如何從WEP轉(zhuǎn)變到WPA 滿足PCI DSS遵從規(guī)則
時(shí)鐘滴答作響!2010年6月30日是各個(gè)公司遵守支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS)的截止日期,以后在其網(wǎng)絡(luò)上將禁止使用任何有線等效保密協(xié)議(WEP)。這個(gè)過時(shí)的標(biāo)準(zhǔn)使用的是不安全加密技術(shù),黑客已經(jīng)清楚地表明他們可以在大約幾秒鐘內(nèi)滲透到WEP網(wǎng)絡(luò)。PCI DSS 1.2版本已在2008年年底發(fā)布,支付卡行業(yè)(PCI)安全標(biāo)準(zhǔn)委員會(huì)提出了企業(yè)在使用無線網(wǎng)絡(luò)時(shí)的三個(gè)新要求:
◆對(duì)所有無線網(wǎng)絡(luò)使用強(qiáng)的加密和認(rèn)證技術(shù)。
◆不再部署任何新的WEP網(wǎng)絡(luò)。
◆現(xiàn)有的WEP網(wǎng)絡(luò)將在2010年6月30日之后停止使用。
你見過這些要求嗎?如果沒有,那馬上把你的網(wǎng)絡(luò)轉(zhuǎn)換到更安全的Wi-Fi保護(hù)訪問(WPA)加密標(biāo)準(zhǔn)吧。在本文中,我們將詳細(xì)說明如何從WEP轉(zhuǎn)變到WPA,以滿足PCI DSS的要求。
何必大驚小怪?
對(duì)WPA的推動(dòng)與發(fā)展絕非僅僅是一個(gè)官僚主義行為:這是一個(gè)早就應(yīng)該優(yōu)先考慮的安全問題,甚至對(duì)那些不須遵守PCI DSS的公司也應(yīng)如此。如今還使用WEP加密技術(shù)絕對(duì)是不負(fù)責(zé)任的行為。對(duì)專業(yè)的黑客來講,使用像AirCrack這樣的工具來破譯WEP安全就像小孩玩游戲一樣簡單。運(yùn)行WEP只會(huì)給你的組織提供一種虛假的安全感。
從WEP轉(zhuǎn)移到WPA
在WPA的初期,硬件兼容性是從WEP轉(zhuǎn)移到WPA的最大障礙。舊的無線硬件(包括接入點(diǎn)和無線適配器)根本就不支持較新的標(biāo)準(zhǔn)。不過,這個(gè)障礙已不復(fù)存在,WPA標(biāo)準(zhǔn)已在市場上存在了超過6年的時(shí)間,任何老式的、不支持WPA的設(shè)備都應(yīng)盡快升級(jí)。現(xiàn)在是時(shí)候咬緊牙關(guān),用新一代的設(shè)備取代只支持WEP的設(shè)備了。
在升級(jí)網(wǎng)絡(luò)的時(shí)候,請(qǐng)記住兩個(gè)重要的部分:在整個(gè)區(qū)域中使用的無線接入點(diǎn)和客戶端系統(tǒng)的無線適配器。這些接入點(diǎn)可能需要從服務(wù)中刪除,并對(duì)其進(jìn)行銷毀,但那些依賴于Wi-Fi的客戶端設(shè)備則不需要這樣做。通過在一家電子零售商購買一個(gè)大約50美元的USB無線適配器(在批發(fā)商那買會(huì)更便宜),你就可以延長筆記本電腦或者其他內(nèi)置有無線適配器設(shè)備的壽命。
你肯定你可以被覆蓋到嗎?
有些人可能會(huì)想:“當(dāng)這些問題在幾年前被首次發(fā)現(xiàn)時(shí),我們公司的無線網(wǎng)絡(luò)就得到了升級(jí),所以對(duì)我們來說沒有什么好擔(dān)心的。”不過,現(xiàn)在還是請(qǐng)?jiān)傧胍幌搿_M(jìn)行無線安全調(diào)查的組織有過多次很震驚的發(fā)現(xiàn),WEP加密以及未加密的網(wǎng)絡(luò)都在辦公樓內(nèi)運(yùn)行。對(duì)任何一個(gè)雇員來說,購買一個(gè)無線路由器太容易了,將它接入企業(yè)網(wǎng)絡(luò),就可以當(dāng)做一個(gè)“臨時(shí)”的無線網(wǎng)絡(luò)。而對(duì)繁忙的IT部門來說,他們更傾向于在公司內(nèi)部禁止使用這些有安全隱患的設(shè)備,因?yàn)檫@比保證網(wǎng)絡(luò)安全操作起來要容易得多。
PCI DSS遵從規(guī)則預(yù)見到了這種情況,它要求企業(yè)不僅在網(wǎng)絡(luò)上運(yùn)行WPA,而且還應(yīng)該定期排查辦公樓里的“流氓(rogue)”無線網(wǎng)絡(luò)。 PCI DSS的11.1條款有如下規(guī)定:
“應(yīng)至少每季度使用一次無線分析器(wireless analyzer)對(duì)無線接入點(diǎn)進(jìn)行測試,或部署一個(gè)無線IDS/IPS系統(tǒng),以識(shí)別所有正在使用的無線設(shè)備。”
有兩種選擇可以滿足這一要求。對(duì)小型企業(yè)而言,使用無線分析器就已經(jīng)足夠了,你可以定期的掃描、排查“流氓”網(wǎng)絡(luò)和非WPA無線網(wǎng)絡(luò),一旦這些網(wǎng)絡(luò)被發(fā)現(xiàn)你只需簡單地把它們?cè)O(shè)置為離線即可。我強(qiáng)烈建議如果可以的話至少每月做一次這種掃描。畢竟,沒有人希望這些“流氓”網(wǎng)絡(luò)在不被發(fā)現(xiàn)的情況下運(yùn)行3個(gè)月之久。
對(duì)于那些物理面積更大的企業(yè)而言,無線安全排查可能就不是一個(gè)可行、或?qū)T人員而言有效的方法了。此時(shí),應(yīng)采用無線IDS/IPS設(shè)備,充分利用現(xiàn)有的無線基礎(chǔ)設(shè)施,將IDS/IPS作為“流氓”無線網(wǎng)絡(luò)檢測系統(tǒng)中的一個(gè)傳感器。如果預(yù)算緊張,你可以使用像Kismet這樣的開源工具,從而形成一個(gè)合適的解決辦法;而對(duì)一些有消費(fèi)能力的企業(yè)來講,可以考慮使用一些像AirMagnet 或者 AirTight網(wǎng)絡(luò)公司提供的一攬子商業(yè)解決方案。
對(duì)于那些想推遲進(jìn)行WPA升級(jí)的公司來講,我會(huì)強(qiáng)烈建議你們?nèi)级笮小I虡I(yè)銀行在安全事故發(fā)生時(shí)不會(huì)給你什么好臉色看的,尤其是在兩年前他們就警告過應(yīng)該進(jìn)行這種轉(zhuǎn)變。立即升級(jí)所有無線設(shè)備能滿足所有人的最佳利益。如果你對(duì)銀行卡處理設(shè)備突然轉(zhuǎn)變會(huì)產(chǎn)生的影響感到擔(dān)憂的話,你可以考慮同時(shí)運(yùn)行WEP和WPA網(wǎng)絡(luò)一段時(shí)間,然后再逐一將設(shè)備轉(zhuǎn)換到WPA網(wǎng)絡(luò)上。
確保無線網(wǎng)絡(luò)安全應(yīng)該作為所有企業(yè)安全計(jì)劃中的一個(gè)關(guān)鍵部分。對(duì)那些仍在運(yùn)行WEP的企業(yè)來說,是時(shí)候把現(xiàn)有全部的網(wǎng)絡(luò)升級(jí)到安全WPA遵從規(guī)則,并部署一套能夠在無線環(huán)境中重點(diǎn)檢查不受保護(hù)網(wǎng)絡(luò)的無線入侵基礎(chǔ)設(shè)施。這些措施不僅可以滿足PCI遵從規(guī)則,也將確保一個(gè)更安全的IT環(huán)境。
【編輯推薦】
