Как мы можем создать защищенную сегментированную сеть между несколькими зданиями, когда все данные должны проходить по одному кабелю?
Предыстория: я работаю в некоммерческой организации, у которой 5 зданий в одном кампусе. У нас нет ИТ-отдела. Из-за различных проблем безопасности, которые я вижу в текущем соглашении, я пытаюсь разработать способ, которым мы можем сделать сеть более эффективной и безопасной. Я инженер-программист, а не сетевой инженер или специалист по сетевой безопасности.
Текущие параметры:
все использует одно подключение к Интернету.
ЛВС не сегментирована.
все устройства имеют равный доступ, и каждое устройство может видеть все остальные устройства.
в каждой комнате есть один или несколько сетевых портов с кабельным подключением.
существует несколько беспроводных маршрутизаторов / точек доступа.
одно здание содержит главный служебный ввод для подземного кабеля. Другие здания подключаются к нему через оптоволоконный кабель (1 кабель на здание)
один компьютер в каждом из двух зданий обрабатывает транзакции по кредитным картам и, следовательно, подпадает под требования соответствия PCI.
Один сервер Windows обрабатывает DHCP и файловое хранилище для большинства пользователей.
Насколько я понимаю, компьютеры с кредитными картами должны быть отделены от остальной сети, чтобы все офисные ПК не были классифицированы как «подключенные устройства» согласно PCI-DSS.
Как минимум, я хотел бы, чтобы сеть обеспечивала защищенный сегмент для устройств, затронутых PCI-DSS, подсеть для внутренних конфиденциальных данных, таких как бухгалтерский учет и персонал, и ограничивала подключения посетителей только доступом в Интернет.
Первая (простая) часть ответа - это VLAN и ACL. Вот так; это ваше общее руководство.
Остальное зависит от того, под какие требования PCI вы подпадаете. Возможно, вам потребуется внедрить IDS / IPS, а может и нет. Возможно, вам потребуется реализовать что-то вроде Tripwire, а может и нет.
Итак, вам следует заключить контракт с квалифицированным ИТ-сервисом, имеющим опыт работы с PCI. Для такого рода аудита вам необходимо знать, что делать, и объяснять, почему это соответствует критериям аудита.
/ Edit - может быть дешевле заменить компьютеры, которые обрабатывают транзакции по кредитным картам, на устройства для чтения карт, чем пытаться привести вашу локальную сеть в соответствие со спецификациями PCI. Конечно, в этой спецификации есть ряд вещей, которые в любом случае являются хорошей практикой. Итак, да - наймите кого-нибудь, кто может проконсультировать и реализовать ваши списки «Я должен» и «Я хочу».