¿Escaneo inalámbrico efectivo para cumplir con PCI DSS 11.1?

Navega tus respuestas
4

La sección 11.2 de PCI-DSS requiere que la empresa "pruebe la presencia de redes inalámbricas puntos de acceso y detectar puntos de acceso inalámbricos no autorizados ". Sin embargo, es más fácil decirlo que hacerlo. Simplemente escanear para detectar puntos de acceso inalámbricos (como muchos sugirieron aquí ) extrae más de 120 puntos de acceso, tanto en los pisos adyacentes de nuestro edificio como en los edificios circundantes; en un caso, una tienda por departamentos de media docena de pisos abajo y en un largo bloque de distancia!

El mayor problema con los recorridos es que la intensidad de la señal es una herramienta pobre para la ubicación, y como @AviD señaló en el otro hilo, un AP inalámbrico podría ser tan pequeño u oculto que es muy poco probable que se detecte en un recorrido. ¿Hay antenas baratas y fácilmente disponibles para proporcionar buenas señales direccionales, la triangulación de un hombre pobre?

Sé que las soluciones de IDS inalámbricas como Aruba Networks pueden implementar sensores para realizar triangulación. He visto muy pocas soluciones de este tipo implementadas en realidad, y cuando se implementan requieren cuidado y ajuste sensibles. No estoy ansioso por ver cómo se vería la tasa de falsos positivos dada la cantidad de puntos de acceso en los pisos superiores e inferiores a nosotros. ¿Pero tal vez alguien tiene experiencia con un producto que sintió que valía la pena?

Entonces, supongo que mi pregunta es: ¿qué están haciendo las personas para cumplir con el 11.1 que proporciona algún beneficio de seguridad, en lugar de cumplir con las políticas?

(También me resulta difícil abarcar este problema porque no tiene sentido. La mayoría de los teléfonos celulares podrían proporcionar una conexión entre la red corporativa y el mundo exterior y ser invisibles al escaneo inalámbrico. Y si se escaneara, lo haría luce igual que todas las abejas obreras que usan sus teléfonos, y no puede ser atascado legalmente. Pero eso no está en PCI-DSS, así que no te preocupes por eso.)

    
pregunta gowenfawr 01.10.2012 - 16:21
fuente

3 respuestas

5
  

Entonces, supongo que mi pregunta es: ¿qué están haciendo las personas para cumplir con el 11.1 que proporciona algún beneficio de seguridad, en lugar de cumplir con las políticas?

Consulte la sección 11.1b, ya que es la parte integral de la prueba:

  

11.1.b Verifique que la metodología sea adecuada para detectar y   identificar cualquier punto de acceso inalámbrico no autorizado, incluyendo al menos   lo siguiente:

     
  • Tarjetas WLAN insertadas en los componentes del sistema
    •   
  • Dispositivos inalámbricos portátiles conectados a componentes del sistema   (por ejemplo, por USB, etc.)
    •   
  • Dispositivos inalámbricos conectados a un puerto de red o dispositivo de red
    •   

Nada de esto se relaciona con encontrar señales de radio . En lo que debería concentrarse es en tener un inventario regular de sistemas informáticos con detección efectiva de cambios en el hardware instalado. Dado que es probable que casi todo en su ámbito de aplicación PCI-DSS sea una máquina cableada a la que los administradores de red / sistema tengan acceso administrativo (y los usuarios no), esta tarea no debería ser demasiado difícil. Si, por alguna razón, sus máquinas tienen dispositivos inalámbricos que necesitan habilitarse, controle y supervise su configuración para permanecer en su red.

  • Evita que el hardware se active sin privilegios administrativos

  • Inventario de hardware

  • Evita que los usuarios tengan derechos para configurar el hardware que está allí

  • Registre los cambios en la configuración del hardware (instalación, parámetros del controlador)

La segunda parte es control de puerto. Lo ideal es utilizar 802.1X-2010. Registre cualquier dirección de hardware no reconocida y cualquier transferencia de una dirección entre diferentes puertos de conmutador.

    
respondido por el Jeff Ferland 01.10.2012 - 18:44
fuente
2

Comenzaría mi respuesta como con el cumplimiento de PCI, es decir, verifique lo que requiere su QSA, he visto un par de razonamientos diferentes en el lado inalámbrico de las cosas y son los tipos que firman. cumplimiento ...

Dicho esto, hago un poco de revisión inalámbrica y para ubicar los AP, lo que generalmente encuentro es que las antenas direccionales no siempre son la mejor solución. Si va a utilizar el método de escaneo lateral inalámbrico (a diferencia de WIDS o escaneo lateral cableado), simplemente utilice una tarjeta inalámbrica de potencia relativamente baja (que admita rangos de 2,4 GHz y 5 GHz) en una computadora portátil que admita el modo de monitor + AirDump -ng o kismet debería funcionar relativamente bien.

Como metodología básica, recorra el sitio con la tarjeta y observe todas las señales. Si ha cubierto todo el sitio en ese momento y la señal más fuerte que recibe es realmente débil, es poco probable que el AP esté ubicado en su sitio (nota al margen, sé que es posible que alguien haya escondido un AP de baja potencia deliberadamente en algún lugar en un sitio, pero a menos que su modelo de amenaza lo haga un riesgo probable, personalmente no me preocuparía demasiado por ello).

Además de esto, otra cosa que hay que hacer es hacer una revisión desde fuera del sitio y observar la intensidad de la señal allí. Si es mucho más fuerte en el exterior que en el interior, ese es otro indicador de que es probable que no esté ubicado dentro de su sitio.

Luego, una vez que tenga la lista de puntos de acceso, descarte los que sabe que tiene y, si le quedan algunas incógnitas, use airodump-ng o kismet (personalmente prefiero airodump-ng para esto) con el escáner bloqueado en el canal y BSSID del AP que estás buscando. luego camina por el edificio hasta que obtengas la señal más fuerte posible. Por lo general, en este punto, si puede obtener una señal fuerte, estará lo suficientemente cerca del punto de acceso para poder verlo (o preguntar a alguien si alguien tiene un punto de acceso en ejecución (por ejemplo, dispositivos de puntos de acceso personales). está bloqueando el canal para que el escáner no salte mucho, hace que el seguimiento de los AP sea mucho más fácil.

    
respondido por el Rоry McCune 01.10.2012 - 20:24
fuente
1

La última línea de puntos de acceso inalámbrico IAP de Aruba Networks ofrece IDS que puede escanear, detectar y disuadir puntos de acceso inalámbrico no autorizados. Recientemente detectamos uno conectado incorrectamente a nuestra LAN en uno de nuestros sitios remotos.

    
respondido por el Lee 15.02.2017 - 12:27
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el propósito de usar los identificadores alfanuméricos del estilo de Youtube como slugs de URL? ¿Authenticode aún funciona sin conexión y con un certificado "falso"