The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выпуск hostapd и wpa_supplicant 2.2. Набор патчей для выявле..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выпуск hostapd и wpa_supplicant 2.2. Набор патчей для выявле..."  +/
Сообщение от opennews (??) on 06-Июн-14, 14:13 
Представлен (http://lists.shmoo.com/pipermail/hostap/2014-June/030392.html) выпуск hostapd/wpa_supplicant 2.2 (http://w1.fi/), набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2 и EAP, состоящего из приложения wpa_supplicant (http://hostap.epitest.fi/wpa_supplicant/) для подключения к беспроводной сети в роли клиента и фонового процесса hostapd (http://w1.fi/hostapd/) для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD.


Основные новшества:

-  Существенно улучшена система автоматизированного тестирования, использующая симулятор mac80211_hwsim (http://wireless.kernel.org/en/users/Drivers/mac80211_hwsim), позволяющий тестировать беспроводные сети без оборудования. Степень охвата кода пакета  тестами доведена до 76.4%;

-  Устранена большая порция ошибок, некоторые из которых могли приводить к крахам, инициируемым удалёнными операциями;
-  Значительно улучшена внутренняя реализация TLS
(CONFIG_TLS=internal) в плане верификации сертификатов X.509. Добавлена поддержка наборов шифров на основе SHA256 и DHE-RSA. Пользователям, использующим  внутреннюю реализацию TLS для обеспечения работы EAP-TLS/TTLS/PEAP/FAST, рекомендуется не затягивать с установкой обновления;
-  Удалена поддержка применения только WPS 1.0 (теперь всегда используется WSC 2.0);


-  
Улучшения в hostapd:

-  Расширена поддержка технологии VHT (Very High Throughput, 802.11ac), позволяющей добиться скоростей  выше 1 Gbps;

-  Ужесточены требования к проверке сертификатов TLS;
-  В RADIUS-запросах Disconnect-Request обеспечена поддержка опций NAS-IP-Address, NAS-identifier и NAS-IPv6-Address. После отсоединения через RADIUS-запрос Disconnect-Request теперь осуществляется сброс кэша для инициирования в дальнейшем полной EAP-аутентификации;

-  Добавлен механизм удаления адресов из MAC ACL через указание перед записями префикса "-";
-  Обеспечена поддежка Hotspot 2.0 Release 2;
-  В код  nl80211 добавлена поддержка определяемых производителем команд драйвера (VENDOR vendor_id sub_command_id);
-  Добавлена минимальная реализация сервера аккаунтинга RADIUS (hostapd-as-server). Обеспечена возможность сохранения лога в базе  SQLite, добавлена поддержка MAC ACL;
-  Добавлена опция "group_mgmt_cipher=" для управления группами шифров (AES-128-CMAC (по умолчанию), BIP-GMAC-128, BIP-GMAC-256, BIP-CMAC-256);

-  
Улучшения в wpa_supplicant:


-  Расширена функциональность nl80211, обеспечена поддержка команд VENDOR и возможность использования в командах CONNECT/ASSOCIATE AKM-наборов на основе SHA256;
-  Удалены устаревшие команды управляющего интерфейса NFC_RX_HANDOVER_REQ и NFC_RX_HANDOVER_SEL, вместо которых следует использовать NFC_REPORT_HANDOVER;


-  Для P2P GO (Group Owner) обеспечено автоматическое включение  U-APSD (http://en.wikipedia.org/wiki/UAPSD) (Unscheduled Automatic Power Save Delivery) для поддерживающих данную возможность драйверов. Добавлен опциональный файл конфигурации для передачи параметров P2P_DEVICE. Проведена оптимизация повторяющихся операций сканирования GO;
-  Добавлена поддержка сшивания OCSP-запросов (Online Certificate Status Protocol) для подтверждения сертификатов AAA-серверов (Авторизация, Аккаунтинг, Аутентификация) для  TLS-соединений. Добавлен сетевой параметр  для отключения  TLS v1.1 и v1.2 (tls_disable_tlsv1_1=1 и tls_disable_tlsv1_2=1) при взаимодействии с некорректно настроенными AAA-серверами.
-  Обеспечена поддежка Hotspot 2.0 Release 2;
-  Добавлена команда "reattach" для быстрого переподключения к тому же BSS (Basic Service Set);
-  В режиме точки доступа (AP) теперь может быть включена поддержка  PMF (Protected Management Frame) при использовании ieee80211w;
-  Добавлена команда "get_capability tdls";
-  Добавлена опция для установки блобов конфигурации через управляющий интерфейс ("SET blob name hexdump");
-  Расширены возможности управления через  D-Bus
-  В команды "SELECT_NETWORK" и "SET pno" добавлен опциональный параметр  "freq=channel_ranges"
-  Добавлена реализация MACsec/IEEE Std 802.1X-2010 PAE, пока доступная через прослойку  macsec_qca;
-  В режиме eloop (CONFIG_ELOOP_EPOLL=y) добавлена возможность использования диспетчеризации запросов с использованием epoll.


Кроме того, представлен (http://www.sysvalue.com/en/tag/wireless-en/) проект Cupid (https://github.com/lgrangeia/cupid/), в рамках которого разработан набор патчей к hostapd и wpa_supplicant, в которых реализованы средства для проверки наличия  heartbleed-уязвимости (https://www.opennet.ru/opennews/art.shtml?num=39518) в клиентском и серверном беспроводном ПО, поддерживающем соединения с использованием  методов аутентификации  EAP, EAP-PEAP, EAP-TLS и EAP-TTLS. Cupid позволяет автоматизировать эксплуатацию уязвимых точек беспроводного доступа и клиентских WiFi-устройств, таких как ноутбуки и смартфоны (уязвимая версия OpenSSL  поставлялась в Android 4.1.0 и 4.1.1).


Например, для проверки сети на уязвимость достаточно попытаться присоединиться к ней при помощи модифицированной версии wpa_supplicant, а для проверки клиентских систем - можно запустить свою сеть при помощи hostapd, все попытки соединения к которой будут проверяться на возможности эксплуатации уязвимости. Проверка осуществляется на ранней стадии установки соединения, сразу после получения запроса Hello и до обмена ключами и сертификатами TLS, т.е. атака применима и к защищённым паролем сетям, так как проводится до стадии аутентификации.

URL: http://lists.shmoo.com/pipermail/hostap/2014-June/030392.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=39941

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Выпуск hostapd и wpa_supplicant 2.2. Набор патчей для выявле..."  +2 +/
Сообщение от Денис (??) on 06-Июн-14, 14:13 
время пересобирать openwrt :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выпуск hostapd и wpa_supplicant 2.2. Набор патчей для выявле..."  +1 +/
Сообщение от Аноним (??) on 06-Июн-14, 14:22 
openwrt сам не пересоберется!
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Выпуск hostapd и wpa_supplicant 2.2. Набор патчей для выявле..."  +2 +/
Сообщение от Гость on 06-Июн-14, 14:51 
сам не пересоберется? openwrt!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Выпуск hostapd и wpa_supplicant 2.2. Набор патчей для выявле..."  +2 +/
Сообщение от anonymous (??) on 06-Июн-14, 20:16 
Нет самопересобиранию OpenWRT!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

16. "Выпуск hostapd и wpa_supplicant 2.2. Набор патчей для выявле..."  +2 +/
Сообщение от Аноним (??) on 07-Июн-14, 09:45 
killall humans. Слава роботам!
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Выпуск hostapd и wpa_supplicant 2.2. Набор патчей для выявле..."  +/
Сообщение от count0krsk (ok) on 08-Июн-14, 20:15 
WRT собирался, собирался, да не пересамокомпилировался ))
И таки да, роботам слава, каклам - сала ))
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру