ProHoster > Blog > internet yangiliklari > Hostapd va wpa_supplicantning chiqarilishi 2.10

Hostapd va wpa_supplicantning chiqarilishi 2.10

Bir yarim yillik rivojlanishdan so'ng, simsiz tarmoqqa ulanish uchun wpa_supplicant ilovasidan iborat IEEE 2.10X, WPA, WPA802.1, WPA2 va EAP simsiz protokollarini qo'llab-quvvatlash uchun hostapd/wpa_supplicant 3 versiyasi tayyorlandi. mijoz va hostapd fon jarayoni sifatida kirish nuqtasi va autentifikatsiya serveri, jumladan WPA Authenticator, RADIUS autentifikatsiya mijozi/serveri, EAP serveri kabi komponentlar ishlashini ta'minlash. Loyihaning manba kodi BSD litsenziyasi ostida tarqatiladi.

Funktsional o'zgarishlarga qo'shimcha ravishda, yangi versiya SAE (Tengliklarning bir vaqtning o'zida autentifikatsiyasi) ulanish muzokara usuli va EAP-pwd protokoliga ta'sir qiluvchi yangi yon kanalli hujum vektorini bloklaydi. Simsiz tarmoqqa ulanayotgan foydalanuvchi tizimida imtiyozsiz kodni bajarish qobiliyatiga ega bo'lgan tajovuzkor tizimdagi faoliyatni kuzatish orqali parolning xususiyatlari haqida ma'lumot olishi va undan oflayn rejimda parolni taxmin qilishni soddalashtirish uchun foydalanishi mumkin. Muammo parolning xususiyatlari to'g'risidagi ma'lumotlarning uchinchi tomon kanallari orqali sizib chiqishi bilan bog'liq bo'lib, bu bilvosita ma'lumotlarga asoslanib, masalan, operatsiyalar paytida kechikishlarning o'zgarishiga parol qismlarini tanlashning to'g'riligini aniqlash imkonini beradi. uni tanlash jarayoni.

2019-yilda tuzatilgan shunga o‘xshash muammolardan farqli o‘laroq, yangi zaiflik crypto_ec_point_solve_y_coord() funksiyasida foydalanilgan tashqi kriptografik primitivlar ishlov berilayotgan ma’lumotlarning tabiatidan qat’i nazar, doimiy bajarilish vaqtini ta’minlamaganligi bilan bog‘liq. Protsessor keshining xatti-harakatlarini tahlil qilish asosida, bir xil protsessor yadrosida imtiyozsiz kodni ishlatish qobiliyatiga ega bo'lgan tajovuzkor SAE/EAP-pwd-da parol operatsiyalarining borishi haqida ma'lumot olishi mumkin edi. Muammo SAE (CONFIG_SAE=y) va EAP-pwd (CONFIG_EAP_PWD=y) qo‘llab-quvvatlashi bilan tuzilgan wpa_supplicant va hostapd ning barcha versiyalariga ta’sir qiladi.

Hostapd va wpa_supplicantning yangi versiyalaridagi boshqa o'zgarishlar:

  • OpenSSL 3.0 kriptografik kutubxonasi bilan yaratish imkoniyati qo'shildi.
  • WPA3 spetsifikatsiyasi yangilanishida taklif qilingan Beacon Protection mexanizmi amalga oshirildi, bu Beacon ramkalaridagi o'zgarishlarni manipulyatsiya qiluvchi simsiz tarmoqqa faol hujumlardan himoya qilish uchun mo'ljallangan.
  • Ekran interfeysi bo'lmagan qurilmalarni soddalashtirilgan konfiguratsiyasi uchun WPA2 standartida qo'llaniladigan ochiq kalit autentifikatsiya usulini belgilaydigan DPP 3 (Wi-Fi Device Provisioning Protocol) uchun qo'shimcha qo'llab-quvvatlash. O'rnatish simsiz tarmoqqa ulangan boshqa ilg'or qurilma yordamida amalga oshiriladi. Masalan, ekransiz IoT qurilmasi parametrlari smartfondan korpusda chop etilgan QR-kodning surati asosida o‘rnatilishi mumkin;
  • Kengaytirilgan kalit identifikatori (IEEE 802.11-2016) uchun qo'shimcha yordam.
  • SAE ulanish bo'yicha muzokaralar usulini amalga oshirish uchun SAE-PK (SAE Public Key) xavfsizlik mexanizmini qo'llab-quvvatlash qo'shildi. “sae_config_immediate=1” opsiyasi bilan faollashtirilgan tasdiqlovni bir zumda yuborish rejimi, shuningdek sae_pwe parametri 1 yoki 2 ga o‘rnatilganda yoqilgan elementlarga xesh mexanizmi joriy qilingan.
  • EAP-TLS ilovasi TLS 1.3 uchun qo'shimcha qo'llab-quvvatladi (sukut bo'yicha o'chirilgan).
  • Autentifikatsiya jarayonida EAP xabarlari soniga cheklovlarni o'zgartirish uchun yangi sozlamalar qo'shildi (max_auth_rounds, max_auth_rounds_short) (juda katta sertifikatlardan foydalanishda cheklovlarni o'zgartirish talab qilinishi mumkin).
  • Xavfsiz ulanishni o'rnatish va oldingi ulanish bosqichida boshqaruv ramkalari almashinuvini himoya qilish uchun PASN (Assotsiatsiyadan oldingi xavfsizlik muzokaralari) mexanizmi uchun qo'shimcha yordam.
  • Xavfsizlikni kuchaytirish uchun harakatlanayotganda kirish nuqtalari o'rtasida almashish imkonini beruvchi rouming rejimini avtomatik ravishda o'chirish imkonini beruvchi Transition Disable mexanizmi amalga oshirildi.
  • WEP protokolini qo'llab-quvvatlash standart tuzilmalardan chiqarib tashlangan (WEP qo'llab-quvvatlashini qaytarish uchun CONFIG_WEP=y opsiyasi bilan qayta qurish talab qilinadi). Inter-access Point Protocol (IAPP) bilan bog‘liq eski funksiyalar olib tashlandi. libnl 1.1 ni qo‘llab-quvvatlash to‘xtatildi. TKIP qo'llab-quvvatlamaydigan tuzilmalar uchun CONFIG_NO_TKIP=y qurish opsiyasi qo'shildi.
  • UPnPni amalga oshirishda (CVE-2020-12695), P2P/Wi-Fi Direct ishlov berishda (CVE-2021-27803) va PMF himoya mexanizmida (CVE-2019-16275) aniqlangan zaifliklar.
  • Hostapd-ga xos o'zgarishlar HEW (High-Efficiency Wireless, IEEE 802.11ax) simsiz tarmoqlarini, jumladan, 6 GGts chastota diapazonidan foydalanish imkoniyatini kengaytirilgan qo'llab-quvvatlashni o'z ichiga oladi.
  • wpa_supplicantga xos o'zgarishlar:
    • SAE (WPA3-Personal) uchun kirish nuqtasi rejimi sozlamalari uchun qo'shimcha qo'llab-quvvatlash.
    • P802.11P rejimini qo'llab-quvvatlash EDMG kanallari uchun amalga oshiriladi (IEEE 2ay).
    • O'tkazish qobiliyatini bashorat qilish va BSS tanlash yaxshilandi.
    • D-Bus orqali boshqarish interfeysi kengaytirildi.
    • Parollarni alohida faylda saqlash uchun asosiy konfiguratsiya faylidan maxfiy maʼlumotlarni olib tashlash imkonini beruvchi yangi backend qoʻshildi.
    • SCS, MSCS va DSCP uchun yangi siyosatlar qo'shildi.

Manba: opennet.ru

a Izoh qo'shish