PCI合规性:在LAN上“检测”非法AP的无线分析仪?

我们正在尝试满足无线分析仪的PCI合规性要求,该无线分析器可检测内部LAN上是否存在非法AP。

问题:

  • 是否有一类设备可以完成这个要求?
  • 这样的设备如何确定附近的AP(例如从当地的咖啡店)与实际上从公司LAN上的硬线路获得互联网/networking访问的AP之间的区别(USB AP被连接到工作站,AP被插入到办公室的墙上sockets等)
  • 我们的AP是DLink DWL-3200AP,它内置了一个“无线分析器”,但是它似乎不能做比WiFi卡更多的function,因为它只是检测每一个广播它的SSID的AP附近,无论该AP是否连接到我们的LAN

编辑:我们在一个Windows环境…

任何帮助将非常感激…

不,这个设备不太可能有帮助。

这是一个相当重要的要求。 实现它涉及技术的组合,例如物理检查,networking和计算机自动/执行策略,以及诸如无线ID / IPS的工具/产品。

几个ids / ips示例:

http://www.cisco.com/en/US/docs/solutions/Enterprise/Mobility/secwlandg20/wireless_ips.html
http://www.bluesocket.com/media/Bluesecure_IDS.pdf

回顾需求的实际文本,这可能是具有挑战性的,因为“接入点”可能是无线卡(可以用作AP),电话或其他USB连接的设备。

一种可能的解释是审计人员可以想象通过将USB设备或电话连接到PC来testing这种情况,并查看他们是否可以访问您的networking,并且检测到它并产生适当的响应。 一些组织可能会通过一个或多个这些testing,所以需要进行“补偿控制”来降低风险。

PCI DSS要求
11.1testing是否存在无线接入点,并按季度检测未经授权的无线接入点。

注意:此过程中可能使用的方法包括但不限于无线networking扫描,系统组件和基础架构的物理/逻辑检查,networking访问控制(NAC)或无线IDS / IPS。

无论使用哪种方法,它们都必须足以检测和识别任何未经授权的设备。

testing程序11.1.avalidation实体是否有logging的过程,每季度检测和识别无线接入点。

11.1.bvalidation该方法是否足以检测和识别任何未经授权的无线接入点,包括至less以下几点:

  • 插入系统组件的WLAN卡
  • 连接到系统组件的便携式无线设备(例如通过USB等)
  • 连接到networking端口或networking设备的无线设备

11.1.cvalidation所有系统组件和设施至less每季度执行一次识别未经授权的无线接入点的文档化过程。

11.1.d如果使用自动监控(例如,无线IDS / IPS,NAC等),请确认configuration会向人员发出警报。

11.1.evalidation组织事件响应计划(要求12.9)包括检测到未经授权的无线设备的响应。

你可以相当可靠地用Kismet来映射你周围的接入点。 不幸的是,你可能需要进行实际调查,以确定来源。