A rede sem fio parece ter sido comprometida e será desativada por cerca de um minuto

13

Acabei de receber uma mensagem no meu sistema Mac OS X dizendo:

The wireless network appears to have been compromised and will be disabled for about a minute.

(É uma rede segura WPA2-PSK sem fio BTW)

Mensagem de amostra:

Euolheinoslogsdomeuroteador(umZyxelP-2602HW-D1A)apenasparaveralgunslogsde"syn flood TCP ATTACK" (de saída), mas esses eram de uma semana atrás, além disso nada. Quais ferramentas do Mac OS X eu tenho para analisar essa ocorrência de violação de segurança? Existem alguns logs de segurança no Mac OS X que posso inspecionar?

Que outras medições devo fazer? E quão sério devo levar esse aviso do Mac OS X?

Sistema : MacBook Pro Intel Core 2 Duo 2.2 Ghz
SO : Mac OS X 10.5.8
Rede : WPA2-PSK sem fios
Software relevante : Parallels Desktop com o Windows XP (estava aberto mas parado na altura)

Outros sistemas na minha rede:
Área de trabalho do Windows XP SP3 (estava em execução no momento)

Se você precisar de mais alguma informação, não hesite em perguntar.

A mensagem atual estava em holandês, provavelmente algo como o seguinte em /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lproj :

Het draadloze netwerk wordt gedurende ongeveer een minuut uitgeschakeld omdat de beveiliging ervan is aangetast.

    
por Decent Dabbler 21.12.2009 / 17:05

2 respostas

16

Essa é a mensagem que você recebe quando a placa / driver AirPort detecta duas falhas "MIChael" MIC (Message Integrity Check) TKIP dentro de 60 segundos, ou é notificado de tais falhas pelo AP.

A criptografia TKIP, que era a base do WPA original e ainda pode ser ativada no WPA2 no modo conhecido como "WPA2 Mixed Mode", tinha uma pequena probabilidade de falhas aleatórias no MIC, mas é muito improvável que duas falhas dentro de 60 segundos sejam aleatoriedade, então a especificação WPA a trata como um ataque e exige que a rede desça por um minuto ou dois para impedir ataques.

A criptografia AES-CCMP que é a base do WPA2 também tem um MIC (bem, eles chamam isso de MAC - Message Authentication Check - é o 'M' do CCMP), mas eu não me lembro do topo da minha cabeça o que deveria acontecer se houver uma falha no MAC AES-CCMP. Eu não acho que isso envolve derrubar a rede temporariamente.

De longe, o cenário mais provável é que você tenha acertado algum bug em que o AP ou o cliente estragou o tratamento do MIC, ou onde o código de manipulação de falhas do MIC foi acidentalmente acionado.

Eu vi cartões sem fio ter erros nesta área, especialmente em execução no modo promíscuo. Você pode querer ter certeza de que o Parallels ou qualquer outra coisa não está colocando sua placa wireless no modo promíscuo. Execute ifconfig en1 (se en1 for sua placa AirPort, como normalmente é) e procure na lista de sinalizadores de interface ("UP, BROADCAST ...") para o sinalizador PROMISC. Alguns softwares de VM usam o modo Promíscuo para habilitar a rede "em ponte" ou "compartilhada", pelo menos para interfaces Ethernet com fio. Como muitas placas sem fio não lidam bem com o modo promíscuo, a maioria dos softwares de VM modernos tem o cuidado de não colocar uma interface sem fio no modo promíscuo.

É possível, mas improvável, que alguém esteja mexendo com você forjando um frame de autenticação de 802.11 com o código de razão relevante, que o cliente então relatou obedientemente na pilha.

De longe, o cenário provável menos é que alguém estava realmente lançando um ataque à sua rede.

Se o problema acontecer novamente, um rastreamento de pacote de modo de monitor 802.11 provavelmente é a melhor maneira de registrar o ataque. Mas eu sinto que explicar como fazer um bom rastreamento de pacote de modo de monitor 802.11 em 10.5.8 está além do escopo desta resposta. Eu mencionarei que /var/log/system.log pode lhe dizer mais sobre o que o software de cliente / driver AirPort viu no momento, e você pode aumentar um pouco o nível de log com

sudo /usr/libexec/airportd -d

O Snow Leopard tem um registro de depuração muito melhor do AirPort, portanto, se você atualizar para o Snow Leopard, o comando é:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

Sniffing é fácil no Snow Leopard:

sudo /usr/libexec/airportd en1 sniff 1

(Esse exemplo assume que sua placa AirPort é en1 e seu AP está no canal 1.)

    
por 03.05.2010 / 20:14
0

De acordo com este tópico , a mensagem vem do driver AirPort quando detecta um problema com o TKIP Message Integrity Check ou com a soma de verificação associada.

Então, basicamente, sua rede é comprometida por ataques de injeção de TKIP , ou simplesmente o roteador calcula incorretamente o MIC ou checksum, ou os pacotes foram corrompidos durante a transmissão devido à interferência de outros roteadores operando em intervalos de freqüência semelhantes .

A maneira sugerida de evitar isso é mudar para um roteador diferente ou, se possível, usar somente criptografia WPA2.

Veja: Como evitar o ataque padrão de segurança sem fio WPA

TKIP was created as a quick fix for older APs and clients that were crippled by WEP. Instead of using the same key to encrypt every packet, TKIP uses RC4 with a different key for each packet. These per-packet keys neutralize WEP encryption crackers. In addition, TKIP uses a keyed Message Integrity Check (MIC) to detect packets that are replayed or forged. Anyone can send (that is, inject) a TKIP-encrypted packet that has been captured and modified, but those packets are dropped because the MIC and checksum do not match the data carried by the packet. APs using TKIP usually transmit an error report when the first bad MIC is received. If a second bad packet arrives within 60 seconds, the AP stops listening for another minute and then "rekeys" the WLAN, requiring all clients to start using a new "pairwise master key" to generate both the MIC key and those per-packet encryption keys.

This plugged the gaping holes left by WEP. All WPA-certified products can use TKIP and its MIC to resist 802.11 data eavesdropping, forgery, and replay attacks.

    
por 28.09.2017 / 13:10