Выпуск hostapd и wpa_supplicant 2.2. Набор патчей для выявления heartbleed-уязвиости через Wi-Fi
Представлен выпуск hostapd/wpa_supplicant 2.2, набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2 и EAP, состоящего из приложения wpa_supplicant для подключения к беспроводной сети в роли клиента и фонового процесса hostapd для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD. Основные новшества:
Существенно улучшена система автоматизированного тестирования, использующая симулятор mac80211_hwsim, позволяющий тестировать беспроводные сети без оборудования. Степень охвата тестами кода пакета доведена до 76.4%; Устранена большая порция ошибок, некоторые из которых могли приводить к крахам, инициируемым удалёнными операциями; Значительно улучшена внутренняя реализация TLS (CONFIG_TLS=internal) в плане верификации сертификатов X.509. Добавлена поддержка наборов шифров на основе SHA256 и DHE-RSA. Пользователям использующим внутреннюю реализацию TLS для обеспечения работы EAP-TLS/TTLS/PEAP/FAST, рекомендуется не затягивать с установкой обновления; Удалена поддержка WPS 1.0 (теперь всегда используется WSC 2.0); Улучшения в hostapd: Расширена поддержка технологии VHT (Very High Throughput, 802.11ac), позволяющей добиться скоростей выше 1 Gbps; Ужесточены требования к проверке сертификатов TLS; В RADIUS-запросах Disconnect-Request обеспечена поддержка опций NAS-IP-Address, NAS-identifier и NAS-IPv6-Address. После отсоединения через RADIUS-запрос Disconnect-Request теперь осуществляется сброс кэша для инициирования в дальнейшем полной EAP-аутентификации; Добавлен механизм удаления адресов из MAC ACLs через указание перед записями префикса »-»; Обеспечена поддежка Hotspot 2.0 Release 2; В код nl80211 добавлена поддержка определяемых производителем команд драйвера (VENDOR vendor_id sub_command_id); Добавлена минимальная реализация сервера аккаунтинга RADIUS (hostapd-as-server). обеспечена возможность сохранения лога в базе SQLite, добавлена поддержка MAC ACL; Добавлена опция «group_mgmt_cipher=» для управления группами шифров (AES-128-CMAC (по умолчанию), BIP-GMAC-128, BIP-GMAC-256, BIP-CMAC-256); Улучшения в wpa_supplicant: Расширена функциональность nl80211, обеспечена поддержка команд VENDOR и возможность использования в командах CONNECT/ASSOCIATE AKM-наборов на основе SHA256; Удалены устаревшие команды управляющего интерфейса NFC_RX_HANDOVER_REQ и NFC_RX_HANDOVER_SEL, вместо которых следует использовать NFC_REPORT_HANDOVER; Для P2P GO (Group Owner) обеспечено автоматическое включение U-APSD для поддерживающих данную возможность драйверов. Добавлен опциональный файл конфигурации для передачи параметров P2P_DEVICE. Проведена оптимизация повторяющихся операций сканирования GO; Добавлена поддержка сшивания OCSP-запросов (Online Certificate Status Protocol) для подтверждения сертификатов AAA-серверов (Авторизация, Аккаунтинг, Аутентификация) для TLS-соединений. Добавлен сетевой параметр для отключения TLS v1.1 и v1.2 (tls_disable_tlsv1_1=1 и tls_disable_tlsv1_2=1) при взаимодействии с некорректно настроенными AAA-серверами. Обеспечена поддежка Hotspot 2.0 Release 2; Добавлена команда «reattach» для быстрого переподключения к тому же BSS (Basic Service Set); В режиме точки доступа (AP) теперь может быть включена поддержка PMF (Protected Management Frame) при использовании ieee80211w; Добавлена команда «get_capability tdls»; Добавлена опция для установки блобов конфигурации через управляющий интерфейс («SET blob name hexdump»); Расширены возможности управления через D-Bus В команды «SELECT_NETWORK» и «SET pno» добавлен опциональный параметр «freq=channel_ranges» Добавлена реализация MACsec/IEEE Std 802.1X-2010 PAE, пока доступная через прослойку macsec_qca; В режиме eloop (CONFIG_ELOOP_EPOLL=y) добавлена возможность использования диспетчеризации запросов с использованием epoll. Кроме того, представлен проект Cupid, в рамках которого разработан набор патчей к hostapd и wpa_supplicant, в которых реализованы средства для проверки наличия heartbleed-уязвимости в клиентском и серверном беспроводном ПО, поддерживающем соединения с использованием методов аутентификации EAP-PEAP на основе TLS/TTLS. Cupid позволяет автоматизировать эксплуатацию уязвимых точек беспроводного доступа и клиентских WiFi-устройств, таких как смартфоны и ноутбуки. Например, для проверки сети на уязвимость достаточно попытаться присоединиться к ней при помощи wpa_supplicant, а для проверки клиентских систем — можно запустить свою сеть при помощи hostapd, все попытки соединения к которой будут проверяться на возможности эксплуатации уязвимости.
© OpenNet
