >> >>> >>> >> >> >>> -llega un interno con un novedoso aparato que no sirve >para >>> >nada >>> >> >pero >>> >> >> >>> que consiguió barato en amazon. >>> >> >> >>> -interno conecta el aparato a la red pública por flojera >de >>ir >>> >a >>> >> >> >>> sistemas a pedir acceso >>> >> >> >>> -aparato no tiene navegador, por lo que no puede ver las >>> >> >candentes >>> >> >> >>> fotos de la enfermera Salo >>> >> >> >>> -aparato no logra conectarse y el interno no tiene más >>remedio >>> >> >que ir >>> >> >> >>> a pedir acceso a la red controlada. >>> >> >> >>> -Helpdesk registra macaddress en el DHCP >>> >> >> >>> -aparato se vuelve a conectar a la red >>> >> >> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de >>la >>> >vlan >>> >> >> >>> controlada. >>> >> >> >>> >>> >> >> >> Muchas gracias por las aportaciones. >>> >> >> >> >>> >> >> >> Si esto ya lo se, se trata de evitar que llegue un >>laboratorio >>> >e >>> >> >> >> instale >>> >> >> >> unos equipos sin pasar por el servicio de informática, en >la >>> >> >> >> actualidad, >>> >> >> >> como no están identificados van a parar a la VLAN de gracia >>> >donde >>> >> >si se >>> >> >> >> ven entre ellos y verifican el funcionamiento con el >>portatil >>> >que >>> >> >lleva >>> >> >> >> el instalador, lo dan por bueno y se van, después llaman al >>> >> >servicio de >>> >> >> >> informática por que la red del hospital esta mal y no se >ven >>> >desde >>> >> >los >>> >> >> >> ordenadores del hospital, porque ellos han verificado la >>> >> >instalación >>> >> >> >> que >>> >> >> >> hicieron. >>> >> >> >> >>> >> >> >> Como soy muy cabezota, tengo que encontrar la solución, me >>he >>> >> >planteado >>> >> >> >> varios caminos: >>> >> >> >> >>> >> >> >> Investigar a fondo ipv6 que creo que traía algún protocolo >>para >>> >> >esto >>> >> >> >> (forzando a levantar una comunicación punto a punto entre >la >>> >> >maquina y >>> >> >> >> un nodo centrar donde instalare alguno de los portales que >>me >>> >han >>> >> >> >> aconsejado). >>> >> >> >> >>> >> >> >> Subdividir el rango de la VLAN en redes con prefijo 30, >>aunque >>> >en >>> >> >los >>> >> >> >> conmutadores solo admiten una vlan por defecto, esto >>reduciria >>> >de >>> >> >254 a >>> >> >> >> 64 los equipos que se permiten concurentemente en la Vlan >de >>> >> >gracia, >>> >> >> >> pero espero que sea un numero suficiente. >>> >> >> >> >>> >> >> >> Investigar el tema de la validación web para que "emule" la >>> >> >validación >>> >> >> >> MAC y puedan acceder tanto los equipos con MAC autorizada >>(en >>> >sus >>> >> >> >> Vlanes >>> >> >> >> correspondientes) como los no autorizados a las Vlanes >>> >preparadas >>> >> >de la >>> >> >> >> forma que he dicho antes. >>> >> >> >> >>> >> >> >> >>> >> >> >> Contare como acaba la cosa, y otra vez muchas gracias por >>las >>> >> >> >> aportaciones. >>> >> >> > Antonio, buenos días, >>> >> >> > >>> >> >> > No veo lo de asignar /30 a los Hosts dentro de la misma >VLAN. >>> >> >¿Podrías >>> >> >> extender un poco más la idea? >>> >> >> > >>> >> >> > Es que no tengo muy clara la idea final y qué conseguirías >>con >>> >> >esto... >>> >> >> > >>> >> >> > >>> >> >> > Saludos, >>> >> >> > >>> >> >> > Ramsés >>> >> >> >>> >> >> La idea es que dos equipos no identificados por el hospital >>puedan >>> >> >> acceder a internet (se les de red), pero no puedan comunicarse >>> >entre >>> >> >si. >>> >> >> >>> >> >> Aclaro, muchas veces vienen personas al hospital ha hacer >cosas >>> >> >> exporádicas, presentaciones muestras comerciales ..., esas >>> >personas >>> >> >> deberían poder acceder a internet sin pasar por informática >>(están >>> >en >>> >> >el >>> >> >> centro menos tiempo del necesario para identificarlos), esto >es >>> >> >> correcto, pero nos hemos encontrado ya varias veces que >>empresas >>> >que >>> >> >> vienen a instalar equipos que se van a quedar funcionando en >el >>> >> >> hospital, y que han sido contratadas por unidades que no nos >>han >>> >> >> informado, vienen hacen su instalación, como todo lo que >>instalan >>> >> >> funciona en la Vlan "de gracia" se van y dan la instalación >por >>> >> >acabada, >>> >> >> a los días cuando vemos que hay falta de ip, les a caducado el >>> >> >> arrendamiento o cuando intentan conectarse desde ordenadores >>del >>> >> >> hospital se dan cuenta que no pueden, (la red esta aislada) y >>nos >>> >> >llaman >>> >> >> como si fuera problema nuestro, por eso queremos que los >>equipos >>> >que >>> >> >> entren en esa red no se vean entre si, por la wifi es una >>opción >>> >de >>> >> >los >>> >> >> AP, por la red cableada, algo habra. >>> >> >> >>> >> >> Ok, una solución a lo chino, pero nada barato, es ver que >todos >>> >tus >>> >> >access >>> >> >points tengan capacidades de router y en cada uno de ellos >>bloquear >>> >el >>> >> >protocolo ICMP para tu vlan pública, lo cual hará que ningún >>equipo >>> >se >>> >> >vea >>> >> >entre sí. >>> >> > >>> >> >Otra es que configures tu DHCP para servir de forma pública a >>> >múltiples >>> >> >vlans con máscara /31. Tu gateway debe tener una IP para cada >>vlan y >>> >tu >>> >> >DHCP servir una vlan distinta a cada visitante. >>> >> > >>> >> >O puedes trabajarlo de forma social y recordar a todos >>> >periódicamente >>> >> >que >>> >> >deben reportarte la instalación de equipos nuevos. Usualmente >>cuando >>> >> >vas a >>> >> >instalar un equipo siempre preguntas por los requerimientos >>> >> >técnicos/burocráticos del lugar en donde se instalará >>> >> > >>> >> >> >>> >> >> >>> >> >>> >> Uuuuhhhhmmmm... >>> >> >>> >> ¿Máscara 31? >>> >> >>> >> Raro lo veo, ¿no? >>> >> >>> >> >>> >> >>> >Demasiado, por eso ese tipo de problemas organizacionales deben >>> >solucionarse por vía burocrática y no tecnológica. >>> > >>> > >>> >> >>> >> >>> >> Saludos, >>> >> >>> >> Ramsés >>> >> >>> >>> Demasiado, no, que en una máscara /31 no puedes meter las IP's que >te >>> hacen falta para una Red IP, ¿no? >>> >>> ¿Máscara 255.255.255.254? >>> >>> >> >>Solo caben dos equipos, el cliente y el gateway. Así que a menos que >el >>gateway te lo permita no puedes acceder a otros equipos. >> >> >>> Saludos, >>> >>> Ramsés >>> > >¿Y la Dirección de Red y la Dirección de Broadcast de cada Red IP dónde >la metemos? > > >Saludos, > >Ramsés
No sé yo cómo le va a sentar a algunos S.O. trabajar con máscara /31 Saludos, Ramsés
