The only ways I see at the moment is to have VPN running on the network or use IPSec policy's to do this.
IPSEC é a criptografia da camada de rede projetada especificamente para cobrir este caso (entre outros).
Se você não quiser mexer com ele devido à complexidade e não puder usar o HTTPS por algum motivo, considere contar com os recursos de isolamento de seu equipamento de rede. A empresa WPA2 criptografa o tráfego cliente-a-ponto e não é suscetível a ataques man-in-the-middle devido a um segredo compartilhado entre todos os usuários como seria o WPA-PSK. Os switches gerenciados permitem bloquear o banco de dados de encaminhamento MAC ou usar conexões autenticadas (802.1x) com um bloqueio de endereço MAC, de modo que os ataques de falsificação de MAC, permitindo que os usuários autenticados farejem os dados de outros usuários sejam atenuados. Isso não protegeria seus usuários de um toque direto na camada 1 (por exemplo, um hub ou um dispositivo de escuta instalado em algum lugar entre a porta do comutador e o conector Ethernet do usuário).