Question Le réseau sans fil semble avoir été compromis et sera désactivé pendant environ une minute


Je viens de recevoir un message sur mon système Mac OS X me disant:

Le réseau sans fil semble avoir été compromis et sera désactivé pendant environ une minute.

(C'est un réseau sécurisé sans fil WPA2-PSK BTW)

Exemple de message:

macOS - The wireless network appears to have been compromised and will be disabled for about a minute


J'ai regardé dans les journaux de mon routeur (un Zyxel P-2602HW-D1A) seulement pour voir quelques journaux (sortants) "TCP synchrone ATTACK", mais ceux-ci venaient de la même semaine, autre que rien. De quels outils sur Mac OS X dois-je analyser cette occurrence de violation de sécurité? Existe-t-il des journaux de sécurité sur Mac OS X que je peux inspecter?

Quelles autres mesures dois-je prendre? Et quel sérieux dois-je prendre cet avertissement de Mac OS X?

Système: Macbook Pro Intel Core 2 Duo 2.2 Ghz
OS: Mac OS X 10.5.8
Réseau: WPA2-PSK sans fil
Logiciel pertinent: Parallels Desktop avec Windows XP (était ouvert, mais arrêté à ce moment)

Autres systèmes sur mon réseau:
Bureau Windows XP SP3 (était en cours d'exécution)

Si vous avez besoin de plus d’informations, n’hésitez pas à demander.


 Le message était en néerlandais, probablement comme suit: /System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lproj:

Het draadloze netwerk wordt gedurende ongeveer een minuut uitgeschakeld omdat de beveiliging ervan est aangetast.


13
2017-12-21 16:05


origine


Avez-vous une capture d'écran du message d'erreur? - Brian
@Brian, c'est une assez vieille question ... :-) - Arjan
Ha, c'est comme ça - j'ai complètement oublié la date - Brian
J'ai toujours ça sur macOS Sierra. - kenorb


Réponses:


C'est le message que vous obtenez lorsque la carte / pilote AirPort détecte deux échecs MIC (Message Integrity Check) TKIP "MIChael" dans les 60 secondes, ou est averti de tels échecs par l'AP.

Le cryptage TKIP, qui était à la base du WPA original et peut encore être activé sous WPA2 dans ce que l'on appelle le "mode mixte WPA2", avait très peu de risques de défaillances aléatoires, mais il est peu probable que deux échecs la spécification WPA le traite comme une attaque et exige que le réseau tombe en panne pendant une minute ou deux pour déjouer les attaquants.

Le cryptage AES-CCMP qui est à la base de WPA2 a également un MIC (bien, ils l'appellent un MAC - Message Authentication Check - c'est le «M» du CCMP), mais je ne me souviens pas du haut de mon Head ce qui est censé se produire s'il y a une panne MAC AES-CCMP. Je ne pense pas que cela implique de réduire temporairement le réseau.

Le scénario le plus probable est de loin le fait que vous ayez rencontré un bogue où l'AP ou le client a foiré son traitement MIC, ou où le code de gestion des pannes MIC a été déclenché accidentellement.

J'ai vu des cartes sans fil avoir des bogues dans ce domaine, en particulier en mode espion. Vous voudrez peut-être vous assurer que Parallels ou autre ne met pas votre carte sans fil en mode espion. Courir ifconfig en1 (si en1 est votre carte AirPort, comme c'est généralement le cas) et regardez dans la liste des indicateurs d'interface ("UP, BROADCAST ...") pour le drapeau PROMISC. Certains logiciels VM utilisent le mode Promiscuous pour activer la mise en réseau «pontée» ou «partagée», du moins pour les interfaces Ethernet câblées. Étant donné que de nombreuses cartes sans fil ne gèrent pas bien le mode promiscuous, la plupart des logiciels VM modernes veillent à ne pas placer une interface sans fil en mode espion.

Il est possible, mais improbable, que quelqu'un ait joué avec vous en forgeant un cadre de désautorisation 802.11 avec le code de raison pertinent, que le client a ensuite consigné dans la pile.

De loin le moins Selon un scénario probable, quelqu'un aurait lancé une attaque sur votre réseau.

Si le problème se reproduit, une trace de paquet en mode moniteur 802.11 est probablement le meilleur moyen d'enregistrer l'attaque. Mais je pense qu'expliquer comment faire un bon suivi de paquet en mode moniteur 802.11 sous 10.5.8 dépasse le cadre de cette réponse. Je vais mentionner que /var/log/system.log peut vous en dire plus sur ce que le logiciel client / pilote AirPort a vu à ce moment-là, et vous pouvez augmenter légèrement le niveau de journalisation avec

sudo /usr/libexec/airportd -d

Snow Leopard a une journalisation de débogage AirPort bien meilleure, donc si vous passez à Snow Leopard, la commande est la suivante:

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

Sniffing est facile sur Snow Leopard:

sudo /usr/libexec/airportd en1 sniff 1

(Cet exemple suppose que votre carte AirPort est en1 et que votre AP est sur le canal 1.)


16
2018-05-03 18:14



Je ne peux pas confirmer tout ce que vous dites est vrai, mais: +1 pour une lecture très intéressante. - Arjan
Étant donné le regroupement de ressources que j'ai ajouté à la question, le même texte est utilisé pour les deux wpaIsFailureMIC et wpaIsReplayAttack. - Arjan


Selon cela fil, le message vient du Pilote AirPort quand il détecte un problème avec le Vérification de l'intégrité des messages TKIP ou la somme de contrôle associée.

Donc, fondamentalement, votre réseau est compromis par Attaques par injection TKIP, ou simplement le routeur calcule de manière incorrecte le MIC ou la somme de contrôle, ou les paquets ont été corrompus pendant la transmission en raison des interférences provenant d'un autre routeur fonctionnant sur le même gammes de fréquences.

La manière suggérée d'éviter cela est de changer de routeur ou, si possible, d'utiliser uniquement le cryptage WPA2.

Voir: Comment éviter l'attaque du standard de sécurité sans fil WPA?

TKIP a été créé en tant que solution rapide pour les anciens points d'accès et les clients qui ont été paralysés par le WEP. Au lieu d'utiliser la même clé pour chiffrer chaque paquet, TKIP utilise RC4 avec une clé différente pour chaque paquet. Ces clés par paquet neutralisent les craqueurs de chiffrement WEP. En outre, TKIP utilise un contrôle d'intégrité des messages (MIC) pour détecter les paquets qui sont rejoués ou falsifiés. N'importe qui peut envoyer (c'est-à-dire injecter) un paquet crypté TKIP qui a été capturé et modifié, mais ces paquets sont supprimés car le MIC et la somme de contrôle ne correspondent pas aux données transportées par le paquet. Les points d'accès utilisant TKIP transmettent généralement un rapport d'erreur lorsque le premier mauvais MIC est reçu. Si un deuxième paquet défectueux arrive dans les 60 secondes, l'AP cesse d'écouter pendant une minute supplémentaire, puis "rekeys" le WLAN, obligeant tous les clients à utiliser une nouvelle "clé par paire" pour générer la clé MIC et le cryptage par paquet clés.

Cela a bouché les trous béants laissés par WEP. Tous les produits certifiés WPA peuvent utiliser TKIP et son MIC pour résister aux attaques d'écoute de données, de falsification et de relecture de données 802.11.


0
2017-09-28 11:10