Wygląda na to, że sieć bezprzewodowa została naruszona i zostanie wyłączona na około minutę

Właśnie otrzymałem wiadomość na moim systemie Mac OS X z informacją:

Wygląda na to, że sieć bezprzewodowa została naruszona i zostanie wyłączona na około minutę. ^†

(Jest to bezprzewodowa sieć zabezpieczona WPA2-PSK BTW)

Przykładowa wiadomość:

Przeglądałem logi mojego routera (Zyxel P-2602HW-D1A) tylko po to, żeby zobaczyć kilka (wychodzących) dzienników „TCP flood ATTACK”, ale te były sprzed tygodnia, ale nic poza tym. Jakie narzędzia w systemie Mac OS X muszę analizować pod kątem naruszenia bezpieczeństwa? Czy są jakieś dzienniki bezpieczeństwa w systemie Mac OS X, które mogę sprawdzić?

Jakie inne pomiary powinienem wykonać? A jak poważnie powinienem wziąć to ostrzeżenie z Mac OS X?

System : Macbook Pro Intel Core 2 Duo 2.2 Ghz
System operacyjny : Mac OS X 10.5.8
Sieć : bezprzewodowa WPA2-PSK
Odpowiednie oprogramowanie : Parallels Desktop z Windows XP (był otwarty, ale w tym czasie zatrzymany)

Inne systemy w mojej sieci:
Windows XP SP3 na pulpicie (działał wtedy)

Jeśli potrzebujesz więcej informacji, nie wahaj się zapytać.

^† Właściwa wiadomość była w języku niderlandzkim, prawdopodobnie podobna do następującej z /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lproj :

Het draadloze netwerk wordt gedurende ongeveer een minuut uitgeschakeld omdat de beveiliging ervan is aangetast.

Taką wiadomość otrzymujesz, gdy karta / sterownik AirPort wykryje dwie awarie MIC TKIP „MIChael” MIC (Message Integrity Check) w ciągu 60 sekund lub powiadomi o takich awariach AP.

Szyfrowanie TKIP, które było podstawą oryginalnego WPA i może być nadal włączone w ramach WPA2 w tak zwanym „trybie mieszanym WPA2”, miało niewielkie prawdopodobieństwo przypadkowych awarii MIC, ale dwie awarie w ciągu 60 sekund są zbyt mało prawdopodobne, aby były losowe, więc specyfikacja WPA traktuje to jako atak i wymaga wyłączenia sieci na minutę lub dwie, aby udaremnić atakujących.

Szyfrowanie AES-CCMP, które jest podstawą WPA2, ma również MIC (no cóż, nazywają to MAC - sprawdzanie autentyczności wiadomości - to „M” CCMP), ale nie przypominam sobie dowiedz się, co powinno się stać, jeśli wystąpi awaria AES-CCMP MAC. Nie sądzę jednak, aby wiązało się to z chwilowym wyłączeniem sieci.

Zdecydowanie najbardziej prawdopodobny scenariusz polega na tym, że trafiłeś na jakiś błąd, w którym AP lub klient spieprzyli obsługę MIC lub gdzie przypadkowo uruchomił się kod obsługi awarii MIC.

Widziałem, że karty bezprzewodowe mają błędy w tym obszarze, zwłaszcza działające w trybie rozwiązłym. Możesz upewnić się, że Parallels lub coś innego nie przełącza karty bezprzewodowej w tryb rozwiązły. Uruchom ifconfig en1(jeśli en1 jest Twoją kartą AirPort, jak to zwykle jest) i poszukaj flagi PROMISC na liście flag interfejsu („UP, BROADCAST ...”). Niektóre oprogramowanie VM używa trybu Promiscuous, aby włączyć sieci „zmostkowane” lub „współdzielone”, przynajmniej w przypadku przewodowych interfejsów Ethernet. Ponieważ wiele kart bezprzewodowych nie radzi sobie dobrze z trybem rozwiązanym, większość współczesnych programów VM ostrożnie ustawia interfejs bezprzewodowy w trybie rozwiązanym.

Jest możliwe, ale mało prawdopodobne, że ktoś zadziera z tobą, fałszując ramkę usuwania autoryzacji 802.11 z odpowiednim kodem przyczyny, który następnie klient słusznie zgłosił stos.

Zdecydowanie najmniej prawdopodobny scenariusz jest taki, że ktoś faktycznie rozpoczął atak na twoją sieć.

Jeśli problem powtórzy się, śledzenie pakietu w trybie monitorowania 802.11 jest prawdopodobnie najlepszym sposobem na zarejestrowanie ataku. Ale wydaje mi się, że wyjaśnienie, jak zrobić dobre śledzenie pakietu w trybie monitorowania 802.11 w wersji 10.5.8, wykracza poza zakres tej odpowiedzi. Wspomnę, że /var/log/system.logmoże powiedzieć ci więcej o tym, co widziało w tym czasie oprogramowanie klienta / sterownika AirPort, i możesz nieco zwiększyć poziom dziennika za pomocą

sudo /usr/libexec/airportd -d

Snow Leopard ma znacznie lepsze rejestrowanie debugowania AirPort, więc jeśli uaktualnisz do Snow Leopard, polecenie to:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

W Snow Leopard węszenie jest łatwe:

sudo /usr/libexec/airportd en1 sniff 1

(W tym przykładzie założono, że Twoja karta AirPort to en1, a twój AP znajduje się na kanale 1).

Zgodnie z tym wątkiem wiadomość pochodzi od sterownika AirPort, gdy wykryje problem z funkcją sprawdzania integralności wiadomości TKIP lub powiązaną sumą kontrolną.

Zasadniczo więc albo twoja sieć jest zagrożona atakami iniekcyjnymi TKIP , albo po prostu router nieprawidłowo oblicza MIC lub sumę kontrolną, albo pakiety ulegają uszkodzeniu podczas transmisji z powodu zakłóceń z innych routerów działających na podobnych zakresach częstotliwości .

Sugerowanym sposobem uniknięcia tego jest zmiana na inny router lub, jeśli to możliwe, użycie tylko szyfrowania WPA2.

Zobacz: Jak uniknąć standardowego ataku WPA na zabezpieczenia bezprzewodowe?

TKIP został stworzony jako szybka poprawka dla starszych AP i klientów, którzy zostali sparaliżowani przez WEP. Zamiast używać tego samego klucza do szyfrowania każdego pakietu, TKIP używa RC4 z innym kluczem dla każdego pakietu. Te klucze pakietu neutralizują urządzenia szyfrujące WEP. Ponadto TKIP używa kluczowanego sprawdzania integralności wiadomości (MIC) do wykrywania pakietów, które są odtwarzane lub fałszowane. Każdy może wysłać (to znaczy wstrzyknąć) pakiet zaszyfrowany TKIP, który został przechwycony i zmodyfikowany, ale pakiety te są odrzucane, ponieważ MIC i suma kontrolna nie pasują do danych przenoszonych przez pakiet. Punkty dostępowe korzystające z TKIP zwykle przesyłają raport o błędzie po otrzymaniu pierwszego złego MIC.Jeśli drugi zły pakiet dotrze w ciągu 60 sekund, punkt dostępowy przestaje nasłuchiwać na kolejną minutę, a następnie „ponownie uruchamia” sieć WLAN, wymagając od wszystkich klientów rozpoczęcia korzystania z nowego „klucza głównego parowanego” w celu wygenerowania zarówno klucza MIC, jak i szyfrowania poszczególnych pakietów Klucze.

To zatkało luki pozostawione przez WEP. Wszystkie produkty z certyfikatem WPA mogą korzystać z TKIP i jego MIC, aby stawić opór podsłuchom, fałszowaniu i odtwarzaniu danych 802.11.