Monitoraggio delle attività wireless per conformità PCI DSS

12

Nel tentativo di essere conforme allo standard PCI DSS, ho preso un questionario su trustkeeper.net. Ho fallito la domanda che chiede:

Is the presence of wireless access points tested for by using a wireless analyzer at least quarterly or by deploying a wireless IDS/IPS to identify all wireless devices in use? (SAQ #11.1)

Il mio unico punto di accesso wireless è al di fuori del mio firewall, quindi anche se si rompesse il mio wireless non si riusciva a entrare nel mio dominio in esecuzione su Windows 2000 (a meno che non lo si crei anche tu). Il mio firewall è un Sonicwall Pro 2040 e non ha IPS - Non potrei dire se avesse IDS. Il router è un D-link a 8 porte.

Ho cercato un analizzatore wireless, ma quello che ho trovato era $ 500, che è un po 'caro per la mia attività di dimensioni. Anche se l'avessi capito, non sono sicuro di capire cosa mi dice. Sicuramente ci sono aziende più piccole / meno sofisticate che accettano carte di credito e hanno risolto questo?

Quali sono i rischi se qualcuno dovesse rompere il mio wireless? (Potrebbe leggere tutto il traffico Internet? Solo traffico wireless? Basta usare la mia connessione Internet?) E qual è il modo migliore / più economico per testare il mio punto di connessione trimestrale? Dovrei comprare l'analizzatore $ 500?

Aggiornamento Il mio elaboratore di carte di credito dice che posso soddisfare questo requisito camminando per l'edificio e cercando visivamente i dispositivi wireless non autorizzati.

    
posta kalina 12.05.2010 - 16:07
fonte

4 risposte

4

Per rispondere alle tue domande:

Se qualcuno potrebbe violare la tua sicurezza wireless, potrebbe essere in grado di fiutare qualsiasi cosa attraversi la tua rete wireless. Potresti pensare che questo sia solo un piccolo rischio, tuttavia, se questo traffico include nomi utente o password che non sono ulteriormente crittografati, allora potrebbero essere a rischio - cosa che indebolirebbe ulteriormente la sicurezza.

Se possono accedere a un account sul punto di accesso wireless stesso, esiste potenzialmente un rischio più ampio di compromissione della connessione nella rete.

Non comprerei necessariamente un analizzatore se hai un iphone, un laptop o un altro dispositivo mobile in quanto puoi ottenere applicazioni gratuite per fare esattamente questo: -)

In termini della domanda stessa - è discutibile quanta sicurezza ti darà una scansione trimestrale; in realtà vedrà solo i dispositivi wireless permanenti o quelli che si accendono al momento della scansione. tuttavia, per ottenere la casella di controllo PCI-DSS è meglio farlo comunque. Come dice @AviD:

PCI compliance reduces the risk of the penalties of non-compliance

    
risposta data 03.01.2011 - 00:18
fonte
2

Il rischio non è necessariamente di qualcuno che rompe il tuo wireless. Il rischio è che un dispositivo wireless non autorizzato sia collegato alla rete. Questo è quello che dovresti scannerizzare (credo).

    
risposta data 12.05.2010 - 17:04
fonte
2

Un suggerimento alternativo non ancora discusso: con una carta che lo supporta, usa Wireshark con la carta in modalità promiscua. Dovresti essere in grado di ascoltare l'esistenza di qualsiasi traffico wifi in questo modo, comprese le unità che non trasmettono il loro SSID.

    
risposta data 03.01.2011 - 19:38
fonte
-1

La scansione del telefono per diventare conforme PCI DSS non è davvero un'opzione. La scansione deve essere eseguita da un fornitore di scansioni approvato (ASV) per renderti conforme. Non spendere i 500 dollari. Un ASV lo farà per una frazione del costo. Sono d'accordo che questa è solo un'istantanea ogni trimestre e alla ricerca di vulnerabilità e di tutti i dati della carta di credito non protetta che si possono archiviare. Quindi, se riesci a rintracciare l'app gratuita che cercherà le intrusioni wireless, probabilmente dovresti farlo anche tu. L'app gratuita da sola (o l'app $ 500) non si qualifica per PCI DSS.

    
risposta data 09.03.2012 - 18:14
fonte

Leggi altre domande sui tag