Monitoreo inalámbrico de actividad para el cumplimiento de PCI DSS

Navega tus respuestas
12

En un esfuerzo por ser compatible con PCI DSS, tomé un cuestionario de trustkeeper.net. Fallé la pregunta que hace:

  

¿Se comprueba la presencia de puntos de acceso inalámbricos utilizando un analizador inalámbrico al menos trimestralmente o implementando un IDS / IPS inalámbrico para identificar todos los dispositivos inalámbricos en uso? (SAQ # 11.1)

Mi único punto de acceso inalámbrico está fuera de mi firewall, por lo que incluso si descifraste mi conexión inalámbrica, no podrías ingresar dentro de mi dominio que se ejecuta en Windows 2000 (a menos que también lo hagas). Mi firewall es un Sonicwall Pro 2040 y no tiene IPS. No podría saber si tenía IDS. El enrutador es un enlace D de 8 puertos.

Busqué un analizador inalámbrico, pero lo que encontré fue de $ 500, que es un poco caro para mi empresa de tamaño. Incluso si lo tengo, no estoy seguro de que entendería lo que me dice. Seguramente hay empresas más pequeñas / menos sofisticadas que aceptan tarjetas de crédito y han resuelto esto.

¿Cuáles son los riesgos si alguien rompiera mi red inalámbrica? (¿Podrían leer todo el tráfico de Internet? ¿Solo el tráfico inalámbrico? ¿Usar mi conexión a Internet?) ¿Y cuál es la mejor / más barata manera de probar mi punto de conexión trimestralmente? ¿Debo comprar el analizador de $ 500?

Actualizar El procesador de mi tarjeta de crédito dice que puedo cumplir con este requisito caminando por el edificio y buscando visualmente dispositivos inalámbricos no autorizados.

    
pregunta kalina 12.05.2010 - 16:07
fuente

4 respuestas

4

Para responder a sus preguntas:

Si alguien pudiera violar su seguridad inalámbrica, es posible que pueda detectar todo lo que pasa a través de su red inalámbrica. Sin embargo, es posible que piense que esto es solo un pequeño riesgo. Si este tráfico incluye nombres de usuario o contraseñas que no están encriptadas, entonces podrían estar en riesgo, lo que debilitaría aún más la seguridad.

Si podrían obtener acceso a una cuenta en el punto de acceso inalámbrico, existe un mayor riesgo de que la conexión se conecte a su red.

No necesariamente compraría un analizador si tienes un iPhone, una computadora portátil u otro dispositivo móvil, ya que puedes obtener aplicaciones gratuitas para hacer exactamente esto :-)

En cuanto a la pregunta en sí, es discutible la seguridad que le dará una exploración trimestral; realmente solo detectará los dispositivos inalámbricos permanentes o los que estén encendidos en el momento de la exploración. sin embargo, para obtener su casilla de verificación PCI-DSS es mejor que lo haga de todos modos. Como dice @AviD:

  

El cumplimiento de PCI reduce el riesgo de   sanciones por incumplimiento

    
respondido por el Rory Alsop 03.01.2011 - 00:18
fuente
2

El riesgo no es necesariamente que alguien rompa tu red inalámbrica. El riesgo es que un dispositivo inalámbrico no autorizado se conecte a su red. Eso es lo que se supone que debes escanear (creo).

    
respondido por el developmentalinsanity 12.05.2010 - 17:04
fuente
2

Un consejo alternativo aún no discutido: con una tarjeta que lo admita, use Wireshark con la tarjeta en modo promiscuo. Debería poder escuchar la existencia de cualquier tráfico wifi de esa manera, incluidas las unidades que no transmiten su SSID.

    
respondido por el Jeff Ferland 03.01.2011 - 19:38
fuente
-1

Escanear su teléfono para que sea compatible con PCI DSS no es realmente una opción. El escaneo debe ser realizado por un proveedor de escaneo aprobado (ASV) para que usted cumpla con los requisitos. No gastes los 500 dólares. Un ASV lo hará por una fracción del costo. Estoy de acuerdo en que esto es solo una instantánea cada trimestre y en busca de vulnerabilidades y cualquier dato de tarjeta de crédito no segura que pueda estar almacenando. Por lo tanto, si puede rastrear la aplicación gratuita que buscará intrusiones inalámbricas, probablemente debería hacerlo también. La aplicación gratuita sola (o la aplicación de $ 500) no calificará para PCI DSS.

    
respondido por el Greg 09.03.2012 - 18:14
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede el Process Hacker ver la memoria de mi administrador de contraseñas sin derechos administrativos? ¿Cómo puedo detectar qué aplicación de fondo está usando la cámara, el micrófono o GPRS?