Re: OT red por cable con portal captivo sin trafico interno.

[Antonio Trujillo Carmona]

El 5/2/20 a las 15:26, Ramses escribió:
> El 5 de febrero de 2020 14:12:23 CET, Antonio Trujillo Carmona 
>  escribió:
>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>>>     En nuestro hospital tenemos una VLan de gracia para los equipos
>> no
>>> identificados.
>>> Debido al abuso que se hace de esa vlan nos estamos planteando poner
>> un
>>> portal de validación y anular el trafico interno.
>>> No se trata tanto de bloquear o filtrar usuarios como de evitar que
>> se
>>> puedan conectar dispositivos electromédicos u OT a la red, por lo que
>> no
>>> es importante el nivel de seguridad, cualquier elección haría que un
>>> dispositivo automático fallara en adquirir red, que es lo que
>> buscamos.
>>> Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles formas de
>>> acceso y tienen activado el filtrado 802.1x y por MAC, por lo que no
>> se
>>> puede activar el acceso web.
>>> ¿Alguna idea?
>>>
>> Al final hemos decidido que la solución es muy compleja y puede
>> probocar
>> fallos en el sistema, por lo que vamos a eliminar la VLAN y quien lo
>> necesite que se conecte por WIFI.
>>
>> Muchas gracias por los apuntes.
> Buenas... 
>
> ¿Y lo de que no se vean entre los equipos? 
>
>
> Saludos, 
>
> Ramsés

En nuestros AP (unos HP gestionados desde unos controles centralizados)
es un check box, lo marcas y no se ven sin mas.





signature.asc
Description: OpenPGP digital signature

Re: OT red por cable con portal captivo sin trafico interno.

[Ramses]

El 5 de febrero de 2020 14:12:23 CET, Antonio Trujillo Carmona 
 escribió:
>El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>>     En nuestro hospital tenemos una VLan de gracia para los equipos
>no
>> identificados.
>> Debido al abuso que se hace de esa vlan nos estamos planteando poner
>un
>> portal de validación y anular el trafico interno.
>> No se trata tanto de bloquear o filtrar usuarios como de evitar que
>se
>> puedan conectar dispositivos electromédicos u OT a la red, por lo que
>no
>> es importante el nivel de seguridad, cualquier elección haría que un
>> dispositivo automático fallara en adquirir red, que es lo que
>buscamos.
>> Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles formas de
>> acceso y tienen activado el filtrado 802.1x y por MAC, por lo que no
>se
>> puede activar el acceso web.
>> ¿Alguna idea?
>>
>Al final hemos decidido que la solución es muy compleja y puede
>probocar
>fallos en el sistema, por lo que vamos a eliminar la VLAN y quien lo
>necesite que se conecte por WIFI.
>
>Muchas gracias por los apuntes.

Buenas... 

¿Y lo de que no se vean entre los equipos? 


Saludos, 

Ramsés

Re: OT red por cable con portal captivo sin trafico interno.

[Antonio Trujillo Carmona]

El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>     En nuestro hospital tenemos una VLan de gracia para los equipos no
> identificados.
> Debido al abuso que se hace de esa vlan nos estamos planteando poner un
> portal de validación y anular el trafico interno.
> No se trata tanto de bloquear o filtrar usuarios como de evitar que se
> puedan conectar dispositivos electromédicos u OT a la red, por lo que no
> es importante el nivel de seguridad, cualquier elección haría que un
> dispositivo automático fallara en adquirir red, que es lo que buscamos.
> Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles formas de
> acceso y tienen activado el filtrado 802.1x y por MAC, por lo que no se
> puede activar el acceso web.
> ¿Alguna idea?
>
Al final hemos decidido que la solución es muy compleja y puede probocar
fallos en el sistema, por lo que vamos a eliminar la VLAN y quien lo
necesite que se conecte por WIFI.

Muchas gracias por los apuntes.





signature.asc
Description: OpenPGP digital signature

Re: OT red por cable con portal captivo sin trafico interno.

[Ramses]

El 4 de febrero de 2020 8:45:18 CET, Antonio Trujillo Carmona 
 escribió:
>El 3/2/20 a las 14:34, Paynalton escribió:
>>
>>
>> El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona
>> > > escribió:
>>
>> El 1/2/20 a las 14:14, Ramses escribió:
>> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona
>> > > escribió:
>> >> El 29/1/20 a las 17:41, Paynalton escribió:
>> >>>
>> >>>
>> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>> >>> (> 
>> >>> > >>) escribió:
>> >>>
>> >>>     El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>> >>>     >     En nuestro hospital tenemos una VLan de gracia para
>los
>> >>>     equipos no
>> >>>     > identificados.
>> >>>     > Debido al abuso que se hace de esa vlan nos estamos
>> planteando
>> >>>     poner un
>> >>>     > portal de validación y anular el trafico interno.
>> >>>     > No se trata tanto de bloquear o filtrar usuarios como
>de
>> evitar
>> >>>     que se
>> >>>     > puedan conectar dispositivos electromédicos u OT a la
>> red, por
>> >>>     lo que no
>> >>>     > es importante el nivel de seguridad, cualquier elección
>> haría
>> >> que un
>> >>>     > dispositivo automático fallara en adquirir red, que es
>> lo que
>> >>>     buscamos.
>> >>>     > Los conmutadores (HP procurbe) solo admiten 2 de 3
>posibles
>> >>>     formas de
>> >>>     > acceso y tienen activado el filtrado 802.1x y por MAC,
>> por lo
>> >>>     que no se
>> >>>     > puede activar el acceso web.
>> >>>     > ¿Alguna idea?
>> >>>     >
>> >>>     Muchas gracias a todos por las respuestas.
>> >>>
>> >>>     Realmente mi pregunta no iba sobre que portal usar,
>aunque
>> >>>     agradezco los
>> >>>     apuntes y los probare, si no por como configurar una red
>> por dhcp
>> >> para
>> >>>     que los equipos que estén en la misma red y en el mismo
>> >> conmutador
>> >>>     (switch) no se vean entre ellos.
>> >>>
>> >>>
>> >>>
>> >>> Para mantener aislamiento debes usar vlans, manteniendo a la
>red
>> >>> médica en una vlan y la red pública en otra.
>> >>>
>> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y
>qué
>> >>> servicios puede tener.
>> >>>
>> >>> En el gateway de la red pública debes colocar un acceso por
>proxy
>> >>> controlado por temporizador como te había mencionado en un
>correo
>> >>> anterior.
>> >>>
>> >>> El DHCP debe entregar la ruta de un wpad para la
>configuración
>> >>> automática del proxy.
>> >>>
>> >>> Debes tener un servicio web que entregue el archivo wpad, el
>cual
>> >>> indicará que la salida a internet es a través del proxy.
>> >>>
>> >>> Así, en un caso de uso típico sucede:
>> >>>
>> >>> Caso A:
>> >>>
>> >>> -visitante llega con su teléfono.
>> >>> -visitante se conecta a la red pública abierta
>> >>> -teléfono solicita configuración al DHCP
>> >>> -DHCP entrega configuración de red y una ruta para wpad
>> >>> -visitante intenta entrar a internet
>> >>> -navegador del teléfono consulta el wpad
>> >>> -navegador redirige la petición al proxy
>> >>> -proxy redirige al visitante a una página de error donde le
>pide
>> >>> contraseña, o una encuesta o la foto de la enfermera Salo en
>> traje de
>> >> baño
>> >>> -visitante interactúa con la página y gana el acceso
>temporizado
>> >>> -proxy permite el acceso por 15 minutos antes de mostrar de
>> nuevo el
>> >>> pack de verano de la enfermera Salo.
>> >>>
>> >>> Caso B:
>> >>>
>> >>> -llega un interno con un novedoso aparato que no sirve para
>> nada pero
>> >>> que consiguió barato en amazon.
>> >>> -interno conecta el aparato a la red pública por flojera de
>ir a
>> >>> sistemas a pedir acceso
>> >>> -aparato no tiene navegador, por lo que no puede ver las
>candentes
>> >>> fotos de la enfermera Salo
>> >>> -aparato no logra conectarse y el interno no tiene más
>remedio
>> que ir
>> >>> a pedir acceso a la red controlada.
>> >>> -Helpdesk registra macaddress en el DHCP
>> >>> -aparato se vuelve a conectar a la red
>> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la
>vlan
>> >>> controlada.
>> >>>  
>> >> Muchas gracias por las aportaciones.
>> >>
>> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio
>e
>> >> instale
>> >> unos equipos sin pasar por el servicio de informática, en la
>> >> actualidad,
>> >> como no 

Re: OT red por cable con portal captivo sin trafico interno.

[Antonio Trujillo Carmona]

El 3/2/20 a las 14:34, Paynalton escribió:
>
>
> El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona
>  > escribió:
>
> El 1/2/20 a las 14:14, Ramses escribió:
> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona
>  > escribió:
> >> El 29/1/20 a las 17:41, Paynalton escribió:
> >>>
> >>>
> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
> >>> ( 
> >>>  >>) escribió:
> >>>
> >>>     El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
> >>>     >     En nuestro hospital tenemos una VLan de gracia para los
> >>>     equipos no
> >>>     > identificados.
> >>>     > Debido al abuso que se hace de esa vlan nos estamos
> planteando
> >>>     poner un
> >>>     > portal de validación y anular el trafico interno.
> >>>     > No se trata tanto de bloquear o filtrar usuarios como de
> evitar
> >>>     que se
> >>>     > puedan conectar dispositivos electromédicos u OT a la
> red, por
> >>>     lo que no
> >>>     > es importante el nivel de seguridad, cualquier elección
> haría
> >> que un
> >>>     > dispositivo automático fallara en adquirir red, que es
> lo que
> >>>     buscamos.
> >>>     > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles
> >>>     formas de
> >>>     > acceso y tienen activado el filtrado 802.1x y por MAC,
> por lo
> >>>     que no se
> >>>     > puede activar el acceso web.
> >>>     > ¿Alguna idea?
> >>>     >
> >>>     Muchas gracias a todos por las respuestas.
> >>>
> >>>     Realmente mi pregunta no iba sobre que portal usar, aunque
> >>>     agradezco los
> >>>     apuntes y los probare, si no por como configurar una red
> por dhcp
> >> para
> >>>     que los equipos que estén en la misma red y en el mismo
> >> conmutador
> >>>     (switch) no se vean entre ellos.
> >>>
> >>>
> >>>
> >>> Para mantener aislamiento debes usar vlans, manteniendo a la red
> >>> médica en una vlan y la red pública en otra.
> >>>
> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
> >>> servicios puede tener.
> >>>
> >>> En el gateway de la red pública debes colocar un acceso por proxy
> >>> controlado por temporizador como te había mencionado en un correo
> >>> anterior.
> >>>
> >>> El DHCP debe entregar la ruta de un wpad para la configuración
> >>> automática del proxy.
> >>>
> >>> Debes tener un servicio web que entregue el archivo wpad, el cual
> >>> indicará que la salida a internet es a través del proxy.
> >>>
> >>> Así, en un caso de uso típico sucede:
> >>>
> >>> Caso A:
> >>>
> >>> -visitante llega con su teléfono.
> >>> -visitante se conecta a la red pública abierta
> >>> -teléfono solicita configuración al DHCP
> >>> -DHCP entrega configuración de red y una ruta para wpad
> >>> -visitante intenta entrar a internet
> >>> -navegador del teléfono consulta el wpad
> >>> -navegador redirige la petición al proxy
> >>> -proxy redirige al visitante a una página de error donde le pide
> >>> contraseña, o una encuesta o la foto de la enfermera Salo en
> traje de
> >> baño
> >>> -visitante interactúa con la página y gana el acceso temporizado
> >>> -proxy permite el acceso por 15 minutos antes de mostrar de
> nuevo el
> >>> pack de verano de la enfermera Salo.
> >>>
> >>> Caso B:
> >>>
> >>> -llega un interno con un novedoso aparato que no sirve para
> nada pero
> >>> que consiguió barato en amazon.
> >>> -interno conecta el aparato a la red pública por flojera de ir a
> >>> sistemas a pedir acceso
> >>> -aparato no tiene navegador, por lo que no puede ver las candentes
> >>> fotos de la enfermera Salo
> >>> -aparato no logra conectarse y el interno no tiene más remedio
> que ir
> >>> a pedir acceso a la red controlada.
> >>> -Helpdesk registra macaddress en el DHCP
> >>> -aparato se vuelve a conectar a la red
> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan
> >>> controlada.
> >>>  
> >> Muchas gracias por las aportaciones.
> >>
> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio e
> >> instale
> >> unos equipos sin pasar por el servicio de informática, en la
> >> actualidad,
> >> como no están identificados van a parar a la VLAN de gracia
> donde si se
> >> ven entre ellos y verifican el funcionamiento con el portatil
> que lleva
> >> el instalador, lo dan por bueno y se van, después 

Re: OT red por cable con portal captivo sin trafico interno.

[Ramses]

El 3 de febrero de 2020 18:26:01 CET, Ramses  
escribió:
>El 3 de febrero de 2020 15:59:03 CET, Paynalton 
>escribió:
>>El lun., 3 de febrero de 2020 8:42 a. m., Ramses
>>
>>escribió:
>>
>>> El 3 de febrero de 2020 15:33:46 CET, Paynalton
>>
>>> escribió:
>>> >El lun., 3 de febrero de 2020 8:00 a. m., Ramses
>>> >
>>> >escribió:
>>> >
>>> >> El 3 de febrero de 2020 14:34:00 CET, Paynalton
>>> >
>>> >> escribió:
>>> >> >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo
>>Carmona <
>>> >> >antonio.trujillo.s...@juntadeandalucia.es> escribió:
>>> >> >
>>> >> >> El 1/2/20 a las 14:14, Ramses escribió:
>>> >> >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo
>Carmona
>><
>>> >> >> antonio.trujillo.s...@juntadeandalucia.es> escribió:
>>> >> >> >> El 29/1/20 a las 17:41, Paynalton escribió:
>>> >> >> >>>
>>> >> >> >>>
>>> >> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>>> >> >> >>> (>> >> >> >>> >)
>>escribió:
>>> >> >> >>>
>>> >> >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona
>>escribió:
>>> >> >> >>> > En nuestro hospital tenemos una VLan de gracia
>>para
>>> >los
>>> >> >> >>> equipos no
>>> >> >> >>> > identificados.
>>> >> >> >>> > Debido al abuso que se hace de esa vlan nos estamos
>>> >> >planteando
>>> >> >> >>> poner un
>>> >> >> >>> > portal de validación y anular el trafico interno.
>>> >> >> >>> > No se trata tanto de bloquear o filtrar usuarios
>como
>>de
>>> >> >evitar
>>> >> >> >>> que se
>>> >> >> >>> > puedan conectar dispositivos electromédicos u OT a
>la
>>> >red,
>>> >> >por
>>> >> >> >>> lo que no
>>> >> >> >>> > es importante el nivel de seguridad, cualquier
>>elección
>>> >> >haría
>>> >> >> >> que un
>>> >> >> >>> > dispositivo automático fallara en adquirir red, que
>>es
>>> >lo
>>> >> >que
>>> >> >> >>> buscamos.
>>> >> >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3
>>> >posibles
>>> >> >> >>> formas de
>>> >> >> >>> > acceso y tienen activado el filtrado 802.1x y por
>>MAC,
>>> >por
>>> >> >lo
>>> >> >> >>> que no se
>>> >> >> >>> > puede activar el acceso web.
>>> >> >> >>> > ¿Alguna idea?
>>> >> >> >>> >
>>> >> >> >>> Muchas gracias a todos por las respuestas.
>>> >> >> >>>
>>> >> >> >>> Realmente mi pregunta no iba sobre que portal usar,
>>aunque
>>> >> >> >>> agradezco los
>>> >> >> >>> apuntes y los probare, si no por como configurar una
>>red
>>> >por
>>> >> >dhcp
>>> >> >> >> para
>>> >> >> >>> que los equipos que estén en la misma red y en el
>mismo
>>> >> >> >> conmutador
>>> >> >> >>> (switch) no se vean entre ellos.
>>> >> >> >>>
>>> >> >> >>>
>>> >> >> >>>
>>> >> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a
>>la
>>> >red
>>> >> >> >>> médica en una vlan y la red pública en otra.
>>> >> >> >>>
>>> >> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y
>>qué
>>> >> >> >>> servicios puede tener.
>>> >> >> >>>
>>> >> >> >>> En el gateway de la red pública debes colocar un acceso
>por
>>> >proxy
>>> >> >> >>> controlado por temporizador como te había mencionado en un
>>> >correo
>>> >> >> >>> anterior.
>>> >> >> >>>
>>> >> >> >>> El DHCP debe entregar la ruta de un wpad para la
>>configuración
>>> >> >> >>> automática del proxy.
>>> >> >> >>>
>>> >> >> >>> Debes tener un servicio web que entregue el archivo wpad,
>>el
>>> >cual
>>> >> >> >>> indicará que la salida a internet es a través del proxy.
>>> >> >> >>>
>>> >> >> >>> Así, en un caso de uso típico sucede:
>>> >> >> >>>
>>> >> >> >>> Caso A:
>>> >> >> >>>
>>> >> >> >>> -visitante llega con su teléfono.
>>> >> >> >>> -visitante se conecta a la red pública abierta
>>> >> >> >>> -teléfono solicita configuración al DHCP
>>> >> >> >>> -DHCP entrega configuración de red y una ruta para wpad
>>> >> >> >>> -visitante intenta entrar a internet
>>> >> >> >>> -navegador del teléfono consulta el wpad
>>> >> >> >>> -navegador redirige la petición al proxy
>>> >> >> >>> -proxy redirige al visitante a una página de error donde
>le
>>> >pide
>>> >> >> >>> contraseña, o una encuesta o la foto de la enfermera Salo
>>en
>>> >> >traje de
>>> >> >> >> baño
>>> >> >> >>> -visitante interactúa con la página y gana el acceso
>>> >temporizado
>>> >> >> >>> -proxy permite el acceso por 15 minutos antes de mostrar
>de
>>> >nuevo
>>> >> >el
>>> >> >> >>> pack de verano de la enfermera Salo.
>>> >> >> >>>
>>> >> >> >>> Caso B:
>>> >> >> >>>
>>> >> >> >>> -llega un interno con un novedoso aparato que no sirve
>para
>>> >nada
>>> >> >pero
>>> >> >> >>> que consiguió barato en amazon.
>>> >> >> >>> -interno conecta el aparato a la red pública por flojera
>de
>>ir
>>> >a
>>> >> >> >>> sistemas a pedir acceso
>>> >> >> >>> -aparato no tiene navegador, por lo que no puede ver las
>>> >> >candentes
>>> >> >> >>> fotos de la enfermera Salo
>>> >> >> >>> -aparato no logra conectarse y el interno no tiene más

Re: OT red por cable con portal captivo sin trafico interno.

[Ramses]

El 3 de febrero de 2020 15:59:03 CET, Paynalton  escribió:
>El lun., 3 de febrero de 2020 8:42 a. m., Ramses
>
>escribió:
>
>> El 3 de febrero de 2020 15:33:46 CET, Paynalton
>
>> escribió:
>> >El lun., 3 de febrero de 2020 8:00 a. m., Ramses
>> >
>> >escribió:
>> >
>> >> El 3 de febrero de 2020 14:34:00 CET, Paynalton
>> >
>> >> escribió:
>> >> >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo
>Carmona <
>> >> >antonio.trujillo.s...@juntadeandalucia.es> escribió:
>> >> >
>> >> >> El 1/2/20 a las 14:14, Ramses escribió:
>> >> >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona
><
>> >> >> antonio.trujillo.s...@juntadeandalucia.es> escribió:
>> >> >> >> El 29/1/20 a las 17:41, Paynalton escribió:
>> >> >> >>>
>> >> >> >>>
>> >> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>> >> >> >>> (> >> >> >>> >)
>escribió:
>> >> >> >>>
>> >> >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona
>escribió:
>> >> >> >>> > En nuestro hospital tenemos una VLan de gracia
>para
>> >los
>> >> >> >>> equipos no
>> >> >> >>> > identificados.
>> >> >> >>> > Debido al abuso que se hace de esa vlan nos estamos
>> >> >planteando
>> >> >> >>> poner un
>> >> >> >>> > portal de validación y anular el trafico interno.
>> >> >> >>> > No se trata tanto de bloquear o filtrar usuarios como
>de
>> >> >evitar
>> >> >> >>> que se
>> >> >> >>> > puedan conectar dispositivos electromédicos u OT a la
>> >red,
>> >> >por
>> >> >> >>> lo que no
>> >> >> >>> > es importante el nivel de seguridad, cualquier
>elección
>> >> >haría
>> >> >> >> que un
>> >> >> >>> > dispositivo automático fallara en adquirir red, que
>es
>> >lo
>> >> >que
>> >> >> >>> buscamos.
>> >> >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3
>> >posibles
>> >> >> >>> formas de
>> >> >> >>> > acceso y tienen activado el filtrado 802.1x y por
>MAC,
>> >por
>> >> >lo
>> >> >> >>> que no se
>> >> >> >>> > puede activar el acceso web.
>> >> >> >>> > ¿Alguna idea?
>> >> >> >>> >
>> >> >> >>> Muchas gracias a todos por las respuestas.
>> >> >> >>>
>> >> >> >>> Realmente mi pregunta no iba sobre que portal usar,
>aunque
>> >> >> >>> agradezco los
>> >> >> >>> apuntes y los probare, si no por como configurar una
>red
>> >por
>> >> >dhcp
>> >> >> >> para
>> >> >> >>> que los equipos que estén en la misma red y en el mismo
>> >> >> >> conmutador
>> >> >> >>> (switch) no se vean entre ellos.
>> >> >> >>>
>> >> >> >>>
>> >> >> >>>
>> >> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a
>la
>> >red
>> >> >> >>> médica en una vlan y la red pública en otra.
>> >> >> >>>
>> >> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y
>qué
>> >> >> >>> servicios puede tener.
>> >> >> >>>
>> >> >> >>> En el gateway de la red pública debes colocar un acceso por
>> >proxy
>> >> >> >>> controlado por temporizador como te había mencionado en un
>> >correo
>> >> >> >>> anterior.
>> >> >> >>>
>> >> >> >>> El DHCP debe entregar la ruta de un wpad para la
>configuración
>> >> >> >>> automática del proxy.
>> >> >> >>>
>> >> >> >>> Debes tener un servicio web que entregue el archivo wpad,
>el
>> >cual
>> >> >> >>> indicará que la salida a internet es a través del proxy.
>> >> >> >>>
>> >> >> >>> Así, en un caso de uso típico sucede:
>> >> >> >>>
>> >> >> >>> Caso A:
>> >> >> >>>
>> >> >> >>> -visitante llega con su teléfono.
>> >> >> >>> -visitante se conecta a la red pública abierta
>> >> >> >>> -teléfono solicita configuración al DHCP
>> >> >> >>> -DHCP entrega configuración de red y una ruta para wpad
>> >> >> >>> -visitante intenta entrar a internet
>> >> >> >>> -navegador del teléfono consulta el wpad
>> >> >> >>> -navegador redirige la petición al proxy
>> >> >> >>> -proxy redirige al visitante a una página de error donde le
>> >pide
>> >> >> >>> contraseña, o una encuesta o la foto de la enfermera Salo
>en
>> >> >traje de
>> >> >> >> baño
>> >> >> >>> -visitante interactúa con la página y gana el acceso
>> >temporizado
>> >> >> >>> -proxy permite el acceso por 15 minutos antes de mostrar de
>> >nuevo
>> >> >el
>> >> >> >>> pack de verano de la enfermera Salo.
>> >> >> >>>
>> >> >> >>> Caso B:
>> >> >> >>>
>> >> >> >>> -llega un interno con un novedoso aparato que no sirve para
>> >nada
>> >> >pero
>> >> >> >>> que consiguió barato en amazon.
>> >> >> >>> -interno conecta el aparato a la red pública por flojera de
>ir
>> >a
>> >> >> >>> sistemas a pedir acceso
>> >> >> >>> -aparato no tiene navegador, por lo que no puede ver las
>> >> >candentes
>> >> >> >>> fotos de la enfermera Salo
>> >> >> >>> -aparato no logra conectarse y el interno no tiene más
>remedio
>> >> >que ir
>> >> >> >>> a pedir acceso a la red controlada.
>> >> >> >>> -Helpdesk registra macaddress en el DHCP
>> >> >> >>> -aparato se vuelve a conectar a la red
>> >> >> >>> -DHCP encuentra al 

Re: OT red por cable con portal captivo sin trafico interno.

[Paynalton]

El lun., 3 de febrero de 2020 8:42 a. m., Ramses 
escribió:

> El 3 de febrero de 2020 15:33:46 CET, Paynalton 
> escribió:
> >El lun., 3 de febrero de 2020 8:00 a. m., Ramses
> >
> >escribió:
> >
> >> El 3 de febrero de 2020 14:34:00 CET, Paynalton
> >
> >> escribió:
> >> >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona <
> >> >antonio.trujillo.s...@juntadeandalucia.es> escribió:
> >> >
> >> >> El 1/2/20 a las 14:14, Ramses escribió:
> >> >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona <
> >> >> antonio.trujillo.s...@juntadeandalucia.es> escribió:
> >> >> >> El 29/1/20 a las 17:41, Paynalton escribió:
> >> >> >>>
> >> >> >>>
> >> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
> >> >> >>> ( >> >> >>> >) escribió:
> >> >> >>>
> >> >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
> >> >> >>> > En nuestro hospital tenemos una VLan de gracia para
> >los
> >> >> >>> equipos no
> >> >> >>> > identificados.
> >> >> >>> > Debido al abuso que se hace de esa vlan nos estamos
> >> >planteando
> >> >> >>> poner un
> >> >> >>> > portal de validación y anular el trafico interno.
> >> >> >>> > No se trata tanto de bloquear o filtrar usuarios como de
> >> >evitar
> >> >> >>> que se
> >> >> >>> > puedan conectar dispositivos electromédicos u OT a la
> >red,
> >> >por
> >> >> >>> lo que no
> >> >> >>> > es importante el nivel de seguridad, cualquier elección
> >> >haría
> >> >> >> que un
> >> >> >>> > dispositivo automático fallara en adquirir red, que es
> >lo
> >> >que
> >> >> >>> buscamos.
> >> >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3
> >posibles
> >> >> >>> formas de
> >> >> >>> > acceso y tienen activado el filtrado 802.1x y por MAC,
> >por
> >> >lo
> >> >> >>> que no se
> >> >> >>> > puede activar el acceso web.
> >> >> >>> > ¿Alguna idea?
> >> >> >>> >
> >> >> >>> Muchas gracias a todos por las respuestas.
> >> >> >>>
> >> >> >>> Realmente mi pregunta no iba sobre que portal usar, aunque
> >> >> >>> agradezco los
> >> >> >>> apuntes y los probare, si no por como configurar una red
> >por
> >> >dhcp
> >> >> >> para
> >> >> >>> que los equipos que estén en la misma red y en el mismo
> >> >> >> conmutador
> >> >> >>> (switch) no se vean entre ellos.
> >> >> >>>
> >> >> >>>
> >> >> >>>
> >> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a la
> >red
> >> >> >>> médica en una vlan y la red pública en otra.
> >> >> >>>
> >> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
> >> >> >>> servicios puede tener.
> >> >> >>>
> >> >> >>> En el gateway de la red pública debes colocar un acceso por
> >proxy
> >> >> >>> controlado por temporizador como te había mencionado en un
> >correo
> >> >> >>> anterior.
> >> >> >>>
> >> >> >>> El DHCP debe entregar la ruta de un wpad para la configuración
> >> >> >>> automática del proxy.
> >> >> >>>
> >> >> >>> Debes tener un servicio web que entregue el archivo wpad, el
> >cual
> >> >> >>> indicará que la salida a internet es a través del proxy.
> >> >> >>>
> >> >> >>> Así, en un caso de uso típico sucede:
> >> >> >>>
> >> >> >>> Caso A:
> >> >> >>>
> >> >> >>> -visitante llega con su teléfono.
> >> >> >>> -visitante se conecta a la red pública abierta
> >> >> >>> -teléfono solicita configuración al DHCP
> >> >> >>> -DHCP entrega configuración de red y una ruta para wpad
> >> >> >>> -visitante intenta entrar a internet
> >> >> >>> -navegador del teléfono consulta el wpad
> >> >> >>> -navegador redirige la petición al proxy
> >> >> >>> -proxy redirige al visitante a una página de error donde le
> >pide
> >> >> >>> contraseña, o una encuesta o la foto de la enfermera Salo en
> >> >traje de
> >> >> >> baño
> >> >> >>> -visitante interactúa con la página y gana el acceso
> >temporizado
> >> >> >>> -proxy permite el acceso por 15 minutos antes de mostrar de
> >nuevo
> >> >el
> >> >> >>> pack de verano de la enfermera Salo.
> >> >> >>>
> >> >> >>> Caso B:
> >> >> >>>
> >> >> >>> -llega un interno con un novedoso aparato que no sirve para
> >nada
> >> >pero
> >> >> >>> que consiguió barato en amazon.
> >> >> >>> -interno conecta el aparato a la red pública por flojera de ir
> >a
> >> >> >>> sistemas a pedir acceso
> >> >> >>> -aparato no tiene navegador, por lo que no puede ver las
> >> >candentes
> >> >> >>> fotos de la enfermera Salo
> >> >> >>> -aparato no logra conectarse y el interno no tiene más remedio
> >> >que ir
> >> >> >>> a pedir acceso a la red controlada.
> >> >> >>> -Helpdesk registra macaddress en el DHCP
> >> >> >>> -aparato se vuelve a conectar a la red
> >> >> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la
> >vlan
> >> >> >>> controlada.
> >> >> >>>
> >> >> >> Muchas gracias por las aportaciones.
> >> >> >>
> >> >> >> Si esto ya lo se, se trata de evitar que llegue un 

Re: OT red por cable con portal captivo sin trafico interno.

[Ramses]

El 3 de febrero de 2020 15:33:46 CET, Paynalton  escribió:
>El lun., 3 de febrero de 2020 8:00 a. m., Ramses
>
>escribió:
>
>> El 3 de febrero de 2020 14:34:00 CET, Paynalton
>
>> escribió:
>> >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona <
>> >antonio.trujillo.s...@juntadeandalucia.es> escribió:
>> >
>> >> El 1/2/20 a las 14:14, Ramses escribió:
>> >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona <
>> >> antonio.trujillo.s...@juntadeandalucia.es> escribió:
>> >> >> El 29/1/20 a las 17:41, Paynalton escribió:
>> >> >>>
>> >> >>>
>> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>> >> >>> (> >> >>> >) escribió:
>> >> >>>
>> >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>> >> >>> > En nuestro hospital tenemos una VLan de gracia para
>los
>> >> >>> equipos no
>> >> >>> > identificados.
>> >> >>> > Debido al abuso que se hace de esa vlan nos estamos
>> >planteando
>> >> >>> poner un
>> >> >>> > portal de validación y anular el trafico interno.
>> >> >>> > No se trata tanto de bloquear o filtrar usuarios como de
>> >evitar
>> >> >>> que se
>> >> >>> > puedan conectar dispositivos electromédicos u OT a la
>red,
>> >por
>> >> >>> lo que no
>> >> >>> > es importante el nivel de seguridad, cualquier elección
>> >haría
>> >> >> que un
>> >> >>> > dispositivo automático fallara en adquirir red, que es
>lo
>> >que
>> >> >>> buscamos.
>> >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3
>posibles
>> >> >>> formas de
>> >> >>> > acceso y tienen activado el filtrado 802.1x y por MAC,
>por
>> >lo
>> >> >>> que no se
>> >> >>> > puede activar el acceso web.
>> >> >>> > ¿Alguna idea?
>> >> >>> >
>> >> >>> Muchas gracias a todos por las respuestas.
>> >> >>>
>> >> >>> Realmente mi pregunta no iba sobre que portal usar, aunque
>> >> >>> agradezco los
>> >> >>> apuntes y los probare, si no por como configurar una red
>por
>> >dhcp
>> >> >> para
>> >> >>> que los equipos que estén en la misma red y en el mismo
>> >> >> conmutador
>> >> >>> (switch) no se vean entre ellos.
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a la
>red
>> >> >>> médica en una vlan y la red pública en otra.
>> >> >>>
>> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
>> >> >>> servicios puede tener.
>> >> >>>
>> >> >>> En el gateway de la red pública debes colocar un acceso por
>proxy
>> >> >>> controlado por temporizador como te había mencionado en un
>correo
>> >> >>> anterior.
>> >> >>>
>> >> >>> El DHCP debe entregar la ruta de un wpad para la configuración
>> >> >>> automática del proxy.
>> >> >>>
>> >> >>> Debes tener un servicio web que entregue el archivo wpad, el
>cual
>> >> >>> indicará que la salida a internet es a través del proxy.
>> >> >>>
>> >> >>> Así, en un caso de uso típico sucede:
>> >> >>>
>> >> >>> Caso A:
>> >> >>>
>> >> >>> -visitante llega con su teléfono.
>> >> >>> -visitante se conecta a la red pública abierta
>> >> >>> -teléfono solicita configuración al DHCP
>> >> >>> -DHCP entrega configuración de red y una ruta para wpad
>> >> >>> -visitante intenta entrar a internet
>> >> >>> -navegador del teléfono consulta el wpad
>> >> >>> -navegador redirige la petición al proxy
>> >> >>> -proxy redirige al visitante a una página de error donde le
>pide
>> >> >>> contraseña, o una encuesta o la foto de la enfermera Salo en
>> >traje de
>> >> >> baño
>> >> >>> -visitante interactúa con la página y gana el acceso
>temporizado
>> >> >>> -proxy permite el acceso por 15 minutos antes de mostrar de
>nuevo
>> >el
>> >> >>> pack de verano de la enfermera Salo.
>> >> >>>
>> >> >>> Caso B:
>> >> >>>
>> >> >>> -llega un interno con un novedoso aparato que no sirve para
>nada
>> >pero
>> >> >>> que consiguió barato en amazon.
>> >> >>> -interno conecta el aparato a la red pública por flojera de ir
>a
>> >> >>> sistemas a pedir acceso
>> >> >>> -aparato no tiene navegador, por lo que no puede ver las
>> >candentes
>> >> >>> fotos de la enfermera Salo
>> >> >>> -aparato no logra conectarse y el interno no tiene más remedio
>> >que ir
>> >> >>> a pedir acceso a la red controlada.
>> >> >>> -Helpdesk registra macaddress en el DHCP
>> >> >>> -aparato se vuelve a conectar a la red
>> >> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la
>vlan
>> >> >>> controlada.
>> >> >>>
>> >> >> Muchas gracias por las aportaciones.
>> >> >>
>> >> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio
>e
>> >> >> instale
>> >> >> unos equipos sin pasar por el servicio de informática, en la
>> >> >> actualidad,
>> >> >> como no están identificados van a parar a la VLAN de gracia
>donde
>> >si se
>> >> >> ven entre ellos y verifican el funcionamiento con el portatil
>que
>> >lleva
>> >> >> el instalador, lo dan por bueno y se 

Re: OT red por cable con portal captivo sin trafico interno.

[Paynalton]

El lun., 3 de febrero de 2020 8:00 a. m., Ramses 
escribió:

> El 3 de febrero de 2020 14:34:00 CET, Paynalton 
> escribió:
> >El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona <
> >antonio.trujillo.s...@juntadeandalucia.es> escribió:
> >
> >> El 1/2/20 a las 14:14, Ramses escribió:
> >> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona <
> >> antonio.trujillo.s...@juntadeandalucia.es> escribió:
> >> >> El 29/1/20 a las 17:41, Paynalton escribió:
> >> >>>
> >> >>>
> >> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
> >> >>> ( >> >>> >) escribió:
> >> >>>
> >> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
> >> >>> > En nuestro hospital tenemos una VLan de gracia para los
> >> >>> equipos no
> >> >>> > identificados.
> >> >>> > Debido al abuso que se hace de esa vlan nos estamos
> >planteando
> >> >>> poner un
> >> >>> > portal de validación y anular el trafico interno.
> >> >>> > No se trata tanto de bloquear o filtrar usuarios como de
> >evitar
> >> >>> que se
> >> >>> > puedan conectar dispositivos electromédicos u OT a la red,
> >por
> >> >>> lo que no
> >> >>> > es importante el nivel de seguridad, cualquier elección
> >haría
> >> >> que un
> >> >>> > dispositivo automático fallara en adquirir red, que es lo
> >que
> >> >>> buscamos.
> >> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles
> >> >>> formas de
> >> >>> > acceso y tienen activado el filtrado 802.1x y por MAC, por
> >lo
> >> >>> que no se
> >> >>> > puede activar el acceso web.
> >> >>> > ¿Alguna idea?
> >> >>> >
> >> >>> Muchas gracias a todos por las respuestas.
> >> >>>
> >> >>> Realmente mi pregunta no iba sobre que portal usar, aunque
> >> >>> agradezco los
> >> >>> apuntes y los probare, si no por como configurar una red por
> >dhcp
> >> >> para
> >> >>> que los equipos que estén en la misma red y en el mismo
> >> >> conmutador
> >> >>> (switch) no se vean entre ellos.
> >> >>>
> >> >>>
> >> >>>
> >> >>> Para mantener aislamiento debes usar vlans, manteniendo a la red
> >> >>> médica en una vlan y la red pública en otra.
> >> >>>
> >> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
> >> >>> servicios puede tener.
> >> >>>
> >> >>> En el gateway de la red pública debes colocar un acceso por proxy
> >> >>> controlado por temporizador como te había mencionado en un correo
> >> >>> anterior.
> >> >>>
> >> >>> El DHCP debe entregar la ruta de un wpad para la configuración
> >> >>> automática del proxy.
> >> >>>
> >> >>> Debes tener un servicio web que entregue el archivo wpad, el cual
> >> >>> indicará que la salida a internet es a través del proxy.
> >> >>>
> >> >>> Así, en un caso de uso típico sucede:
> >> >>>
> >> >>> Caso A:
> >> >>>
> >> >>> -visitante llega con su teléfono.
> >> >>> -visitante se conecta a la red pública abierta
> >> >>> -teléfono solicita configuración al DHCP
> >> >>> -DHCP entrega configuración de red y una ruta para wpad
> >> >>> -visitante intenta entrar a internet
> >> >>> -navegador del teléfono consulta el wpad
> >> >>> -navegador redirige la petición al proxy
> >> >>> -proxy redirige al visitante a una página de error donde le pide
> >> >>> contraseña, o una encuesta o la foto de la enfermera Salo en
> >traje de
> >> >> baño
> >> >>> -visitante interactúa con la página y gana el acceso temporizado
> >> >>> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo
> >el
> >> >>> pack de verano de la enfermera Salo.
> >> >>>
> >> >>> Caso B:
> >> >>>
> >> >>> -llega un interno con un novedoso aparato que no sirve para nada
> >pero
> >> >>> que consiguió barato en amazon.
> >> >>> -interno conecta el aparato a la red pública por flojera de ir a
> >> >>> sistemas a pedir acceso
> >> >>> -aparato no tiene navegador, por lo que no puede ver las
> >candentes
> >> >>> fotos de la enfermera Salo
> >> >>> -aparato no logra conectarse y el interno no tiene más remedio
> >que ir
> >> >>> a pedir acceso a la red controlada.
> >> >>> -Helpdesk registra macaddress en el DHCP
> >> >>> -aparato se vuelve a conectar a la red
> >> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan
> >> >>> controlada.
> >> >>>
> >> >> Muchas gracias por las aportaciones.
> >> >>
> >> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio e
> >> >> instale
> >> >> unos equipos sin pasar por el servicio de informática, en la
> >> >> actualidad,
> >> >> como no están identificados van a parar a la VLAN de gracia donde
> >si se
> >> >> ven entre ellos y verifican el funcionamiento con el portatil que
> >lleva
> >> >> el instalador, lo dan por bueno y se van, después llaman al
> >servicio de
> >> >> informática por que la red del hospital esta mal y no se ven desde
> >los
> >> >> ordenadores del hospital, porque ellos han verificado la
> >instalación
> >> 

Re: OT red por cable con portal captivo sin trafico interno.

[Ramses]

El 3 de febrero de 2020 14:34:00 CET, Paynalton  escribió:
>El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona <
>antonio.trujillo.s...@juntadeandalucia.es> escribió:
>
>> El 1/2/20 a las 14:14, Ramses escribió:
>> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona <
>> antonio.trujillo.s...@juntadeandalucia.es> escribió:
>> >> El 29/1/20 a las 17:41, Paynalton escribió:
>> >>>
>> >>>
>> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>> >>> (> >>> >) escribió:
>> >>>
>> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>> >>> > En nuestro hospital tenemos una VLan de gracia para los
>> >>> equipos no
>> >>> > identificados.
>> >>> > Debido al abuso que se hace de esa vlan nos estamos
>planteando
>> >>> poner un
>> >>> > portal de validación y anular el trafico interno.
>> >>> > No se trata tanto de bloquear o filtrar usuarios como de
>evitar
>> >>> que se
>> >>> > puedan conectar dispositivos electromédicos u OT a la red,
>por
>> >>> lo que no
>> >>> > es importante el nivel de seguridad, cualquier elección
>haría
>> >> que un
>> >>> > dispositivo automático fallara en adquirir red, que es lo
>que
>> >>> buscamos.
>> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles
>> >>> formas de
>> >>> > acceso y tienen activado el filtrado 802.1x y por MAC, por
>lo
>> >>> que no se
>> >>> > puede activar el acceso web.
>> >>> > ¿Alguna idea?
>> >>> >
>> >>> Muchas gracias a todos por las respuestas.
>> >>>
>> >>> Realmente mi pregunta no iba sobre que portal usar, aunque
>> >>> agradezco los
>> >>> apuntes y los probare, si no por como configurar una red por
>dhcp
>> >> para
>> >>> que los equipos que estén en la misma red y en el mismo
>> >> conmutador
>> >>> (switch) no se vean entre ellos.
>> >>>
>> >>>
>> >>>
>> >>> Para mantener aislamiento debes usar vlans, manteniendo a la red
>> >>> médica en una vlan y la red pública en otra.
>> >>>
>> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
>> >>> servicios puede tener.
>> >>>
>> >>> En el gateway de la red pública debes colocar un acceso por proxy
>> >>> controlado por temporizador como te había mencionado en un correo
>> >>> anterior.
>> >>>
>> >>> El DHCP debe entregar la ruta de un wpad para la configuración
>> >>> automática del proxy.
>> >>>
>> >>> Debes tener un servicio web que entregue el archivo wpad, el cual
>> >>> indicará que la salida a internet es a través del proxy.
>> >>>
>> >>> Así, en un caso de uso típico sucede:
>> >>>
>> >>> Caso A:
>> >>>
>> >>> -visitante llega con su teléfono.
>> >>> -visitante se conecta a la red pública abierta
>> >>> -teléfono solicita configuración al DHCP
>> >>> -DHCP entrega configuración de red y una ruta para wpad
>> >>> -visitante intenta entrar a internet
>> >>> -navegador del teléfono consulta el wpad
>> >>> -navegador redirige la petición al proxy
>> >>> -proxy redirige al visitante a una página de error donde le pide
>> >>> contraseña, o una encuesta o la foto de la enfermera Salo en
>traje de
>> >> baño
>> >>> -visitante interactúa con la página y gana el acceso temporizado
>> >>> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo
>el
>> >>> pack de verano de la enfermera Salo.
>> >>>
>> >>> Caso B:
>> >>>
>> >>> -llega un interno con un novedoso aparato que no sirve para nada
>pero
>> >>> que consiguió barato en amazon.
>> >>> -interno conecta el aparato a la red pública por flojera de ir a
>> >>> sistemas a pedir acceso
>> >>> -aparato no tiene navegador, por lo que no puede ver las
>candentes
>> >>> fotos de la enfermera Salo
>> >>> -aparato no logra conectarse y el interno no tiene más remedio
>que ir
>> >>> a pedir acceso a la red controlada.
>> >>> -Helpdesk registra macaddress en el DHCP
>> >>> -aparato se vuelve a conectar a la red
>> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan
>> >>> controlada.
>> >>>
>> >> Muchas gracias por las aportaciones.
>> >>
>> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio e
>> >> instale
>> >> unos equipos sin pasar por el servicio de informática, en la
>> >> actualidad,
>> >> como no están identificados van a parar a la VLAN de gracia donde
>si se
>> >> ven entre ellos y verifican el funcionamiento con el portatil que
>lleva
>> >> el instalador, lo dan por bueno y se van, después llaman al
>servicio de
>> >> informática por que la red del hospital esta mal y no se ven desde
>los
>> >> ordenadores del hospital, porque ellos han verificado la
>instalación
>> >> que
>> >> hicieron.
>> >>
>> >> Como soy muy cabezota, tengo que encontrar la solución, me he
>planteado
>> >> varios caminos:
>> >>
>> >> Investigar a fondo ipv6 que creo que traía algún protocolo para
>esto
>> >> (forzando a levantar una comunicación punto a punto entre la
>maquina y
>> >> un nodo centrar 

Re: OT red por cable con portal captivo sin trafico interno.

[Paynalton]

El lun., 3 de febrero de 2020 2:26 a. m., Antonio Trujillo Carmona <
antonio.trujillo.s...@juntadeandalucia.es> escribió:

> El 1/2/20 a las 14:14, Ramses escribió:
> > El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona <
> antonio.trujillo.s...@juntadeandalucia.es> escribió:
> >> El 29/1/20 a las 17:41, Paynalton escribió:
> >>>
> >>>
> >>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
> >>> ( >>> >) escribió:
> >>>
> >>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
> >>> > En nuestro hospital tenemos una VLan de gracia para los
> >>> equipos no
> >>> > identificados.
> >>> > Debido al abuso que se hace de esa vlan nos estamos planteando
> >>> poner un
> >>> > portal de validación y anular el trafico interno.
> >>> > No se trata tanto de bloquear o filtrar usuarios como de evitar
> >>> que se
> >>> > puedan conectar dispositivos electromédicos u OT a la red, por
> >>> lo que no
> >>> > es importante el nivel de seguridad, cualquier elección haría
> >> que un
> >>> > dispositivo automático fallara en adquirir red, que es lo que
> >>> buscamos.
> >>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles
> >>> formas de
> >>> > acceso y tienen activado el filtrado 802.1x y por MAC, por lo
> >>> que no se
> >>> > puede activar el acceso web.
> >>> > ¿Alguna idea?
> >>> >
> >>> Muchas gracias a todos por las respuestas.
> >>>
> >>> Realmente mi pregunta no iba sobre que portal usar, aunque
> >>> agradezco los
> >>> apuntes y los probare, si no por como configurar una red por dhcp
> >> para
> >>> que los equipos que estén en la misma red y en el mismo
> >> conmutador
> >>> (switch) no se vean entre ellos.
> >>>
> >>>
> >>>
> >>> Para mantener aislamiento debes usar vlans, manteniendo a la red
> >>> médica en una vlan y la red pública en otra.
> >>>
> >>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
> >>> servicios puede tener.
> >>>
> >>> En el gateway de la red pública debes colocar un acceso por proxy
> >>> controlado por temporizador como te había mencionado en un correo
> >>> anterior.
> >>>
> >>> El DHCP debe entregar la ruta de un wpad para la configuración
> >>> automática del proxy.
> >>>
> >>> Debes tener un servicio web que entregue el archivo wpad, el cual
> >>> indicará que la salida a internet es a través del proxy.
> >>>
> >>> Así, en un caso de uso típico sucede:
> >>>
> >>> Caso A:
> >>>
> >>> -visitante llega con su teléfono.
> >>> -visitante se conecta a la red pública abierta
> >>> -teléfono solicita configuración al DHCP
> >>> -DHCP entrega configuración de red y una ruta para wpad
> >>> -visitante intenta entrar a internet
> >>> -navegador del teléfono consulta el wpad
> >>> -navegador redirige la petición al proxy
> >>> -proxy redirige al visitante a una página de error donde le pide
> >>> contraseña, o una encuesta o la foto de la enfermera Salo en traje de
> >> baño
> >>> -visitante interactúa con la página y gana el acceso temporizado
> >>> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo el
> >>> pack de verano de la enfermera Salo.
> >>>
> >>> Caso B:
> >>>
> >>> -llega un interno con un novedoso aparato que no sirve para nada pero
> >>> que consiguió barato en amazon.
> >>> -interno conecta el aparato a la red pública por flojera de ir a
> >>> sistemas a pedir acceso
> >>> -aparato no tiene navegador, por lo que no puede ver las candentes
> >>> fotos de la enfermera Salo
> >>> -aparato no logra conectarse y el interno no tiene más remedio que ir
> >>> a pedir acceso a la red controlada.
> >>> -Helpdesk registra macaddress en el DHCP
> >>> -aparato se vuelve a conectar a la red
> >>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan
> >>> controlada.
> >>>
> >> Muchas gracias por las aportaciones.
> >>
> >> Si esto ya lo se, se trata de evitar que llegue un laboratorio e
> >> instale
> >> unos equipos sin pasar por el servicio de informática, en la
> >> actualidad,
> >> como no están identificados van a parar a la VLAN de gracia donde si se
> >> ven entre ellos y verifican el funcionamiento con el portatil que lleva
> >> el instalador, lo dan por bueno y se van, después llaman al servicio de
> >> informática por que la red del hospital esta mal y no se ven desde los
> >> ordenadores del hospital, porque ellos han verificado la instalación
> >> que
> >> hicieron.
> >>
> >> Como soy muy cabezota, tengo que encontrar la solución, me he planteado
> >> varios caminos:
> >>
> >> Investigar a fondo ipv6 que creo que traía algún protocolo para esto
> >> (forzando a levantar una comunicación punto a punto entre la maquina y
> >> un nodo centrar donde instalare alguno de los portales que me han
> >> aconsejado).
> >>
> >> Subdividir el rango de la VLAN en redes con prefijo 30, aunque en los
> >> conmutadores solo admiten una vlan por 

Re: OT red por cable con portal captivo sin trafico interno.

[Felix Perez]

El vie., 31 de ene. de 2020 a la(s) 08:04, Antonio Trujillo Carmona
(antonio.trujillo.s...@juntadeandalucia.es) escribió:
>







>
> Muchas gracias por las aportaciones.
>
> Si esto ya lo se, se trata de evitar que llegue un laboratorio e instale
> unos equipos sin pasar por el servicio de informática, en la actualidad,
> como no están identificados van a parar a la VLAN de gracia donde si se
> ven entre ellos y verifican el funcionamiento con el portatil que lleva
> el instalador, lo dan por bueno y se van, después llaman al servicio de
> informática por que la red del hospital esta mal y no se ven desde los
> ordenadores del hospital, porque ellos han verificado la instalación que
> hicieron.
>
> Como soy muy cabezota, tengo que encontrar la solución, me he planteado
> varios caminos:
>
> Investigar a fondo ipv6 que creo que traía algún protocolo para esto
> (forzando a levantar una comunicación punto a punto entre la maquina y
> un nodo centrar donde instalare alguno de los portales que me han
> aconsejado).
>
> Subdividir el rango de la VLAN en redes con prefijo 30, aunque en los
> conmutadores solo admiten una vlan por defecto, esto reduciria de 254 a
> 64 los equipos que se permiten concurentemente en la Vlan de gracia,
> pero espero que sea un numero suficiente.
>
> Investigar el tema de la validación web para que "emule" la validación
> MAC y puedan acceder tanto los equipos con MAC autorizada (en sus Vlanes
> correspondientes) como los no autorizados a las Vlanes preparadas de la
> forma que he dicho antes.
>
>
> Contare como acaba la cosa, y otra vez muchas gracias por las aportaciones.
>
>
Estimado me parece que su problema va más por el lado de la gestión de
recursos que por alguna técnica a utilizar para bloqueo de acceso.

Habilitando un portal público con pocas IPs puedes controlar la
cantidad de usuarios conectados públicos y evitas colapso del ancho de
banda, que no es ilimitada.

Por reglamento un usuario interno "NO DEBE" llevar, instalar o usar la
red interna para cosas personales, eso es una gran brecha de
seguridad.  Idem con proveedores externos, debe existir un protocolo
para ese efecto, en cuanto a registro, instalación, configuración,
prueba y recepción de equipos.

Con políticas claras y conocidas del uso de los recursos informáticos
reduces las incidencias y solo debes centrarte en las instrusiones o
en los accesos sin permiso.

Los recursos no son ilimitados, por tanto no puedes ofrecer recursos a
todo el mundo sin alguna limitación.

Saludos.

-- 
usuario linux  #274354
normas de la lista:  http://wiki.debian.org/es/NormasLista
como hacer preguntas inteligentes:
http://www.sindominio.net/ayuda/preguntas-inteligentes.html

Re: OT red por cable con portal captivo sin trafico interno.

[Ramses]

El 3 de febrero de 2020 9:26:00 CET, Antonio Trujillo Carmona 
 escribió:
>El 1/2/20 a las 14:14, Ramses escribió:
>> El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona
> escribió:
>>> El 29/1/20 a las 17:41, Paynalton escribió:


 El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
 (>>> >) escribió:

 El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
 >     En nuestro hospital tenemos una VLan de gracia para los
 equipos no
 > identificados.
 > Debido al abuso que se hace de esa vlan nos estamos
>planteando
 poner un
 > portal de validación y anular el trafico interno.
 > No se trata tanto de bloquear o filtrar usuarios como de
>evitar
 que se
 > puedan conectar dispositivos electromédicos u OT a la red,
>por
 lo que no
 > es importante el nivel de seguridad, cualquier elección haría
>>> que un
 > dispositivo automático fallara en adquirir red, que es lo que
 buscamos.
 > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles
 formas de
 > acceso y tienen activado el filtrado 802.1x y por MAC, por lo
 que no se
 > puede activar el acceso web.
 > ¿Alguna idea?
 >
 Muchas gracias a todos por las respuestas.

 Realmente mi pregunta no iba sobre que portal usar, aunque
 agradezco los
 apuntes y los probare, si no por como configurar una red por
>dhcp
>>> para
 que los equipos que estén en la misma red y en el mismo
>>> conmutador
 (switch) no se vean entre ellos.



 Para mantener aislamiento debes usar vlans, manteniendo a la red
 médica en una vlan y la red pública en otra.

 El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
 servicios puede tener.

 En el gateway de la red pública debes colocar un acceso por proxy
 controlado por temporizador como te había mencionado en un correo
 anterior.

 El DHCP debe entregar la ruta de un wpad para la configuración
 automática del proxy.

 Debes tener un servicio web que entregue el archivo wpad, el cual
 indicará que la salida a internet es a través del proxy.

 Así, en un caso de uso típico sucede:

 Caso A:

 -visitante llega con su teléfono.
 -visitante se conecta a la red pública abierta
 -teléfono solicita configuración al DHCP
 -DHCP entrega configuración de red y una ruta para wpad
 -visitante intenta entrar a internet
 -navegador del teléfono consulta el wpad
 -navegador redirige la petición al proxy
 -proxy redirige al visitante a una página de error donde le pide
 contraseña, o una encuesta o la foto de la enfermera Salo en traje
>de
>>> baño
 -visitante interactúa con la página y gana el acceso temporizado
 -proxy permite el acceso por 15 minutos antes de mostrar de nuevo
>el
 pack de verano de la enfermera Salo.

 Caso B:

 -llega un interno con un novedoso aparato que no sirve para nada
>pero
 que consiguió barato en amazon.
 -interno conecta el aparato a la red pública por flojera de ir a
 sistemas a pedir acceso
 -aparato no tiene navegador, por lo que no puede ver las candentes
 fotos de la enfermera Salo
 -aparato no logra conectarse y el interno no tiene más remedio que
>ir
 a pedir acceso a la red controlada.
 -Helpdesk registra macaddress en el DHCP
 -aparato se vuelve a conectar a la red
 -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan
 controlada.
  
>>> Muchas gracias por las aportaciones.
>>>
>>> Si esto ya lo se, se trata de evitar que llegue un laboratorio e
>>> instale
>>> unos equipos sin pasar por el servicio de informática, en la
>>> actualidad,
>>> como no están identificados van a parar a la VLAN de gracia donde si
>se
>>> ven entre ellos y verifican el funcionamiento con el portatil que
>lleva
>>> el instalador, lo dan por bueno y se van, después llaman al servicio
>de
>>> informática por que la red del hospital esta mal y no se ven desde
>los
>>> ordenadores del hospital, porque ellos han verificado la instalación
>>> que
>>> hicieron.
>>>
>>> Como soy muy cabezota, tengo que encontrar la solución, me he
>planteado
>>> varios caminos:
>>>
>>> Investigar a fondo ipv6 que creo que traía algún protocolo para esto
>>> (forzando a levantar una comunicación punto a punto entre la maquina
>y
>>> un nodo centrar donde instalare alguno de los portales que me han
>>> aconsejado).
>>>
>>> Subdividir el rango de la VLAN en redes con prefijo 30, aunque en
>los
>>> conmutadores solo admiten una vlan por defecto, esto reduciria de
>254 a
>>> 64 los equipos que se permiten concurentemente en la Vlan de gracia,
>>> pero espero que sea un numero suficiente.
>>>
>>> Investigar el tema de la validación 

Re: OT red por cable con portal captivo sin trafico interno.

[Antonio Trujillo Carmona]

El 1/2/20 a las 14:14, Ramses escribió:
> El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona 
>  escribió:
>> El 29/1/20 a las 17:41, Paynalton escribió:
>>>
>>>
>>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>>> (>> >) escribió:
>>>
>>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>>> >     En nuestro hospital tenemos una VLan de gracia para los
>>> equipos no
>>> > identificados.
>>> > Debido al abuso que se hace de esa vlan nos estamos planteando
>>> poner un
>>> > portal de validación y anular el trafico interno.
>>> > No se trata tanto de bloquear o filtrar usuarios como de evitar
>>> que se
>>> > puedan conectar dispositivos electromédicos u OT a la red, por
>>> lo que no
>>> > es importante el nivel de seguridad, cualquier elección haría
>> que un
>>> > dispositivo automático fallara en adquirir red, que es lo que
>>> buscamos.
>>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles
>>> formas de
>>> > acceso y tienen activado el filtrado 802.1x y por MAC, por lo
>>> que no se
>>> > puede activar el acceso web.
>>> > ¿Alguna idea?
>>> >
>>> Muchas gracias a todos por las respuestas.
>>>
>>> Realmente mi pregunta no iba sobre que portal usar, aunque
>>> agradezco los
>>> apuntes y los probare, si no por como configurar una red por dhcp
>> para
>>> que los equipos que estén en la misma red y en el mismo
>> conmutador
>>> (switch) no se vean entre ellos.
>>>
>>>
>>>
>>> Para mantener aislamiento debes usar vlans, manteniendo a la red
>>> médica en una vlan y la red pública en otra.
>>>
>>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
>>> servicios puede tener.
>>>
>>> En el gateway de la red pública debes colocar un acceso por proxy
>>> controlado por temporizador como te había mencionado en un correo
>>> anterior.
>>>
>>> El DHCP debe entregar la ruta de un wpad para la configuración
>>> automática del proxy.
>>>
>>> Debes tener un servicio web que entregue el archivo wpad, el cual
>>> indicará que la salida a internet es a través del proxy.
>>>
>>> Así, en un caso de uso típico sucede:
>>>
>>> Caso A:
>>>
>>> -visitante llega con su teléfono.
>>> -visitante se conecta a la red pública abierta
>>> -teléfono solicita configuración al DHCP
>>> -DHCP entrega configuración de red y una ruta para wpad
>>> -visitante intenta entrar a internet
>>> -navegador del teléfono consulta el wpad
>>> -navegador redirige la petición al proxy
>>> -proxy redirige al visitante a una página de error donde le pide
>>> contraseña, o una encuesta o la foto de la enfermera Salo en traje de
>> baño
>>> -visitante interactúa con la página y gana el acceso temporizado
>>> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo el
>>> pack de verano de la enfermera Salo.
>>>
>>> Caso B:
>>>
>>> -llega un interno con un novedoso aparato que no sirve para nada pero
>>> que consiguió barato en amazon.
>>> -interno conecta el aparato a la red pública por flojera de ir a
>>> sistemas a pedir acceso
>>> -aparato no tiene navegador, por lo que no puede ver las candentes
>>> fotos de la enfermera Salo
>>> -aparato no logra conectarse y el interno no tiene más remedio que ir
>>> a pedir acceso a la red controlada.
>>> -Helpdesk registra macaddress en el DHCP
>>> -aparato se vuelve a conectar a la red
>>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan
>>> controlada.
>>>  
>> Muchas gracias por las aportaciones.
>>
>> Si esto ya lo se, se trata de evitar que llegue un laboratorio e
>> instale
>> unos equipos sin pasar por el servicio de informática, en la
>> actualidad,
>> como no están identificados van a parar a la VLAN de gracia donde si se
>> ven entre ellos y verifican el funcionamiento con el portatil que lleva
>> el instalador, lo dan por bueno y se van, después llaman al servicio de
>> informática por que la red del hospital esta mal y no se ven desde los
>> ordenadores del hospital, porque ellos han verificado la instalación
>> que
>> hicieron.
>>
>> Como soy muy cabezota, tengo que encontrar la solución, me he planteado
>> varios caminos:
>>
>> Investigar a fondo ipv6 que creo que traía algún protocolo para esto
>> (forzando a levantar una comunicación punto a punto entre la maquina y
>> un nodo centrar donde instalare alguno de los portales que me han
>> aconsejado).
>>
>> Subdividir el rango de la VLAN en redes con prefijo 30, aunque en los
>> conmutadores solo admiten una vlan por defecto, esto reduciria de 254 a
>> 64 los equipos que se permiten concurentemente en la Vlan de gracia,
>> pero espero que sea un numero suficiente.
>>
>> Investigar el tema de la validación web para que "emule" la validación
>> MAC y puedan acceder tanto los equipos con MAC autorizada (en sus
>> Vlanes
>> correspondientes) como los no autorizados a las Vlanes preparadas de la
>> forma que he dicho 

Re: OT red por cable con portal captivo sin trafico interno.

[Ramses]

El 31 de enero de 2020 12:04:37 CET, Antonio Trujillo Carmona 
 escribió:
>El 29/1/20 a las 17:41, Paynalton escribió:
>>
>>
>>
>> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
>> (> >) escribió:
>>
>> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>> >     En nuestro hospital tenemos una VLan de gracia para los
>> equipos no
>> > identificados.
>> > Debido al abuso que se hace de esa vlan nos estamos planteando
>> poner un
>> > portal de validación y anular el trafico interno.
>> > No se trata tanto de bloquear o filtrar usuarios como de evitar
>> que se
>> > puedan conectar dispositivos electromédicos u OT a la red, por
>> lo que no
>> > es importante el nivel de seguridad, cualquier elección haría
>que un
>> > dispositivo automático fallara en adquirir red, que es lo que
>> buscamos.
>> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles
>> formas de
>> > acceso y tienen activado el filtrado 802.1x y por MAC, por lo
>> que no se
>> > puede activar el acceso web.
>> > ¿Alguna idea?
>> >
>> Muchas gracias a todos por las respuestas.
>>
>> Realmente mi pregunta no iba sobre que portal usar, aunque
>> agradezco los
>> apuntes y los probare, si no por como configurar una red por dhcp
>para
>> que los equipos que estén en la misma red y en el mismo
>conmutador
>> (switch) no se vean entre ellos.
>>
>>
>>
>> Para mantener aislamiento debes usar vlans, manteniendo a la red
>> médica en una vlan y la red pública en otra.
>>
>> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
>> servicios puede tener.
>>
>> En el gateway de la red pública debes colocar un acceso por proxy
>> controlado por temporizador como te había mencionado en un correo
>> anterior.
>>
>> El DHCP debe entregar la ruta de un wpad para la configuración
>> automática del proxy.
>>
>> Debes tener un servicio web que entregue el archivo wpad, el cual
>> indicará que la salida a internet es a través del proxy.
>>
>> Así, en un caso de uso típico sucede:
>>
>> Caso A:
>>
>> -visitante llega con su teléfono.
>> -visitante se conecta a la red pública abierta
>> -teléfono solicita configuración al DHCP
>> -DHCP entrega configuración de red y una ruta para wpad
>> -visitante intenta entrar a internet
>> -navegador del teléfono consulta el wpad
>> -navegador redirige la petición al proxy
>> -proxy redirige al visitante a una página de error donde le pide
>> contraseña, o una encuesta o la foto de la enfermera Salo en traje de
>baño
>> -visitante interactúa con la página y gana el acceso temporizado
>> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo el
>> pack de verano de la enfermera Salo.
>>
>> Caso B:
>>
>> -llega un interno con un novedoso aparato que no sirve para nada pero
>> que consiguió barato en amazon.
>> -interno conecta el aparato a la red pública por flojera de ir a
>> sistemas a pedir acceso
>> -aparato no tiene navegador, por lo que no puede ver las candentes
>> fotos de la enfermera Salo
>> -aparato no logra conectarse y el interno no tiene más remedio que ir
>> a pedir acceso a la red controlada.
>> -Helpdesk registra macaddress en el DHCP
>> -aparato se vuelve a conectar a la red
>> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan
>> controlada.
>>  
>
>Muchas gracias por las aportaciones.
>
>Si esto ya lo se, se trata de evitar que llegue un laboratorio e
>instale
>unos equipos sin pasar por el servicio de informática, en la
>actualidad,
>como no están identificados van a parar a la VLAN de gracia donde si se
>ven entre ellos y verifican el funcionamiento con el portatil que lleva
>el instalador, lo dan por bueno y se van, después llaman al servicio de
>informática por que la red del hospital esta mal y no se ven desde los
>ordenadores del hospital, porque ellos han verificado la instalación
>que
>hicieron.
>
>Como soy muy cabezota, tengo que encontrar la solución, me he planteado
>varios caminos:
>
>Investigar a fondo ipv6 que creo que traía algún protocolo para esto
>(forzando a levantar una comunicación punto a punto entre la maquina y
>un nodo centrar donde instalare alguno de los portales que me han
>aconsejado).
>
>Subdividir el rango de la VLAN en redes con prefijo 30, aunque en los
>conmutadores solo admiten una vlan por defecto, esto reduciria de 254 a
>64 los equipos que se permiten concurentemente en la Vlan de gracia,
>pero espero que sea un numero suficiente.
>
>Investigar el tema de la validación web para que "emule" la validación
>MAC y puedan acceder tanto los equipos con MAC autorizada (en sus
>Vlanes
>correspondientes) como los no autorizados a las Vlanes preparadas de la
>forma que he dicho antes.
>
>
>Contare como acaba la cosa, y otra vez muchas gracias por las
>aportaciones.

Antonio, buenos días, 

No veo lo de asignar /30 a los Hosts dentro de la misma VLAN. ¿Podrías 

Re: OT red por cable con portal captivo sin trafico interno.

[Antonio Trujillo Carmona]

El 29/1/20 a las 17:41, Paynalton escribió:
>
>
>
> El mié., 29 ene. 2020 a las 7:40, Antonio Trujillo Carmona
> ( >) escribió:
>
> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
> >     En nuestro hospital tenemos una VLan de gracia para los
> equipos no
> > identificados.
> > Debido al abuso que se hace de esa vlan nos estamos planteando
> poner un
> > portal de validación y anular el trafico interno.
> > No se trata tanto de bloquear o filtrar usuarios como de evitar
> que se
> > puedan conectar dispositivos electromédicos u OT a la red, por
> lo que no
> > es importante el nivel de seguridad, cualquier elección haría que un
> > dispositivo automático fallara en adquirir red, que es lo que
> buscamos.
> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles
> formas de
> > acceso y tienen activado el filtrado 802.1x y por MAC, por lo
> que no se
> > puede activar el acceso web.
> > ¿Alguna idea?
> >
> Muchas gracias a todos por las respuestas.
>
> Realmente mi pregunta no iba sobre que portal usar, aunque
> agradezco los
> apuntes y los probare, si no por como configurar una red por dhcp para
> que los equipos que estén en la misma red y en el mismo conmutador
> (switch) no se vean entre ellos.
>
>
>
> Para mantener aislamiento debes usar vlans, manteniendo a la red
> médica en una vlan y la red pública en otra.
>
> El mismo DHCP puede decidir a qué vlan se va cada equipo y qué
> servicios puede tener.
>
> En el gateway de la red pública debes colocar un acceso por proxy
> controlado por temporizador como te había mencionado en un correo
> anterior.
>
> El DHCP debe entregar la ruta de un wpad para la configuración
> automática del proxy.
>
> Debes tener un servicio web que entregue el archivo wpad, el cual
> indicará que la salida a internet es a través del proxy.
>
> Así, en un caso de uso típico sucede:
>
> Caso A:
>
> -visitante llega con su teléfono.
> -visitante se conecta a la red pública abierta
> -teléfono solicita configuración al DHCP
> -DHCP entrega configuración de red y una ruta para wpad
> -visitante intenta entrar a internet
> -navegador del teléfono consulta el wpad
> -navegador redirige la petición al proxy
> -proxy redirige al visitante a una página de error donde le pide
> contraseña, o una encuesta o la foto de la enfermera Salo en traje de baño
> -visitante interactúa con la página y gana el acceso temporizado
> -proxy permite el acceso por 15 minutos antes de mostrar de nuevo el
> pack de verano de la enfermera Salo.
>
> Caso B:
>
> -llega un interno con un novedoso aparato que no sirve para nada pero
> que consiguió barato en amazon.
> -interno conecta el aparato a la red pública por flojera de ir a
> sistemas a pedir acceso
> -aparato no tiene navegador, por lo que no puede ver las candentes
> fotos de la enfermera Salo
> -aparato no logra conectarse y el interno no tiene más remedio que ir
> a pedir acceso a la red controlada.
> -Helpdesk registra macaddress en el DHCP
> -aparato se vuelve a conectar a la red
> -DHCP encuentra al aparato en su waitlist y entrega IP de la vlan
> controlada.
>  

Muchas gracias por las aportaciones.

Si esto ya lo se, se trata de evitar que llegue un laboratorio e instale
unos equipos sin pasar por el servicio de informática, en la actualidad,
como no están identificados van a parar a la VLAN de gracia donde si se
ven entre ellos y verifican el funcionamiento con el portatil que lleva
el instalador, lo dan por bueno y se van, después llaman al servicio de
informática por que la red del hospital esta mal y no se ven desde los
ordenadores del hospital, porque ellos han verificado la instalación que
hicieron.

Como soy muy cabezota, tengo que encontrar la solución, me he planteado
varios caminos:

Investigar a fondo ipv6 que creo que traía algún protocolo para esto
(forzando a levantar una comunicación punto a punto entre la maquina y
un nodo centrar donde instalare alguno de los portales que me han
aconsejado).

Subdividir el rango de la VLAN en redes con prefijo 30, aunque en los
conmutadores solo admiten una vlan por defecto, esto reduciria de 254 a
64 los equipos que se permiten concurentemente en la Vlan de gracia,
pero espero que sea un numero suficiente.

Investigar el tema de la validación web para que "emule" la validación
MAC y puedan acceder tanto los equipos con MAC autorizada (en sus Vlanes
correspondientes) como los no autorizados a las Vlanes preparadas de la
forma que he dicho antes.


Contare como acaba la cosa, y otra vez muchas gracias por las aportaciones.




signature.asc
Description: OpenPGP digital signature

Re: OT red por cable con portal captivo sin trafico interno.

[Ramses]

El 29 de enero de 2020 14:40:02 CET, Antonio Trujillo Carmona 
 escribió:
>El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>>     En nuestro hospital tenemos una VLan de gracia para los equipos
>no
>> identificados.
>> Debido al abuso que se hace de esa vlan nos estamos planteando poner
>un
>> portal de validación y anular el trafico interno.
>> No se trata tanto de bloquear o filtrar usuarios como de evitar que
>se
>> puedan conectar dispositivos electromédicos u OT a la red, por lo que
>no
>> es importante el nivel de seguridad, cualquier elección haría que un
>> dispositivo automático fallara en adquirir red, que es lo que
>buscamos.
>> Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles formas de
>> acceso y tienen activado el filtrado 802.1x y por MAC, por lo que no
>se
>> puede activar el acceso web.
>> ¿Alguna idea?
>>
>Muchas gracias a todos por las respuestas.
>
>Realmente mi pregunta no iba sobre que portal usar, aunque agradezco
>los
>apuntes y los probare, si no por como configurar una red por dhcp para
>que los equipos que estén en la misma red y en el mismo conmutador
>(switch) no se vean entre ellos.

Antonio, buenas tardes, 

Si con "misma red" te refieres a "misma red IP" y "mismo segmento físico o 
virtual (VLAN)", sin tocar los Clientes, mal lo veo. 


Saludos, 

Ramsés

Re: OT red por cable con portal captivo sin trafico interno.

[JavierDebian]

El 29/1/20 a las 10:40, Antonio Trujillo Carmona escribió:

El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:

     En nuestro hospital tenemos una VLan de gracia para los equipos no
identificados.
Debido al abuso que se hace de esa vlan nos estamos planteando poner un
portal de validación y anular el trafico interno.
No se trata tanto de bloquear o filtrar usuarios como de evitar que se
puedan conectar dispositivos electromédicos u OT a la red, por lo que no
es importante el nivel de seguridad, cualquier elección haría que un
dispositivo automático fallara en adquirir red, que es lo que buscamos.
Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles formas de
acceso y tienen activado el filtrado 802.1x y por MAC, por lo que no se
puede activar el acceso web.
¿Alguna idea?


Muchas gracias a todos por las respuestas.

Realmente mi pregunta no iba sobre que portal usar, aunque agradezco los
apuntes y los probare, si no por como configurar una red por dhcp para
que los equipos que estén en la misma red y en el mismo conmutador
(switch) no se vean entre ellos.





¿ A qué llamás que "no se vean"?
Si no hay servidor DNS, no se "ven". Lo único que hay son direcciones 
IP, por lo que no se puede hacer (y hasta por ahí nomás) un "listado" de 
equipos de la red, como por ejemplo, el "Entorno de red" de Windows.


Ahora bien, si un equipo se pone a buscar probando una y otra dirección 
IP, lo va a "ver"; por ejemplo, con nmap, que hace un barrido de todo el 
segmento.
Y por definición, para poder funcionar en una red, el equipo en algún 
puerto tiene que estar "escuchando".


Por otra parte, lo que podés sobre el mismo cableado, es armar dos 
subredes con dos segmentos distintos, y con sevidores DHCP / DNS 
dedicados; pueden estar en la misma máquina con una buena administración 
de tráfico.


JAP

Re: OT red por cable con portal captivo sin trafico interno.

[walter]

Antonio Trujillo Carmona:
> El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>>     En nuestro hospital tenemos una VLan de gracia para los equipos no
>> identificados.
>> Debido al abuso que se hace de esa vlan nos estamos planteando poner un
>> portal de validación y anular el trafico interno.
>> No se trata tanto de bloquear o filtrar usuarios como de evitar que se
>> puedan conectar dispositivos electromédicos u OT a la red, por lo que no
>> es importante el nivel de seguridad, cualquier elección haría que un
>> dispositivo automático fallara en adquirir red, que es lo que buscamos.
>> Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles formas de
>> acceso y tienen activado el filtrado 802.1x y por MAC, por lo que no se
>> puede activar el acceso web.
>> ¿Alguna idea?
>>
> Muchas gracias a todos por las respuestas.
>
> Realmente mi pregunta no iba sobre que portal usar, aunque agradezco los
> apuntes y los probare, si no por como configurar una red por dhcp para
> que los equipos que estén en la misma red y en el mismo conmutador
> (switch) no se vean entre ellos.
>
>
>

por eso... el mismo firewall en pfsense podrias

Re: OT red por cable con portal captivo sin trafico interno.

[Antonio Trujillo Carmona]

El 28/1/20 a las 8:42, Antonio Trujillo Carmona escribió:
>     En nuestro hospital tenemos una VLan de gracia para los equipos no
> identificados.
> Debido al abuso que se hace de esa vlan nos estamos planteando poner un
> portal de validación y anular el trafico interno.
> No se trata tanto de bloquear o filtrar usuarios como de evitar que se
> puedan conectar dispositivos electromédicos u OT a la red, por lo que no
> es importante el nivel de seguridad, cualquier elección haría que un
> dispositivo automático fallara en adquirir red, que es lo que buscamos.
> Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles formas de
> acceso y tienen activado el filtrado 802.1x y por MAC, por lo que no se
> puede activar el acceso web.
> ¿Alguna idea?
>
Muchas gracias a todos por las respuestas.

Realmente mi pregunta no iba sobre que portal usar, aunque agradezco los
apuntes y los probare, si no por como configurar una red por dhcp para
que los equipos que estén en la misma red y en el mismo conmutador
(switch) no se vean entre ellos.





signature.asc
Description: OpenPGP digital signature

Re: OT red por cable con portal captivo sin trafico interno.

[Paynalton]

El mar., 28 ene. 2020 a las 6:57, walter () escribió:

>
>
> Antonio Trujillo Carmona:
> > En nuestro hospital tenemos una VLan de gracia para los equipos no
> > identificados.
> > Debido al abuso que se hace de esa vlan nos estamos planteando poner un
> > portal de validación y anular el trafico interno.
> > No se trata tanto de bloquear o filtrar usuarios como de evitar que se
> > puedan conectar dispositivos electromédicos u OT a la red, por lo que no
> > es importante el nivel de seguridad, cualquier elección haría que un
> > dispositivo automático fallara en adquirir red, que es lo que buscamos.
> > Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles formas de
> > acceso y tienen activado el filtrado 802.1x y por MAC, por lo que no se
> > puede activar el acceso web.
> > ¿Alguna idea?
>

En mi caso usaría squid y acceso temporizado por contraseña. Así los
dispositivos necesitarían un navegador web para ingresar usuario y
contraseña, y las desconexiones por tiempo obligarían al personal médico a
conectar sus dispositivos en la red adecuada.


> >
> hola:
>  pfsense seria una buena solución y filtro por mac o por validación
> en portal cautivo
>
>

Re: OT red por cable con portal captivo sin trafico interno.

[walter]

Antonio Trujillo Carmona:
>     En nuestro hospital tenemos una VLan de gracia para los equipos no
> identificados.
> Debido al abuso que se hace de esa vlan nos estamos planteando poner un
> portal de validación y anular el trafico interno.
> No se trata tanto de bloquear o filtrar usuarios como de evitar que se
> puedan conectar dispositivos electromédicos u OT a la red, por lo que no
> es importante el nivel de seguridad, cualquier elección haría que un
> dispositivo automático fallara en adquirir red, que es lo que buscamos.
> Los conmutadores (HP procurbe) solo admiten 2 de 3 posibles formas de
> acceso y tienen activado el filtrado 802.1x y por MAC, por lo que no se
> puede activar el acceso web.
> ¿Alguna idea?
>
hola:
 pfsense seria una buena solución y filtro por mac o por validación
en portal cautivo