零售商挠头于WLAN安全

零售商挠头于WLAN安全

根据摩托罗拉公司AirDefense部门的一项大规模扫描调查利用公司监控软件、Wi-Fi上网卡和AirDefense移动设备来实现扫描测试），无线安全仍然是WLAN零售商用户们的一大困扰问题。

在针对大型城市购物中心的调查中，监测到3000多台笔记本电脑和其他移动设备，其中有44%的设备可能被轻易攻击。相比较于去年85%的扫描设备以各种方式暴露在无线环境中，这一数字已经是大幅下降了。而零售商店接入点的情况稍好一些，在7900个测试接入点中68%的设备使用各种加密措施，只有1/3设备没有任何措施。但这一数字不如去年的35%。

需要重点说明的是，在所有加密措施当中，有25%的设备使用WEP方式——这是一个已经被证明有缺陷的加密方式，可以被一个有经验的黑客在几分钟内轻松破解。在一份政府报告中指出，黑客曾通过破解WEP加密的接入点，在迈阿密的两家零售商店里存取数据。我们看到，业务交易数据的破坏率正在增长。虽然不是所有的过错都来自于无线网络，但这个问题仍不容忽视。

此外，有12%的接入点使用WPA加密方式——这是基于IEEE 802.11i标准草案的行业规范，而WPA2则基于最终的IEEE标准。这两种加密措施都可以被配置成不同的选项，用以识别两个不同的可信通信设备，以及使用不同的加密方式临时密钥集成协议TKIP或更强的高级加密标准AES）。
另有27%的接入点使用WPA2，但是很多都使用预先共享密钥方式即WPA-PSK）。AirDefense指出，如果相同的密钥被复制到其他分店，那么当这个共享密钥被破解之后，所有的网络都变得脆弱了。

不过，如果使用一个10位字符以上的复杂密码，那么WPA-PSK也不会被轻易破解。还有一个使用WPA-PSK的理由是，连锁商店通常没有足够的WAN链路到达远端RADIUS服务器进行802.1x认证，一旦WAN断开，类似于无线登记的设备就会失去RADIUS认证，而WPA-PSK可确保在WAN掉线情况下网络的正常运转。

另外一个脆弱的地方就是错误的接入点配置。在扫描测试中，AirDefense发现有22%的接入点错误地进行了配置。有些用户保留了出厂缺省设置，而一个双频段的接入点可能只在2.4GHz上设有安全措施，在5GHz频段上没有设置。另外，还有一些用户在一个单独接入点上同时激活了WPA和WEP，这样做的结果是，设备只能保证最弱的那个安全方式有效工作。

由于零售商需要处理信用卡数据交易，因此在提高无线安全性方面是有一定压力的。规范行业信息安全的PCI/DSS支付卡行业数据安全标准）标准已经更新到1.2版本了，这个版本的标准规定，在今年3月31日以后，新的WLAN系统将不再允许使用WEP，现有的WEP无线系统也必须在2010年6月30日之前退出。WEP广泛应用于扫描仪和其他设备，这些设备将被大规模地撤销使用，可能会给商家带来一定损失。

PCI DSS 1.2版的一些网络规定

对于防火墙和路由器的内审周期从每个季度调整为至少每六个月

删除了“禁止SSID广播”的规定

强调持卡人数据在无线网络上传输时必须进行安全加密，并且在认证和传输过程中使用强加密

在2009年3月31日以后，新系统不再允许使用WEP，现有的WEP系统必须在2010年6月30日之前退出

对于Web应用必须至少每年和每次变更之后进行安全评估和扫描

推荐使用无线IDS/IPS，至少每季度分析评估一次无线网络

1. WLAN安全测试与评估建议
2. Check Point对WLAN安全的五点建议