ワイヤレスネットワークが侵害されたようで、約1分間無効になります

Mac OS Xシステムで次のようなメッセージを受け取りました。

ワイヤレスネットワークが侵害されたようで、約1分間無効になります。^†

（ワイヤレスWPA2-PSKで保護されたネットワークBTWです）

サンプルメッセージ：

ルーター（Zyxel P-2602HW-D1A）のログを見て、いくつかの（アウトバウンド） "syn flood TCP ATTACK"ログを確認しましたが、それ以外は1週間前のものでした。このセキュリティ侵害の発生を分析するには、Mac OS Xのどのツールが必要ですか？Mac OS Xで検査できるセキュリティログはありますか？

他にどのような測定が必要ですか？また、この警告をMac OS Xからどの程度深刻に受け止めるべきですか？

システム：Macbook Pro Intel Core 2 Duo 2.2 Ghz
OS：Mac OS X 10.5.8
ネットワーク：ワイヤレスWPA2-PSK
関連ソフトウェア：Windows XPを搭載したParallels Desktop（開いていましたが、その時点で停止していました）

ネットワーク上の他のシステム：
Windows XP SP3デスクトップ（当時実行されていた）

さらに情報が必要な場合は、遠慮なく質問してください。

^†実際のメッセージはオランダ語で、おそらく/System/Library/PrivateFrameworks/Apple80211.framework/Versions/Current/Resources/ ClientController.bundle / Contents / Resources / Dutch.lprojからの次のようなものです。

ヘットドラドローゼネットワーグワードゲドレンデオングベアーイーエンミヌートウイトゲシャケルドオムデデベベライジングアーバンアアンジェスト。

これは、AirMacカード/ドライバーが60秒以内に2つのTKIP "MIChael" MIC（メッセージ整合性チェック）障害を検出した場合、またはAPによってそのような障害が通知された場合に受け取るメッセージです。

TKIP暗号化は、元のWPAの基礎であり、「WPA2混合モード」として知られているWPA2でまだ有効になっている可能性があり、MICがランダムに失敗する可能性はわずかでしたが、60秒以内の2つの失敗はランダムではない可能性が高いため、 WPA仕様ではそれを攻撃として扱い、攻撃者を阻止するためにネットワークを1、2分停止させる必要があります。

WPA2の基礎であるAES-CCMP暗号化にもMICがあります（まあ、MACと呼ばれます-メッセージ認証チェック-それはCCMPの「M」です）。 AES-CCMP MAC障害が発生した場合に何が起こるかを考えてください。ただし、一時的にネットワークを停止する必要はないと思います。

最も可能性の高いシナリオは、APまたはクライアントのいずれかがそのMIC処理を台無しにした場合、またはMIC障害処理コードが誤ってトリガーされた場合に発生したバグです。

ワイヤレスカードにはこの領域にバグがあり、特にプロミスキャスモードで実行されています。Parallelsなどがワイヤレスカードを無差別モードにしないことを確認したい場合があります。実行しifconfig en1（通常en1がAirMacカードの場合）、インターフェイスフラグリスト（「UP、BROADCAST ...」）でPROMISCフラグを探します。一部のVMソフトウェアは、少なくとも有線イーサネットインターフェイスに対して、「ブリッジ」または「共有」ネットワークを有効にするために無差別モードを使用します。多くのワイヤレスカードはプロミスキャスモードをうまく処理できないため、最新のVMソフトウェアのほとんどは、ワイヤレスインターフェイスをプロミスキャスモードにしないように注意しています。

可能性は低いですが、関連する理由コードを使用して802.11の認証解除フレームを偽造し、クライアントがそれを忠実にスタックに報告することで、誰かがあなたをいじっていた可能性があります。

これまでで最も可能性の高いシナリオは、誰かが実際にネットワーク上の攻撃を開始していることです。

問題が再び発生する場合は、おそらく802.11モニターモードパケットトレースが攻撃を記録する最適な方法です。しかし、10.5.8での802.11モニタモードパケットトレースの適切な実行方法を説明することは、この回答の範囲を超えていると感じています。/var/log/system.logAirMacクライアント/ドライバーソフトウェアがその時に見たものについてもっと詳しく説明するかもしれませんが、ログレベルを少し上げることができます。

sudo /usr/libexec/airportd -d

Snow LeopardのAirMacデバッグロギングははるかに優れているため、Snow Leopardにアップグレードする場合のコマンドは次のとおりです。

sudo /usr/libexec/airportd debug +AllUserland +AllDriver +AllVendor

Snow Leopardではスニッフィングは簡単です。

sudo /usr/libexec/airportd en1 sniff 1

（この例では、AirMacカードがen1で、APがチャネル1にあると想定しています。）

このスレッドごとに、TKIPメッセージ整合性チェックまたは関連するチェックサムで問題を検出すると、AirMacドライバーからメッセージが送信されます。

したがって、基本的にはネットワークがTKIPインジェクション攻撃によって侵害されるか、 単にルーターがMICまたはチェックサムを誤って計算するか、同様の周波数範囲で動作する別のルーターからの干渉により送信中にパケットが破損します。

これを回避するための推奨される方法は、別のルーターに変更するか、可能であればWPA2暗号化のみを使用することです。

参照：WPAワイヤレスセキュリティ標準攻撃を回避する方法

TKIPは、WEPで障害が発生した古いAPとクライアントの簡単な修正として作成されました。すべてのパケットを暗号化するために同じキーを使用する代わりに、TKIPはパケットごとに異なるキーを持つRC4を使用します。これらのパケットごとのキーは、WEP暗号化クラッカーを無効にします。さらに、TKIPはキー付きのMessage Integrity Check（MIC）を使用して、再生または偽造されたパケットを検出します。誰でもキャプチャおよび変更されたTKIP暗号化パケットを送信（つまり、注入）できますが、MICとチェックサムがパケットで伝送されるデータと一致しないため、それらのパケットはドロップされます。TKIPを使用するAPは通常、最初の不良MICを受信するとエラーレポートを送信します。2番目の不良パケットが60秒以内に到着すると、APは別の1分間のリッスンを停止し、WLANを「キー再生成」します。キー。

これにより、WEPによって残されたギャップ穴が塞がれました。すべてのWPA認定製品は、TKIPとそのMICを使用して、802.11データの盗聴、偽造、およびリプレイ攻撃に抵抗できます。