The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск hostapd и wpa_supplicant 2.2. Набор патчей для выявления heartbleed-уязвимости через Wi-Fi

06.06.2014 13:01

Представлен выпуск hostapd/wpa_supplicant 2.2, набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2 и EAP, состоящего из приложения wpa_supplicant для подключения к беспроводной сети в роли клиента и фонового процесса hostapd для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD.

Основные новшества:

  • Существенно улучшена система автоматизированного тестирования, использующая симулятор mac80211_hwsim, позволяющий тестировать беспроводные сети без оборудования. Степень охвата кода пакета тестами доведена до 76.4%;
  • Устранена большая порция ошибок, некоторые из которых могли приводить к крахам, инициируемым удалёнными операциями;
  • Значительно улучшена внутренняя реализация TLS (CONFIG_TLS=internal) в плане верификации сертификатов X.509. Добавлена поддержка наборов шифров на основе SHA256 и DHE-RSA. Пользователям, использующим внутреннюю реализацию TLS для обеспечения работы EAP-TLS/TTLS/PEAP/FAST, рекомендуется не затягивать с установкой обновления;
  • Удалена поддержка применения только WPS 1.0 (теперь всегда используется WSC 2.0);
  • Улучшения в hostapd:
    • Расширена поддержка технологии VHT (Very High Throughput, 802.11ac), позволяющей добиться скоростей выше 1 Gbps;
    • Ужесточены требования к проверке сертификатов TLS;
    • В RADIUS-запросах Disconnect-Request обеспечена поддержка опций NAS-IP-Address, NAS-identifier и NAS-IPv6-Address. После отсоединения через RADIUS-запрос Disconnect-Request теперь осуществляется сброс кэша для инициирования в дальнейшем полной EAP-аутентификации;
    • Добавлен механизм удаления адресов из MAC ACL через указание перед записями префикса "-";
    • Обеспечена поддержка Hotspot 2.0 Release 2;
    • В код nl80211 добавлена поддержка определяемых производителем команд драйвера (VENDOR vendor_id sub_command_id);
    • Добавлена минимальная реализация сервера аккаунтинга RADIUS (hostapd-as-server). Обеспечена возможность сохранения лога в базе SQLite, добавлена поддержка MAC ACL;
    • Добавлена опция "group_mgmt_cipher=" для управления группами шифров (AES-128-CMAC (по умолчанию), BIP-GMAC-128, BIP-GMAC-256, BIP-CMAC-256);
  • Улучшения в wpa_supplicant:
    • Расширена функциональность nl80211, обеспечена поддержка команд VENDOR и возможность использования в командах CONNECT/ASSOCIATE AKM-наборов на основе SHA256;
    • Удалены устаревшие команды управляющего интерфейса NFC_RX_HANDOVER_REQ и NFC_RX_HANDOVER_SEL, вместо которых следует использовать NFC_REPORT_HANDOVER;
    • Для P2P GO (Group Owner) обеспечено автоматическое включение U-APSD (Unscheduled Automatic Power Save Delivery) для поддерживающих данную возможность драйверов. Добавлен опциональный файл конфигурации для передачи параметров P2P_DEVICE. Проведена оптимизация повторяющихся операций сканирования GO;
    • Добавлена поддержка сшивания OCSP-запросов (Online Certificate Status Protocol) для подтверждения сертификатов AAA-серверов (Авторизация, Аккаунтинг, Аутентификация) для TLS-соединений. Добавлен сетевой параметр для отключения TLS v1.1 и v1.2 (tls_disable_tlsv1_1=1 и tls_disable_tlsv1_2=1) при взаимодействии с некорректно настроенными AAA-серверами.
    • Обеспечена поддержка Hotspot 2.0 Release 2;
    • Добавлена команда "reattach" для быстрого переподключения к тому же BSS (Basic Service Set);
    • В режиме точки доступа (AP) теперь может быть включена поддержка PMF (Protected Management Frame) при использовании ieee80211w;
    • Добавлена команда "get_capability tdls";
    • Добавлена опция для установки блобов конфигурации через управляющий интерфейс ("SET blob name hexdump");
    • Расширены возможности управления через D-Bus
    • В команды "SELECT_NETWORK" и "SET pno" добавлен опциональный параметр "freq=channel_ranges"
    • Добавлена реализация MACsec/IEEE Std 802.1X-2010 PAE, пока доступная через прослойку macsec_qca;
    • В режиме eloop (CONFIG_ELOOP_EPOLL=y) добавлена возможность использования диспетчеризации запросов с использованием epoll.

Кроме того, представлен проект Cupid, в рамках которого разработан набор патчей к hostapd и wpa_supplicant, в которых реализованы средства для проверки наличия heartbleed-уязвимости в клиентском и серверном беспроводном ПО, поддерживающем соединения с использованием методов аутентификации EAP, EAP-PEAP, EAP-TLS и EAP-TTLS. Cupid позволяет автоматизировать эксплуатацию уязвимых точек беспроводного доступа и клиентских WiFi-устройств, таких как ноутбуки и смартфоны (уязвимая версия OpenSSL поставлялась в Android 4.1.0 и 4.1.1).

Например, для проверки сети на уязвимость достаточно попытаться присоединиться к ней при помощи модифицированной версии wpa_supplicant, а для проверки клиентских систем - можно запустить свою сеть при помощи hostapd, все попытки соединения к которой будут проверяться на возможности эксплуатации уязвимости. Проверка осуществляется на ранней стадии установки соединения, сразу после получения запроса Hello и до обмена ключами и сертификатами TLS, т.е. атака применима и к защищённым паролем сетям, так как проводится до стадии аутентификации.

  1. Главная ссылка к новости (http://lists.shmoo.com/piperma...)
  2. OpenNews: Выпуск hostapd и wpa_supplicant 2.1
  3. OpenNews: Релиз hostapd/wpa_supplicant 2.0, отныне поставляемый только под лицензией BSD
Лицензия: CC-BY
Тип: Программы
Ключевые слова: wifi, hostapd, wpa_supplicant
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (6) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Денис (??), 14:13, 06/06/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    время пересобирать openwrt :)
     
     
  • 2.2, Аноним (-), 14:22, 06/06/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    openwrt сам не пересоберется!
     
     
  • 3.3, Гость (?), 14:51, 06/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    сам не пересоберется? openwrt!
     
     
  • 4.14, anonymous (??), 20:16, 06/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет самопересобиранию OpenWRT!
     
     
  • 5.16, Аноним (-), 09:45, 07/06/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    killall humans. Слава роботам!
     
  • 5.17, count0krsk (ok), 20:15, 08/06/2014 [^] [^^] [^^^] [ответить]  
  • +/
    WRT собирался, собирался, да не пересамокомпилировался ))
    И таки да, роботам слава, каклам - сала ))
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру