ProHoster > Blog > vaovao amin'ny Internet > Famoahana ny hostapd sy wpa_supplicant 2.10

Famoahana ny hostapd sy wpa_supplicant 2.10

Taorian'ny fampandrosoana iray taona sy tapany dia efa nomanina ny famoahana ny hostapd/wpa_supplicant 2.10, napetraka amin'ny fampandehanana ny IEEE 802.1X, WPA, WPA2, WPA3 ary EAP protocols tsy misy tariby, misy ny fampiharana wpa_supplicant ho an'ny fifandraisana amin'ny tambajotra tsy misy tariby. amin'ny maha-mpanjifa sy ny fizotry ny fiaviana hostapd amin'ny fampandehanana ny teboka fidirana sy ny mpizara fanamarinana, ao anatin'izany ny singa toy ny WPA Authenticator, RADIUS authentication client/server, EAP server. Ny kaody loharanon'ny tetikasa dia zaraina amin'ny alΓ lan'ny fahazoan-dΓ lana BSD.

Ho fanampin'ny fiovan'ny fiasa, ny dikan-teny vaovao dia manakana ny vector fanafihana amin'ny sisiny vaovao misy fiantraikany amin'ny fomba fifampiraharahana SAE (Simultaneous Authentication of Equals) sy ny protocole EAP-pwd. Ny mpanafika iray izay manana fahafahana manatanteraka kaody tsy misy tombontsoa amin'ny rafitry ny mpampiasa mifandray amin'ny tambajotra tsy misy tariby dia afaka mahazo fampahalalana momba ny toetran'ny tenimiafina amin'ny alΓ lan'ny fanaraha-maso ny hetsika ao amin'ny rafitra ary mampiasa izany mba hanatsorana ny faminavinana ny tenimiafina amin'ny fomba ivelan'ny aterineto. Ny olana dia vokatry ny leakage amin'ny alalan'ny antoko fahatelo fantsona ny vaovao momba ny toetra mampiavaka ny tenimiafina, izay mamela, mifototra amin'ny angona ankolaka, toy ny fiovana amin'ny fahatarana mandritra ny asa, mba hanazavana ny marina ny safidy ny ampahany amin'ny tenimiafina ao ny fizotry ny fisafidianana azy.

Tsy toy ny olana mitovy amin'izany napetraka tamin'ny taona 2019, ny vulnerability vaovao dia vokatry ny zava-misy fa ny primitives cryptographic ivelany ampiasaina amin'ny fiasa crypto_ec_point_solve_y_coord() dia tsy nanome fotoana famonoana tsy tapaka, na inona na inona toetry ny angon-drakitra voakarakara. Miorina amin'ny famakafakana ny fitondran-tenan'ny cache processeur, ny mpanafika iray izay nanana fahafahana mampandeha kaody tsy misy tombontsoa amin'ny fototry ny processeur iray ihany dia afaka mahazo vaovao momba ny fandrosoan'ny fiasan'ny tenimiafina ao amin'ny SAE/EAP-pwd. Ny olana dia misy fiantraikany amin'ny dikan-teny rehetra wpa_supplicant sy hostapd natambatra miaraka amin'ny fanohanana ny SAE (CONFIG_SAE=y) sy EAP-pwd (CONFIG_EAP_PWD=y).

Fanovana hafa amin'ny famoahana vaovao hostapd sy wpa_supplicant:

  • Nampiana ny fahafahana manangana miaraka amin'ny tranomboky kriptografika OpenSSL 3.0.
  • Ny rafitra fiarovana ny Fanilo natolotra tao amin'ny fanavaozana fanondroana WPA3 dia nampiharina, natao hiarovana amin'ny fanafihana mavitrika amin'ny tambajotra tsy misy tariby izay manodinkodina ny fanovana ao amin'ny sarin'ny Beacon.
  • Fanampiana fanampiny ho an'ny DPP 2 (Wi-Fi Device Provisioning Protocol), izay mamaritra ny fomba fanamarinana ny lakile ho an'ny daholobe ampiasaina amin'ny fenitra WPA3 ho an'ny fanamafisana tsotsotra ny fitaovana tsy misy interface tsara eo amin'ny efijery. Ny fametrahana dia atao amin'ny alΓ lan'ny fitaovana mandroso kokoa efa mifandray amin'ny tambajotra tsy misy tariby. Ohatra, ny mari-pamantarana ho an'ny fitaovana IoT tsy misy efijery dia azo apetraka amin'ny finday avo lenta mifototra amin'ny sarin'ny kaody QR natao pirinty tamin'ny raharaha;
  • Fanohanana fanampiny ho an'ny ID Key Extended (IEEE 802.11-2016).
  • Ny fanohanana ny rafitra fiarovana SAE-PK (SAE Public Key) dia nampiana tamin'ny fampiharana ny fomba fifampiraharahana momba ny fifandraisana SAE. Mampihatra ny fomba fandefasana fanamafisana avy hatrany, alefa amin'ny safidy "sae_config_immediate=1", ary koa ny mekanika hash-to-element, azo atao rehefa apetraka amin'ny 1 na 2 ny mari-pamantarana sae_pwe.
  • Ny fampiharana EAP-TLS dia nanampy fanohanana ho an'ny TLS 1.3 (kilemaina amin'ny alΓ lan'ny default).
  • Nampiana fanovana vaovao (max_auth_rounds, max_auth_rounds_short) hanovana ny fetra amin'ny isan'ny hafatra EAP mandritra ny dingana fanamarinana (mety ilaina ny fanovana fetra rehefa mampiasa mari-pankasitrahana tena lehibe).
  • Fanampiana fanampiny ho an'ny rafitra PASN (Pre Association Security Negotiation) amin'ny fametrahana fifandraisana azo antoka sy fiarovana ny fifanakalozam-panaraha-maso amin'ny dingana fifandraisana teo aloha.
  • Napetraka ny rafitra Transition Disable, izay ahafahanao manafoana ho azy ny maody roaming, izay ahafahanao mifamadika eo anelanelan'ny teboka fidirana rehefa mihetsika ianao, mba hanatsarana ny fiarovana.
  • Ny fanohanana ny protocole WEP dia tsy tafiditra amin'ny fananganana default (tsy maintsy atao ny fanamboarana miaraka amin'ny safidy CONFIG_WEP=y mba hamerenana ny fanohanana WEP). Nesorina ny fiasa lova mifandraika amin'ny Inter-Access Point Protocol (IAPP). Ny fanohanana ny libnl 1.1 dia natsahatra. Safidy fananganana fanampiny CONFIG_NO_TKIP=y ho an'ny fananganana tsy misy fanohanana TKIP.
  • Ny vulnerability amin'ny fampiharana UPnP (CVE-2020-12695), ao amin'ny mpitantana P2P/Wi-Fi Direct (CVE-2021-27803) ary ao amin'ny mekanika fiarovana PMF (CVE-2019-16275).
  • Ny fanovana manokana hostapd dia ahitana fanohanana miitatra ho an'ny tambajotra tsy misy finday HEW (High-Efficiency Wireless, IEEE 802.11ax), ao anatin'izany ny fahafahana mampiasa ny 6 GHz matetika.
  • Fanovana manokana amin'ny wpa_supplicant:
    • Fanampiana fanampiny ho an'ny firafitry ny fomba fidirana ho an'ny SAE (WPA3-Personal).
    • Ny fanohanana maody P802.11P dia ampiharina amin'ny fantsona EDMG (IEEE 2ay).
    • Fanatsarana ny vinavinan'ny throughput sy ny fifantenana BSS.
    • Nitarina ny interface fanaraha-maso amin'ny alalan'ny D-Bus.
    • Nampiana backend vaovao ho fitehirizana ny tenimiafina ao anaty rakitra mitokana, ahafahanao manala vaovao saro-pady amin'ny rakitra fanamafisana lehibe.
    • Nampiana politika vaovao ho an'ny SCS, MSCS ary DSCP.

Source: opennet.ru

Add a comment