當前位置：首頁 >互聯網?IT > 管理信息化 > 軟件 > ERP > 正文

保證數據安全避免無線局域網漏洞

來源：：ENI經濟和信息化網 2010-05-18 10:46:22

Wi-Fi基礎設施如果能得到安全的部署和管理，會對企業(yè)有很大好處。為了保護網絡免遭那些會損害到網絡、持卡人數據和PCI法規(guī)遵從的威脅，零售商必須對未授權無線訪問的安全漏洞做到心中有數。

支付卡行業(yè)（PCI）數據安全標準（DSS）于2004年由美國運通公司（American Express）、萬事達卡國際組織（MasterCard Worldwide）和VISA國際組織（Visa International）等幾家主流信用卡公司共同創(chuàng)建，旨在為客戶的信用卡數據和個人信息提供安全和隱私權保護。為了保護持卡人免遭身份竊取，PCI標準對所有相關數據的存儲、處理和傳輸均設置了具體準則。

長久以來，零售商由于需要快速補充庫存、定期重新配置店鋪和變更銷售點（POS）終端，以及與大量移動辦公員工（店員、倉管員和經理）交流，因此一直是無線局域網技術的領先用戶之一，在零售店、分銷中心和企業(yè)辦公室都能看到這項技術的影子。但無線技術的這種廣泛使用同時也帶來了數據丟失或被盜的可能性。為防止數據被盜，許多零售商均相應部署加強了WLAN加密和認證方法。雖然保護效果不錯，但這只解決了針對授權流量部分的無線局域網安全問題。而未授權無線局域網客戶端、接入點（AP）及其它裝置勢必會給零售商網絡完整性以及它們提供訪問的敏感客戶數據帶來嚴重威脅。

如果不能從各個角度做好保護工作，無線鏈接可能就給攻擊提供了一條康莊大道。這點對于有組織的犯罪來說并不陌生，他們通過無線局域網發(fā)動過幾次對零售商的攻擊，已使得幾家知名零售商面臨客戶數據和賬目丟失，受到了由于無線局域網安全漏洞而帶來的懲罰。

　　了解無線威脅

能夠通過無線局域網為企業(yè)外部人員提供未授權核心（有線）網絡訪問的場景有以下幾種：a）授權客戶端連接到鄰近的WLAN；b）通過非法接入點連接到核心網絡；c）授權客戶端連接ad hoc無線網絡（特殊的對等式無線移動網絡）。所有這些場景的發(fā)生可能并非出于人們的本意，但它們均將核心網絡置于風險中。

　　接入鄰近的WLAN

無線網絡的容量決定了，多個鄰近零售店、購物中心或地方性Wi-Fi網絡形成一個開放式不安全網絡的可能性非常高。無線信號常游離于大樓物理邊界外或外墻外，因此零售商的辦公室、分銷中心或店鋪都可能會接收到這些信號。如果鄰近的無線WLAN未采取安全保護措施，如：不要求強認證或加密就可獲得訪問權，那么零售商環(huán)境中的筆記本電腦、智能手機、POS設備等無線客戶端設備均可能連接到未授權WLAN中。當被連接到未授權無線WLAN時，用戶就擁有無企業(yè)監(jiān)督的無限制互聯網訪問權。企業(yè)中不道德的員工可能利用這條途徑泄露零售商或客戶保密信息。即便是這個未授權連接并非出于人們本意，它也可能帶來麻煩。如果無線設備同時還被插入到有線以太網中，那么就等于用戶架起了一座連接核心網絡的橋梁，提供了對這個商家特權信息的完全訪問權。

　　蜜罐攻擊

我們都知道的一種稱為蜜罐攻擊（honeypot attack）的無線竊取方案，它就是利用了這些因疏忽而導致未授權的外部WLAN連接。在安全防護領域中，關于蜜罐定義有許多種。假設是無線局域網，那么一個蜜罐就相當于一個配置為與該零售商無線局域網吻合的接入點。黑客們可先在零售商的停車場建立接入點，然后放大信號吸引授權零售客戶端連接到蜜罐中而不是零售商網絡。一連接到欺騙接入點，黑客們就可采集用戶名和密碼，隨后利用這些信息如同他們就是本企業(yè)員工般登錄（如：闖入）零售商網絡。

非法接入點

非法接入點系指連接零售商網絡的未授權AP，通常在企業(yè)員工希望在工作區(qū)域可移動辦公而安裝無線AP的時候出現，它的出發(fā)點并無惡意。遺憾的是，消費級接入點在出貨時一般會關閉其安全功能，這樣一來當企業(yè)內部員工從防火墻后連接到以太網時就為企業(yè)外部人員提供了一個直接鏈入機會。此外，由于零售商是這類罪犯的首選目標，因此這些欺騙接入點讓零售商很容易受到不道德身份竊賊的攻擊。

配置不恰當的授權接入點

如果一個授權接入點重設為默認設置，或正好相反，它就喪失了安全設置而成為了一個開放的接入點，那么它也就成為了前往核心零售網絡的一個通道。

Ad hoc無線網絡

隨著無線功能在筆記本電腦中逐漸標準化以及在智能手機、打印機甚至POS設備中逐漸普及， Ad hoc無線網絡開放的功能也越來越多。Ad hoc無線網絡系指兩個無線設置相互間直接連接時形成了網絡。由于Windows®操作系統(tǒng)本身就內嵌有這項功能且功能默認為打開狀態(tài)，因此這種連接非常容易建立。如果零售商員工的筆記本電腦被同時插入到有線以太網中，那么其它無線客戶端就擁有對零售商網絡的無限制訪問權。這種訪問可能會泄露員工計算機內和商家網絡中的保密信息。

零售商TK Maxx公司就曾被闖入其母公司——TJX公司無線局域網的黑客盜走了4500萬份客戶記錄。TJX只采用了最弱的一種無線局域網安全防護方式——WEP協(xié)議來保護其無線網絡的安全。罪犯竊取的記錄包括了2005年下半年和2006年一整年的數百萬個信用卡號碼。

據《華爾街日報》消息，黑客先是破解了美國明尼蘇達州一家商店的核價設備、收銀機與計算機間數據傳輸所用的WEP加密協(xié)議；接著采集員工所提交的信息，登錄該公司在馬薩諸塞州的中央數據庫，竊取用戶名和密碼。

黑客們還利用這些信息，在TJX公司的系統(tǒng)中建立了他們自己的賬戶；在接下來18個月時間里，通過使用軟件采集了包括信用卡號碼在內將近100個大型文件的交易數據。而且TJX公司對發(fā)送給銀行的交易信息都未進行加密，不用說這些也肯定成為黑客們的囊中之物。據《華爾街日報》消息，攻擊者甚至在TJX公司網絡中留下了加密消息，相互轉告對方已復制了哪些文件。

防護零售商網絡

傳統(tǒng)的計算機安全產品，像防火墻、VPN等，只能在數據到達有線網絡內時才提供保護。這些產品無法監(jiān)視在空氣中傳輸的無線流量。為了保護全球網絡免遭上述無線威脅并保持對PCI準則的遵從，零售商的IT機構還須部署無線入侵檢測和防護解決方案，如：HP ProCurve RF Manager，它可作為HP ProCurve Intelligent Mobility Solution（HP ProCurve智能移動解決方案）中無線加密和認證功能的良好補充。該系統(tǒng)可防范未授權WLAN行為，同時還不會對零售端無線網絡上授權流量的性能和流通產生任何影響；它不僅可同時攔截多個來自未授權客戶端和接入點的威脅，而且還可通過不間斷掃描找出其它問題。RF Manager使得網絡管理員能夠針對WLAN上所允許的流量類型以及應用于未授權流量上的自動化保護等級來完善策略。RF Manager還可自動識別未授權無線行為，即時采取行動來防止這種行為，這意味著零售商無需IT經理24x7全天候待命即可開始防護。

維持網絡完整性和對相關PCI要求的遵從

PCI標準中直接影響無線局域網的要求有10個。根據PCI安全評估準則，法規(guī)遵從驗證的范圍包括了所有進入商家網絡的外部連接（如：員工遠程訪問、支付卡公司、第三方事務處理和維護訪問）。假定無線局域網能夠且確實在辦公室、店鋪和倉庫設施中提供了進入商家網絡的外部連接，那么必須確保在所有這些環(huán)境中WLAN都能受到安全保護。

1.安裝并維護防火墻配置以保護數據安全

2.不使用供應商提供的默認系統(tǒng)密碼及其它安全參數

3.保護已存儲的持卡人數據

4.在開放式公共網絡上傳輸持卡人和敏感信息時進行加密

5.限制按業(yè)務須知對持卡人數據的訪問

6.為通過計算機訪問的每個人分配一個獨一無二的ID

7.限制對持卡人數據的物理訪問

8.追蹤并監(jiān)控對網絡資源和持卡人數據的所有訪問

9.定期測試安全系統(tǒng)和流程

10.維持一套旨在解決員工和合約人信息安全問題的策略

解決方案在行動

直到前不久，Wi-Fi仍主要被視為是為移動用戶提供快速互聯網訪問的一種方式。不過現在，人們越來越意識到它也為新的增值移動服務發(fā)展提供了機會。

Steen & Strøm公司就是一家這樣的公司，它在斯堪的納維亞擁有并管理著52家購物商場。該公司發(fā)現了一個潛在優(yōu)勢，即使用基于地點的服務（LBS）能夠增強顧客在商場中購物體驗。為了充分挖掘出這一潛在優(yōu)勢，它與惠普建立了合作伙伴關系，希望為丹麥奧爾胡斯市Bruun Galleri購物中心的客戶開發(fā)一款基于Wi-Fi的數字購物解決方案。

我們一直對使用尖端技術來擴展購物體驗的探索充滿興趣。也正是對技術的這種高度重視使得我們能夠始終保持市場領先地位。丹麥奧斯陸百貨公司技術經理Finn Chabert說道。

與惠普的合作伙伴關系為Steen & Strøm公司帶來了對ProCurve Networking公司革新性網絡技術解決方案的訪問。通過與一家提供基于地點服務的專業(yè)公司ProGate的協(xié)作，ProCurve開發(fā)了一套適合個人數字助理（PDA）及支持WiFi的移動電話的用戶使用的系統(tǒng)。奧爾堡大學（University of Aalborg）也參與了這一項目，幫助開發(fā)定位服務。

據Chabert表示，試安裝的運行非常順利。這在很大程度上要歸功于ProCurve Integrated Access Manager（ProCurve集成化訪問管理器）精密的安全特性以及ProCurve Wireless Access Points（ProCurve無線接入點）不管用戶有多少均可保持最佳性能的能力。

從客戶角度來說，該系統(tǒng)可以在超大型購物區(qū)域導航方面為人們提供寶貴的幫助。同時它還為人們尋找物美價廉商品提供了一條捷徑。廣泛測試表明，潛在的終端用戶對這一解決方案具有高度熱情——最引人注目的是電視中播出了一位中年婦女在使用系統(tǒng)來搜索她想要的皮箱。

總結

在當今競爭特別激烈的零售環(huán)境中，無線局域網是提供移動性、生產率和競爭優(yōu)勢的一個關鍵網絡基礎設施組件。然而在帶來優(yōu)勢的同時，這種技術也帶來了新的安全威脅，可能對網絡總體安全性和企業(yè)信譽造成損害。正如在有線網絡中我們也不能百分百保證多層防護能緩解所有威脅，因為黑客們總是會想出新的滲透方案。同樣的，零售商也必須部署企業(yè)就緒、基于標準的WLAN基礎設施和安全解決方案來滿足PCI法規(guī)遵從要求并提供最高水平保護，確保自身不處于風險中。

編輯：phpcms

關鍵字：安全零售商局域網數據