man wpa_supplicant(8) - клиент защищённого доступа Wi-Fi и проситель IEEE 802.1X

НАЗВАНИЕ

wpa_supplicant - клиент защищённого доступа Wi-Fi и проситель IEEE 802.1X

ОБЗОР

wpa_supplicant [-BddfhKLqqtuvwW] [-iимя_интерфейса] [-cфайл_конфигурации] [-Dдрайвер] [-PPID_файл] [-fвыходной_файл]

ОБЩИЙ ОБЗОР

Беспроводные сети не требуют физического доступа к сетевому оборудованию таким же образом, что и проводные сети. Это упрощает неавторизованным пользователям пассивное наблюдение за сетью и перехват всех переданных кадров. В добавок, неавторизованное использование сети значительно проще. Во многих случаях, это может произойти без явного уведомления пользователя, поскольку беспроводной сетевой адаптер может быть настроен на автоматическое вхождение в любую доступную сеть.

Для обеспечения уровня безопасности беспроводных сетей можно воспользоваться шифрованием на уровне канала. Исходный стандарт беспроводных сетей IEEE 802.11 включает простой механизм шифрования WEP. Однако доказано, что он имеет недостатки во многих аспектах, а сети защищённые с помощью WEP не могут считаться безопасными. Для улучшения безопасности сети можно использовать аутентификацию IEEE 802.1X и часто меняемые динамические ключи WEP, но даже в этом случае можно ожидать унаследованных проблем, возникающих при использовании WEP для шифрования. Защищённый доступ Wi-Fi (WPA) и поправка IEEE 802.11i к стандарту беспроводной сети вводит хорошо улучшенный механизм безопасности беспроводных сетей. Сети, использующие IEEE 802.11i можно назвать действительно безопасными, поскольку при этом применяется CCMP (механизм шифрования основанный на сильном криптографическом алгоритме AES), который может обеспечить эффективную защиту от неавторизованного доступа тем приложениям, которые в ней нуждаются.

wpa_supplicant является компонентом просителя WPA, то есть той частью, которая запускается на стороне клиентской станции. wpa_supplicant осуществляет обмен данными с аутентификатором WPA и аутентификацией по протоколу EAP с сервером аутентификации. К тому же, wpa_supplicant контролирует переход между сетями (roaming) и аутентификацию/ассоциацию IEEE 802.11 в драйвере беспроводной локальной сети.

wpa_supplicant представляет собой демон, программу которая запускается в фоновом режиме и действует в качестве служебного компонента, управляющего беспроводным соединением. wpa_supplicant поддерживает различные программы-оболочки, например текстовый wpa_cli, входящий в состав wpa_supplicant.

Перед тем, как wpa_supplicant сможет сделать свою работу, необходимо что бы сетевой интерфейс был доступен. Это означает, что физическое устройство должно быт присутствовать и быть включённым, а драйвер устройства должен быть загружен. Однако, опция "-w" демона wpa_supplicant позволяет ему продолжить работу в режиме ожидания и ждать, когда сетевой интерфейс станет доступным. Без опции '-w' демон немедленно прекратит работу, если устройство ещё не доступно.

После того, как wpa_supplicant настроил сетевое устройство, могут быть запущены более высокоуровневые средства настройки, например DHCP. Существуют различные способы для встраивания wpa_supplicant в сценарии настройки сети компьютера, некоторые из которых описаны в разделе ниже.

Для ассоциирования с точкой доступа при помощи WPA используются следующие шаги:

o wpa_supplicant запрашивает драйвер ядра просканировать окружающие базовые станции (BSS)

o wpa_supplicant выбирает базовую станцию (BSS) основываясь на её настройках

o wpa_supplicant запрашивает драйвер ядра ассоциироваться с указанной выбранной базовой станцией (BSS)

o Если WPA-EAP: встроенный проситель IEEE 802.1X завершает аутентификацию EAP на сервере аутентификации (ретранслируемом с помощью аутентификатора в точке доступа)

o Если WPA-EAP: от просителя IEEE 802.1X принимается мастер-ключ

o Если WPA-PSK: wpa_supplicant использует общий ключ PSK в качестве мастер-ключа сеанса

o wpa_supplicant завершает четырёхэтапное рукопожатие WPA и рукопожатие группового ключа (Group Key Handshake) с аутентификатором точки доступа

o wpa_supplicant настраивает ключи шифрования для направленного вещания и широковещания

o могут передаваться и приниматься обычные пакеты данных

ПОДДЕРЖИВАЕМЫЕ ВОЗМОЖНОСТИ

Список поддерживаемых возможностей WPA/IEEE 802.11i:

o WPA-PSK ("WPA-Personal")

o WPA с EAP (например, с сервером аутентификации RADIUS) ("WPA-Enterprise") Просителем IEEE 802.1X поддерживаются следующие встроенные методы аутентификации:

o EAP-TLS

o EAP-PEAP/MSCHAPv2 (PEAPv0 и PEAPv1)

o EAP-PEAP/TLS (PEAPv0 и PEAPv1)

o EAP-PEAP/GTC (PEAPv0 и PEAPv1)

o EAP-PEAP/OTP (PEAPv0 и PEAPv1)

o EAP-PEAP/MD5-Challenge (PEAPv0 и PEAPv1)

o EAP-TTLS/EAP-MD5-Challenge

o EAP-TTLS/EAP-GTC

o EAP-TTLS/EAP-OTP

o EAP-TTLS/EAP-MSCHAPv2

o EAP-TTLS/EAP-TLS

o EAP-TTLS/MSCHAPv2

o EAP-TTLS/MSCHAP

o EAP-TTLS/PAP

o EAP-TTLS/CHAP

o EAP-SIM

o EAP-AKA

o EAP-PSK

o EAP-PAX

o LEAP (замечание: требует особой поддержки драйвером аутентификации IEEE 802.11)

o (следующие методы поддерживаются, но они пока не порождают обмен ключевым материалом, они не могут использоваться для обмен ключами по WPA или IEEE 802.1X WEP)

o EAP-MD5-Challenge

o EAP-MSCHAPv2

o EAP-GTC

o EAP-OTP

o управление ключами по CCMP, TKIP, WEP104, WEP40

o RSN/WPA2 (IEEE 802.11i)

o пре-аутентификация

o кэширование PMKSA

ДОСТУПНЫЕ ДРАЙВЕРЫ

Драйверы, доступные для указания в опции -D:

hostap

(по умолчанию) Ведущий драйвер точки доступа (Intersil Prism2/2.5/3). (он также может использоваться совместно с загрузчиком драйвера Linuxant).

hermes

Драйвер Agere Systems Inc. (Hermes-I/Hermes-II).

madwifi

Поддерживаемые MADWIFI 802.11 (Atheros, etc.).

atmel

ATMEL AT76C5XXx (USB, PCMCIA).

wext

Беспроводные расширения Linux (обобщённый).

ndiswrapper

Linux ndiswrapper.

broadcom

Драйвер Broadcom wl.o.

ipw

Драйвер Intel ipw2100/2200.

wired

Проводной драйвер Ethernet wpa_supplicant

bsd

Поддерживаемые BSD 802.11 (Atheros, etc.).

ndis

Драйвер Windows NDIS.

ОПЦИИ КОМАНДНОЙ СТРОКИ

-b интерфейс_моста

Необязательное имя интерфейса моста.

-B

Запустить демона в фоновом режиме.

-c имя_файла

Путь к файлу конфигурации.

-C управляющий_интерфейс

Путь к сокету управления_интерфейсом (используется только если -c отсутствует).

-i имя_интерфейса

Интерфейс для прослушивания.

-d

Увеличивает подробность отладочных сообщений (-dd ещё больше).

-D драйвер

Используемый драйвер. Смотри доступные опции далее.

-f выходной_файл

Журналировать вывод в указанный файл, а не на стандартный вывод.

-g глобальный_сокет_управления_интерфейсом

Путь к глобальному_сокету_управления_интерфейсом.

-K

Включать ключи (пароли и т.п.) в отладочный вывод.

-t