Conformidade PCI: Analisador sem fio que “detecta” APs invasores na LAN?

Navegue suas respostas
4

Estamos tentando atender ao requisito de conformidade com PCI para um Analisador sem fio que detecta a presença de APs invasores na LAN interna.

Perguntas:

  • Existe uma classe de dispositivos que atenderão a esse requisito?
  • Como esse dispositivo determina a diferença entre um AP que está próximo (digamos de um café local) e outro que está obtendo acesso à Internet / rede de uma linha rígida na LAN corporativa (USB AP conectado a uma estação de trabalho, AP conectado a uma tomada de parede em um escritório, etc.)
  • Nosso AP é um DLink DWL-3200AP, que tem um "analisador sem fio" embutido, mas não parece ser capaz de fazer muito mais do que uma placa wifi fará, já que ele simplesmente detecta cada AP que é transmitindo seu SSID por perto, independentemente de o AP estar ou não conectado à nossa LAN

EDIT: Estamos em um ambiente de janelas ...

Qualquer ajuda seria muito apreciada ...

    
por I.T. Support 20.04.2011 / 17:46

2 respostas

1

Não, é improvável que o dispositivo ajude.

Este é um requisito bastante pesado. O cumprimento envolve uma combinação de técnicas, como inspeção física, políticas automatizadas / reforçadas de rede e computador e ferramentas / produtos, como ids / ips sem fio.

Alguns exemplos de ids / ips:

link
link

Revisando o texto real do requisito, isso pode ser desafiador porque um "ponto de acesso" pode ser uma placa sem fio (que pode funcionar como AP), um telefone ou algum outro dispositivo conectado via USB.

Uma possível interpretação é que um auditor poderia testar isso conectando um dispositivo USB ou telefone a um PC, e ver se eles podem obter acesso à sua rede, e isso é detectado e uma resposta apropriada é gerada. Algumas organizações podem falhar em um ou mais desses testes, portanto, seria necessário "controles de compensação" para reduzir o risco.

Requisitos do PCI DSS
11.1 Teste a presença de pontos de acesso sem fio e detecte pontos de acesso sem fio não autorizados trimestralmente.

Observação: os métodos que podem ser usados no processo incluem, mas não se limitam a, varreduras de rede sem fio, inspeções físicas / lógicas de componentes do sistema e infra-estrutura, controle de acesso à rede (NAC) ou IDS / IPS sem fio.

Independentemente dos métodos usados, eles devem ser suficientes para detectar e identificar qualquer dispositivo não autorizado.

Procedimentos de teste 11.1.a Verifique se a entidade tem um processo documentado para detectar e identificar pontos de acesso sem fio trimestralmente.

11.1.b Verifique se a metodologia é adequada para detectar e identificar qualquer pontos de acesso sem fio não autorizados, incluindo pelo menos o seguinte:

  • Placas WLAN inseridas nos componentes do sistema
  • Dispositivos sem fio portáteis conectados aos componentes do sistema (por exemplo, por USB, etc.)
  • Dispositivos sem fio conectados a uma porta de rede ou dispositivo de rede

11.1.c Verifique se o processo documentado para identificar pontos de acesso sem fio não autorizados é realizado pelo menos trimestralmente para todos os componentes e instalações do sistema.

11.1.d Se for utilizado monitoramento automatizado (por exemplo, IDS / IPS sem fio, NAC, etc.), verifique se a configuração gerará alertas para o pessoal.

11.1.e Verifique se o plano de resposta a incidentes da organização (Requisito 12.9) inclui uma resposta no caso de dispositivos sem fio não autorizados serem detectados.

    
por 20.04.2011 / 19:29
1

Você pode mapear de forma bastante confiável os pontos de acesso transmitidos ao seu redor com o Kismet . Infelizmente, você provavelmente precisará investigar fisicamente para determinar a fonte.

    
por 20.04.2011 / 18:17

Tags

Encontre o caminho onde a biblioteca PEAR está instalada para colocar no php.ini? Cluster Red Hat / CentOS comparado ao HeartBeat?