web-dev-qa-db-ja.com

WIFIアクセスポイントのスキャン

PCI DSS要件11.1:

「ワイヤレスアクセスポイント(802.11)の存在をテストするプロセスを実装し、四半期ごとにすべての承認済みおよび未承認のワイヤレスアクセスポイントを検出および特定する」

私の質問は:

  1. スキャンはどこで実行すればよいですか?サーバールームの近く?私の会社のすべての部屋のバックアップサイトの近くですか。そして、顧客がクレジットカードをスワイプできるセルフサービスマシンとして複数の場所がある場合建物パラメータの周り?

  2. ワイヤレスIPS\IDSを購入したくない場合、有効なスキャンにはどのスキャンオプションを使用できますか?モバイル\ラップトップからWIFIネットワーク検出を使用できますか?それのための特定のアプリはありますか?

wifipci-dsswirelessregulation
1
BokerTov

1:範囲内のワイヤレスクライアントが到達する可能性のあるすべての場所をスキャンする必要がありますが、範囲内のすべての場所の近くのすべての場所もスキャンする必要があります。ラップトップやサーフィンをしている外の場所にいるスコープ内の作業員のように、WiFiクライアントが屋外で動作していない場合は、屋外でのスキャンは必要ありません。しかし、PCI DSS=ゾーンの境界の内側に沿ったスキャンは必須ですが、中間領域のどこかにあるため、中間で弱く送信するAPを見逃すことはありません。

つまり、リモートワーカーがいる場合は、次のことも必要になります。

  • リモートワーカーが無効にできない必須のVPNまたは暗号化を実装します。これにより、空域がスコープ外になります。悪意のある個人がコンピューターがVPNを使用していないときにマルウェアを挿入する可能性があるため、カードデータの操作中にVPN /暗号化を適用するだけでは不十分です。この方法では、キャプティブポータルが機能しません。 (WLAN暗号化はカウントされません)
  • または、離れた場所にいる間は、一部のデバイス管理を使用してリモートワーカーのwifiカードをプログラムで無効にします。

そうでない場合、デバイスがアクセスするすべての場所が事実上範囲内になります。ホテルのロビーやホテルの部屋にPCI DSS=を実施して頑張ってください。

ただし、セルフサービスの場所は、必ずしもスキャンする必要はありません。ソリューションをP2PE(ポイントツーポイント暗号化)およびUPT(無人決済端末)に承認し、セルフサービスの場所にいる担当者が暗号化キーにアクセスできないようにすると、セルフサービスの場所は範囲外であり、Wifiスキャンは必要ありません。ただし、実際のP​​2PE/UPT端末はまだスコープ内にあります。

「誰かが悪意のあるアクセスポイントをここに置くとどうなるか-マルウェアを配布するか、データを盗み、マシンまたは人間にだまして、おそらく同じSSIDを使用して接続させるか」を考える必要があります。範囲内ネットワークにアクセスポイントを挿入する悪意のある個人と同じです。

2:適切なWi-Fiを備えたPCは機能しますが、APのMACアドレスを記録または監視し、到達可能なすべてのアクセスポイントを監視できるツールも必要です(たとえば、同じSSIDを持つ複数のアクセスポイントを1つに統合しないでください) )。また、ラップトップの内蔵アンテナではAPを十分に遠くまで検出できないため、まともなアンテナも必要です。労働者がまともなアンテナを設置して不正なアクセスポイントにアクセスするなど、最悪の事態に備える必要があります。ソリューションはP2Pアクセスポイントを記録できる必要もあるので、Androidモバイルでは不十分です。AndroidでP2Pアクセスポイントを表示するにはrootが必要です。

また、質問/回答についても詳しく説明します。

不正または不正なAPが見つかった場合は、アクションプログラムも必要です。不正なAPの場合は、追跡してネットワークから切断するだけで簡単です。 (無許可AP = SSIDに関係なく、ネットワーク管理者からの許可なしにネットワークに接続されているAP)

不正なアクセスポイント(「承認された」アクセスポイントと同じSSIDまたはMACを持つアクセスポイントによって定義されますが、どこにでも配置される可能性があります)は、対処が少し難しいです。不正なアクセスポイントはネットワークや施設にまったくない可能性があるため、ネイバーの施設にある可能性があるため、それを取り除くために法的手段に訴える必要がある場合があります。あなたはそれを追跡し始めることができ、その大まかな場所が見つかったら、その建物の管理者に停止と拒否の手紙を送り、その場所にFCCまたは警察を送ることさえできます。

ペイメントカードに関与している人と同じAPに名前を付け、それらに接続させるために、それは明らかなコンピューター誤用違反であり、詐欺に分類されることもあります。

別の解決策としては、その不正なアクセスポイント(一部の不正なAPスキャナーは不正なアクセスポイントを検出した後、これを自動的に実行できます)のdeauthパケットをスプーフィングして、許可されたスコープ内クライアントが不正なアクセスポイントに接続できないようにしますが、これには独自の法的問題がある場合があります、所有していない、または操作する権限のない機器を妨害している。

1
sebastian nielsen

  1. あなたがプロセッサであれば、それはあなたがカードデータを処理するあらゆる場所にあります。それはデータセンターであるかもしれませんが、人々がデータで作業するコンピュータまたはターミナルを持っているどこでも同様にあるかもしれません。

  2. はい、まともなWiFiを備えたPCで十分です。 Wi-Fi調査を行っているわけではありません。負荷があります。 inSSIDer はしばらくの間使用されており、Nirsoftは一般的に優れたユーティリティを作成するため、その WifiInfoView は試してみる価値があります。

0
Julian Knight