Comment créer un réseau sécurisé et segmenté entre plusieurs bâtiments lorsque toutes les données doivent passer par un seul câble ?
Contexte : Je travaille pour une organisation à but non lucratif qui compte 5 bâtiments sur un campus. Nous ne disposons pas d'un département informatique. En raison de divers problèmes de sécurité que je vois avec l'arrangement actuel, j'essaie de concevoir un moyen de rendre le réseau plus efficace et plus sûr. Je suis un ingénieur en logiciel, pas un ingénieur réseau ou un expert en sécurité réseau.
Paramètres actuels :
-
tout partage une seule connexion à l'internet.
-
le réseau local n'est pas segmenté.
-
tous les appareils ont un accès égal et chaque appareil peut voir tous les autres appareils.
-
chaque pièce dispose d'un ou plusieurs ports réseau câblés.
-
plusieurs routeurs/points d'accès sans fil existent.
-
un bâtiment contient l'entrée de service principale pour le câble enterré. Les autres bâtiments s'y connectent par fibre optique (1 câble par bâtiment).
-
un PC dans chacun des deux bâtiments traite les transactions par carte de crédit et tombe donc sous le coup des exigences de conformité PCI.
-
Un serveur Windows gère le DHCP et le stockage des fichiers pour la plupart des utilisateurs.
D'après ce que j'ai compris, les PC utilisés pour les cartes de crédit doivent être séparés du reste du réseau pour éviter que tous les PC du bureau soient considérés comme des "dispositifs connectés" dans le cadre de la norme PCI-DSS.
Au minimum, j'aimerais que le réseau fournisse un segment sécurisé pour les appareils concernés par la norme PCI-DSS, un sous-réseau pour les données internes sensibles telles que la comptabilité et le personnel, et qu'il limite les connexions des visiteurs à un accès Internet uniquement.
