零售行業(yè)如何避免無(wú)線(xiàn)局域網(wǎng)安全漏洞

長(cháng)久以來(lái)，零售商由于需要快速補充庫存、定期重新配置店鋪和變更銷(xiāo)售點(diǎn)(POS)終端，以及與大量移動(dòng)辦公員工(店員、倉管員和經(jīng)理)交流，因此一直是無(wú)線(xiàn)局域網(wǎng)技術(shù)的領(lǐng)先用戶(hù)之一，在零售店、分銷(xiāo)中心和企業(yè)辦公室都能看到這項技術(shù)的影子。但無(wú)線(xiàn)技術(shù)的這種廣泛使用同時(shí)也帶來(lái)了數據丟失或被盜的可能性。為防止數據被盜，許多零售商均相應部署加強了WLAN加密和認證方法。雖然保護效果不錯，但這只解決了針對授權流量部分的無(wú)線(xiàn)局域網(wǎng)安全問(wèn)題。而未授權無(wú)線(xiàn)局域網(wǎng)客戶(hù)端、接入點(diǎn)(AP)及其它裝置勢必會(huì )給零售商網(wǎng)絡(luò )完整性以及它們提供訪(fǎng)問(wèn)的敏感客戶(hù)數據帶來(lái)嚴重威脅。

如果不能從各個(gè)角度做好保護工作，無(wú)線(xiàn)鏈接可能就給攻擊提供了一條康莊大道。這點(diǎn)對于有組織的犯罪來(lái)說(shuō)并不陌生，他們通過(guò)無(wú)線(xiàn)局域網(wǎng)發(fā)動(dòng)過(guò)幾次對零售商的攻擊，已使得幾家知名零售商面臨客戶(hù)數據和賬目丟失，受到了由于無(wú)線(xiàn)局域網(wǎng)安全漏洞而帶來(lái)的懲罰。

　　Wi-Fi基礎設施如果能得到安全的部署和管理，會(huì )對企業(yè)有很大好處。為了保護網(wǎng)絡(luò )免遭那些會(huì )損害到網(wǎng)絡(luò )、持卡人數據和PCI法規遵從的威脅，零售商必須對未授權無(wú)線(xiàn)訪(fǎng)問(wèn)的安全漏洞做到心中有數。

了解無(wú)線(xiàn)威脅

　　能夠通過(guò)無(wú)線(xiàn)局域網(wǎng)為企業(yè)外部人員提供未授權核心(有線(xiàn))網(wǎng)絡(luò )訪(fǎng)問(wèn)的場(chǎng)景有以下幾種：a) 授權客戶(hù)端連接到鄰近的WLAN;b) 通過(guò)非法接入點(diǎn)連接到核心網(wǎng)絡(luò );c) 授權客戶(hù)端連接ad hoc無(wú)線(xiàn)網(wǎng)絡(luò )(特殊的對等式無(wú)線(xiàn)移動(dòng)網(wǎng)絡(luò ))。所有這些場(chǎng)景的發(fā)生可能并非出于人們的本意，但它們均將核心網(wǎng)絡(luò )置于風(fēng)險中。

接入鄰近的WLAN

　　無(wú)線(xiàn)網(wǎng)絡(luò )的容量決定了，多個(gè)鄰近零售店、購物中心或地方性Wi-Fi網(wǎng)絡(luò )形成一個(gè)開(kāi)放式不安全網(wǎng)絡(luò )的可能性非常高。無(wú)線(xiàn)信號常游離于大樓物理邊界外或外墻外，因此零售商的辦公室、分銷(xiāo)中心或店鋪都可能會(huì )接收到這些信號。如果鄰近的無(wú)線(xiàn)WLAN未采取安全保護措施，如：不要求強認證或加密就可獲得訪(fǎng)問(wèn)權，那么零售商環(huán)境中的筆記本電腦、智能手機、POS設備等無(wú)線(xiàn)客戶(hù)端設備均可能連接到未授權WLAN中。當被連接到未授權無(wú)線(xiàn)WLAN時(shí)，用戶(hù)就擁有無(wú)企業(yè)監督的無(wú)限制互聯(lián)網(wǎng)訪(fǎng)問(wèn)權。企業(yè)中不道德的員工可能利用這條途徑泄露零售商或客戶(hù)保密信息。即便是這個(gè)未授權連接并非出于人們本意，它也可能帶來(lái)麻煩。如果無(wú)線(xiàn)設備同時(shí)還被插入到有線(xiàn)以太網(wǎng)中，那么就等于用戶(hù)架起了一座連接核心網(wǎng)絡(luò )的橋梁，提供了對這個(gè)商家特權信息的完全訪(fǎng)問(wèn)權。

蜜罐攻擊

　　我們都知道的一種稱(chēng)為蜜罐攻擊(honeypot attack)的無(wú)線(xiàn)竊取方案，它就是利用了這些因疏忽而導致未授權的外部WLAN連接。在安全防護領(lǐng)域中，關(guān)于“蜜罐”定義有許多種。假設是無(wú)線(xiàn)局域網(wǎng)，那么一個(gè)蜜罐就相當于一個(gè)配置為與該零售商無(wú)線(xiàn)局域網(wǎng)吻合的接入點(diǎn)。黑客們可先在零售商的停車(chē)場(chǎng)建立接入點(diǎn)，然后放大信號吸引授權零售客戶(hù)端連接到蜜罐中而不是零售商網(wǎng)絡(luò )。一連接到欺騙接入點(diǎn)，黑客們就可采集用戶(hù)名和密碼，隨后利用這些信息如同他們就是本企業(yè)員工般登錄(如：闖入)零售商網(wǎng)絡(luò )。

非法接入點(diǎn)

　　非法接入點(diǎn)系指連接零售商網(wǎng)絡(luò )的未授權AP，通常在企業(yè)員工希望在工作區域可移動(dòng)辦公而安裝無(wú)線(xiàn)AP的時(shí)候出現，它的出發(fā)點(diǎn)并無(wú)惡意。遺憾的是，消費級接入點(diǎn)在出貨時(shí)一般會(huì )關(guān)閉其安全功能，這樣一來(lái)當企業(yè)內部員工從防火墻后連接到以太網(wǎng)時(shí)就為企業(yè)外部人員提供了一個(gè)直接鏈入機會(huì )。此外，由于零售商是這類(lèi)罪犯的首選目標，因此這些欺騙接入點(diǎn)讓零售商很容易受到不道德身份竊賊的攻擊。

配置不恰當的授權接入點(diǎn)

　　如果一個(gè)授權接入點(diǎn)重設為默認設置，或正好相反，它就喪失了安全設置而成為了一個(gè)“開(kāi)放的”接入點(diǎn)，那么它也就成為了前往核心零售網(wǎng)絡(luò )的一個(gè)通道。

Ad hoc無(wú)線(xiàn)網(wǎng)絡(luò )

　　隨著(zhù)無(wú)線(xiàn)功能在筆記本電腦中逐漸標準化以及在智能手機、打印機甚至POS設備中逐漸普及， Ad hoc無(wú)線(xiàn)網(wǎng)絡(luò )開(kāi)放的功能也越來(lái)越多。Ad hoc無(wú)線(xiàn)網(wǎng)絡(luò )系指兩個(gè)無(wú)線(xiàn)設置相互間直接連接時(shí)形成了網(wǎng)絡(luò )。由于Windows®操作系統本身就內嵌有這項功能且功能默認為“打開(kāi)”狀態(tài)，因此這種連接非常容易建立。如果零售商員工的筆記本電腦被同時(shí)插入到有線(xiàn)以太網(wǎng)中，那么其它無(wú)線(xiàn)客戶(hù)端就擁有對零售商網(wǎng)絡(luò )的無(wú)限制訪(fǎng)問(wèn)權。這種訪(fǎng)問(wèn)可能會(huì )泄露員工計算機內和商家網(wǎng)絡(luò )中的保密信息。

　　零售商TK Maxx公司就曾被闖入其母公司——TJX公司無(wú)線(xiàn)局域網(wǎng)的黑客盜走了4500萬(wàn)份客戶(hù)記錄。TJX只采用了最弱的一種無(wú)線(xiàn)局域網(wǎng)安全防護方式——WEP協(xié)議來(lái)保護其無(wú)線(xiàn)網(wǎng)絡(luò )的安全。罪犯竊取的記錄包括了2005年下半年和2006年一整年的數百萬(wàn)個(gè)信用卡號碼。

　　據《華爾街日報》消息，黑客先是破解了美國明尼蘇達州一家商店的核價(jià)設備、收銀機與計算機間數據傳輸所用的WEP加密協(xié)議;接著(zhù)采集員工所提交的信息，登錄該公司在馬薩諸塞州的中央數據庫，竊取用戶(hù)名和密碼。

　　黑客們還利用這些信息，在TJX公司的系統中建立了他們自己的賬戶(hù);在接下來(lái)18個(gè)月時(shí)間里，通過(guò)使用軟件采集了包括信用卡號碼在內將近100個(gè)大型文件的交易數據。而且TJX公司對發(fā)送給銀行的交易信息都未進(jìn)行加密，不用說(shuō)這些也肯定成為黑客們的囊中之物。據《華爾街日報》消息，攻擊者甚至在TJX公司網(wǎng)絡(luò )中留下了加密消息，相互轉告對方已復制了哪些文件。

防護零售商網(wǎng)絡(luò )

　　傳統的計算機安全產(chǎn)品，像防火墻、VPN等，只能在數據到達有線(xiàn)網(wǎng)絡(luò )內時(shí)才提供保護。這些產(chǎn)品無(wú)法監視在空氣中傳輸的無(wú)線(xiàn)流量。為了保護全球網(wǎng)絡(luò )免遭上述無(wú)線(xiàn)威脅并保持對PCI準則的遵從，零售商的IT機構還須部署無(wú)線(xiàn)入侵檢測和防護解決方案，如：HP ProCurve RF Manager，它可作為HP ProCurve Intelligent Mobility Solution(HP ProCurve智能移動(dòng)解決方案)中無(wú)線(xiàn)加密和認證功能的良好補充。該系統可防范未授權WLAN行為，同時(shí)還不會(huì )對零售端無(wú)線(xiàn)網(wǎng)絡(luò )上授權流量的性能和流通產(chǎn)生任何影響;它不僅可同時(shí)攔截多個(gè)來(lái)自未授權客戶(hù)端和接入點(diǎn)的威脅，而且還可通過(guò)不間斷掃描找出其它問(wèn)題。RF Manager使得網(wǎng)絡(luò )管理員能夠針對WLAN上所允許的流量類(lèi)型以及應用于未授權流量上的自動(dòng)化保護等級來(lái)完善策略。RF Manager還可自動(dòng)識別未授權無(wú)線(xiàn)行為，即時(shí)采取行動(dòng)來(lái)防止這種行為，這意味著(zhù)零售商無(wú)需IT經(jīng)理24x7全天候待命即可開(kāi)始防護。

維持網(wǎng)絡(luò )完整性和對相關(guān)PCI要求的遵從

　　PCI標準中直接影響無(wú)線(xiàn)局域網(wǎng)的要求有10個(gè)。根據PCI安全評估準則，法規遵從驗證的范圍包括了所有進(jìn)入商家網(wǎng)絡(luò )的外部連接(如：?jiǎn)T工遠程訪(fǎng)問(wèn)、支付卡公司、第三方事務(wù)處理和維護訪(fǎng)問(wèn))。假定無(wú)線(xiàn)局域網(wǎng)能夠且確實(shí)在辦公室、店鋪和倉庫設施中提供了進(jìn)入商家網(wǎng)絡(luò )的外部連接， 那么必須確保在所有這些環(huán)境中WLAN都能受到安全保護。

　　1. 安裝并維護防火墻配置以保護數據安全

　　2. 不使用供應商提供的默認系統密碼及其它安全參數

　　3. 保護已存儲的持卡人數據

　　4. 在開(kāi)放式公共網(wǎng)絡(luò )上傳輸持卡人和敏感信息時(shí)進(jìn)行加密

　　5. 限制按業(yè)務(wù)須知對持卡人數據的訪(fǎng)問(wèn)

　　6. 為通過(guò)計算機訪(fǎng)問(wèn)的每個(gè)人分配一個(gè)獨一無(wú)二的ID

　　7. 限制對持卡人數據的物理訪(fǎng)問(wèn)

　　8. 追蹤并監控對網(wǎng)絡(luò )資源和持卡人數據的所有訪(fǎng)問(wèn)

　　9. 定期測試安全系統和流程

　　10. 維持一套旨在解決員工和合約人信息安全問(wèn)題的策略

總結

　　在當今競爭特別激烈的零售環(huán)境中，無(wú)線(xiàn)局域網(wǎng)是提供移動(dòng)性、生產(chǎn)率和競爭優(yōu)勢的一個(gè)關(guān)鍵網(wǎng)絡(luò )基礎設施組件。然而在帶來(lái)優(yōu)勢的同時(shí)，這種技術(shù)也帶來(lái)了新的安全威脅，可能對網(wǎng)絡(luò )總體安全性和企業(yè)信譽(yù)造成損害。正如在有線(xiàn)網(wǎng)絡(luò )中我們也不能百分百保證多層防護能緩解所有威脅，因為黑客們總是會(huì )想出新的滲透方案。同樣的，零售商也必須部署企業(yè)就緒、基于標準的WLAN基礎設施和安全解決方案來(lái)滿(mǎn)足PCI法規遵從要求并提供最高水平保護，確保自身不處于風(fēng)險中。