经过两年半的开发,一套无线协议IEEE 2.11X、WPA、WPA802.1、WPA2和EAP的hostapd/wpa_supplicant 3已经发布。该套件包括用于作为客户端连接到无线网络的 wpa_supplicant 应用程序和用于确保接入点和身份验证服务器运行的 hostapd 后台进程,其中包括 WPA 身份验证器、RADIUS 身份验证客户端/服务器、EAP 服务器等组件。该项目的源代码在 BSD 许可证下分发。
新版本的hostapd和wpa_supplicant的主要变化:
- 添加了对 Wi-Fi 7 (EHT/IEEE 802.11be) 的初始支持,并改进了对 Wi-Fi 6 (HE/IEEE 802.11ax) 的支持。
- 添加了对第三版 DPP(设备配置协议)(通常称为“Wi-Fi Easy Connect”)的支持,并且还提供了使用 DPP 通过 Wi-Fi 设置传输参数的功能。 DPP 协议允许使用已连接到无线网络的另一个更高级的设备来简化无线设备的配置,而无需屏幕界面。 DPP 基于公钥身份验证的使用,例如,可以根据打印在外壳上并对公钥进行编码的 QR 码快照,从智能手机设置没有屏幕的 IoT 设备的参数。
- 添加了对 OpenSSL 3.0 加密库分支中提议的 API 更改的支持。
- 在EAP-SIM(可扩展身份验证协议-用户身份模块)和EAP-AKA(可扩展身份验证协议-身份验证和密钥协商)身份验证协议的实现中,出现了对确保移动网络用户标识符机密性的机制的支持,这排除了连接到接入点时 IMSI 的泄露。
- 添加了对具有可变密钥大小的 SAE AKM(同等身份验证 - 身份验证和密钥管理)操作模式的支持。
- 添加了对基于 SHA384 哈希的 AKM(身份验证和密钥管理)选项的支持。
- PASN(预关联安全协商)机制的实现,用于建立安全连接并在连接的早期阶段保护控制帧的交换,为“安全测距”技术提供支持,以安全地确定两个 Wi-Fi 之间的距离。网络连接设备。
- 增加了对USD(非同步服务发现)机制的支持,简化了无线设备对服务的发现。
- 添加了对四步连接协商期间显式 SSID 保护的支持。使用“ssid_protection=1”选项启用保护并阻止 CVE-2023-52424 漏洞,该漏洞允许您连接到安全性较低的无线网络。
- Hostapd具体变化:
- 添加了对在相同频率范围内运行的雷达系统干扰的背景检测的支持(检测到时切换到其他频率)。还增加了对CAC(信道可用性检查)机制的支持,该机制旨在在使用前监听信道,以便雷达系统检查其占用情况。
- 在 SAE(同时身份验证)连接协商方法的实现中,可以从 RADIUS 服务器请求密码。
- 添加了在连接协商期间使用 RADIUS 协议对 ACL(访问控制列表)和 PSK(预共享密钥)检查的支持 (wpa_psk_radius=3)。
- 在ACS(自动信道选择)机制的实现中,在选择要使用的信道时,会考虑信道的带宽和类型。
- 扩展了对在一个接入点上使用多个 BSSID(基本服务集标识符)的支持,以确保虚拟无线网络的运行。
- 添加了对使用 TLS 加密 RADIUS 呼叫的初始支持。
- 特定于 wpa_supplicant 的更改:
- MACsec 标准 (IEEE 802.1AE) 的实施提供了保护数据传输通道的工具,提供了使用 GCM-AES-256 密码套件的能力,并通过将操作移至网络适配器端来增加对硬件加速的支持。
- TLSv1.3 改进了 EAP-TLS 支持。
- 改进了使用 PMF(受保护的管理框架)时针对 DoS 攻击的防护。
- 改进了选择 SME/BSS(服务管理实体/基本服务集)驱动程序时 AKM(身份验证和密钥管理)之间的漫游。
- 可以与外部程序一起使用 PASN(受保护访问安全协商)机制。
- 添加了对使用预先生成的 MAC 地址 (mac_addr=3) 的支持,而不是为每个网络生成随机 MAC。
- 当使用 EAP-PEAP 协议的第二阶段身份验证 (phase2_auth=1) 时默认启用,这意味着安全隧道内的客户端身份验证。
- 扩展了对 MSCS(多流通道切换)技术的支持,允许设备在多个通道之间切换。
- 扩展了对 SCS(空间信道交换)技术的支持,以便在使用 QoS 时对重要流量进行优先处理。
来源: opennet.ru
