La rete wireless sembra essere stata compromessa e verrà disabilitata per circa un minuto

Ho appena ricevuto un messaggio sul mio sistema Mac OS X che mi dice:

La rete wireless sembra essere stata compromessa e verrà disabilitata per circa un minuto. ^†

(È una rete protetta WPA2-PSK wireless BTW)

Messaggio di esempio:

Ho guardato nei registri del mio router (uno Zyxel P-2602HW-D1A) solo per vedere alcuni registri "syn flood TCP ATTACK" (in uscita), ma quelli erano come una settimana fa, a parte quello. Quali strumenti su Mac OS X sono necessari per analizzare questo evento di violazione della sicurezza? Ci sono alcuni registri di sicurezza su Mac OS X che posso controllare?

Quali altre misure dovrei prendere? E quanto dovrei prendere questo avviso da Mac OS X?

Sistema : Macbook Pro Intel Core 2 Duo 2.2 Ghz
OS : Mac OS X 10.5.8
Rete : wireless WPA2-PSK
Software pertinente : Parallels Desktop con Windows XP (era aperto, ma in quel momento fermo)

Altri sistemi sulla mia rete:
desktop Windows XP SP3 (era in esecuzione al momento)

Se hai bisogno di ulteriori informazioni, non esitare a chiedere.

^† Il messaggio reale era in olandese, probabilmente qualcosa di simile al seguente da /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lproj :

La sua parola netwerk è ora onorata da un minuto per il fatto che il beveiliging ervan è finalmente.

Questo è il messaggio che ricevi quando la scheda / driver AirPort rileva due guasti TKIP "MIChael" MIC (Message Integrity Check) entro 60 secondi o viene informato di tali guasti dall'AP.

La crittografia TKIP, che era la base del WPA originale e potrebbe essere ancora abilitata in WPA2 in quella che è nota come "Modalità mista WPA2", presentava una piccola probabilità di guasti MIC casuali, ma è improbabile che due guasti entro 60 secondi siano casuali, quindi le specifiche WPA lo trattano come un attacco e richiedono che la rete si interrompa per un minuto o due per contrastare gli aggressori.

La crittografia AES-CCMP che è alla base di WPA2 ha anche un MIC (beh, lo chiamano MAC - Message Authentication Check - è la 'M' di CCMP), ma non ricordo la parte superiore del mio testa cosa dovrebbe succedere se si verifica un errore MAC AES-CCMP. Non penso che implichi temporaneamente il downdown della rete.

Di gran lunga lo scenario più probabile è che ti sia capitato di colpire qualche bug in cui l'AP o il client hanno rovinato la sua gestione MIC o dove il codice di gestione degli errori MIC è stato attivato accidentalmente.

Ho visto che le schede wireless hanno dei bug in quest'area, specialmente in modalità promiscua. Potresti voler assicurarti che Parallels o qualcos'altro non stia mettendo la tua scheda wireless in modalità promiscua. Esegui ifconfig en1(se en1 è la tua scheda AirPort, come è in genere) e cerca nell'elenco dei flag dell'interfaccia ("UP, BROADCAST ...") il flag PROMISC. Alcuni software VM utilizzano la modalità Promiscua per abilitare reti "a ponte" o "condivise", almeno per le interfacce Ethernet cablate. Poiché molte schede wireless non gestiscono bene la modalità promiscua, la maggior parte dei moderni software VM fa attenzione a non mettere un'interfaccia wireless in modalità promiscua.

È possibile, ma improbabile, che qualcuno ti stesse prendendo in giro creando un frame di de-auth 802.11 con il codice motivo pertinente, che il cliente ha poi debitamente segnalato nello stack.

Lo scenario di gran lunga meno probabile è che qualcuno stia effettivamente lanciando un attacco alla tua rete.

Se il problema si ripresenta, una traccia del pacchetto in modalità monitor 802.11 è probabilmente il modo migliore per registrare l'attacco. Ma ritengo che spiegare come fare una buona traccia dei pacchetti in modalità monitor 802.11 in 10.5.8 esuli dallo scopo di questa risposta. Citerò che /var/log/system.logpotrebbe darti di più su ciò che il software client / driver AirPort ha visto in quel momento, e puoi aumentare un po 'il livello di log con

sudo /usr/libexec/airportd -d

Snow Leopard ha un registro di debug AirPort molto migliore, quindi se esegui l'aggiornamento a Snow Leopard, il comando è:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

Sniffare è facile su Snow Leopard:

sudo /usr/libexec/airportd en1 sniff 1

(Quell'esempio presuppone che la tua carta AirPort sia en1 e che il tuo AP sia sul canale 1.)

Secondo questo thread , il messaggio proviene dal driver AirPort quando rileva un problema con il TKIP Message Integrity Check o il checksum associato.

Quindi sostanzialmente o la tua rete è compromessa da attacchi di iniezione TKIP , o semplicemente il router sta calcolando erroneamente il MIC o il checksum, oppure i pacchetti sono stati danneggiati durante la trasmissione a causa di interferenze di altri router che operano su intervalli di frequenza simili .

Il modo suggerito per evitarlo è quello di passare a un router diverso o, se possibile, utilizzare solo la crittografia WPA2.

Vedi: Come evitare l'attacco standard di sicurezza wireless WPA?

TKIP è stato creato come soluzione rapida per AP e client più vecchi che erano stati paralizzati da WEP. Invece di utilizzare la stessa chiave per crittografare ogni pacchetto, TKIP utilizza RC4 con una chiave diversa per ciascun pacchetto. Queste chiavi per pacchetto neutralizzano i cracker di crittografia WEP. Inoltre, TKIP utilizza un Message Integrity Check (MIC) con chiave per rilevare i pacchetti riprodotti o falsificati. Chiunque può inviare (ovvero iniettare) un pacchetto crittografato con TKIP che è stato acquisito e modificato, ma quei pacchetti vengono eliminati perché il MIC e il checksum non corrispondono ai dati trasportati dal pacchetto. Gli AP che utilizzano TKIP di solito trasmettono un rapporto di errore alla ricezione del primo MIC errato.Se entro 60 secondi arriva un secondo pacchetto errato, l'AP interrompe l'ascolto per un altro minuto e quindi "reinserisce" la WLAN, richiedendo a tutti i client di iniziare a utilizzare una nuova "chiave master a coppie" per generare sia la chiave MIC che la crittografia per pacchetto chiavi.

Ciò ha ostruito i buchi lasciati dal WEP. Tutti i prodotti certificati WPA possono utilizzare TKIP e il suo MIC per resistere agli attacchi di intercettazione, falsificazione e riproduzione dei dati 802.11.