为了符合 PCI DSS,我参加了一份 trustkeeper.net 问卷调查。我失败的问题是:
是否至少每季度使用无线分析仪或通过部署无线 IDS/IPS 来识别所有正在使用的无线设备来测试无线接入点的存在?(SAQ #11.1)
我唯一的无线接入点在我的防火墙之外,所以即使你破解了我的无线,你也无法进入我在 Windows 2000 上运行的域(除非你也破解了它)。我的防火墙是 Sonicwall Pro 2040,没有 IPS——我不知道它是否有 IDS。路由器是一个 8 端口 D-link。
我四处寻找无线分析仪,但发现是 500 美元,这对我的规模企业来说有点贵。即使我明白了,我也不确定我是否能理解它告诉我的内容。肯定有更小/不太复杂的企业使用信用卡并解决了这个问题吗?
如果有人破解我的无线设备会有什么风险?(他们可以读取所有互联网流量吗?只是无线流量?只使用我的互联网连接?)每季度测试我的连接点的最佳/最便宜的方法是什么?我应该购买 500 美元的分析仪吗?
更新我的信用卡处理器说我可以通过在建筑物周围走动并在视觉上搜索未经授权的无线设备来满足此要求。
要回答您的问题:
如果有人可能破坏您的无线安全,他们可能能够嗅探通过您的无线网络的所有内容。您可能认为这只是一个很小的风险,但是,如果此流量包含任何未进一步加密的用户名或密码,那么这些可能存在风险 - 这会进一步削弱安全性。
如果他们可以访问无线接入点本身的帐户,则可能存在更广泛的网络连接受损风险。
如果您有 iPhone、笔记本电脑或其他移动设备,我不一定会购买分析仪,因为您可以获得免费的应用程序来执行此操作 :-)
就问题本身而言 - 季度扫描会给您带来多少安全性是有争议的;它实际上只会发现永久性无线设备或在您扫描时碰巧打开的无线设备。但是,要获得 PCI-DSS 复选框,您最好还是这样做。正如@AviD 所说:
PCI 合规性降低了违规处罚的风险
风险不一定是有人破解您的无线网络。风险是将未经授权的无线设备插入您的网络。这就是你应该扫描的(我认为)。
尚未讨论的另一个提示:使用支持它的卡,在混杂模式下使用 Wireshark。您应该能够以这种方式听到任何 wifi 流量的存在,包括不广播其 SSID 的设备。
扫描您的手机以使其符合 PCI DSS 并不是一个真正的选择。扫描需要由经批准的扫描供应商 (ASV) 完成,以使您合规。不要花500块钱。ASV 会以一小部分成本做到这一点。我同意这只是每个季度的快照,用于查找漏洞和您可能存储的任何不安全的信用卡数据。所以,如果你能找到寻找无线入侵的免费应用程序,你可能也应该这样做。单独的免费应用程序(或 500 美元的应用程序)将不符合 PCI DSS 的条件。