我已经阅读了很多关于 PCI DSS 及其要求的文章,但我不清楚究竟是什么决定了组织是否需要担心 PCI DSS 合规性。
我们使用基本的HiSpeed 6200 POS 终端接受付款,该终端通过我们的办公室 LAN 连接到互联网。我们没有使用 VLAN。该终端未与任何支付处理应用程序集成,它只是打印出纸质收据。
我是否需要担心 PCI DSS 合规性?
我刚刚在https://www.ssllabs.com/上测试了我的网站,它说 SSLv2 不安全,我应该禁用它以及弱密码套件。
我怎样才能禁用它?我尝试了以下但它不起作用。
/etc/httpd/conf.d/ssl.conf通过ftp去了。添加
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT
通过腻子连接到服务器并发出service httpd restart命令。
但它仍然在网站上显示不安全。我该如何解决?我的服务器是 Plesk 10.3.1 CentOS。同一台服务器上有 3-4 个站点。
PCI-DSS 3.0 要求 8.1.8 规定:“如果会话空闲时间超过 15 分钟,则要求用户重新进行身份验证以重新激活终端或会话。” PCI-DSS 2.0 要求 8.5.15 也是如此。
处理在 bash 提示符下空闲的 ssh 会话的第一种也是最明显的方法是强制执行只读的全局$TMOUT900。不幸的是,这仅涵盖坐在 bash 提示符下的会话。PCI 规范的精神还需要终止运行 top/vim/etc 的会话。
我曾考虑编写一个 */1 cron 作业来解析“/usr/bin/w”的输出并杀死相关的 shell,但这似乎是一个生硬的工具。有什么想法可以实际执行规范要求并锁定终端吗?我看过away和vlock; 它们似乎都非常适合自愿锁定您的终端,但我需要一个强制锁定的 cron/守护进程任务。
我有一个网站刚刚未通过 PCI 合规性检查 - 报告称该网站支持弱密码。我以为我已经通过关闭网络服务器上的 SSL 2.0 来禁用它。(如果我告诉浏览器只使用 SSL 2.0,它会拒绝加载网页)
还有什么我需要禁用或检查的吗?(这是一个网络农场,负载均衡器上有什么我需要查看的 - 顺便说一句,LB 应该只是简单地传递数据,加密/解密全部在网络服务器上完成)
Windows Server 2003、IIS 6.0、ASP.NET 2.0 网站。
- - 更新 - -
通过 GregD 提供的链接,我已经解决了大部分问题。我仍然遇到证书不受信任的问题。SSL Labs 网站提供了一些关于为什么会这样的提示(但在其他方面不是很明确):
证书不可信的原因有很多:
- 它在其激活日期之前使用(It is in date)
- 过期后使用(已过期)
- 证书主机名与站点不匹配(主机名和站点匹配)
- 它已被撤销(我怎么知道?)
- 它是自签名的(它是由 verisign 提供的)
- 颁发者不是知名的证书颁发机构(verisign 是否足够知名?)
- 证书链不完整(如何判断?)
Firefox 似乎对证书没有问题,在地址栏上放置了一个漂亮的绿色区域。
什么是 IIS 的最佳 Web 应用程序防火墙 (WAF)?是什么让它比其他的更好?它在阻止针对编写不当的代码(也称为入侵防御系统 (IPS))的攻击方面有多大用处?
PCI-DSS 需要 WAF,所以如果我必须得到一个,那么它应该是最好的。
由于 PCI-DSS,我们需要禁用明文身份验证。我们通过在端口 465 上使用 TLS 封装邮件服务器和客户端之间的通信来实现这一点。
问题在于端口 25 必须保持打开和未加密状态才能从 Internet 接收电子邮件,但不应允许进行身份验证。
我尝试禁用 AUTH 命令,但这也会破坏端口 465 上的身份验证。
是否有邮件服务器或代理允许对端口 25 和 465 进行单独配置,以便仅通过安全通道进行身份验证?
同样值得注意的是:我们在 FIPS 模式下使用 MailEnable 和 stunnel。
MailEnable 提供了一个修补的 SMTP 可执行文件,它允许我通过 Windows 的注册表配置是否在每个侦听端口上提供授权。这解决了我的问题——希望他们将补丁发布为修补程序。
我只是想知道是否有人知道使用 psexec 会导致 PCI DSS 审核失败的任何原因。
我一直无法找到信息,尽管总是被告知管理员不能在 CDE 或周围环境中的任何内容上使用它。
我想知道 FUD 是否与同名的 MetaSpolit 脚本有关?不知道这有什么作用,但我听说它可能引起了混乱。
任何人都可以说明这是否可以合法使用或是否受到高度反对/禁止?
从正确的角度来看,psexec 与在设备(例如打印机等)上启用 telnet 的处理方式相同。
谢谢
我已经在信息安全上问过这个问题,但到目前为止还没有得到任何评论。我在想,这可能更像是服务器基础设施和配置问题,而不是安全问题本身。
因此,我将尽量简短:
我们符合 PCI-DSS 2.0。PCI-DSS 具有范围内和范围外的系统/流程/数据/基础设施等概念。范围内在 PCI-DSS 审计期间受到审查,范围外被视为不受信任,防火墙网段应将两个作用域分开。
因此,如果您尝试混合范围内和范围外系统,但在这个 VM 世界中,PCI-DSS 委员会发布了专门针对虚拟环境中混合范围的指南。他们指出:
同一主机上的范围内和范围外系统所需的分段级别必须与物理世界中可实现的隔离级别相同;也就是说,分段必须确保范围外的工作负载或组件不能用于访问范围内的组件。与单独的物理系统不同,仅基于网络的分段无法将虚拟环境中的范围内组件与范围外组件隔离开来。
因此,我的问题是,是否可以对在 ESXi 5.5 上运行的 VM 进行分段,以便分段满足上述指南中概述的标准?
指导方针非常规范,实际上他们继续说:
虚拟组件的分段还必须应用于所有虚拟通信机制,包括管理程序和底层主机,以及任何其他公共或共享组件。在虚拟环境中,通常通过特定于解决方案的通信机制或通过使用共享资源(例如文件系统、处理器、易失性和非易失性存储器、设备驱动程序、硬件设备、API),会发生带外通信, 等等。
我想到的方法:
但我坚持的其他领域包括如何对处理器、RAM 等进行分段。
如果您对完整的 PCI-DSS 虚拟化指南感兴趣,请点击此处。
谢谢阅读。
更新21/11/2014: 该文档在这里已经被转嫁到我,我会阅读和消化。它看起来像一个有用的标题:“PCI-DSS 合规性和 VMWare”。
现在,我们有一个服务器机架。现在每台服务器至少有 2 个 IP 地址,一个用于公共接口,另一个用于私有接口。有 SSL 网站的服务器有更多的 IP 地址。我们也有虚拟服务器,配置类似。
专用网络
私有范围目前仅用于备份和监控。它是一个千兆端口,接口使用率通常不会很高。我们正在考虑使用其他技术来使用此端口:
我们的 DNS 记录中没有任何私有地址(只有公共地址)。为了让我们的服务器为正确的接口使用正确的 IP 地址(而不是对 IP 地址进行硬编码),可能需要设置一个私有 DNS 服务器(所以现在我们将 2 个不同的 dns 条目添加到 2 个不同的系统)。
公共网络
我们的公共范围提供各种服务,包括网络、电子邮件和 ftp。在我们的网络和“公共”网络之间有一个硬件防火墙。我们有(相对安全的)方法来指示防火墙为我们当前的 IP 地址打开和关闭管理访问(Web 界面、ssh 等)。通过讨论任一解决方案,还将配置基于主机的防火墙。
公共网络目前运行在专用的 20Mbps 链路上。有几个具有快速以太网端口的旧服务器,但它们已计划退役。所有其他生产盒都至少有 2 个千兆以太网端口。流量较大的服务器有 4-6 个可用(现在没有一个使用超过 2 个千兆端口)。
IPv6
我想从我们的 ISP 获取 IPv6 前缀。所以至少每个“服务器”至少有一个 IPv6 接口。我们仍然需要保持 IPv4 地址正常运行并可供旧客户端(至少是 Web 服务器和电子邮件)使用。
我们现在有两个 IP 网络。添加公共 IPv6 地址将使其变为三个。
只使用IPv6?
我正在考虑转储私有 IPv4 范围并使用 IPv6 范围作为所有通信的主要方式。如果接口开始达到其容量,则利用新空闲的接口创建中继。
它的优点是如果公共或私人流量需要超过1Gbps。已经定期分析每个接口的流量,以预测未来的带宽使用情况。在带宽意外达到峰值的极少数情况下:利用 QoS 确保流量(如我们有限的 SSH 访问)被正确划分优先级,以便可以纠正问题(如果可能,我们的 …
我们运行 Ubuntu Lucid 10.0.4 作为我们 LAMP 环境的基础。我们正在努力成为 PCI 兼容,以便我们可以通过我们的服务器传递 CC 信息。我们在我们的服务器上运行了一些第三方扫描以开始认证过程,并且遇到了有关 PHP 5 版本和 Apache 版本的错误。我们官方 lucid 存储库中托管的最新 PHP 版本比 PCI 合规性要求低约 10 个版本。
我们如何升级以与 PCI 合规性要求保持同步?
我们需要从 php 5.3.2 到 php 5.3.15
以及高达 apache 2.2.23
我已经四处寻找答案,但还没有想出一个现实的答案。有些人建议手动编译——这听起来像是一场噩梦,而另一些人则建议使用 PPA——这听起来不安全。我们应该做什么?