零售商挠头于WLAN安全

根据摩托罗拉公司AirDefense部门的一项大规模扫描调查（利用公司监控软件、Wi-Fi上网卡和AirDefense移动设备来实现扫描测试），无线安全仍然是WLAN零售商用户们的一大
困扰问题。 在针
对大型城市购物中心的调查中，监测到3000多台笔记本电脑和其他移动设备，其中有44%的设备可能被轻易攻击。相比较于去年85%的扫描设备以各种方式暴露在无线环境中，这一数字已经是大幅下降了。而零售商店接入点的情况稍好一些，在7
900个测试接入点中68%的设备使用各种加密措施，只有1/3设备没有任何措施。但这一数字不如去年的35%。需要重点说明的是，在所有加密措施当中，有25%的设备使用WEP方式——这是一个已经被证明有缺陷的加密方式，可以被一个有经验的黑客在几分钟内轻松破解。在一份政府报告中指出，黑客曾通过破解WEP加密的接入点，在迈阿密的两家零售商店里存取数据。我们看到，业务交易数据的破坏率正在增长。虽然不是所
有的过错都来自于无线网络，但这个问题仍不容忽视。此外，有12%的接入点使用WPA加密方式——这是基于IEEE 802.11i标准草案的行业规范，而WPA2则基于最终的IEEE标准。这两种加密措施都可以被配置成不同的选项，用以识别两个不同的可信通信设备，以及使用不同的加密方式（临时密钥集成协议TKIP或更强的高级加密标准AES）。另有27%的接入点使用WPA2，
但是很多都使用预先共享密钥方式（即WPA-PSK）。AirDefense指出，如果相同的密钥被复制到其他分店，
那么当这个共享密钥被破解之后，所有的网络都变得脆弱了。不过，如果使用一个10位字符以上的
复杂密码，那么WPA-PSK也不会被轻易破解。还有一个使用WPA-PSK的理由是，连锁商店通常没有足够的WAN链路到达远端RADIUS服务器进行802.1x认证，一旦WAN断开，类似于无线登记的设备就会
失去RADIUS认证，而WPA-PSK可确保在WAN掉线情况下网络的正常运转。另外一个脆弱的地方就是错误的接入点配置。在扫描测试中，AirDefense发现有22%的接入点错误地进行了配置。有些用户保留了出厂缺省设置，而一个双频段的接入点可能只在2.4GHz上设有安全措施，在5GHz频段上没有设置。另外，还有一些用户在一个单独接入点上同时激活了WPA和WEP，这样做的结果是，设备只能保证最弱的那个安全方式有效工作。 由于零售商需要处理信用卡数据交易，因此在提高无线安全性方面是有一定压力的。规范行业信息安全的PCI/DSS（支付卡行业数据安全标准）标准已经更新到1.2版本了，这个版本的标准规定，在今年3月31日以后，
新的WLAN系统将不再允许使用WEP，现有的WEP无线系统也必须在2010年6月30日之前退出。WEP广泛应用于扫描仪和其他设备，这些设备将被大规模地撤销使用，可能会给商家带来一定损失。PCI DSS 1.2版的一些网络规定对于防火墙和路由器的内审周期从每个季度调整为至少每六个月删除了“禁止SSID广播”的规定 强调持卡人数据在无线网络上传输时必须进行安全加密，并且在认证和传输过程中使用强加密在
2009年3月31日以后，新系统不再允许使用WEP，现有的WEP系统必须在2010年6月30日之前退出 对于Web应用必须至少每年和每次变更之后进行安全评估和扫描 推荐使用无线IDS/IPS，至少每季度分析评估一次无线网络