Mạng không dây dường như đã bị xâm phạm và sẽ bị vô hiệu hóa trong khoảng một phút

Tôi vừa nhận được một tin nhắn trên hệ thống Mac OS X cho tôi biết:

Mạng không dây dường như đã bị xâm phạm và sẽ bị vô hiệu hóa trong khoảng một phút. ^†

(Đó là BTW mạng bảo mật WPA2-PSK không dây)

Tin nhắn mẫu:

Tôi đã xem các bản ghi của bộ định tuyến của mình (một Zyxel P-2602HW-D1A) chỉ để thấy một vài bản ghi "đồng bộ hóa TCP ATTACK" (bên ngoài), nhưng những thứ đó không giống như một tuần trước, ngoài những thứ đó. Tôi phải sử dụng công cụ nào trên Mac OS X để phân tích sự cố vi phạm bảo mật này? Có một số nhật ký bảo mật trên Mac OS X mà tôi có thể kiểm tra không?

Những phép đo nào khác tôi nên thực hiện? Và tôi nên nhận cảnh báo này từ Mac OS X nghiêm trọng đến mức nào?

Hệ thống : Macbook Pro Intel Core 2 Duo 2.2 Ghz
Hệ điều hành : Mac OS X 10.5.8
Mạng : không dây WPA2-PSK
Phần mềm có liên quan : Parallels Desktop với Windows XP (đã mở, nhưng đã dừng tại thời điểm đó)

Các hệ thống khác trên mạng của tôi: Máy
tính để bàn Windows XP SP3 (đang chạy vào thời điểm đó)

Nếu bạn cần thêm thông tin, đừng vội hỏi.

^† Thông điệp thực tế là ở Hà Lan, có lẽ một cái gì đó như sau từ /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lproj :

Het Drainadloze netwerk wordt gedurende ongeveer een minuut uitgeschakeld omdat de beveiliging ervan là aangetast.

Đó là thông báo bạn nhận được khi thẻ / trình điều khiển AirPort phát hiện hai lỗi TKIP "MIChael" MIC (Kiểm tra tính toàn vẹn của tin nhắn) trong vòng 60 giây hoặc được AP thông báo về những lỗi đó.

Mã hóa TKIP, vốn là nền tảng của WPA gốc và vẫn có thể được kích hoạt theo WPA2 trong cái gọi là "Chế độ hỗn hợp WPA2", có khả năng rất nhỏ xảy ra lỗi MIC ngẫu nhiên, nhưng hai lỗi trong vòng 60 giây rất khó xảy ra, do đó không có khả năng là ngẫu nhiên, vì vậy thông số WPA coi nó như một cuộc tấn công và yêu cầu mạng phải ngừng hoạt động trong một hoặc hai phút để ngăn chặn những kẻ tấn công.

Mã hóa AES-CCMP là nền tảng của WPA2 cũng có MIC (vâng, họ gọi nó là MAC - Kiểm tra xác thực tin nhắn - đó là 'M' của CCMP), nhưng tôi không nhớ ra khỏi đầu của tôi đầu tiên những gì sẽ xảy ra nếu có lỗi AES-CCMP MAC. Tôi không nghĩ rằng nó liên quan đến việc hạ thấp mạng tạm thời.

Cho đến nay, kịch bản rất có thể xảy ra là bạn vừa gặp phải một số lỗi trong đó AP hoặc máy khách đã xử lý lỗi MIC hoặc khi mã xử lý lỗi MIC bị vô tình kích hoạt.

Tôi đã thấy thẻ không dây có lỗi trong lĩnh vực này, đặc biệt là chạy ở chế độ lăng nhăng. Bạn có thể muốn đảm bảo rằng Parallels hoặc thứ gì khác không đưa thẻ không dây của bạn vào chế độ lăng nhăng. Chạy ifconfig en1(nếu en1 là thẻ AirPort của bạn, như thường lệ) và tìm trong danh sách cờ giao diện ("UP, BROADCAST ...") cho cờ PROMISC. Một số phần mềm VM sử dụng chế độ Promiscuity để cho phép kết nối mạng "bắc cầu" hoặc "chia sẻ", ít nhất là cho các giao diện Ethernet có dây. Do nhiều thẻ không dây xử lý tốt chế độ lăng nhăng, hầu hết các phần mềm VM hiện đại đều cẩn thận không đặt giao diện không dây vào chế độ lăng nhăng.

Có thể, nhưng không có khả năng, ai đó đã gây rối với bạn bằng cách giả mạo khung 802.11-auth với mã lý do có liên quan, sau đó khách hàng đã báo cáo ngăn xếp.

Cho đến nay, kịch bản ít có khả năng nhất là ai đó thực sự đã phát động một cuộc tấn công vào mạng của bạn.

Nếu sự cố xảy ra lần nữa, theo dõi gói chế độ màn hình 802.11 có lẽ là cách tốt nhất để ghi lại cuộc tấn công. Nhưng tôi cảm thấy rằng việc giải thích cách thực hiện theo dõi gói chế độ màn hình 802.11 tốt dưới 10.5.8 nằm ngoài phạm vi của câu trả lời này. Tôi sẽ đề cập rằng /var/log/system.logcó thể cho bạn biết thêm về những gì phần mềm máy khách / trình điều khiển AirPort đã thấy vào thời điểm đó và bạn có thể tăng mức độ nhật ký một chút với

sudo /usr/libexec/airportd -d

Snow Leopard có khả năng ghi nhật ký gỡ lỗi AirPort tốt hơn nhiều, vì vậy nếu bạn nâng cấp lên Snow Leopard, lệnh là:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

Đánh hơi dễ dàng trên Snow Leopard:

sudo /usr/libexec/airportd en1 sniff 1

(Ví dụ đó giả sử thẻ AirPort của bạn là en1 và AP của bạn nằm trên kênh 1.)

Theo điều này chủ đề , thông báo đến từ trình điều khiển AirPort khi phát hiện sự cố với Kiểm tra tính toàn vẹn của Thông báo TKIP hoặc tổng kiểm tra liên quan.

Vì vậy, về cơ bản, mạng của bạn bị xâm phạm bởi các cuộc tấn công tiêm TKIP hoặc đơn giản là bộ định tuyến đang tính toán MIC hoặc tổng kiểm tra không chính xác hoặc các gói bị hỏng trong quá trình truyền do nhiễu từ các bộ định tuyến khác hoạt động trên các dải tần tương tự .

Cách đề xuất để tránh điều này là thay đổi sang một bộ định tuyến khác hoặc, nếu có thể, chỉ sử dụng mã hóa WPA2.

Xem: Làm thế nào để tránh cuộc tấn công tiêu chuẩn bảo mật không dây WPA?

TKIP được tạo ra như một bản sửa lỗi nhanh cho các AP và máy khách cũ bị WEP làm tê liệt. Thay vì sử dụng cùng một khóa để mã hóa mọi gói, TKIP sử dụng RC4 với một khóa khác nhau cho mỗi gói. Các khóa trên mỗi gói này vô hiệu hóa các cracker mã hóa WEP. Ngoài ra, TKIP sử dụng Kiểm tra tính toàn vẹn thư (MIC) đã khóa để phát hiện các gói được phát lại hoặc giả mạo. Bất cứ ai cũng có thể gửi (nghĩa là tiêm) một gói được mã hóa TKIP đã bị bắt và sửa đổi, nhưng các gói đó bị loại bỏ vì MIC và tổng kiểm tra không khớp với dữ liệu được mang theo bởi gói. Các AP sử dụng TKIP thường truyền báo cáo lỗi khi nhận được MIC xấu đầu tiên.Nếu gói xấu thứ hai đến trong vòng 60 giây, AP sẽ ngừng nghe thêm một phút nữa và sau đó "gõ lại" mạng WLAN, yêu cầu tất cả khách hàng bắt đầu sử dụng "khóa chính cặp" mới để tạo cả khóa MIC và mã hóa cho mỗi gói chìa khóa.

Điều này đã cắm các lỗ hổng do WEP để lại. Tất cả các sản phẩm được chứng nhận WPA có thể sử dụng TKIP và MIC của nó để chống lại các cuộc tấn công nghe lén, giả mạo và phát lại dữ liệu 802.11.