Выпуск hostapd и wpa_supplicant 2.11, реализации стека беспроводных протоколов

После двух с половиной лет разработки опубликован выпуск hostapd/wpa_supplicant 2.11, набора для обеспечения работы беспроводных протоколов IEEE 802.1X, WPA, WPA2, WPA3 и EAP. В состав набора входит приложение wpa_supplicant для подключения к беспроводной сети в роли клиента и фоновый процесс hostapd для обеспечения работы точки доступа и сервера аутентификации, включающего такие компоненты как WPA Authenticator, клиент/сервер аутентификации RADIUS, сервер EAP. Исходные тексты проекта распространяются под лицензией BSD.

Основные изменения в новых выпусках hostapd и wpa_supplicant:

  • Добавлена поддержка третьей версии протокола DPP (Device Provisioning Protocol), в обиходе известного как «Wi-Fi Easy Connect«, а также предоставлена возможность передачи параметров с настройками при помощи DPP. Протокол DPP предоставляет возможность упрощённой настройки беспроводных устройств без экранного интерфейса, используя другое более продвинутое устройство, уже подключенное к беспроводной сети. DPP основывается на применении аутентификации по открытым ключам, например, параметры для IoT-устройства без экрана можно задать со смартфона на основе снимка QR-кода, напечатанного на корпусе и кодирующего открытый ключ.
  • Добавлена начальная поддержка Wi-Fi 7 (EHT/IEEE 802.11be) и улучшена поддержка Wi-Fi 6 (HE/IEEE 802.11ax).
  • Добавлена поддержка изменений API, предложенных в ветке криптографической библиотеки OpenSSL 3.0.
  • В реализации протоколов аутентификации EAP-SIM (Extensible Authentication Protocol — Subscriber Identity Module) и EAP-AKA (Extensible Authentication Protocol — Authentication and Key Agreement), использующих для аутентификации информацию с SIM- и USIM-карт, реализована поддержка механизма обеспечения конфиденциальности идентификатора абонента мобильной сети, исключающего раскрытие IMSI при подключении к точке доступа.
  • Добавлена поддержка режимов работы SAE AKM (Simultaneous Authentication of Equals Authentication and Key Management) с переменным размером ключей.
  • Добавлена поддержка варианта AKM (Authentication and Key Management) на базе хэшей SHA384.
  • В реализации механизма PASN (Pre Association Security Negotiation), применяемого для установки защищённого соединения и защиты обмена управляющими кадрами на ранней стадии подключения, обеспечена поддержка технологии «secure ranging» для безопасного определения расстояния между двумя Wi-Fi устройствами.
  • Добавлена поддержка механизма USD (Unsynchronized Service Discovery), упрощающего обнаружение сервисов беспроводными устройствами.
  • Добавлена поддержка явной защиты SSID при четырёхэтапном согласовании подключения. Защита включается при помощи опции «ssid_protection=1» и блокирует уязвимость CVE-2023-52424, позволяющую организовать подключение к менее защищённой беспроводной сети.
  • Изменения, специфичные для wpa_supplicant:
    • Добавлена поддержка фонового обнаружения помех от радарных систем, работающих в тех же частотных диапазонах (при обнаружении осуществляется переключение на другие частоты). Также добавлена поддержка механизма CAC (Channel Availability Check), предназначенного для прослушивания канала перед его использованием с целью проверки его занятости радарной системой.
    • В реализации метода согласования соединений SAE (Simultaneous Authentication of Equals) появилась возможность извлечения пароля из RADIUS-сервера.
    • Добавлена поддержка проверок ACL (Access-Control List) и PSK (Pre-Shared Key) с использованием протокола RADIUS во время согласования соединения (wpa_psk_radius=3).
    • В реализации механизма ACS (Automatic Channel Selection) при выборе используемого канала обеспечен учёт типов и пропускной способности каналов.
    • Расширена поддержка использования на одной точке доступа нескольких идентификаторов BSSID (Basic Service Set Identifier) для обеспечения работы виртуальных беспроводных сетей.
    • Добавлена начальная поддержка использования TLS для шифрования обращений по протоколу RADIUS.
  • Изменения, специфичные для wpa_supplicant:
    • В реализации стандарта MACsec (IEEE 802.1AE), предоставляющего средства для защиты канала передачи данных, предоставлена возможность использования набора шифров GCM-AES-256 и добавлена поддержка аппаратного ускорения через вынос операций на сторону сетевого адаптера.
    • Для TLSv1.3 улучшена поддержка EAP-TLS.
    • Усилена защита от DoS-атак при использовании PMF (Protected Management Frames).
    • Улучшен роуминг между AKM (Authentication and Key Management) при выборе SME/BSS драйвером.
    • Предоставлена возможность использования механизма PASN (Protected Access Secure Negotiation) с внешними программами.
    • Добавлена поддержка использования заранее сгенерированных MAC-адресов (mac_addr=3) вместо генерации случайного MAC для каждой сети.
    • Включено по умолчанию использовании второй фазы аутентификации (phase2_auth=1) для протокола EAP-PEAP, подразумевающей аутентификацию клиента внутри защищённого туннеля.
    • Расширена поддержка технологии MSCS (Multi-Streaming Channel Switching), позволяющей устройству переключаться между несколькими каналами.
    • Расширена поддержка технологии SCS (Spatial Channel Switching) для приоритетной обработки важного трафика при использовании QoS.

Источник: http://www.opennet.ru/opennews/art.shtml?num=61596