1: È consigliabile eseguire la scansione ovunque sia possibile raggiungere un client wireless nel campo di applicazione, ma anche ovunque vicino a tutte le posizioni che rientrano nell'ambito. Le scansioni esterne non sono necessarie se non si dispone anche di client wifi che operano al di fuori, come gli operatori in-field che si trovano nei luoghi esterni con i loro computer portatili e la navigazione. Ma una scansione lungo l'interno del perimetro della zona PCI DSS è un must, ma anche da qualche parte nelle regioni centrali in modo da non perdere un AP che trasmette debolmente nel mezzo.
Ciò significa che devi anche, se hai lavoratori in remoto:
- Implementare una VPN o una crittografia obbligatorie, che non possono essere disattivate dai lavoratori remoti, che porteranno lo spazio aereo fuori dal campo di applicazione. Si noti che non è sufficiente per applicare semplicemente VPN / crittografia mentre si lavora con i dati delle carte, in quanto un utente malintenzionato potrebbe inserire malware mentre il computer è spento-VPN. Questo metodo significherà che i portali in cattività non funzioneranno. (La crittografia WLAN non conta)
- OPPURE, disabilita a livello di programmazione la scheda wifi sui lavoratori remoti utilizzando alcuni dispositivi di gestione, mentre sono fuori sede.
Altrimenti, ogni posizione visitata dal dispositivo diventa effettivamente nell'ambito. Buona fortuna che impone PCI DSS per la hall di un hotel o la camera d'albergo.
Tuttavia, le posizioni self-service, come dici tu, non devono necessariamente essere scansionate. Se si effettua la soluzione P2PE (crittografia punto a punto) e UPT (terminale di pagamento non presidiato) approvato e si assicura che il personale presso la sede di self-service NON abbia accesso alle chiavi di crittografia, è stata presa la parte locale del posizione di servizio fuori campo e nessuna scansione Wifi è necessaria. Tuttavia, il terminale P2PE / UPT effettivo è ancora in ambito.
Devi pensare "Cosa succede se qualcuno mette qui un access point canaglia - ad esempio un punto di accesso malevolo, che distribuisce malware o ruba dati, e inganna una macchina o un essere umano per connettersi ad esso, forse avendo lo stesso SSID". Lo stesso con un individuo malintenzionato che inserisce un punto di accesso nella rete in ambito.
2: Funzionerà un PC con una connessione wifi decente, ma sono necessari anche strumenti che consentono di registrare o monitorare l'indirizzo MAC dell'AP e anche di visualizzare tutti i punti di accesso raggiungibili (ad esempio, non è possibile utilizzare più access point con lo stesso SSID consolidato in uno). È inoltre necessaria un'antenna decente, in quanto un'antenna incorporata in un laptop potrebbe non essere sufficiente per rilevare gli AP abbastanza lontano.
È necessario prepararsi al peggio, come un lavoratore che mette un'antenna decente e accede a un access point canaglia.
La soluzione deve anche essere in grado di registrare i punti di accesso P2P, quindi un cellulare Android non è sufficiente, poiché la visualizzazione dei punti di accesso P2P su un Android richiede la root.
E per elaborare anche la tua domanda / risposta:
Hai anche bisogno di un programma di azione, se viene trovato un ladro o AP non autorizzato. Per un AP non autorizzato, è facile come tracciarlo e quindi disconnetterlo dalla rete. (AP non autorizzato = un AP connesso a una rete senza autorizzazione dall'amministratore di rete, indipendentemente dal SSID)
Un punto di accesso non autorizzato (definito da un punto di accesso con lo stesso SSID o MAC come punto di accesso "autorizzato", ma che può essere posizionato ovunque) è un po 'più difficile da gestire. Poiché un punto di accesso non autorizzato potrebbe non essere nella tua rete / strutture, potrebbe essere nelle strutture del vicino, potrebbe essere necessario ricorrere ad azioni legali per sbarazzartene. È possibile iniziare a rintracciarlo e, quando si trova la sua posizione approssimativa, inviare una lettera di sospensione e di ritiro al gestore di quell'edificio e persino inviare FCC o la polizia in quella posizione.
Assegnare un AP uguale a una persona coinvolta nelle carte di pagamento, nel tentativo di convincere quelli a connettersi a questo, è una chiara violazione impropria di un computer e potrebbe essere classificata anche come frode.
Un'altra soluzione potrebbe essere lo spoofing dei pacchetti deauth per quel punto di accesso canaglia (alcuni scanner AP rogue possono farlo automaticamente dopo aver individuato un ladro) per evitare che un client autorizzato nel campo di applicazione si connetta a quello canaglia, ma questo potrebbe avere il suo proprie complicazioni legali, in quanto si interferisce con le apparecchiature che non possiedi o che hai l'autorizzazione a operare.