新聞中心

EEPW首頁(yè) > 設(shè)計(jì)應(yīng)用 > 零售行業(yè)如何避免無(wú)線局域網(wǎng)安全漏洞

零售行業(yè)如何避免無(wú)線局域網(wǎng)安全漏洞

作者: 時(shí)間:2010-06-23 來(lái)源:網(wǎng)絡(luò) 收藏

長(zhǎng)久以來(lái),零售商由于需要快速補(bǔ)充庫(kù)存、定期重新配置店鋪和變更銷(xiāo)售點(diǎn)(POS)終端,以及與大量移動(dòng)辦公員工(店員、倉(cāng)管員和經(jīng)理)交流,因此一直是技術(shù)的領(lǐng)先用戶之一,在零售店、分銷(xiāo)中心和企業(yè)辦公室都能看到這項(xiàng)技術(shù)的影子。但無(wú)線技術(shù)的這種廣泛使用同時(shí)也帶來(lái)了數(shù)據(jù)丟失或被盜的可能性。為防止數(shù)據(jù)被盜,許多零售商均相應(yīng)部署加強(qiáng)了WLAN加密和認(rèn)證方法。雖然保護(hù)效果不錯(cuò),但這只解決了針對(duì)授權(quán)流量部分的安全問(wèn)題。而未授權(quán)客戶端、接入點(diǎn)(AP)及其它裝置勢(shì)必會(huì)給零售商網(wǎng)絡(luò)完整性以及它們提供訪問(wèn)的敏感客戶數(shù)據(jù)帶來(lái)嚴(yán)重威脅。

本文引用地址:http://butianyuan.cn/article/260962.htm

如果不能從各個(gè)角度做好保護(hù)工作,無(wú)線鏈接可能就給攻擊提供了一條康莊大道。這點(diǎn)對(duì)于有組織的犯罪來(lái)說(shuō)并不陌生,他們通過(guò)無(wú)線局域網(wǎng)發(fā)動(dòng)過(guò)幾次對(duì)零售商的攻擊,已使得幾家知名零售商面臨客戶數(shù)據(jù)和賬目丟失,受到了由于無(wú)線局域網(wǎng)安全漏洞而帶來(lái)的懲罰。

  Wi-Fi基礎(chǔ)設(shè)施如果能得到安全的部署和管理,會(huì)對(duì)企業(yè)有很大好處。為了保護(hù)網(wǎng)絡(luò)免遭那些會(huì)損害到網(wǎng)絡(luò)、持卡人數(shù)據(jù)和PCI法規(guī)遵從的威脅,零售商必須對(duì)未授權(quán)無(wú)線訪問(wèn)的安全漏洞做到心中有數(shù)。

了解無(wú)線威脅

  能夠通過(guò)無(wú)線局域網(wǎng)為企業(yè)外部人員提供未授權(quán)核心(有線)網(wǎng)絡(luò)訪問(wèn)的場(chǎng)景有以下幾種:a) 授權(quán)客戶端連接到鄰近的WLAN;b) 通過(guò)非法接入點(diǎn)連接到核心網(wǎng)絡(luò);c) 授權(quán)客戶端連接ad hoc無(wú)線網(wǎng)絡(luò)(特殊的對(duì)等式無(wú)線移動(dòng)網(wǎng)絡(luò))。所有這些場(chǎng)景的發(fā)生可能并非出于人們的本意,但它們均將核心網(wǎng)絡(luò)置于風(fēng)險(xiǎn)中。

接入鄰近的WLAN

  無(wú)線網(wǎng)絡(luò)的容量決定了,多個(gè)鄰近零售店、購(gòu)物中心或地方性Wi-Fi網(wǎng)絡(luò)形成一個(gè)開(kāi)放式不安全網(wǎng)絡(luò)的可能性非常高。無(wú)線信號(hào)常游離于大樓物理邊界外或外墻外,因此零售商的辦公室、分銷(xiāo)中心或店鋪都可能會(huì)接收到這些信號(hào)。如果鄰近的無(wú)線WLAN未采取安全保護(hù)措施,如:不要求強(qiáng)認(rèn)證或加密就可獲得訪問(wèn)權(quán),那么零售商環(huán)境中的筆記本電腦、智能手機(jī)、POS設(shè)備等無(wú)線客戶端設(shè)備均可能連接到未授權(quán)WLAN中。當(dāng)被連接到未授權(quán)無(wú)線WLAN時(shí),用戶就擁有無(wú)企業(yè)監(jiān)督的無(wú)限制互聯(lián)網(wǎng)訪問(wèn)權(quán)。企業(yè)中不道德的員工可能利用這條途徑泄露零售商或客戶保密信息。即便是這個(gè)未授權(quán)連接并非出于人們本意,它也可能帶來(lái)麻煩。如果無(wú)線設(shè)備同時(shí)還被插入到有線以太網(wǎng)中,那么就等于用戶架起了一座連接核心網(wǎng)絡(luò)的橋梁,提供了對(duì)這個(gè)商家特權(quán)信息的完全訪問(wèn)權(quán)。

攻擊

  我們都知道的一種稱為攻擊(honeypot attack)的無(wú)線竊取方案,它就是利用了這些因疏忽而導(dǎo)致未授權(quán)的外部WLAN連接。在安全防護(hù)領(lǐng)域中,關(guān)于“”定義有許多種。假設(shè)是無(wú)線局域網(wǎng),那么一個(gè)蜜罐就相當(dāng)于一個(gè)配置為與該零售商無(wú)線局域網(wǎng)吻合的接入點(diǎn)。黑客們可先在零售商的停車(chē)場(chǎng)建立接入點(diǎn),然后放大信號(hào)吸引授權(quán)零售客戶端連接到蜜罐中而不是零售商網(wǎng)絡(luò)。一連接到欺騙接入點(diǎn),黑客們就可采集用戶名和密碼,隨后利用這些信息如同他們就是本企業(yè)員工般登錄(如:闖入)零售商網(wǎng)絡(luò)。

非法接入點(diǎn)

  非法接入點(diǎn)系指連接零售商網(wǎng)絡(luò)的未授權(quán)AP,通常在企業(yè)員工希望在工作區(qū)域可移動(dòng)辦公而安裝無(wú)線AP的時(shí)候出現(xiàn),它的出發(fā)點(diǎn)并無(wú)惡意。遺憾的是,消費(fèi)級(jí)接入點(diǎn)在出貨時(shí)一般會(huì)關(guān)閉其安全功能,這樣一來(lái)當(dāng)企業(yè)內(nèi)部員工從防火墻后連接到以太網(wǎng)時(shí)就為企業(yè)外部人員提供了一個(gè)直接鏈入機(jī)會(huì)。此外,由于零售商是這類(lèi)罪犯的首選目標(biāo),因此這些欺騙接入點(diǎn)讓零售商很容易受到不道德身份竊賊的攻擊。

配置不恰當(dāng)?shù)氖跈?quán)接入點(diǎn)

  如果一個(gè)授權(quán)接入點(diǎn)重設(shè)為默認(rèn)設(shè)置,或正好相反,它就喪失了安全設(shè)置而成為了一個(gè)“開(kāi)放的”接入點(diǎn),那么它也就成為了前往核心零售網(wǎng)絡(luò)的一個(gè)通道。

Ad hoc無(wú)線網(wǎng)絡(luò)

  隨著無(wú)線功能在筆記本電腦中逐漸標(biāo)準(zhǔn)化以及在智能手機(jī)、打印機(jī)甚至POS設(shè)備中逐漸普及, Ad hoc無(wú)線網(wǎng)絡(luò)開(kāi)放的功能也越來(lái)越多。Ad hoc無(wú)線網(wǎng)絡(luò)系指兩個(gè)無(wú)線設(shè)置相互間直接連接時(shí)形成了網(wǎng)絡(luò)。由于Windows®操作系統(tǒng)本身就內(nèi)嵌有這項(xiàng)功能且功能默認(rèn)為“打開(kāi)”狀態(tài),因此這種連接非常容易建立。如果零售商員工的筆記本電腦被同時(shí)插入到有線以太網(wǎng)中,那么其它無(wú)線客戶端就擁有對(duì)零售商網(wǎng)絡(luò)的無(wú)限制訪問(wèn)權(quán)。這種訪問(wèn)可能會(huì)泄露員工計(jì)算機(jī)內(nèi)和商家網(wǎng)絡(luò)中的保密信息。

  零售商TK Maxx公司就曾被闖入其母公司——TJX公司無(wú)線局域網(wǎng)的黑客盜走了4500萬(wàn)份客戶記錄。TJX只采用了最弱的一種無(wú)線局域網(wǎng)安全防護(hù)方式——WEP協(xié)議來(lái)保護(hù)其無(wú)線網(wǎng)絡(luò)的安全。罪犯竊取的記錄包括了2005年下半年和2006年一整年的數(shù)百萬(wàn)個(gè)信用卡號(hào)碼。

  據(jù)《華爾街日?qǐng)?bào)》消息,黑客先是破解了美國(guó)明尼蘇達(dá)州一家商店的核價(jià)設(shè)備、收銀機(jī)與計(jì)算機(jī)間數(shù)據(jù)傳輸所用的WEP加密協(xié)議;接著采集員工所提交的信息,登錄該公司在馬薩諸塞州的中央數(shù)據(jù)庫(kù),竊取用戶名和密碼。

  黑客們還利用這些信息,在TJX公司的系統(tǒng)中建立了他們自己的賬戶;在接下來(lái)18個(gè)月時(shí)間里,通過(guò)使用軟件采集了包括信用卡號(hào)碼在內(nèi)將近100個(gè)大型文件的交易數(shù)據(jù)。而且TJX公司對(duì)發(fā)送給銀行的交易信息都未進(jìn)行加密,不用說(shuō)這些也肯定成為黑客們的囊中之物。據(jù)《華爾街日?qǐng)?bào)》消息,攻擊者甚至在TJX公司網(wǎng)絡(luò)中留下了加密消息,相互轉(zhuǎn)告對(duì)方已復(fù)制了哪些文件。

防護(hù)零售商網(wǎng)絡(luò)

  傳統(tǒng)的計(jì)算機(jī)安全產(chǎn)品,像防火墻、VPN等,只能在數(shù)據(jù)到達(dá)有線網(wǎng)絡(luò)內(nèi)時(shí)才提供保護(hù)。這些產(chǎn)品無(wú)法監(jiān)視在空氣中傳輸?shù)臒o(wú)線流量。為了保護(hù)全球網(wǎng)絡(luò)免遭上述無(wú)線威脅并保持對(duì)PCI準(zhǔn)則的遵從,零售商的IT機(jī)構(gòu)還須部署無(wú)線入侵檢測(cè)和防護(hù)解決方案,如:HP ProCurve RF Manager,它可作為HP ProCurve Intelligent Mobility Solution(HP ProCurve智能移動(dòng)解決方案)中無(wú)線加密和認(rèn)證功能的良好補(bǔ)充。該系統(tǒng)可防范未授權(quán)WLAN行為,同時(shí)還不會(huì)對(duì)零售端無(wú)線網(wǎng)絡(luò)上授權(quán)流量的性能和流通產(chǎn)生任何影響;它不僅可同時(shí)攔截多個(gè)來(lái)自未授權(quán)客戶端和接入點(diǎn)的威脅,而且還可通過(guò)不間斷掃描找出其它問(wèn)題。RF Manager使得網(wǎng)絡(luò)管理員能夠針對(duì)WLAN上所允許的流量類(lèi)型以及應(yīng)用于未授權(quán)流量上的自動(dòng)化保護(hù)等級(jí)來(lái)完善策略。RF Manager還可自動(dòng)識(shí)別未授權(quán)無(wú)線行為,即時(shí)采取行動(dòng)來(lái)防止這種行為,這意味著零售商無(wú)需IT經(jīng)理24x7全天候待命即可開(kāi)始防護(hù)。

維持網(wǎng)絡(luò)完整性和對(duì)相關(guān)PCI要求的遵從

  PCI標(biāo)準(zhǔn)中直接影響無(wú)線局域網(wǎng)的要求有10個(gè)。根據(jù)PCI安全評(píng)估準(zhǔn)則,法規(guī)遵從驗(yàn)證的范圍包括了所有進(jìn)入商家網(wǎng)絡(luò)的外部連接(如:?jiǎn)T工遠(yuǎn)程訪問(wèn)、支付卡公司、第三方事務(wù)處理和維護(hù)訪問(wèn))。假定無(wú)線局域網(wǎng)能夠且確實(shí)在辦公室、店鋪和倉(cāng)庫(kù)設(shè)施中提供了進(jìn)入商家網(wǎng)絡(luò)的外部連接, 那么必須確保在所有這些環(huán)境中WLAN都能受到安全保護(hù)。

  1. 安裝并維護(hù)防火墻配置以保護(hù)數(shù)據(jù)安全

  2. 不使用供應(yīng)商提供的默認(rèn)系統(tǒng)密碼及其它安全參數(shù)

  3. 保護(hù)已存儲(chǔ)的持卡人數(shù)據(jù)

  4. 在開(kāi)放式公共網(wǎng)絡(luò)上傳輸持卡人和敏感信息時(shí)進(jìn)行加密

  5. 限制按業(yè)務(wù)須知對(duì)持卡人數(shù)據(jù)的訪問(wèn)

  6. 為通過(guò)計(jì)算機(jī)訪問(wèn)的每個(gè)人分配一個(gè)獨(dú)一無(wú)二的ID

  7. 限制對(duì)持卡人數(shù)據(jù)的物理訪問(wèn)

  8. 追蹤并監(jiān)控對(duì)網(wǎng)絡(luò)資源和持卡人數(shù)據(jù)的所有訪問(wèn)

  9. 定期測(cè)試安全系統(tǒng)和流程

  10. 維持一套旨在解決員工和合約人問(wèn)題的策略

總結(jié)

  在當(dāng)今競(jìng)爭(zhēng)特別激烈的零售環(huán)境中,無(wú)線局域網(wǎng)是提供移動(dòng)性、生產(chǎn)率和競(jìng)爭(zhēng)優(yōu)勢(shì)的一個(gè)關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施組件。然而在帶來(lái)優(yōu)勢(shì)的同時(shí),這種技術(shù)也帶來(lái)了新的安全威脅,可能對(duì)網(wǎng)絡(luò)總體安全性和企業(yè)信譽(yù)造成損害。正如在有線網(wǎng)絡(luò)中我們也不能百分百保證多層防護(hù)能緩解所有威脅,因?yàn)楹诳蛡兛偸菚?huì)想出新的滲透方案。同樣的,零售商也必須部署企業(yè)就緒、基于標(biāo)準(zhǔn)的WLAN基礎(chǔ)設(shè)施和安全解決方案來(lái)滿足PCI法規(guī)遵從要求并提供最高水平保護(hù),確保自身不處于風(fēng)險(xiǎn)中。



評(píng)論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉