Kablosuz ağın güvenliği ihlal edilmiş gibi görünüyor ve yaklaşık bir dakika için devre dışı bırakılacak

Mac OS X sistemimde bana şu mesajı veren bir mesaj aldım:

Kablosuz ağın güvenliği ihlal edilmiş gibi görünüyor ve yaklaşık bir dakika için devre dışı bırakılacak. ^†

(Kablosuz WPA2-PSK güvenli ağ BTW'si)

Örnek mesaj:

Yönlendiricimin günlüklerine (Zyxel P-2602HW-D1A) yalnızca birkaç (giden) "syn flood TCP ATTACK" günlüğünü görmek için baktım, ancak bunlar bir hafta önce, hiçbir şey dışındaydı. Bu güvenlik ihlali oluşumunu analiz etmek için Mac OS X'te hangi araçlara ihtiyacım var? Mac OS X'te inceleyebileceğim bazı güvenlik günlükleri var mı?

Başka hangi ölçümleri yapmalıyım? Ve bu uyarıyı Mac OS X'ten ne kadar ciddiye almalıyım?

Sistem : Macbook Pro Intel Core 2 Duo 2.2 Ghz
İşletim Sistemi : Mac OS X 10.5.8
Ağ : kablosuz WPA2-PSK
İlgili yazılım : Windows XP ile Paralellikler Masaüstü (açık, ancak o sırada durdu)

Ağımdaki diğer sistemler:
Windows XP SP3 masaüstü (o sırada çalışıyordu)

Daha fazla bilgiye ihtiyacınız varsa, sormaktan çekinmeyin.

^† Gerçek mesaj Felemenkçeydi, muhtemelen /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lproj adresinden aşağıdakine benzer bir şeydi :

Het draadloze net wordt gedurende ongeveer een minuut uitgeschakeld omdat de beveiliging ervan olduğunu aangetast.

Bu, AirPort kartı / sürücüsü 60 saniye içinde iki TKIP "MIChael" MIC (Mesaj Bütünlüğü Denetimi) hatası algıladığında veya AP tarafından bu tür hatalardan haberdar edildiğinde aldığınız mesajdır.

Orijinal WPA'nın temeli olan ve "WPA2 Karışık Mod" olarak bilinen şeyde hala WPA2 altında etkinleştirilebilen TKIP şifrelemesinin küçük bir rastgele MIC arızası olasılığı vardı, ancak 60 saniye içinde iki arızanın rastgele olması pek olası değildir, bu nedenle WPA spesifikasyonu bunu bir saldırı olarak ele alır ve ağın saldırganları engellemek için bir iki dakika aşağı inmesini gerektirir.

WPA2'nin temelini oluşturan AES-CCMP şifrelemesinin de bir MIC'si var (buna MAC - Mesaj Kimlik Doğrulama Denetimi diyorlar - bu CCMP'nin 'M'si'), ancak üstümden hatırlamıyorum AES-CCMP MAC arızası varsa ne olacağını düşünün. Yine de ağın geçici olarak indirilmesini gerektirdiğini sanmıyorum.

Şimdiye kadarki en olası senaryo, AP'nin veya istemcinin MIC işlemesini vidaladığı veya MIC hatası işleme kodunun yanlışlıkla tetiklendiği bazı hatalara çarptığınızdır.

Kablosuz kartların bu alanda hatalar olduğunu gördüm, özellikle karışık modda çalışıyor. Parallels veya başka bir şeyin kablosuz kartınızı karışık moda sokmadığından emin olmak isteyebilirsiniz. Çalıştırın ifconfig en1(en1 normalde olduğu gibi AirPort kartınızsa) ve PROMISC bayrağı için arayüz bayrak listesine ("UP, BROADCAST ...") bakın. Bazı VM yazılımları, en azından kablolu Ethernet arabirimleri için "köprülü" veya "paylaşılan" ağ oluşturmayı etkinleştirmek için Karışık mod kullanır. Birçok kablosuz kart karışık modu iyi işlemediğinden, modern VM yazılımlarının çoğu kablosuz bir arayüzü karışık moda sokmamaya dikkat eder.

Birisi, müşterinin daha sonra yığını istediği şekilde bildirdiği ilgili neden koduyla bir 802.11 yetkisizlik çerçevesi oluşturarak sizinle uğraşıyor olabilir.

Şimdiye kadar en az olası senaryo, birisinin aslında ağınıza bir saldırı başlatmasıdır.

Sorun tekrarlanırsa, bir 802.11 monitör modu paket izlemesi muhtemelen saldırıyı kaydetmenin en iyi yoludur. Ancak 10.5.8 altında iyi bir 802.11 monitör modu paket izlemesi yapmayı açıklamanın bu cevabın kapsamı dışında olduğunu hissediyorum. Size /var/log/system.logAirPort istemci / sürücü yazılımının o sırada ne gördüğü hakkında daha fazla bilgi verebileceğinden bahsedeceğim ve günlük düzeyini biraz artırabilirsiniz.

sudo /usr/libexec/airportd -d

Snow Leopard çok daha iyi AirPort hata ayıklama günlüğüne sahiptir, bu nedenle Snow Leopard'a yükseltirseniz, komut şöyledir:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

Snow Leopard'da koklama kolaydır:

sudo /usr/libexec/airportd en1 sniff 1

(Bu örnek, AirPort kartınızın en1 ve AP'nizin kanal 1'de olduğunu varsayar.)

Bu iş parçacığına göre , TKIP İleti Bütünlüğü Denetimi veya ilgili sağlama toplamıyla ilgili bir sorun algıladığında AirPort sürücüsünden ileti gelir .

Yani temelde ya ağınız TKIP enjeksiyon saldırıları tarafından tehlikeye atılmış ya da basitçe yönlendirici MIC veya sağlama toplamını yanlış hesaplıyor ya da benzer frekans aralıklarında çalışan başka bir yönlendiricinin müdahalesi nedeniyle paketler iletim sırasında bozuldu .

Bundan kaçınmanın önerilen yolu farklı bir yönlendiriciye geçmek veya mümkünse yalnızca WPA2 şifrelemesi kullanmaktır.

Bkz: WPA kablosuz güvenlik standardı saldırısından nasıl kaçınılır?

TKIP, WEP tarafından sakatlanan eski AP'ler ve istemciler için hızlı bir düzeltme olarak oluşturuldu. TKIP her paketi şifrelemek için aynı anahtarı kullanmak yerine, her paket için farklı bir anahtarla RC4 kullanır. Bu paket başına anahtarlar WEP şifreleme krakerlerini etkisiz hale getirir. Ayrıca TKIP, yeniden oynatılan veya dövülen paketleri algılamak için anahtarlı bir Mesaj Bütünlüğü Denetimi (MIC) kullanır. Herkes, yakalanan ve değiştirilen TKIP şifreli bir paketi gönderebilir (enjekte edebilir), ancak MIC ve sağlama toplamı paket tarafından taşınan verilerle eşleşmediği için bu paketler bırakılır. TKIP kullanan AP'ler genellikle ilk hatalı MIC alındığında bir hata raporu gönderir.60 saniye içinde ikinci bir hatalı paket gelirse, AP bir dakika daha dinlemeyi durdurur ve ardından WLAN'ı "yeniden anahtarlar". anahtarlar.

Bu, WEP tarafından bırakılan boşluk deliklerini tıkadı. Tüm WPA sertifikalı ürünler TKIP ve MIC'sini kullanarak 802.11 veri dinlemelerine, sahteciliğe ve tekrar saldırılarına direnebilir.