时钟滴答作响!2010年6月30日是各个公司遵守支付卡行业数据安全标准(PCI DSS)的截止日期,以后在其网络上将禁止使用任何有线等效保密协议(WEP)。这个过时的标准使用的是不安全加密技术,黑客已经清楚地表明他们可以在大约几秒钟内渗透到WEP网络。PCI DSS 1.2版本已在2008年年底发布,支付卡行业(PCI)安全标准委员会提出了企业在使用无线网络时的三个新要求:
◆对所有无线网络使用强的加密和认证技术。
◆不再部署任何新的WEP网络。
◆现有的WEP网络将在2010年6月30日之后停止使用。
你见过这些要求吗?如果没有,那马上把你的网络转换到更安全的Wi-Fi保护访问(WPA)加密标准吧。在本文中,我们将详细说明如何从WEP转变到WPA,以满足PCI DSS的要求。
何必大惊小怪?
对WPA的推动与发展绝非仅仅是一个官僚主义行为:这是一个早就应该优先考虑的安全问题,甚至对那些不须遵守PCI DSS的公司也应如此。如今还使用WEP加密技术绝对是不负责任的行为。对专业的黑客来讲,使用像AirCrack这样的工具来破译WEP安全就像小孩玩游戏一样简单。运行WEP只会给你的组织提供一种虚假的安全感。
从WEP转移到WPA
在WPA的初期,硬件兼容性是从WEP转移到WPA的最大障碍。旧的无线硬件(包括接入点和无线适配器)根本就不支持较新的标准。不过,这个障碍已不复存在,WPA标准已在市场上存在了超过6年的时间,任何老式的、不支持WPA的设备都应尽快升级。现在是时候咬紧牙关,用新一代的设备取代只支持WEP的设备了。
在升级网络的时候,请记住两个重要的部分:在整个区域中使用的无线接入点和客户端系统的无线适配器。这些接入点可能需要从服务中删除,并对其进行销毁,但那些依赖于Wi-Fi的客户端设备则不需要这样做。通过在一家电子零售商购买一个大约50美元的USB无线适配器(在批发商那买会更便宜),你就可以延长笔记本电脑或者其他内置有无线适配器设备的寿命。
你肯定你可以被覆盖到吗?
有些人可能会想:“当这些问题在几年前被首次发现时,我们公司的无线网络就得到了升级,所以对我们来说没有什么好担心的。”不过,现在还是请再想一想。进行无线安全调查的组织有过多次很震惊的发现,WEP加密以及未加密的网络都在办公楼内运行。对任何一个雇员来说,购买一个无线路由器太容易了,将它接入企业网络,就可以当做一个“临时”的无线网络。而对繁忙的IT部门来说,他们更倾向于在公司内部禁止使用这些有安全隐患的设备,因为这比保证网络安全操作起来要容易得多。
PCI DSS遵从规则预见到了这种情况,它要求企业不仅在网络上运行WPA,而且还应该定期排查办公楼里的“流氓(rogue)”无线网络。 PCI DSS的11.1条款有如下规定:
“应至少每季度使用一次无线分析器(wireless analyzer)对无线接入点进行测试,或部署一个无线IDS/IPS系统,以识别所有正在使用的无线设备。”
有两种选择可以满足这一要求。对小型企业而言,使用无线分析器就已经足够了,你可以定期的扫描、排查“流氓”网络和非WPA无线网络,一旦这些网络被发现你只需简单地把它们设置为离线即可。我强烈建议如果可以的话至少每月做一次这种扫描。毕竟,没有人希望这些“流氓”网络在不被发现的情况下运行3个月之久。
对于那些物理面积更大的企业而言,无线安全排查可能就不是一个可行、或对IT人员而言有效的方法了。此时,应采用无线IDS/IPS设备,充分利用现有的无线基础设施,将IDS/IPS作为“流氓”无线网络检测系统中的一个传感器。如果预算紧张,你可以使用像Kismet这样的开源工具,从而形成一个合适的解决办法;而对一些有消费能力的企业来讲,可以考虑使用一些像AirMagnet 或者 AirTight网络公司提供的一揽子商业解决方案。
对于那些想推迟进行WPA升级的公司来讲,我会强烈建议你们三思而后行。商业银行在安全事故发生时不会给你什么好脸色看的,尤其是在两年前他们就警告过应该进行这种转变。立即升级所有无线设备能满足所有人的最佳利益。如果你对银行卡处理设备突然转变会产生的影响感到担忧的话,你可以考虑同时运行WEP和WPA网络一段时间,然后再逐一将设备转换到WPA网络上。
确保无线网络安全应该作为所有企业安全计划中的一个关键部分。对那些仍在运行WEP的企业来说,是时候把现有全部的网络升级到安全WPA遵从规则,并部署一套能够在无线环境中重点检查不受保护网络的无线入侵基础设施。这些措施不仅可以满足PCI遵从规则,也将确保一个更安全的IT环境。
【编辑推荐】