我们正在尝试满足无线分析器的 PCI 合规性要求,该分析器可检测内部 LAN 上是否存在恶意 AP。
问题:
- 是否有一类设备可以满足这一要求?
- 这样的设备如何确定附近的 AP(例如来自当地咖啡店)和实际上从公司 LAN 上的硬线获取互联网/网络访问的 AP(连接到工作站的 USB AP、插入办公室墙上插孔的 AP 等)之间的区别?
- 我们的 AP 是 DLink DWL-3200AP,它内置有“无线分析仪”,但它似乎不能比 wifi 卡做更多的事情,因为它只是检测附近广播其 SSID 的每个 AP,而不管该 AP 是否连接到我们的 LAN
编辑:我们处于 Windows 环境中......
任何帮助将非常感激...
答案1
不,该设备不太可能有帮助。
这是一项相当重要的要求。满足该要求需要多种技术的组合,例如物理检查、网络和计算机自动化/强制策略,以及无线 ID/IPS 等工具/产品。
一些 id/ips 示例:
http://www.cisco.com/en/US/docs/solutions/Enterprise/Mobility/secwlandg20/wireless_ips.html
http://www.bluesocket.com/media/Bluesecure_IDS.pdf
查看要求的实际文本,这可能具有挑战性,因为“接入点”可能是无线网卡(可以用作 AP)、电话或其他一些 USB 连接设备。
一种可能的解释是,审计员可以通过将 USB 设备或手机连接到 PC 来测试这一点,看看他们是否可以访问您的网络,然后检测到并生成适当的响应。一些组织可能会失败其中一个或多个测试,因此需要有“补偿控制”来减轻风险。
PCI DSS 要求
11.1 每季度测试无线接入点的存在并检测未经授权的无线接入点。
注意:该过程中可能使用的方法包括但不限于无线网络扫描、系统组件和基础设施的物理/逻辑检查、网络访问控制 (NAC) 或无线 IDS/IPS。
无论使用哪种方法,都必须足以检测和识别任何未经授权的设备。
测试程序 11.1.a 验证实体是否有每季度检测和识别无线接入点的记录流程。
11.1.b 验证该方法是否足以检测和识别任何未经授权的无线接入点,至少包括以下内容:
- 插入系统组件的 WLAN 卡
- 连接到系统组件的便携式无线设备(例如,通过 USB 等)
- 连接到网络端口或网络设备的无线设备
11.1.c 验证是否至少每季度对所有系统组件和设施执行一次识别未经授权的无线接入点的记录流程。
11.1.d 如果使用自动监控(例如无线 IDS/IPS、NAC 等),请验证配置是否会向人员生成警报。
11.1.e 验证组织的事件响应计划(要求 12.9)是否包括在检测到未经授权的无线设备时的响应。
答案2
你可以相当可靠地绘制出你周围广播的接入点命运。不幸的是,您可能需要进行物理调查才能确定来源。