Нужно руководство по проектированию сети в многоэтажном кампусе

Question

Нужно руководство по проектированию сети в многоэтажном кампусе

Как мы можем создать защищенную, сегментированную сеть между несколькими зданиями, когда все данные должны проходить по одному кабелю?

Справочная информация: я работаю в некоммерческой организации, которая имеет 5 зданий в одном кампусе. У нас нет ИТ-отдела. Из-за различных проблем безопасности, которые я вижу в нынешней схеме, я пытаюсь найти способ сделать сеть более эффективной и безопасной. Я инженер-программист, а не сетевой инженер или эксперт по сетевой безопасности.

Текущие параметры:

все разделяет одно соединение с интернетом.
ЛВС не сегментирована.
все устройства имеют равный доступ, и каждое устройство может видеть все другие устройства.
В каждой комнате есть один или несколько сетевых кабелей.
существует несколько беспроводных маршрутизаторов / точек доступа.
одно здание содержит основной служебный вход для скрытого кабеля. Другие здания подключаются к нему через оптоволокно (1 кабель на здание)
один ПК в каждом из двух зданий обрабатывает транзакции по кредитным картам и, следовательно, попадает под действие требований соответствия PCI.
Один сервер Windows обрабатывает DHCP и хранение файлов для большинства пользователей.

Насколько я понимаю, компьютеры с кредитными картами должны быть отделены от остальной части сети, чтобы все офисные ПК не классифицировались как "подключенные устройства" в соответствии с PCI-DSS.

Как минимум, я хотел бы, чтобы сеть предоставляла защищенный сегмент для устройств, подверженных воздействию PCI-DSS, подсеть для внутренних конфиденциальных данных, таких как учет и персонал, и ограничивала подключения посетителей только доступом в Интернет.

2

pci-dss network-design

Источник

Paul S. 13 окт '11 в 17:49

1 ответ

Другие вопросы по тегам pci-dss network-design

mfinni 13 окт '11 в 18:12 2011-10-13 18:12 · Answer 1 · 2011-10-13 18:12

Первая (простая) часть ответа - это VLAN и ACL. Там вы идете; это ваше общее руководство.

В остальном все зависит от того, к каким именно PCI-требованиям вы подходите. Возможно, вам потребуется реализовать IDS/IPS, а может и нет. Вам может понадобиться реализовать что-то вроде Tripwire, а может и нет.

Таким образом, вам следует заключить контракт с квалифицированным подразделением ИТ-услуг, имеющим опыт работы с PCI. Для такого аудита необходимо знать, что делать, и объяснить, почему его выполнение соответствует критериям аудита.

/ Редактировать - может быть просто дешевле заменить ПК, которые обрабатывают транзакции по кредитным картам, на устройства для чтения карт, чем пытаться привести вашу локальную сеть к спецификации PCI. Конечно, в этой спецификации есть ряд вещей, которые в любом случае являются хорошей практикой. Так что, да - наймите кого-нибудь, кто может дать совет и реализовать ваши списки "Я должен" и "Я хочу".