Назад | Перейти на главную страницу

Требуется руководство по проектированию сети в кампусе, состоящем из нескольких зданий

Как мы можем создать защищенную сегментированную сеть между несколькими зданиями, когда все данные должны проходить по одному кабелю?

Предыстория: я работаю в некоммерческой организации, у которой 5 зданий в одном кампусе. У нас нет ИТ-отдела. Из-за различных проблем безопасности, которые я вижу в текущем соглашении, я пытаюсь разработать способ, которым мы можем сделать сеть более эффективной и безопасной. Я инженер-программист, а не сетевой инженер или специалист по сетевой безопасности.

Текущие параметры:

  1. все использует одно подключение к Интернету.

  2. ЛВС не сегментирована.

  3. все устройства имеют равный доступ, и каждое устройство может видеть все остальные устройства.

  4. в каждой комнате есть один или несколько сетевых портов с кабельным подключением.

  5. существует несколько беспроводных маршрутизаторов / точек доступа.

  6. одно здание содержит главный служебный ввод для подземного кабеля. Другие здания подключаются к нему через оптоволоконный кабель (1 кабель на здание)

  7. один компьютер в каждом из двух зданий обрабатывает транзакции по кредитным картам и, следовательно, подпадает под требования соответствия PCI.

  8. Один сервер Windows обрабатывает DHCP и файловое хранилище для большинства пользователей.

Насколько я понимаю, компьютеры с кредитными картами должны быть отделены от остальной сети, чтобы все офисные ПК не были классифицированы как «подключенные устройства» согласно PCI-DSS.

Как минимум, я хотел бы, чтобы сеть обеспечивала защищенный сегмент для устройств, затронутых PCI-DSS, подсеть для внутренних конфиденциальных данных, таких как бухгалтерский учет и персонал, и ограничивала подключения посетителей только доступом в Интернет.

Первая (простая) часть ответа - это VLAN и ACL. Вот так; это ваше общее руководство.

Остальное зависит от того, под какие требования PCI вы подпадаете. Возможно, вам потребуется внедрить IDS / IPS, а может и нет. Возможно, вам потребуется реализовать что-то вроде Tripwire, а может и нет.

Итак, вам следует заключить контракт с квалифицированным ИТ-сервисом, имеющим опыт работы с PCI. Для такого рода аудита вам необходимо знать, что делать, и объяснять, почему это соответствует критериям аудита.

/ Edit - может быть дешевле заменить компьютеры, которые обрабатывают транзакции по кредитным картам, на устройства для чтения карт, чем пытаться привести вашу локальную сеть в соответствие со спецификациями PCI. Конечно, в этой спецификации есть ряд вещей, которые в любом случае являются хорошей практикой. Итак, да - наймите кого-нибудь, кто может проконсультировать и реализовать ваши списки «Я должен» и «Я хочу».