为了符合 PCI-DSS 的要求,有人要求我查看是否有一个小型消费路由器/等可以接受来自一个网段的数据包,并更改目标 IP 地址(从其自身更改为新 IP)以及更改源地址(从原始源更改为路由器的 IP),然后将其发送到第二个网段。
作为一个(简化的)例子:
我有一个 POS,IP 为 1.1.1.1
它“知道” 2.2.2.2 上的信用卡处理设备
它(POS)发送一个数据包 [来自:1.1.1.1] 到 2.2.2.2
但 2.2.2.2 实际上是一个代理路由器。真正的信用卡处理设备在 3.3.3.3 上。
代理路由器将目标 IP 更改为:3.3.3.3,并且为了合规,将源地址更改为 2.2.2.2,并将该数据包传递给实际的信用卡处理设备。
设备处理数据,并向 2.2.2.2 发送响应 [来自:3.3.3.3],当然,2.2.2.2 是代理路由器。代理路由器将源转换为 2.2.2.2,将目标转换为 1.1.1.1,然后将其发送回 POS。
我知道我可以通过一对背对背连接的 NAT 路由器以一种不太好的方式解决这个问题,但我希望有一个更优雅的解决方案。
谢谢
答案1
您希望在消费级设备后面处理信用卡吗?为什么?为什么额外的 NAT、PCI-DSS 没有这样的要求。我建议找一个不同的 QSA 或审计员,这样您就不必做这些没有意义的的事情 :)