这是我根据合规性检查结果得出的结论。
对我来说,看起来我的路由器正在响应他们的测试,但我不知道该去哪里。(但可能完全偏离轨道)
描述:PCI DSS 合规性:已检测到不安全通信
摘要:检测到不安全的端口、协议或服务。
影响:未能使用强加密技术充分加密网络流量的应用程序面临更高的被入侵和泄露持卡人数据的风险。如果攻击者能够利用弱加密过程,他/她可能能够控制应用程序,甚至获得对加密数据的明文访问权限。
收到的数据:以下网页通过未加密的通道使用基本身份验证:
/:/ 领域=“NETGEAR DG834G”
解决方案:正确加密所有经过验证的敏感通信。
他们的建议是关闭万维网发布服务。但是这项服务似乎没有在我的服务中运行。
我尝试在 PC 上使用 netstat,但端口 80 没有显示。我可以在路由器上执行同样的操作吗?
网络状态监测
活动连接
Proto Local Address Foreign Address State PID
TCP 127.0.0.1:2869 cmc2-PC:50485 TIME_WAIT 0
TCP 127.0.0.1:7112 cmc2-PC:57979 ESTABLISHED 15912
TCP 127.0.0.1:19872 cmc2-PC:49406 ESTABLISHED 4396
TCP 127.0.0.1:49406 cmc2-PC:19872 ESTABLISHED 4396
TCP 127.0.0.1:54982 cmc2-PC:54983 ESTABLISHED 25348
TCP 127.0.0.1:54983 cmc2-PC:54982 ESTABLISHED 25348
TCP 127.0.0.1:55704 cmc2-PC:55705 ESTABLISHED 17888
TCP 127.0.0.1:55705 cmc2-PC:55704 ESTABLISHED 17888
TCP 127.0.0.1:57979 cmc2-PC:7112 ESTABLISHED 24120
TCP 192.168.1.5:49757 wi-in-f189:https ESTABLISHED 6876
TCP 192.168.1.5:49758 wi-in-f189:https ESTABLISHED 6876
TCP 192.168.1.5:49978 lhr08s01-in-f14:https TIME_WAIT 0
TCP 192.168.1.5:50216 lhr08s01-in-f18:https ESTABLISHED 10260
TCP 192.168.1.5:50352 stackoverflow:https ESTABLISHED 17888
TCP 192.168.1.5:50379 lhr08s01-in-f14:https ESTABLISHED 6876
TCP 192.168.1.5:50400 cf-190-93-246-58:https TIME_WAIT 0
TCP 192.168.1.5:50418 stackoverflow:https ESTABLISHED 17888
TCP 192.168.1.5:50456 lhr08s02-in-f22:https TIME_WAIT 0
TCP 192.168.1.5:50457 lhr08s02-in-f22:https TIME_WAIT 0
TCP 192.168.1.5:50478 63.245.217.137:https TIME_WAIT 0
TCP 192.168.1.5:50494 lhr14s22-in-f1:https ESTABLISHED 6876
TCP 192.168.1.5:50495 lhr14s22-in-f1:https ESTABLISHED 6876
TCP 192.168.1.5:57548 sjd-rc1-1a:http ESTABLISHED 4396
TCP 192.168.1.5:63982 lhr08s02-in-f22:https ESTABLISHED 17888
TCP 192.168.1.5:64658 ec2-54-73-215-205:https ESTABLISHED 4760
TCP 192.168.1.5:65356 173.194.66.125:5222 ESTABLISHED 25348
TCP [::1]:2869 cmc2-PC:50484 TIME_WAIT 0
答案1
很抱歉这么说,但是如果您未能通过 PCI-DSS 测试,那么您将面临一大堆问题。尤其是家用路由器 (NETGEAR DG834G) 不具备 PCI 回归测试所需的必要日志记录级别,而您必须通过 PCI 回归测试。
此外,您邮件中的实际投诉是您的路由器管理界面在 HTTP 而不是 HTTPS 上可用 - 这不是无法在路由器上更改的。此外,如果您在 PC 上运行任何 Web 主机,它们应该使用带有外部签名证书(而不是您自己的 CA)的 HTTPS。
除此之外,您还需要运行非常强大的加密技术——但您似乎并没有这样做。
为了通过 PCI,您需要投入大量金钱、时间和专业知识,而这些显然目前还缺少。