Precisa de orientação sobre o design da rede no campus de vários edifícios

Navegue suas respostas
2

Como podemos criar uma rede segura e segmentada entre vários edifícios quando todos os dados tiverem que passar por um único cabo?

Antecedentes: Eu trabalho para uma organização sem fins lucrativos que tem 5 prédios em um campus. Nós não temos um departamento de TI. Devido a várias preocupações de segurança que vejo com o acordo atual, estou tentando criar uma maneira de tornar a rede mais eficiente e segura. Sou engenheiro de software, não engenheiro de rede ou especialista em segurança de rede.

Parâmetros atuais:

  1. tudo compartilha uma única conexão com a internet.

  2. a LAN não está segmentada.

  3. todos os dispositivos têm acesso igual e cada dispositivo pode ver todos os outros dispositivos.

  4. cada sala tem uma ou mais portas de rede cabeadas.

  5. existem vários roteadores / pontos de acesso sem fio.

  6. um edifício contém a entrada de serviço principal do cabo enterrado. Outros edifícios conectam-se a ele via fibra óptica (1 cabo por prédio)

  7. um PC em cada um dos dois edifícios lida com transações com cartão de crédito e, portanto, se enquadra no escopo dos requisitos de conformidade com PCI.

  8. Um servidor Windows lida com o armazenamento de arquivos e DHCP para a maioria dos usuários.

Meu entendimento é que os PCs com cartão de crédito precisam ser separados do restante da rede para evitar que todos os PCs do escritório sejam classificados como "dispositivos conectados" no PCI-DSS.

No mínimo, gostaria de ver a rede fornecer um segmento seguro para dispositivos afetados pelo PCI-DSS, uma sub-rede para dados internos confidenciais, como contabilidade e pessoal, e restringir as conexões dos visitantes apenas ao acesso à Internet.

    
por Paul S. 13.10.2011 / 19:49

1 resposta

3

A primeira parte (fácil) da resposta é VLANs e ACLs. Ai está; essa é a sua orientação geral.

O restante depende exatamente de quais requisitos de PCI você se encaixa. Você pode precisar implementar um IDS / IPS - talvez não. Você pode precisar implementar algo como o Tripwire - talvez você não.

Portanto, você deve contratar uma equipe qualificada de serviços de TI, com experiência em PCI. Para este tipo de auditoria, você precisa saber o que fazer e explicar por que isso se encaixa nos critérios de auditoria.

/ Edit - Pode ser mais barato substituir os PCs que lidam com transações de cartão de crédito com leitores de cartão do que tentar trazer sua LAN para a especificação PCI. Claro, há uma série de coisas dentro dessa especificação que são boas práticas de qualquer maneira. Então, sim - contrate alguém que possa aconselhar e implementar suas listas "Eu tenho" e "Eu quero".

    
por 13.10.2011 / 20:12

Tags

Servidor DNS do FOSS com API? Para consolidar ou não consolidar hardware