Scansione wireless efficace per soddisfare PCI DSS 11.1?

4

La sezione 11.2 PCI-DSS richiede che l'azienda "verifichi la presenza di wireless punti di accesso e rilevare punti di accesso wireless non autorizzati. "Tuttavia, questo è più facile a dirsi che a farsi semplicemente scansionare per rilevare punti di accesso wireless (come molti suggeriscono qui ) raccoglie oltre 120 AP, sia sui piani adiacenti del nostro edificio che negli edifici circostanti - in un caso, un grande magazzino una mezza dozzina di piani giù e per un lungo isolato!

Il problema più grande con i walkaround è che la potenza del segnale è uno strumento inadeguato per la posizione e, come evidenziato da @AviD nell'altro thread, un AP wireless potrebbe essere così piccolo o nascosto che rilevarlo in walkaround è altamente improbabile. Ci sono antenne economiche e prontamente disponibili per fornire buoni segnali direzionali, la triangolazione di un povero uomo?

So che le soluzioni IDS wireless come Aruba Networks possono implementare sensori per eseguire la triangolazione. Ho visto pochissime soluzioni di questo tipo effettivamente implementate e, quando implementate, richiedono cura e messa a punto. Non sono ansioso di vedere quale sarebbe il tasso di falsi positivi dato il numero di AP nei piani sopra e sotto di noi. Ma forse qualcuno ha esperienza con un prodotto che sentiva valesse la pena?

Quindi, suppongo che la mia domanda sia: cosa sta facendo la gente per soddisfare 11.1 che fornisce alcuni vantaggi per la sicurezza, al contrario della conformità alle norme?

(Ho anche difficoltà a mordere questo problema perché è così inutile.La maggior parte dei telefoni cellulari potrebbe fornire una connessione cablata tra la rete aziendale e il mondo esterno ed essere invisibile alla scansione wireless. E se fosse stata scansionata, sarebbe sembra proprio come tutte le api operaie che usano i loro telefoni, e non può essere bloccato legalmente, ma non è in PCI-DSS, quindi non preoccuparti!)

    
posta gowenfawr 01.10.2012 - 16:21
fonte

3 risposte

5

So, I guess my question is - what are people doing to meet 11.1 that provides some security benefit, as opposed to policy compliance?

Controlla la sezione 11.1b poiché è la parte integrale del test:

11.1.b Verify that the methodology is adequate to detect and identify any unauthorized wireless access points, including at least the following:

  • WLAN cards inserted into system components
  • Portable wireless devices connected to system components (for example, by USB, etc.)
  • Wireless devices attached to a network port or network device

Nessuno di questi si riferisce alla ricerca di segnali radio . Quello su cui dovresti concentrarti è avere un inventario regolare dei sistemi informatici con rilevamento efficace delle modifiche nell'hardware installato. Dato che quasi qualsiasi cosa nel tuo ambito PCI-DSS è probabilmente una macchina cablata a cui gli amministratori di sistema / di rete hanno accesso amministrativo (e gli utenti no), questa attività non dovrebbe essere troppo difficile. Se per qualche motivo le tue macchine hanno dispositivi wireless che devono essere abilitati, controlla e monitora la loro configurazione per rimanere sulla tua rete.

  • Impedisci l'attivazione dell'hardware senza privilegi amministrativi

  • Hardware di inventario

  • Impedisci agli utenti di disporre dei diritti per configurare l'hardware che è lì

  • Registra le modifiche alla configurazione hardware (installazione, parametri del driver)

La seconda parte è il controllo delle porte. Idealmente, usa 802.1X-2010. Registra eventuali indirizzi hardware non riconosciuti e qualsiasi trasferimento di un indirizzo tra diverse porte dello switch.

    
risposta data 01.10.2012 - 18:44
fonte
2

Vorrei iniziare la mia risposta come con qualsiasi conformità PCI che sia, controlla quali sono i tuoi QSA, ho visto un paio di ragionamenti sul lato wireless delle cose e sono i ragazzi che firmano il rispetto ...

Detto questo, faccio un bel po 'di revisione wireless e per localizzare gli AP quello che trovo di solito è che le antenne direzionali non sono sempre la soluzione migliore. Se si intende adottare l'approccio di scansione lato wireless (al contrario di WIDS o scansione laterale cablata), basta usare una scheda wireless a bassa potenza (che supporta gamme a 2,4 GHz e 5 GHz) in un laptop che supporterà la modalità monitor + airodump -ng o kismet dovrebbero funzionare relativamente bene.

Come metodo di base, cammina sul sito con la carta accesa e guarda tutti i segnali. Se hai coperto l'intero sito e il segnale più strong che ottieni è davvero debole, è improbabile che l'AP si trovi sul tuo sito (nota a margine, so che è possibile che qualcuno abbia nascosto un AP volutamente basso in qualche punto un sito ma a meno che il tuo modello di minaccia non costituisca un rischio probabile, personalmente non mi preoccuperei troppo di questo).

In aggiunta a questa altra cosa da fare è anche fare una recensione al di fuori del sito e guardare i punti di forza del segnale lì. Se è molto più strong all'esterno che all'interno, c'è un altro indicatore che è probabile che non si trovi nel tuo sito.

Poi, una volta che hai la lista degli AP, scarta quella che sai di avere e se non ne sono rimaste, usa airodump-ng o kismet (personalmente preferisco airodump-ng per questo) con lo scanner bloccato sul canale e BSSID dell'AP che stai cercando. quindi cammina nell'edificio fino ad ottenere il segnale più strong possibile. Di solito, a questo punto, se riesci a ottenere un segnale strong, sarai abbastanza vicino all'AP che sarai in grado di vederlo (o chiedere a qualcuno se qualcuno ha un AP in esecuzione (ad es. Dispositivi personali Access Point). si sta bloccando sul canale in modo che lo scanner non salti molto, rendendo gli AP di tracciamento molto più semplici.

    
risposta data 01.10.2012 - 20:24
fonte
1

L'ultima linea di punti di accesso wireless IAP di Aruba Networks offre IDS in grado di scansionare, rilevare e scoraggiare punti di accesso wireless non autorizzati. Di recente ne abbiamo individuato uno collegato in modo inappropriato alla nostra LAN in uno dei nostri siti remoti.

    
risposta data 15.02.2017 - 12:27
fonte

Leggi altre domande sui tag