時鐘滴答作響！2010年6月30日是各個公司遵守支付卡行業(yè)數(shù)據安全標準（PCI DSS）的截止日期，以后在其網絡上將禁止使用任何有線等效保密協(xié)議（WEP）。這個過時的標準使用的是不安全加密技術，黑客已經清楚地表明他們可以在大約幾秒鐘內滲透到WEP網絡。PCI DSS 1.2版本已在2008年年底發(fā)布，支付卡行業(yè)（PCI）安全標準委員會提出了企業(yè)在使用無線網絡時的三個新要求：

◆對所有無線網絡使用強的加密和認證技術。

◆不再部署任何新的WEP網絡。

◆現(xiàn)有的WEP網絡將在2010年6月30日之后停止使用?！　?/P>

你見過這些要求嗎？如果沒有，那馬上把你的網絡轉換到更安全的Wi-Fi保護訪問（WPA）加密標準吧。在本文中，我們將詳細說明如何從WEP轉變到WPA，以滿足PCI DSS的要求。

何必大驚小怪？ 

對WPA的推動與發(fā)展絕非僅僅是一個官僚主義行為：這是一個早就應該優(yōu)先考慮的安全問題，甚至對那些不須遵守PCI DSS的公司也應如此。如今還使用WEP加密技術絕對是不負責任的行為。對專業(yè)的黑客來講，使用像AirCrack這樣的工具來破譯WEP安全就像小孩玩游戲一樣簡單。運行WEP只會給你的組織提供一種虛假的安全感。

從WEP轉移到WPA

在WPA的初期，硬件兼容性是從WEP轉移到WPA的最大障礙。舊的無線硬件（包括接入點和無線適配器）根本就不支持較新的標準。不過，這個障礙已不復存在，WPA標準已在市場上存在了超過6年的時間，任何老式的、不支持WPA的設備都應盡快升級?，F(xiàn)在是時候咬緊牙關，用新一代的設備取代只支持WEP的設備了。

在升級網絡的時候，請記住兩個重要的部分：在整個區(qū)域中使用的無線接入點和客戶端系統(tǒng)的無線適配器。這些接入點可能需要從服務中刪除，并對其進行銷毀，但那些依賴于Wi-Fi的客戶端設備則不需要這樣做。通過在一家電子零售商購買一個大約50美元的USB無線適配器（在批發(fā)商那買會更便宜），你就可以延長筆記本電腦或者其他內置有無線適配器設備的壽命。

你肯定你可以被覆蓋到嗎？

有些人可能會想：“當這些問題在幾年前被首次發(fā)現(xiàn)時，我們公司的無線網絡就得到了升級，所以對我們來說沒有什么好擔心的。”不過，現(xiàn)在還是請再想一想。進行無線安全調查的組織有過多次很震驚的發(fā)現(xiàn)，WEP加密以及未加密的網絡都在辦公樓內運行。對任何一個雇員來說，購買一個無線路由器太容易了，將它接入企業(yè)網絡，就可以當做一個“臨時”的無線網絡。而對繁忙的IT部門來說，他們更傾向于在公司內部禁止使用這些有安全隱患的設備，因為這比保證網絡安全操作起來要容易得多。

PCI DSS遵從規(guī)則預見到了這種情況，它要求企業(yè)不僅在網絡上運行WPA，而且還應該定期排查辦公樓里的“流氓（rogue）”無線網絡。 PCI DSS的11.1條款有如下規(guī)定：

“應至少每季度使用一次無線分析器（wireless analyzer）對無線接入點進行測試，或部署一個無線IDS/IPS系統(tǒng)，以識別所有正在使用的無線設備?！?

有兩種選擇可以滿足這一要求。對小型企業(yè)而言，使用無線分析器就已經足夠了，你可以定期的掃描、排查“流氓”網絡和非WPA無線網絡，一旦這些網絡被發(fā)現(xiàn)你只需簡單地把它們設置為離線即可。我強烈建議如果可以的話至少每月做一次這種掃描。畢竟，沒有人希望這些“流氓”網絡在不被發(fā)現(xiàn)的情況下運行3個月之久。

對于那些物理面積更大的企業(yè)而言，無線安全排查可能就不是一個可行、或對IT人員而言有效的方法了。此時，應采用無線IDS/IPS設備，充分利用現(xiàn)有的無線基礎設施，將IDS/IPS作為“流氓”無線網絡檢測系統(tǒng)中的一個傳感器。如果預算緊張，你可以使用像Kismet這樣的開源工具，從而形成一個合適的解決辦法；而對一些有消費能力的企業(yè)來講，可以考慮使用一些像AirMagnet 或者 AirTight網絡公司提供的一攬子商業(yè)解決方案。

對于那些想推遲進行WPA升級的公司來講，我會強烈建議你們三思而后行。商業(yè)銀行在安全事故發(fā)生時不會給你什么好臉色看的，尤其是在兩年前他們就警告過應該進行這種轉變。立即升級所有無線設備能滿足所有人的最佳利益。如果你對銀行卡處理設備突然轉變會產生的影響感到擔憂的話，你可以考慮同時運行WEP和WPA網絡一段時間，然后再逐一將設備轉換到WPA網絡上。

確保無線網絡安全應該作為所有企業(yè)安全計劃中的一個關鍵部分。對那些仍在運行WEP的企業(yè)來說，是時候把現(xiàn)有全部的網絡升級到安全WPA遵從規(guī)則，并部署一套能夠在無線環(huán)境中重點檢查不受保護網絡的無線入侵基礎設施。這些措施不僅可以滿足PCI遵從規(guī)則，也將確保一個更安全的IT環(huán)境。

【編輯推薦】

1. WPA告破無線安全當真草木皆兵？
2. 詳解如何在一分鐘內攻破WPA