即使对于资深的网络专家而言，消除无线LAN全风险仍是很复杂和很有压力的，但是如果一个错误可能导致数百万的不符合规范罚单和信用卡数据泄漏，风险就变得更大了。去年发布的PCI DSS无线准则试图消除所有关于无线LAN安全风险的疑虑，但是企业仍然忽视安全需求，并深受旧WLAN缺陷之害。

　　“有许多人认为他们实现了很好的无线安全性，但他们并不理解无线安全性。您不能采用与保护有线网络一样的方式来保护无线网络，”Forrester Research高级分析师John Kindervag 说，他最近撰写了PCI X-Ray: Wireless Guidelines。“无线网络的要求更苛刻。如果您部署无线，但您做不到精益求精，那么您就做错了。”

　　并不是每一个PCI DSS无线准则都会成为一个关于规范性的需求——如“一般可适用”型声明——但它应该被认为是实际上的无线LAN安全性最佳实践，即使对于不在规范管辖范围之内的企业也是，Kindervag　说。

　　“您需要将它理解为是有助于您的——它并不是另一组规则，”他说。“人们忽视无线安全性……在部署它们的基础架构时，他们认为它不会受到攻击。他们只是认为，‘哈，我们已经成功部署了。万事大吉！’”

　　符合与避免PCI DSS无线准则

　　University of San Diego (USD)是一间有7,800个学生的私立大学，它需要消除无线LAN安全性风险，并符合PCI DSS规范要求，而在USD运行了超过5年的校园Wi-Fi网络一直都有规范问题。根据学校网络和电信服务主管Doug Burke的说法，在学校的第一个周期中，只需使用邮件地址注册一个用户就可以进行网络访问。

　　“我们发现有许多人在使用我们的来宾无线网络，在这个过程中，我们会有些担心，因为有时我们会接到投诉电话说，‘您知道吗，这个人坐在我们办公室外使用笔记本电脑，而且是在半夜的时候，’”Burke 说。

　　作为应对方式，学校要求使用一个信用卡号作为认证条件之一。但为了弥补他们支付信用卡公司处理交易的费用，USD最终开始对来宾Wi-Fi访问进行了收费——这解决了一个安全性问题，但却因而必须接受PCI DSS无线管辖。

　　为了避免设计一个解决方案，Burke和他的团队使用Avenda Systems的一个网络访问控制（NAC）产品eTIPS来解决这个问题，将所有信用卡交易从Internet转发到一个第三方公司。这样这些数据就不会进入USD网络，他说。

　　虽然来宾Wi-Fi注册会给USD带来极大的PCI DSS无线问题，但它的网络团队仍然需要分隔并保证大学餐饮服务在露天球赛中用于销售食品和饮料的无线注册的安全，网络管理员 Charlie Koehler 说。

　　为了减小无线LAN安全风险和遵守PCI DSS无线规范，这些设备必须设置一个保留IP地址，而且必须经过MAC 地址认证，Koehler 说。这不仅可以防止恶意设备访问WLAN，而且还限制了客户端和AP之间的某些通信。

　　“因为所有IP地址都是静态设置的……因此不需要任何的DHCP请求，所以没有人能够拦截通信，”Koehler 说。“起初，我们关心的是无线网络在传输人们的信用卡号时是否安全，但是通过我们使用的所有工具，我们能够很容易实现数据安全。”

　　VLAN，隐藏SSID并不符合PCI DSS无线准则要求

　　部署了旧WLAN企业是最可能违反PCI DSS无线需求的，Kindervag 说。这些网络一般都使用了安全协议，如单独管理或“胖”的 WEP，或者缺少足够安全性的接入端（AP）。

　　企业通常认为他们通过不广播网络的服务集标识符（SSID）可降低无线LAN安全风险，但是Kindervag说这是一个“危险的”想法，因为它实际上可能给黑客留下了攻击漏洞——特别是如果企业将它作为第一线防御时。

　　“它会导致客户端和AP失去控制而任意通信，”他说。“无线是一个单独的主动连接协议，它会寻找可以连接的用户。这意味着您无法对攻击者隐藏……人们认为他们可以通过关掉他们的SSID而隐藏起来，但是在无线安全中这是不可行的。”

　　移植到802.11n是遵守PCI DSS无线规范需求的一个很好的方法，因为许多较新的系统都具有更健壮的安全系统，并使用了更强大的协议，如Wi-Fi Protected Access (WPA) 或 WPA2，Kindervag说。在新系统的中央管理控制台也能够帮助探测恶意AP并保持所批准设备的跟踪。

　　“人们将由于性能原因而升级，同时不知觉地获得了安全性好处，”他说。

　　虽然部署一个无线入侵检测系统（IDS）或者无线入侵防御系统（IPS）来满足PCI DSS关于设备扫描和恶意AP检测的要求并不是强制性的，但是它变成了“功能性强制要求，”Kindervag 说。

　　手动扫描一个大型网络的上百个设备是不可能的，但是企业通常会以手动方式来避免无线 IDS/IPS的投入，他说。

　　“无线IDS/IPS是您应该投入的方面，”Kindervag 说。

　　网络分片是遵守PCI DSS无线规范的一个明显要求，但如果企业认为虚拟LAN（VLAN）是解决的方法，那就错了，Kindervag 说。安全机构要求网络中的设备——信用卡数据经过的部分网络——必须通过防火墙实现与网络其他部分隔离，他说。

　　“VLAN不是用于安全性的。绝对不是。”他说。“这就像是您在公路上开车，其中有一根黄线是您不能逾越的……VLAN就是这样一根黄线，它告诉数据包保留在它自己的边界内。但是如果攻击者希望将它们移出边界，他们也是能够做到的。”