本文首先提供了无线局域网(WLAN)环境安全威胁的概述,当然其中也会有一些未注意到的地方;接着探讨了可帮助零售商部署安全可管理的Wi-Fi基础设施的解决方案,不仅要能保护自身免遭无线威胁,而且还要能满足零售行业的PCI数据传输安全标准。
支付卡行业(PCI)数据安全标准(DSS)于2004年由美国运通公司(American Express)、万事达卡国际组织(MasterCard Worldwide)和VISA国际组织(Visa International)等几家主流信用卡公司共同创建,旨在为客户的信用卡数据和个人信息提供安全和隐私权保护。为了保护持卡人免遭身份窃取,PCI标准对所有相关数据的存储、处理和传输均设置了具体准则。
长久以来,零售商由于需要快速补充库存、定期重新配置店铺和变更销售点(POS)终端,以及与大量移动办公员工(店员、仓管员和经理)交流,因此一直是无线局域网技术的领先用户之一,在零售店、分销中心和企业办公室都能看到这项技术的影子。但无线技术的这种广泛使用同时也带来了数据丢失或被盗的可能性。为防止数据被盗,许多零售商均相应部署加强了WLAN加密和认证方法。虽然保护效果不错,但这只解决了针对授权流量部分的无线局域网安全问题。而未授权无线局域网客户端、接入点(AP)及其它装置势必会给零售商网络完整性以及它们提供访问的敏感客户数据带来严重威胁。
如果不能从各个角度做好保护工作,无线链接可能就给攻击提供了一条康庄大道。这点对于有组织的犯罪来说并不陌生,他们通过无线局域网发动过几次对零售商的攻击,已使得几家知名零售商面临客户数据和账目丢失,受到了由于无线局域网安全漏洞而带来的惩罚。
Wi-Fi基础设施如果能得到安全的部署和管理,会对企业有很大好处。为了保护网络免遭那些会损害到网络、持卡人数据和PCI法规遵从的威胁,零售商必须对未授权无线访问的安全漏洞做到心中有数。
了解无线威胁
能够通过无线局域网为企业外部人员提供未授权核心(有线)网络访问的场景有以下几种:a) 授权客户端连接到邻近的WLAN;b) 通过非法接入点连接到核心网络;c) 授权客户端连接ad hoc无线网络(特殊的对等式无线移动网络)。所有这些场景的发生可能并非出于人们的本意,但它们均将核心网络置于风险中。
接入邻近的WLAN
无线网络的容量决定了,多个邻近零售店、购物中心或地方性Wi-Fi网络形成一个开放式不安全网络的可能性非常高。无线信号常游离于大楼物理边界外或外墙外,因此零售商的办公室、分销中心或店铺都可能会接收到这些信号。如果邻近的无线WLAN未采取安全保护措施,如:不要求强认证或加密就可获得访问权,那么零售商环境中的笔记本电脑、智能手机、POS设备等无线客户端设备均可能连接到未授权WLAN中。当被连接到未授权无线WLAN时,用户就拥有无企业监督的无限制互联网访问权。企业中不道德的员工可能利用这条途径泄露零售商或客户保密信息。即便是这个未授权连接并非出于人们本意,它也可能带来麻烦。如果无线设备同时还被插入到有线以太网中,那么就等于用户架起了一座连接核心网络的桥梁,提供了对这个商家特权信息的完全访问权。
蜜罐攻击
我们都知道的一种称为蜜罐攻击(honeypot attack)的无线窃取方案,它就是利用了这些因疏忽而导致未授权的外部WLAN连接。在安全防护领域中,关于"蜜罐"定义有许多种。假设是无线局域网,那么一个蜜罐就相当于一个配置为与该零售商无线局域网吻合的接入点。黑客们可先在零售商的停车场建立接入点,然后放大信号吸引授权零售客户端连接到蜜罐中而不是零售商网络。一连接到欺骗接入点,黑客们就可采集用户名和密码,随后利用这些信息如同他们就是本企业员工般登录(如:闯入)零售商网络。
非法接入点
非法接入点系指连接零售商网络的未授权AP,通常在企业员工希望在工作区域可移动办公而安装无线AP的时候出现,它的出发点并无恶意。遗憾的是,消费级接入点在出货时一般会关闭其安全功能,这样一来当企业内部员工从防火墙后连接到以太网时就为企业外部人员提供了一个直接链入机会。此外,由于零售商是这类罪犯的首选目标,因此这些欺骗接入点让零售商很容易受到不道德身份窃贼的攻击。
配置不恰当的授权接入点
如果一个授权接入点重设为默认设置,或正好相反,它就丧失了安全设置而成为了一个"开放的"接入点,那么它也就成为了前往核心零售网络的一个通道。
Ad hoc无线网络
随着无线功能在笔记本电脑中逐渐标准化以及在智能手机、打印机甚至POS设备中逐渐普及, Ad hoc无线网络开放的功能也越来越多。Ad hoc无线网络系指两个无线设置相互间直接连接时形成了网络。由于Windows®操作系统本身就内嵌有这项功能且功能默认为"打开"状态,因此这种连接非常容易建立。如果零售商员工的笔记本电脑被同时插入到有线以太网中,那么其它无线客户端就拥有对零售商网络的无限制访问权。这种访问可能会泄露员工计算机内和商家网络中的保密信息。
零售商TK Maxx公司就曾被闯入其母公司–TJX公司无线局域网的黑客盗走了4500万份客户记录。TJX只采用了最弱的一种无线局域网安全防护方式–WEP协议来保护其无线网络的安全。罪犯窃取的记录包括了2005年下半年和2006年一整年的数百万个信用卡号码。
据《华尔街日报》消息,黑客先是破解了美国明尼苏达州一家商店的核价设备、收银机与计算机间数据传输所用的WEP加密协议;接着采集员工所提交的信息,登录该公司在马萨诸塞州的中央数据库,窃取用户名和密码。
黑客们还利用这些信息,在TJX公司的系统中建立了他们自己的账户;在接下来18个月时间里,通过使用软件采集了包括信用卡号码在内将近100个大型文件的交易数据。而且TJX公司对发送给银行的交易信息都未进行加密,不用说这些也肯定成为黑客们的囊中之物。据《华尔街日报》消息,攻击者甚至在TJX公司网络中留下了加密消息,相互转告对方已复制了哪些文件。
防护零售商网络
传统的计算机安全产品,像防火墙、VPN等,只能在数据到达有线网络内时才提供保护。这些产品无法监视在空气中传输的无线流量。为了保护全球网络免遭上述无线威胁并保持对PCI准则的遵从,零售商的IT机构还须部署无线入侵检测和防护解决方案,如:HP ProCurve RF Manager,它可作为HP ProCurve Intelligent Mobility Solution(HP ProCurve智能移动解决方案)中无线加密和认证功能的良好补充。该系统可防范未授权WLAN行为,同时还不会对零售端无线网络上授权流量的性能和流通产生任何影响;它不仅可同时拦截多个来自未授权客户端和接入点的威胁,而且还可通过不间断扫描找出其它问题。RF Manager使得网络管理员能够针对WLAN上所允许的流量类型以及应用于未授权流量上的自动化保护等级来完善策略。RF Manager还可自动识别未授权无线行为,即时采取行动来防止这种行为,这意味着零售商无需IT经理24×7全天候待命即可开始防护。
维持网络完整性和对相关PCI要求的遵从
PCI标准中直接影响无线局域网的要求有10个。根据PCI安全评估准则,法规遵从验证的范围包括了所有进入商家网络的外部连接(如:员工远程访问、支付卡公司、第三方事务处理和维护访问)。假定无线局域网能够且确实在办公室、店铺和仓库设施中提供了进入商家网络的外部连接, 那么必须确保在所有这些环境中WLAN都能受到安全保护。
- 1. 安装并维护防火墙配置以保护数据安全
- 2. 不使用供应商提供的默认系统密码及其它安全参数
- 3. 保护已存储的持卡人数据
- 4. 在开放式公共网络上传输持卡人和敏感信息时进行加密
- 5. 限制按业务须知对持卡人数据的访问
- 6. 为通过计算机访问的每个人分配一个独一无二的ID
- 7. 限制对持卡人数据的物理访问
- 8. 追踪并监控对网络资源和持卡人数据的所有访问
- 9. 定期测试安全系统和流程
- 10. 维持一套旨在解决员工和合约人信息安全问题的策略
解决方案在行动
直到前不久,Wi-Fi仍主要被视为是为移动用户提供快速互联网访问的一种方式。不过现在,人们越来越意识到它也为新的增值移动服务发展提供了机会。
Steen & Strøm公司就是一家这样的公司,它在斯堪的纳维亚拥有并管理着52家购物商场。该公司发现了一个潜在优势,即使用基于地点的服务(LBS)能够增强顾客在商场中购物体验。为了充分挖掘出这一潜在优势,它与惠普建立了合作伙伴关系,希望为丹麦奥尔胡斯市Bruun Galleri购物中心的客户开发一款基于Wi-Fi的数字购物解决方案。
"我们一直对使用尖端技术来扩展购物体验的探索充满兴趣。也正是对技术的这种高度重视使得我们能够始终保持市场领先地位。" 丹麦奥斯陆百货公司技术经理Finn Chabert说道。
与惠普的合作伙伴关系为Steen & Strøm公司带来了对ProCurve Networking公司革新性网络技术解决方案的访问。通过与一家提供基于地点服务的专业公司ProGate的协作,ProCurve开发了一套适合个人数字助理(PDA)及支持WiFi的移动电话的用户使用的系统。奥尔堡大学(University of Aalborg)也参与了这一项目,帮助开发定位服务。
据Chabert表示,试安装的运行非常顺利。这在很大程度上要归功于ProCurve Integrated Access Manager(ProCurve集成化访问管理器)精密的安全特性以及ProCurve Wireless Access Points(ProCurve无线接入点)不管用户有多少均可保持最佳性能的能力。
从客户角度来说,该系统可以在超大型购物区域导航方面为人们提供宝贵的帮助。同时它还为人们寻找物美价廉商品提供了一条捷径。广泛测试表明,潜在的终端用户对这一解决方案具有高度热情–最引人注目的是电视中播出了一位中年妇女在使用系统来搜索她想要的皮箱。
总结
在当今竞争特别激烈的零售环境中,无线局域网是提供移动性、生产率和竞争优势的一个关键网络基础设施组件。然而在带来优势的同时,这种技术也带来了新的安全威胁,可能对网络总体安全性和企业信誉造成损害。正如在有线网络中我们也不能百分百保证多层防护能缓解所有威胁,因为黑客们总是会想出新的渗透方案。同样的,零售商也必须部署企业就绪、基于标准的WLAN基础设施和安全解决方案来满足PCI法规遵从要求并提供最高水平保护,确保自身不处于风险中。