零售行业如何避免无线局域网的安全漏洞.docVIP

　　支付卡行业（PCI）数据安全标准（DSS）于2004年由美国运通公司（American Express）、万事达卡国际组织（MasterCard Worldwide）和VISA国际组织（Visa International）等几家主流信用卡公司共同创建，旨在为客户的信用卡数据和个人信息提供安全和隐私权保护。为了保护持卡人免遭身份窃取，PCI标准对所有相关数据的存储、处理和传输均设置了具体准则。 　　长久以来，零售商由于需要快速补充库存、定期重新配置店铺和变更销售点（POS）终端，以及与大量移动办公员工（店员、仓管员和经理）交流，因此一直是无线局域网技术的领先用户之一，在零售店、分销中心和企业办公室都能看到这项技术的影子。但无线技术的这种广泛使用同时也带来了数据丢失或被盗的可能性。为防止数据被盗，许多零售商均相应部署加强了WLAN加密和认证方法。虽然保护效果不错，但这只解决了针对授权流量部分的无线局域网安全问题。而未授权无线局域网客户端、接入点（AP）及其它装置势必会给零售商网络完整性以及它们提供访问的敏感客户数据带来严重威胁。 　　如果不能从各个角度做好保护工作，无线链接可能就给攻击提供了一条康庄大道。这点对于有组织的犯罪来说并不陌生，他们通过无线局域网发动过几次对零售商的攻击，已使得几家知名零售商面临客户数据和账目丢失，受到了由于无线局域网安全漏洞而带来的惩罚。 　　Wi-Fi基础设施如果能得到安全的部署和管理，会对企业有很大好处。为了保护网络免遭那些会损害到网络、持卡人数据和PCI法规遵从的威胁，零售商必须对未授权无线访问的安全漏洞做到心中有数。 　　了解无线威胁 　　能够通过无线局域网为企业外部人员提供未授权核心（有线）网络访问的场景有以下几种：a) 授权客户端连接到邻近的WLAN；b) 通过非法接入点连接到核心网络；c) 授权客户端连接ad hoc无线网络（特殊的对等式无线移动网络）。所有这些场景的发生可能并非出于人们的本意，但它们均将核心网络置于风险中。 　　接入邻近的WLAN 　　无线网络的容量决定了，多个邻近零售店、购物中心或地方性Wi-Fi网络形成一个开放式不安全网络的可能性非常高。无线信号常游离于大楼物理边界外或外墙外，因此零售商的办公室、分销中心或店铺都可能会接收到这些信号。如果邻近的无线WLAN未采取安全保护措施，如：不要求强认证或加密就可获得访问权，那么零售商环境中的笔记本电脑、智能手机、POS设备等无线客户端设备均可能连接到未授权WLAN中。当被连接到未授权无线WLAN时，用户就拥有无企业监督的无限制互联网访问权。企业中不道德的员工可能利用这条途径泄露零售商或客户保密信息。即便是这个未授权连接并非出于人们本意，它也可能带来麻烦。如果无线设备同时还被插入到有线以太网中，那么就等于用户架起了一座连接核心网络的桥梁，提供了对这个商家特权信息的完全访问权。 　　蜜罐攻击 　　我们都知道的一种称为蜜罐攻击（honeypot attack）的无线窃取方案，它就是利用了这些因疏忽而导致未授权的外部WLAN连接。在安全防护领域中，关于“蜜罐”定义有许多种。假设是无线局域网，那么一个蜜罐就相当于一个配置为与该零售商无线局域网吻合的接入点。黑客们可先在零售商的停车场建立接入点，然后放大信号吸引授权零售客户端连接到蜜罐中而不是零售商网络。一连接到欺骗接入点，黑客们就可采集用户名和密码，随后利用这些信息如同他们就是本企业员工般登录（如：闯入）零售商网络。 　　非法接入点 　　非法接入点系指连接零售商网络的未授权AP，通常在企业员工希望在工作区域可移动办公而安装无线AP的时候出现，它的出发点并无恶意。遗憾的是，消费级接入点在出货时一般会关闭其安全功能，这样一来当企业内部员工从防火墙后连接到以太网时就为企业外部人员提供了一个直接链入机会。此外，由于零售商是这类罪犯的首选目标，因此这些欺骗接入点让零售商很容易受到不道德身份窃贼的攻击。 　　配置不恰当的授权接入点 　　如果一个授权接入点重设为默认设置，或正好相反，它就丧失了安全设置而成为了一个“开放的”接入点，那么它也就成为了前往核心零售网络的一个通道。 　　Ad hoc无线网络 　　随着无线功能在笔记本电脑中逐渐标准化以及在智能手机、打印机甚至POS设备中逐渐普及， Ad hoc无线网络开放的功能也越来越多。Ad hoc无线网络系指两个无线设置相互间直接连接时形成了网络。由于Windows?操作系统本身就内嵌有这项功能且功能默认为“打开”状态，因此这种连接非常容易建立。如果零售商员工的笔记本电脑被同时插入到有线以太网中，那么其它无线客户端就拥有对零售商网络的无限制访问权。这种访问可能会泄露员工计算机内和商家网络中的保密信息。 　　零售商TK M