1: debe escanear en todos los lugares a los que pueda acceder un cliente inalámbrico dentro del alcance, pero también en todos los lugares cercanos a todas las ubicaciones que estén dentro del alcance. Las exploraciones en exteriores no son necesarias si no tiene también clientes wifi que operen en el exterior, como los trabajadores dentro del alcance que están en las ubicaciones externas con sus computadoras portátiles y navegando. Pero un escaneo en el interior del perímetro de la zona de PCI DSS es una obligación, pero también en algún lugar en las regiones medias para que no se pierda un AP que se transmita débilmente en el centro.
Esto significa efectivamente que también necesita, si tiene trabajadores remotos:
- Implemente una VPN o un cifrado obligatorio, que no puedan ser desactivados por los trabajadores remotos, que dejen al espacio aéreo fuera del alcance. Tenga en cuenta que no es suficiente simplemente para aplicar VPN / cifrado mientras trabaja con datos de la tarjeta, ya que una persona malintencionada puede insertar malware mientras la computadora está sin VPN. Este método significará que los portales cautivos no funcionarán. (El cifrado WLAN no cuenta)
- O, deshabilite mediante programación la tarjeta wifi en los trabajadores remotos que utilizan la administración de algunos dispositivos, mientras están fuera del sitio.
De lo contrario, todas las ubicaciones que visita el dispositivo se convierten efectivamente en el alcance. Buena suerte al aplicar PCI DSS para el lobby de un hotel o habitación de hotel.
Sin embargo, las ubicaciones de autoservicio, como usted dice, no necesitan ser escaneadas. Si aprueba la solución P2PE (Cifrado punto a punto) y UPT (Terminal de pago desatendido) y se asegura de que el personal en la ubicación de autoservicio NO tenga acceso a las claves de cifrado, ha tomado el extremo local de la autoservicio. Ubicación del servicio fuera del alcance, y no es necesario ningún escaneo de Wifi. Sin embargo, el terminal P2PE / UPT real todavía está dentro del alcance.
Debe pensar "¿Qué sucede si alguien pone un punto de acceso no autorizado aquí? Por ejemplo, un punto de acceso malicioso, que distribuye malware o roba datos, y engaña a una máquina o persona para que se conecte a él, tal vez por tener el mismo. SSID ". Lo mismo ocurre con una persona maliciosa que inserta un punto de acceso en la red dentro del alcance.
2: una PC con wifi decente funcionará, pero también necesita herramientas que le permitan grabar o monitorear la dirección MAC del AP, y también ver todos los puntos de acceso accesibles (por ejemplo, no se debe tener acceso a un punto de acceso múltiple con el mismo SSID) consolidados en uno). También necesita una antena decente, ya que una antena incorporada en una computadora portátil podría no ser suficiente para detectar los puntos de acceso lo suficientemente lejos.
Debe prepararse para lo peor, como un trabajador que coloca una antena decente y accede a un punto de acceso no autorizado.
La solución también debe poder grabar puntos de acceso P2P, por lo que un dispositivo móvil con Android no es suficiente, ya que la visualización de los puntos de acceso P2P en un Android requiere raíz.
Y para elaborar tu pregunta / respuesta también:
También necesita un programa de acción, SI se encuentra un AP no autorizado o no autorizado. Para un AP no autorizado, es fácil simplemente rastrearlo y luego desconectarlo de su red. (AP no autorizado = un AP que está conectado a una red sin la autorización del administrador de la red, independientemente del SSID)
Un punto de acceso no autorizado (que está definido por un punto de acceso que tiene el mismo SSID o MAC que un punto de acceso "autorizado", pero puede estar ubicado en cualquier lugar) es un poco más difícil de tratar. Como es posible que un punto de acceso no autorizado esté en su red / instalaciones, que pueda estar en las instalaciones del vecino, es posible que deba recurrir a acciones legales para deshacerse de eso. Podría comenzar a rastrearlo y, cuando se ubique su ubicación aproximada, envíe una carta de cese y desistimiento al administrador de ese edificio, e incluso envíe FCC o Policía a esa ubicación.
Nombrar un AP igual a alguien involucrado en las tarjetas de pago, en un esfuerzo por lograr que las personas se conecten a eso, es una clara violación del uso indebido de la computadora y también podría clasificarse como fraude.
Otra solución puede ser falsificar paquetes deauth para ese punto de acceso deshonesto (algunos escáneres AP rogue pueden hacer esto automáticamente después de detectar uno malintencionado) para evitar que un cliente autorizado dentro del alcance se conecte con el rogue, pero esto puede tener su complicaciones legales propias, ya que está interfiriendo con el equipo que no posee o tiene autorización para operar.