根据摩托罗拉公司AirDefense部门的一项大规模扫描调查(利用公司监控软件、Wi-Fi上网卡和AirDefense移动设备来实现扫描测试),无线安全仍然是WLAN零售商用户们的一大困扰问题。
在针对大型城市购物中心的调查中,监测到3000多台笔记本电脑和其他移动设备,其中有44%的设备可能被轻易攻击。相比较于去年85%的扫描设备以各种方式暴露在无线环境中,这一数字已经是大幅下降了。而零售商店接入点的情况稍好一些,在7900个测试接入点中68%的设备使用各种加密措施,只有1/3设备没有任何措施。但这一数字不如去年的35%。
需要重点说明的是,在所有加密措施当中,有25%的设备使用WEP方式——这是一个已经被证明有缺陷的加密方式,可以被一个有经验的黑客在几分钟内轻松破解。在一份政府报告中指出,黑客曾通过破解WEP加密的接入点,在迈阿密的两家零售商店里存取数据。我们看到,业务交易数据的破坏率正在增长。虽然不是所有的过错都来自于无线网络,但这个问题仍不容忽视。
此外,有12%的接入点使用WPA加密方式——这是基于IEEE 802.11i标准草案的行业规范,而WPA2则基于最终的IEEE标准。这两种加密措施都可以被配置成不同的选项,用以识别两个不同的可信通信设备,以及使用不同的加密方式(临时密钥集成协议TKIP或更强的高级加密标准AES)。
另有27%的接入点使用WPA2,但是很多都使用预先共享密钥方式(即WPA-PSK)。AirDefense指出,如果相同的密钥被复制到其他分店,那么当这个共享密钥被破解之后,所有的网络都变得脆弱了。
不过,如果使用一个10位字符以上的复杂密码,那么WPA-PSK也不会被轻易破解。还有一个使用WPA-PSK的理由是,连锁商店通常没有足够的WAN链路到达远端RADIUS服务器进行802.1x认证,一旦WAN断开,类似于无线登记的设备就会失去RADIUS认证,而WPA-PSK可确保在WAN掉线情况下网络的正常运转。
另外一个脆弱的地方就是错误的接入点配置。在扫描测试中,AirDefense发现有22%的接入点错误地进行了配置。有些用户保留了出厂缺省设置,而一个双频段的接入点可能只在2.4GHz上设有安全措施,在5GHz频段上没有设置。另外,还有一些用户在一个单独接入点上同时激活了WPA和WEP,这样做的结果是,设备只能保证最弱的那个安全方式有效工作。
由于零售商需要处理信用卡数据交易,因此在提高无线安全性方面是有一定压力的。规范行业信息安全的PCI/DSS(支付卡行业数据安全标准)标准已经更新到1.2版本了,这个版本的标准规定,在今年3月31日以后,新的WLAN系统将不再允许使用WEP,现有的WEP无线系统也必须在2010年6月30日之前退出。WEP广泛应用于扫描仪和其他设备,这些设备将被大规模地撤销使用,可能会给商家带来一定损失。
PCI DSS 1.2版的一些网络规定
对于防火墙和路由器的内审周期从每个季度调整为至少每六个月
删除了“禁止SSID广播”的规定
强调持卡人数据在无线网络上传输时必须进行安全加密,并且在认证和传输过程中使用强加密
在2009年3月31日以后,新系统不再允许使用WEP,现有的WEP系统必须在2010年6月30日之前退出
对于Web应用必须至少每年和每次变更之后进行安全评估和扫描
推荐使用无线IDS/IPS,至少每季度分析评估一次无线网络