2.11 年半の開発を経て、IEEE 802.1X、WPA、WPA2、WPA3、EAP ワイヤレス プロトコルをサポートするスイートである hostapd/wpa_supplicant XNUMX がリリースされました。このキットには、クライアントとしてワイヤレス ネットワークに接続するための wpa_supplicant アプリケーションと、アクセス ポイントと認証サーバーを提供するための hostapd バックグラウンド プロセス (WPA 認証システム、RADIUS 認証クライアント/サーバー、EAP サーバーなどのコンポーネントを含む) が含まれています。プロジェクトのソースコードは BSD ライセンスに基づいて配布されます。
hostapd と wpa_supplicant の新しいリリースにおける主な変更点は次のとおりです。
- Wi-Fi 7 (EHT/IEEE 802.11be) の初期サポートが追加され、Wi-Fi 6 (HE/IEEE 802.11ax) のサポートが強化されました。
- 一般に「Wi-Fi Easy Connect」として知られる DPP (デバイス プロビジョニング プロトコル) の第 3 バージョンのサポートが追加され、DPP を使用して Wi-Fi 設定のパラメータを転送する機能も提供されました。 DPP プロトコルは、ワイヤレス ネットワークにすでに接続されている別のより高度なデバイスを使用して、画面インターフェイスなしでワイヤレス デバイスを簡単に構成する機能を提供します。 DPP は公開鍵認証の利用をベースとしており、例えば、画面のない IoT デバイスの場合、本体に印刷された QR コードを撮影し公開鍵をエンコードすることで、スマートフォンからパラメータを設定できます。
- OpenSSL 3.0 暗号化ライブラリ ブランチで提案された API 変更のサポートが追加されました。
- EAP-SIM (拡張認証プロトコル - 加入者識別モジュール) および EAP-AKA (拡張認証プロトコル - 認証および鍵合意) 認証プロトコルの実装では、モバイル ネットワーク加入者識別子の機密性を保証するメカニズムがサポートされ、アクセス ポイントへの接続時に IMSI が漏洩することがなくなりました。
- 可変キー サイズでの SAE AKM (Simultaneous Authentication of Equals - 認証とキー管理) 動作モードのサポートが追加されました。
- SHA384XNUMX ハッシュに基づく AKM (認証およびキー管理) バリアントのサポートが追加されました。
- 安全な接続を確立し、接続の初期段階で制御フレームの交換を保護するために使用される PASN (Pre Association Security Negotiation) メカニズムの実装により、2 つの Wi-Fi デバイス間の距離を安全に決定するための「セキュア レンジング」テクノロジがサポートされます。
- ワイヤレス デバイスによるサービス検出を簡素化する USD (非同期サービス検出) メカニズムのサポートが追加されました。
- 1 方向接続ネゴシエーション中の明示的な SSID 保護のサポートが追加されました。保護はオプション「ssid_protection=2023」を使用して有効になり、安全性の低いワイヤレス ネットワークへの接続を可能にする脆弱性 CVE-52424-XNUMX をブロックします。
- Hostapd 固有の変更:
- 同じ周波数帯域で動作するレーダーシステムからの干渉をバックグラウンドで検出する機能を追加しました(干渉が検出されると、他の周波数に切り替えます)。また、使用前にチャネルを監視し、レーダーシステムによって占有されているかどうかを確認するCAC(Channel Availability Check)メカニズムのサポートも追加しました。
- SAE (Simultaneous Authentication of Equals) 接続ネゴシエーション方式の実装により、RADIUS サーバーにパスワードを要求できるようになりました。
- 接続ネゴシエーション中に RADIUS プロトコルを使用して ACL (アクセス制御リスト) および PSK (事前共有キー) チェックのサポートが追加されました (wpa_psk_radius=3)。
- ACS (自動チャネル選択) メカニズムの実装では、使用するチャネルの選択に、帯域幅とチャネルの種類が考慮されます。
- 単一のアクセス ポイントで複数の BSSID (基本サービス セット識別子) を使用して仮想ワイヤレス ネットワークを有効にするためのサポートが拡張されました。
- RADIUS 通信を暗号化するために TLS を使用する初期サポートが追加されました。
- wpa_supplicant に固有の変更:
- データ伝送チャネルを保護する手段を提供する MACsec (IEEE 802.1AE) 標準の実装により、GCM-AES-256 暗号スイートを使用する機能が提供され、操作をネットワーク アダプタ側に移動することでハードウェア アクセラレーションのサポートが追加されます。
- TLSv1.3 では、EAP-TLS のサポートが改善されました。
- PMF (保護された管理フレーム) 使用時の DoS 攻撃に対する保護を強化しました。
- SME/BSS (サービス管理エンティティ/基本サービス セット) ドライバーを選択した場合の AKM (認証およびキー管理) 間のローミングが改善されました。
- 外部プログラムで PASN (Protected Access Secure Negotiation) メカニズムを使用する機能が提供されました。
- 各ネットワークに対してランダムな MAC を生成する代わりに、事前に生成された MAC アドレス (mac_addr=3) を使用するためのサポートが追加されました。
- デフォルトでは、EAP-PEAP プロトコルの 2 番目の認証フェーズ (phase1_auth=XNUMX) を使用するように有効になっています。これは、安全なトンネル内でのクライアント認証を意味します。
- デバイスが複数のチャネルを切り替えることができる MSCS (マルチストリーミング チャネル スイッチング) テクノロジのサポートが拡張されました。
- QoS 使用時に重要なトラフィックを優先的に処理するための SCS (空間チャネルスイッチング) テクノロジのサポートを拡張しました。
出所: オープンネット.ru
