Jaringan nirkabel tampaknya telah dikompromikan dan akan dinonaktifkan selama sekitar satu menit

16

Saya baru saja menerima pesan di sistem Mac OS X yang memberitahu saya:

Jaringan nirkabel tampaknya telah dikompromikan dan akan dinonaktifkan selama sekitar satu menit.

(Ini adalah jaringan aman WPA2-PSK nirkabel BTW)

Pesan sampel:

macOS - Jaringan nirkabel tampaknya telah dikompromikan dan akan dinonaktifkan selama sekitar satu menit

Saya melihat log router saya (Zyxel P-2602HW-D1A) hanya untuk melihat beberapa (outbound) "syn banjir TCP SERANGAN" log, tetapi mereka berasal dari seminggu yang lalu, selain itu tidak ada. Alat apa pada Mac OS X yang saya harus menganalisis kejadian pelanggaran keamanan ini? Apakah ada beberapa log keamanan pada Mac OS X yang dapat saya periksa?

Apa pengukuran lain yang harus saya ambil? Dan seberapa serius saya harus menerima peringatan ini dari Mac OS X?

Sistem : Macbook Pro Intel Core 2 Duo 2.2 Ghz
OS : Mac OS X 10.5.8
Jaringan : nirkabel WPA2-PSK
Perangkat lunak yang relevan : Parallels Desktop dengan Windows XP (terbuka, tetapi berhenti pada saat itu)

Sistem lain di jaringan saya:
desktop Windows XP SP3 (sedang berjalan saat itu)

Jika Anda memerlukan info lebih lanjut, jangan bimbang untuk bertanya.

Pesan sebenarnya adalah dalam bahasa Belanda, mungkin kira-kira seperti berikut dari /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lproj :

Namun demikian, Anda dapat menggunakan kata-kata berikut ini di perangkat Anda dan kemudian Anda dapat menggunakan omdat de beveiliging ervan.

macos  networking  security  wireless-networking 
Dabbler yang Layak
sumber
Apakah Anda memiliki cuplikan layar pesan kesalahan?
Brian
@ Brian, ini pertanyaan yang cukup lama ... :-)
Arjan
Ha, begitulah - Saya benar-benar mengabaikan tanggal
Brian
1
Masih punya ini di macOS Sierra.
kenorb

Jawaban:

16

Itulah pesan yang Anda dapatkan saat kartu / driver AirPort mendeteksi dua kegagalan TKIP "MIChael" MIC (Message Integrity Check) dalam 60 detik, atau diberitahukan tentang kegagalan tersebut oleh AP.

Enkripsi TKIP, yang merupakan dasar dari WPA asli dan masih dapat diaktifkan di bawah WPA2 dalam apa yang dikenal sebagai "Mode Campuran WPA2", memiliki kemungkinan kecil kegagalan MIC secara acak, tetapi dua kegagalan dalam 60 detik terlalu tidak mungkin menjadi keacakan, jadi spec WPA memperlakukannya sebagai serangan, dan mengharuskan jaringan untuk turun selama satu atau dua menit untuk menggagalkan penyerang.

Enkripsi AES-CCMP yang merupakan dasar dari WPA2 juga memiliki MIC (well, mereka menyebutnya MAC - Message Authentication Check - ini adalah 'M' dari CCMP), tapi saya tidak ingat bagian atas dari saya kepala apa yang seharusnya terjadi jika ada kegagalan MAC AES-CCMP. Saya tidak berpikir itu melibatkan penurunan jaringan sementara.

Sejauh ini, skenario yang paling mungkin adalah Anda kebetulan menabrak beberapa bug di mana AP atau klien mengacaukan penanganan MIC-nya, atau di mana kode penanganan kegagalan-MIC terpicu secara tidak sengaja.

Saya telah melihat kartu nirkabel memiliki bug di daerah ini, terutama berjalan dalam mode promiscuous. Anda mungkin ingin memastikan bahwa Parallels atau sesuatu yang lain tidak menempatkan kartu nirkabel Anda ke mode promiscuous. Jalankan ifconfig en1(jika en1 adalah kartu AirPort Anda, seperti biasanya) dan lihat di daftar flag antarmuka ("UP, BROADCAST ...") untuk bendera PROMISC. Beberapa perangkat lunak VM menggunakan mode Promiscuous untuk mengaktifkan jaringan "bridged" atau "shared", setidaknya untuk antarmuka Ethernet kabel. Karena banyak kartu nirkabel tidak menangani mode promiscuous dengan baik, sebagian besar perangkat lunak VM modern berhati-hati untuk tidak menempatkan antarmuka nirkabel ke mode promiscuous.

Itu mungkin, tetapi tidak mungkin, bahwa seseorang mengacaukan Anda dengan memalsukan bingkai de-auth 802.11 dengan kode alasan yang relevan, yang kemudian dengan patuh klien melaporkan tumpukan itu.

Sejauh ini, skenario yang paling tidak mungkin adalah seseorang benar-benar meluncurkan serangan pada jaringan Anda.

Jika masalah terjadi lagi, jejak paket mode monitor 802.11 mungkin merupakan cara terbaik untuk merekam serangan. Tapi saya merasa menjelaskan bagaimana melakukan jejak paket mode monitor 802.11 yang baik di bawah 10.5.8 berada di luar cakupan jawaban ini. Saya akan menyebutkan yang /var/log/system.logmungkin memberi tahu Anda lebih banyak tentang apa yang dilihat oleh perangkat lunak klien / driver AirPort pada saat itu, dan Anda dapat sedikit meningkatkan level log dengan

sudo /usr/libexec/airportd -d

Snow Leopard memiliki pendataan debug AirPort yang jauh lebih baik, jadi jika Anda memutakhirkan ke Snow Leopard, perintahnya adalah:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

Sniffing itu mudah di Snow Leopard:

sudo /usr/libexec/airportd en1 sniff 1

(Contoh itu mengasumsikan kartu AirPort Anda adalah en1, dan AP Anda ada di saluran 1.)

Spiff
sumber
1
Saya tidak dapat mengonfirmasi bahwa semua yang Anda nyatakan benar, tetapi: +1 untuk bacaan yang sangat menarik.
Arjan
Dengan bundel sumber daya yang saya tambahkan ke pertanyaan, teks yang sama digunakan untuk keduanya wpaIsFailureMICdan wpaIsReplayAttack.
Arjan
0

Sesuai utas ini , pesan berasal dari driver AirPort ketika mendeteksi masalah dengan Pemeriksaan Integritas Pesan TKIP atau checksum terkait.

Jadi pada dasarnya jaringan Anda terganggu oleh serangan injeksi TKIP , atau hanya router yang salah menghitung MIC atau checksum, atau paket-paket rusak selama transmisi karena gangguan dari router lain yang beroperasi pada rentang frekuensi yang sama .

Cara yang disarankan untuk menghindari ini adalah mengubah ke router yang berbeda atau, jika mungkin, hanya menggunakan enkripsi WPA2.

Lihat: Bagaimana cara menghindari serangan standar keamanan nirkabel WPA?

TKIP dibuat sebagai perbaikan cepat untuk AP dan klien lama yang lumpuh oleh WEP. Alih-alih menggunakan kunci yang sama untuk mengenkripsi setiap paket, TKIP menggunakan RC4 dengan kunci yang berbeda untuk setiap paket. Kunci per paket ini menetralkan cracker enkripsi WEP. Selain itu, TKIP menggunakan Message Integrity Check (MIC) yang dikunci untuk mendeteksi paket yang diputar ulang atau dipalsukan. Siapa pun dapat mengirim (yaitu, menyuntikkan) paket terenkripsi TKIP yang telah diambil dan dimodifikasi, tetapi paket-paket itu dihapus karena MIC dan checksum tidak cocok dengan data yang dibawa oleh paket. AP yang menggunakan TKIP biasanya mengirimkan laporan kesalahan ketika MIC buruk pertama diterima.Jika paket buruk kedua tiba dalam 60 detik, AP berhenti mendengarkan satu menit lagi dan kemudian "merekam" WLAN, mengharuskan semua klien untuk mulai menggunakan "kunci utama berpasangan" untuk menghasilkan baik kunci MIC dan enkripsi per paket. kunci.

Ini dicolokkan lubang menganga yang ditinggalkan oleh WEP. Semua produk bersertifikasi WPA dapat menggunakan TKIP dan MIC-nya untuk menolak 802.11 data yang mencuri, memalsukan, dan serangan replay.

kenorb
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.