La red inalámbrica parece haber sido comprometida y se desactivará durante aproximadamente un minuto.

Acabo de recibir un mensaje en mi sistema Mac OS X que me dice:

La red inalámbrica parece haber sido comprometida y se desactivará durante aproximadamente un minuto. ^†

(Es una red inalámbrica segura WPA2-PSK BTW)

Mensaje de muestra:

Miré en los registros de mi enrutador (un Zyxel P-2602HW-D1A) solo para ver algunos registros (salientes) "syn flood TCP ATTACK", pero eran de hace una semana, aparte de eso nada. ¿Qué herramientas en Mac OS X tengo para analizar esta ocurrencia de violación de seguridad? ¿Hay algunos registros de seguridad en Mac OS X que pueda inspeccionar?

¿Qué otras medidas debo tomar? ¿Y qué tan serio debo tomar esta advertencia de Mac OS X?

Sistema : Macbook Pro Intel Core 2 Duo 2.2 Ghz
OS : Mac OS X 10.5.8
Red : inalámbrica WPA2-PSK
Software relevante : Parallels Desktop con Windows XP (estaba abierto, pero se detuvo en ese momento)

Otros sistemas en mi red:
escritorio de Windows XP SP3 (se estaba ejecutando en ese momento)

Si necesita más información, no dude en preguntar.

^† El mensaje real estaba en holandés, probablemente algo como lo siguiente en /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lproj :

Het draadloze netwerk wordt gedurende ongeveer een minuut uitgeschakeld omdat de beveiliging ervan is aangetast.

Ese es el mensaje que recibe cuando la tarjeta / controlador AirPort detecta dos fallas TKIP "MIChael" MIC (Verificación de integridad de mensajes) en 60 segundos, o el AP notifica tales fallas.

El cifrado TKIP, que era la base del WPA original y aún puede habilitarse bajo WPA2 en lo que se conoce como "Modo mixto WPA2", tenía una pequeña probabilidad de fallas aleatorias de MIC, pero dos fallas en 60 segundos es muy poco probable que sea aleatorio, por lo que La especificación WPA lo trata como un ataque y requiere que la red se caiga durante un minuto o dos para frustrar a los atacantes.

El cifrado AES-CCMP que es la base de WPA2 también tiene un MIC (bueno, lo llaman MAC - Comprobación de autenticación de mensajes - es la 'M' de CCMP), pero no recuerdo la parte superior de mi encabece lo que se supone que debe suceder si hay una falla MAC AES-CCMP. Sin embargo, no creo que implique desactivar la red temporalmente.

Con mucho, el escenario más probable es que acabas de encontrar algún error en el que el AP o el cliente arruinaron su manejo MIC, o donde el código de manejo de fallas MIC se activó accidentalmente.

He visto que las tarjetas inalámbricas tienen errores en esta área, especialmente en modo promiscuo. Es posible que desee asegurarse de que Parallels o algo más no está poniendo su tarjeta inalámbrica en modo promiscuo. Ejecute ifconfig en1(si en1 es su tarjeta AirPort, como suele ser) y busque en la lista de indicadores de la interfaz ("UP, BROADCAST ...") el indicador PROMISC. Algunos software de VM utilizan el modo Promiscuo para habilitar la conexión en red "en puente" o "compartida", al menos para las interfaces Ethernet cableadas. Debido a que muchas tarjetas inalámbricas no manejan bien el modo promiscuo, la mayoría del software VM moderno tiene cuidado de no poner una interfaz inalámbrica en modo promiscuo.

Es posible, pero poco probable, que alguien te esté molestando forjando una trama de desactivación de 802.11 con el código de razón relevante, que el cliente luego informó obedientemente en la pila.

Con mucho, el escenario menos probable es que alguien realmente estaba lanzando un ataque en su red.

Si el problema vuelve a ocurrir, un rastreo de paquetes en modo monitor 802.11 es probablemente la mejor manera de registrar el ataque. Pero creo que explicar cómo hacer un buen rastreo de paquetes en modo monitor 802.11 en 10.5.8 está más allá del alcance de esta respuesta. Mencionaré que /var/log/system.logpodría decirle más sobre lo que vio el software cliente / controlador AirPort en ese momento, y puede aumentar un poco el nivel de registro con

sudo /usr/libexec/airportd -d

Snow Leopard tiene un registro de depuración AirPort mucho mejor, por lo que si actualiza a Snow Leopard, el comando es:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

Oler es fácil en Snow Leopard:

sudo /usr/libexec/airportd en1 sniff 1

(Ese ejemplo supone que su tarjeta AirPort es en1, y su AP está en el canal 1.)

Según este hilo , el mensaje proviene del controlador AirPort cuando detecta un problema con la verificación de integridad de mensajes TKIP o la suma de verificación asociada.

Entonces, básicamente, su red se ve comprometida por ataques de inyección TKIP , o simplemente el enrutador está calculando incorrectamente el MIC o la suma de verificación, o los paquetes se corrompieron durante la transmisión debido a la interferencia de otros enrutadores que operan en rangos de frecuencia similares .

La forma sugerida de evitar esto es cambiar a un enrutador diferente o, si es posible, usar solo el cifrado WPA2.

Ver: ¿Cómo evitar el ataque estándar de seguridad inalámbrica WPA?

TKIP se creó como una solución rápida para AP y clientes antiguos que estaban paralizados por WEP. En lugar de usar la misma clave para encriptar cada paquete, TKIP usa RC4 con una clave diferente para cada paquete. Estas claves por paquete neutralizan los crackers de cifrado WEP. Además, TKIP utiliza una verificación de integridad de mensajes (MIC) para detectar paquetes que se reproducen o falsifican. Cualquiera puede enviar (es decir, inyectar) un paquete cifrado con TKIP que ha sido capturado y modificado, pero esos paquetes se descartan porque el MIC y la suma de verificación no coinciden con los datos transportados por el paquete. Los AP que usan TKIP generalmente transmiten un informe de error cuando se recibe el primer MIC incorrecto.Si llega un segundo paquete defectuoso dentro de los 60 segundos, el AP deja de escuchar durante otro minuto y luego "vuelve a escribir" la WLAN, lo que requiere que todos los clientes comiencen a usar una nueva "clave maestra por pares" para generar tanto la clave MIC como el cifrado por paquete llaves.

Esto tapó los agujeros que dejó WEP. Todos los productos con certificación WPA pueden usar TKIP y su MIC para resistir el espionaje de datos 802.11, la falsificación y los ataques de repetición.