È necessaria una scansione PCI per il firewall esterno LAN senza porte aperte?

0

Recentemente ho cercato di far scansionare gli indirizzi IP della mia azienda con Comodo HackerGuardian. Il mio sito web aveva bisogno di alcuni aggiustamenti per ssl ma dopo che sono stati fatti ha passato la scansione. Poiché abbiamo anche una macchina che accede a un terminale virtuale presso i nostri uffici, ho quindi scansionato il nostro IP LAN, ma poiché non abbiamo porte aperte sul nostro firewall esterno, la scansione di HackerGuardian non è stata in concorrenza. Ho quindi regolato il firewall in modo da rifiutare piuttosto che rilasciare lo scanner HackerGuardian ma la scansione non è ancora stata completata.

Ho contattato HackerGuardian a riguardo di questo ha ricevuto la seguente risposta:

Domanda: abbiamo un terminale virtuale all'interno della nostra LAN e, come ho capito, abbiamo bisogno di scansionare il nostro firewall esterno / perimetrale LAN.

Risposta: non è corretto. Solo gli host di Internet (accessibili dall'esterno) sono in grado di eseguire la scansione PCI da un ASV.

Domanda: Come posso scansionare l'indirizzo IP WAN di questo firewall con HackerGuardian per assicurarmi che il provider Virtual Terminal sia felice?

Risposta: questo non è possibile. Il tuo software di terminale virtuale dovrebbe essere un'applicazione di pagamento pre-validata.

La nostra rete di uffici ha un indirizzo IP WAN che è pubblico instradabile con risoluzione DNS sia forward che reverse e l'indirizzo IP è anche esternamente accessibile a sufficienza per essere raggiunto dallo scanner di HackerGuardian.

Indipendentemente dal fatto che non ho nessuna porta aperta sul firewall perimetrale della nostra rete aziendale, ho pensato che uno dei motivi per cui è stata eseguita la scansione è la conferma che questo in realtà è il caso e non c'è stata una configurazione errata.

Che cosa pensa la gente è l'interpretazione corretta o appropriata delle regole PCI?

    
posta saltdog 09.06.2014 - 15:45
fonte

1 risposta

1

Qualsiasi posizione fisica che memorizza, elabora o trasmette informazioni sulla carta di credito deve avere la scansione degli indirizzi IP pubblici associati secondo le norme PCI-DSS.

Ho un numero di siti che ritornano con "nessuna porta aperta" o solo con la porta 500 (per i server VPN). Questo è assolutamente bene.

Non posso commentare usando Comodo HackerGuardian - Ho usato un certo numero di ASV di utilità di scansione esterna differenti. Nessuno di loro ha sbagliato a non avere porte aperte.

    
risposta data 09.06.2014 - 16:14
fonte

Leggi altre domande sui tag