Add GnuTLS build option for eap_example

Support PEM format RSA private key with internal TLS implementation

Set current ssid when entering AP mode

After successful starting AP mode, current_ssid field is set to
ssid used to create AP.

NetBSD: Fix wired IEEE 802.1X problem

On NetBSD 5.0, when I use wired 802.1X, "Invalid argument" occurs
on SIOCADDMULTI ioctl and 802.1X fails.

I tried FreeBSD code, but "Address family not supported by protocol family"
occurs on SIOCADDMULTI ioctl and 802.1X fails, too.

This patch solves this issue.

I have tested with these:
OS : NetBSD 5.0
EAP : EAP-MD5
Switch : CentreCOM 8724SL

Added new SHA1 files into VS project files to fix the build

WPS: Workaround mixed-mode WPA+WPA2 auth type in credentials

An SMC router was reported to use 0x22 (WPAPSK + WPA2PSK) in the
authentication type of the provisioned credential and wpa_supplicant
rejected this as invalid. Work around this by replacing WPAPSK + WPA2PSK
with WPA2PSK.

Figure out absolute path for the pid file before daemonizing

This allows relative path to be used in the same way as was already
supported by wpa_supplicant.

Force rebuilding of src/drivers between hostapd and wpa_supplicant

This is a (hopefully) temporary workaround to allow the same source code
tree to be used for building hostapd and wpa_supplicant without having
to manually force recompilation of some files. Currently, some of the
driver wrapper files need to be built separately for hostapd and
wpa_supplicant (#ifdef's in the files based on AP functionality).

This is somewhat racy as far as parallel make execution is concerned,
i.e., it may be necessary to run "make -j#" twice (plain "make" works
fine. Since this is supposed to be a temporary workaround, there is not
much point in trying to fix this with any more complex make processing.

Replace NEED_MLME with NEED_AP_MLME

This makes it clearer that it's about the AP, not client-side MLME, even
when built into the client (wpa_supplicant).

Create a common drivers makefile snippet

Instead of having all driver stuff collected across wpa_supplicant
and hostapd, create a common snippet that they both include and
that handles the build configuration.

wpa_passphrase does not need FIPS PRF, MD4, or AES extra functionality

Avoid a theoretical integer overflow in base64_encode()

If base64_encode() were to be used with a huge data array, the
previous version could have resulted in overwriting the allocated
buffer due to an integer overflow as pointed out in
http://www.freebsd.org/cgi/query-pr.cgi?pr=137484. However, there
are no know use cases in hostapd or wpa_supplicant that would do that.
Anyway, the recommended change looks reasonable and provides additional
protection should the base64_encode() function be used for something
else in the future.

Fix hlr_auc_gw build after crypto build cleanup

Ignore the generated libeap.a file

Fix eap_example build after the crypto build cleanup

Crypto build cleanup: remove CONFIG_NO_AES_*

Instead of using a defines and conditional building of AES parts,
move the conditional functionality into separate files.

Remove some more crypto ifdef, fix a few small bugs

Crypto build cleanup: remove CONFIG_NO_AES_ENCRYPT

Instead of using a define and conditional building of AES parts,
move the AES encryption routines into a separate file.

Crypto build cleanup: remove CONFIG_NO_AES_DECRYPT

Instead of using a define and conditional building of AES parts,
move the AES decryption routines into a separate file.

Crypto build cleanup: remove CONFIG_NO_PBKDF2

Instead of using a define and conditional building of sha1.c parts,
move the PBKDF2 implementation into a separate file.

Crypto build cleanup: remove CONFIG_NO_TLS_PRF

Instead of using a define and conditional building of sha1.c parts,
move the TLS PRF implementation into a separate file.

Crypto build cleanup: remove CONFIG_NO_T_PRF

Instead of using a define and conditional building of sha1.c parts,
move the T-PRF implementation into a separate file.

Crypto build cleanup: remove NEED_FIPS186_2_PRF

Instead of using a define and conditional building of crypto wrapper
parts, move the FIPS 186-2 PRF implementation into separate files.

Crypto build cleanup: remove INTERNAL_MD5

Instead of using a define and conditional building of md5.c parts,
move the internal-MD5 into a separate file.

Crypto build cleanup: remove INTERNAL_MD4

In addition, rename md4.c to md4-internal.c to match in style with
SHA-1 conditionally built internal implementation.

Crypto build cleanup: remove INTERNAL_SHA256

Instead of using a define and conditional building of sha256.c parts,
move the internal-SHA256 into a separate file.

Crypto build cleanup: remove INTERNAL_AES

In addition, rename aes.c to aes-internal.c to match in style with
SHA-1 conditionally built internal implementation.

Crypto build cleanup: remove INTERNAL_DES

In addition, rename des.c to des-internal.c to match in style with
SHA-1 conditionally built internal implementation.

Crypto build cleanup: remove INTERNAL_SHA1

Instead of using a define and conditional building of sha1.c parts,
move the internal-SHA-1 into a separate file.

CONFIG_WIRELESS_EXTENSION need not be in CFLAGS

CONFIG_WIRELESS_EXTENSION is purely internal to the Makefile

make the build process quieter to see warnings

Remove mac80211_hwsim code

The hwsim code here can only compile with a very specific kernel
version, but is shipped with current kernels so you just need to enable
it in your kernel instead.

Clean up some more binaries in wpa_supplicant 'make clean'

nl80211: Fix WEP key configuration

Current wpa_supplicant has a bug with WEP keys, it adds a zero-length
sequence counter field to netlink which the kernel doesn't accept.

Signed-off-by: Johannes Berg <johannes@sipsolutions.net>

hostapd: fix auth encryption

hostapd currently tries to encrypt all auth frames,
except for "OPEN" and "SHARED with transaction 3".
This means that it will send an encrypted "unknown
auth algorithm" reply for all other algorithsm. Fix
this by changing the logic to only encrypt shared
key auth frames with transaction 3.

Signed-off-by: Johannes Berg <johannes@sipsolutions.net>

Allow wpa_supplicant to use libnl-2.0

Change existing CONFIG_LIBNL20 compatibility code in
driver_nl80211.c to be used by both wpa_supplicant
and hostapd, but take care of nl_handle too now.

Propagate CONFIG_LIBNL20 out of .config file and onto
CFLAGS in the Makefile.

Use libnl-gen now too.

Signed-off-by: Jon Loeliger <jdl@bigfootnetworks.com>
---

Set state to COMPLETE when AP mode has been initialized successfully

Fix eap_example build with renamed EAP_* server defines

1e5839e06fbc20945044239984b652da9c3fc772 renamed the defines for EAP
server, but did not update the eap_example Makefile to match. This
broke the server side of the EAP example (no methods were actually
enabled).

Fix EAP-TNC peer memory leak on an error path

Add root .gitignore file to cleanup ignore lists

This removes need for local configuration to ignore *.o and *~
and allows the src/*/.gitignore files to be removed (subdirectories
will inherit the rules from the root .gitignore).

EAP-SIM peer: Remove AT_NOTIFICATION from Notification response

This attribute is not supposed to be used in the response frame (i.e.,
it is only in the EAP-Request/SIM-Notification frame) per RFC 4186
chapters 10.1 and 9.9. This is a minor bug since the server is required
to ignore the contents of the EAP-Response/SIM-Notification during
protected result indication per chapter 6.2.

EAP-AKA peer was already following the similar specification in RFC 4187,
but this was somehow missed in the EAP-SIM peer implementation.

Rename variable to avoid gcc warning about shadowed names

Add generic infrastructure for Probe Request callbacks

Instead of calling specific Probe Request handler functions, use a
generic mechanism that allows multiple callback functions to be
registered for getting notification on receive Probe Request frames.

Replace hostapd_wps_probe_req_rx() with more generic ProbeReq notifier

The driver wrappers should not need to include wps_hostapd.h, so let's
make this easier by introducing a driver callback for reporting Probe
Request frames.

X.509: Add parsing of alternative name to internal TLS implementation

The alternative name extensions are now parsed, but the actual values
are not yet used for alt. subject name matching.

WPS: Change wpa_supplicant wps_reg to not send out M8

Since we do not currently support changing the AP settings received
from M7, there is no point in actually sending out the M8 that would
likely trigger the AP to reconfigure itself and potentially reboot.
For now, we just receive the AP settings in M7 and add a local network
configuration block based on those, but NACK the message. This makes
wps_reg work like wps_pin, but by using the AP PIN instead of a client
PIN.

driver_bsd.c: Use new MLME method of association.

Old way does not work with all drivers on NetBSD and FreeBSD are
also using this so should be a safe change. [Bug 312]

Signed-off-by: Roy Marples <roy@marples.name>

driver_bsd.c: Reduce code duplication between hostapd and wpa_supplicant

Add generic functions to get/set 80211 vars, set 80211 params and
get/sid ssid.
Change NetBSD defines to match the ioctl used for portability.
Check size we're copying into instead of assuming IFNAMSIZ.

Signed-off-by: Roy Marples <roy@marples.name>

Comment out unused functions if IEEE8021X_EAPOL is not defined

hostapd: EAP-AKA' needs SHA256

bsd: Get rid of printf size_t warnings with 64-bit builds

hostapd: nl80211 retry creating a interface if it fails the first time

If hostapd segfaults, or is killed with -9, or the interface already exists,
when the interface is created, it will fail.

Configuration file: /tmp/hostapd/hostapd.conf
Failed to create interface mon.wlan0_0.
Using interface wlan0_0 with hwaddr 00:13:01:01:08:0a and ssid 'IG_0405_LAN'
Failed to set beacon head/tail or DTIM period
Failed to create interface wlan0_1.

Try to remove the interface and re-create it before aborting.

Fix STA flag setting for auto-authorization if 802.1X/WPA is not used

The authorized flag needs to be added to the set_flags mask to fix
the flags_or/_and values that are now used with the new nl80211
attribute.

dbus: add 'scanning' property

When the supplicant is connected and performs a scan, it doesn't enter
WPA_SCANNING state for various reasons.  However, external programs
still need to know that the supplicant is scanning since they may not
wish to perform certain operations during a scan (as those operations
will likely fail or yield incorrect results).  Add a 'scanning' property
and signal to the supplicant dbus interface to allow clients to
synchronize better with the supplicant when it scans.

Signed-off-by: Dan Williams <dcbw@redhat.com>

wext: disconnect at init and deinit

To ensure the supplicant starts and ends with a clean slate (keys are
already cleaned up at init and deinit time), force a null BSSID and
bogus SSID to ensure the driver isn't connected to anything.

Signed-off-by: Dan Williams <dcbw@redhat.com>

wext: Fix deauthentication to do IW_MLME_DEAUTH prior to disconnect

4853d5ac847efbfe54b80eeefabc2932696414c9 had a small bug in the order
of these function calls in _wext_deauthenticate() (_disassociate()
did have the correct order). The deauthentication frame is supposed
to go out (if driver supports that) before we disconnect more
forcefully.

wext: don't force-disconnect in ad-hoc mode

Otherwise the driver might interpret the request as a request to
create/join a new adhoc network with the bogus SSID.

Signed-off-by: Dan Williams <dcbw@redhat.com>

hostapd: Require EAPOL-Key type to match with selected protocol

Previously, we would have allowed both the WPA and RSN EAPOL-Key
types to be used regardless of whether the association is using
WPA or RSN/WPA2. This shouldn't result in any significant problems
on the Authenticator side, but anyway, we should check the type and
ignore the EAPOL-Key frames that used unexpected type.

WPS: Add support for setting timeout for PIN

hostapd_cli wps_pin command can now have an optional timeout
parameter that sets the PIN lifetime in seconds. This can be used
to reduce the likelihood of someone else using the PIN should an
active PIN be left in the Registrar.

hostapd: Fix internal crypto build without TLS

hostapd: Fix non-802.11w build

Resolve couple of compiler warnings

driver_bsd.c: use get_scan_results2

The attached patch will replace get_scan_results with get_scan_results2.
This is a preparation for WPS on BSD.
And I erased "wpa_scan_result_compar". Because scan result
sorting will be done with "wpa_scan_result_compar" on
"scan_helpers.c".

I have done below tests on NetBSD with an atheros card.
- WPA2-PSK(CCMP)
- WPA-PSK(TKIP)
- PEAP(MSCHAPv2)
- EAP-TLS
- EAP-TTLS(MSCHAPv2)

Fix hostapd and wpa_supplicant comipilation on NetBSD 4.0.1

nl80211: Add support for IEEE 802.1X port control in station mode

This adds a cleaner mechanism for protecting against unauthorized
data frames than the previously used drop_unencrypted mechanism
(which is not even available with nl80211 and had to use a WEXT
ioctl.

The old drop_unencrypted code is left in for now as the final
surviving WEXT use in driver_nl80211.c. However, it can be removed
from the build by defining NO_WEXT. It may also be removed
eventually when most users are expected to be using recent enough
kernel version.

nl80211: Add support for NL80211_ATTR_STA_FLAGS2

For now, the old code using NL80211_ATTR_STA_FLAGS is left in for
backwards compatibility with older kernel versions. It may be removed
eventually when most users are expected to be running with new
enough kernel version.

Sync with linux/nl80211.h from wireless-testing.git

nl80211: Add MFP flag configuration for station mode

This fixes IEEE 802.11w use with driver_nl80211.c in station mode.

Fix WMM and MFP STA flag setting with flags_or/flags_and

These were included correctly in total_flags, but not in
flags_or/flags_and.

Drop unprotected Robust Action frames from MFP STAs

These frames are delivered through mac80211 monitor interface, so we
need to filter them out in hostapd.

hwsim_test: Tool for testing data connectivity with mac80211_hwsim

This program can be used to verify that both unicast and broadcast
data frames can be transmitted successfully through mac80211_hwsim
interfaces.

Add more debugging details for SA Query processing

Update SA Query transaction id length based on IEEE 802.11w/D8.0

IEEE 802.11w/D8.0 changed the length of the SA Query transaction
identifier from 16 to 2 octets.

Reject hostapd configuration without channel for nl80211 drivers

We could use auto-channel selection here eventually, but for now,
reject the configuration since it is not going to work correctly
(Beacon and Probe Response frames use incorrect value  in DS Params).

WPS methods exported over DBus

I've exported the methods wpsPbc, wpsReg and wpsPin (patch attached),
so wpa_supplicant should be able to connect with WPS using the dbus
interface. I couldn't test it well because the problem seems to be in
my wireless card, a Broadcom BCM4328. At least it seems to do the same
using both interfaces. With ndiswrapper driver the "wpsie" entry
(thanks Dan!) didn't appear, and with the Broadcom wl driver it
appears but I cannot associate using WPS.

wpa_supplicant: add DBus method for changing debug parameters

Add a new DBus method "setDebugParams" which takes the parameters
debug_level, debug_timestamp and show_keys as input and updates the
internal debug variables accordingly.

To change the debug level, enable/disable timestamps and enable/disable
show_keys the following dbus-send command can be used:

dbus-send --system --dest=fi.epitest.hostap.WPASupplicant --print-reply
/fi/epitest/hostap/WPASupplicant fi.epitest.hostap.WPASupplicant.setDebugParams
int32:0 boolean:false boolean:false

Signed-off-by: Helmut Schaa <helmut.schaa@googlemail.com>

Add code to re-use an existing ctrl_iface socket file

Port the code from wpa_supplicant to re-use an existing ctrl_iface
socket file if the file does not seem to be in use. This allows
hostapd to recover from unclean shutdown of the control interface.

WPS: Add a workaround for auth/encr type flags mismatches

Some deployed implementations seem to advertise incorrect information
in this attribute. For example, Linksys WRT350N seems to have a
byteorder bug that breaks this negotiation. In order to interoperate
with existing implementations, assume that the Enrollee supports
everything we do.

General revision of RoboSwitch driver

Attached is a patch for the RoboSwitch driver in trunk. It is a
general revision of the source code.

Changes:
- Improved IEEE 802.1X conformance ([1])
- Better conformity to Broadcom specifications
- Fixed compatibility with different chipset revisions

It is worth noting that performance may drop a little using the new
driver. This can be overcome by using "multicast_only=1" as a
parameter. In that case only packets to the PAE group address are
regarded, as the previous revision of the driver did. A more detailed
description of the parameter and it's consequences is available at [2]
(summary: use "multicast_only=1" whenever possible).

[1] http://lists.shmoo.com/pipermail/hostap/2009-February/019398.html
[2] http://forum.openwrt.org/viewtopic.php?id=19873

Add handling of SME auth/assoc timeout events

This allows wpa_supplicant to start searching for other APs (or re-try)
if the MLME times out.

Remove unused set_broadcast_ssid() driver op

None of the driver wrappers user this. hostapd-controlled broadcast SSID
hiding can only be used with drivers that use hostapd for handling
Beacon and Probe Request/Response frames.

Remove the unused set_ieee80211d driver op

None of the driver wrappers use this. Only the drivers that use hostapd
for Beacon and Probe Request/Response handling can now use IEEE 802.11d
properly.

Add new wpa_supplicant driver op for setting 802.1X port status

This can be used with drivers that implement PAE to control whether
normal data frames (non-EAPOL) are allowed.

Move default_wep_key variable into EAPOL authenticator data

With this change, eapol_sm.c does not need to dereference main hostapd
structures anymore (i.e., hostapd.h is not needed to be included).

nl80211: Replace WEXT code for RTS/fragmentation threshold

nl80211 has new attributes for setting RTS and fragmentation threshold
values. Use these instead of the old WEXT ioctls.

Remove unused set_retry() driver op

nl80211: Sync with linux/nl80211.h from wireless-testing.git

Note: This changes values for existing NL80211_ATTR_MAX_SCAN_IE_LEN
and NL80211_ATTR_KEY_TYPE (for some reason, they ended up getting
swapped in wireless-testing.git) and as such, could break Michael
MIC  error reporting (well, at least partially).

wpa_supplicant AP: Add preliminary support for WPS Internal Registrar

When in AP mode, wpa_supplicant is now enabling WPS (only Internal
Registrar). wpa_cli wps_pbc and wps_pin commands can be used to initiate
WPS negotiation similarly to how this is done in station mode (though,
the BSSID parameter is ignored).

wpa_supplicant AP: Add sta_set_flags

wpa_supplicant AP: Add EAPOL frame TX and RX

This allows WPA-Personal 4-way handshake to be completed successfully.

wpa_supplicant AP: Update WPA/RSN configuration

Couple of additional operations are needed to make hostapd configuration
valid for WPA.

nl80211: Mark state disassociated on local deauth/disassoc

Make deauthentication and disassociation consistent

This fixes an issue where the station was not marked disassociated
properly with locally requested deauthentication.

Disconnect if 4-way handshake processing fails

There is no point in trying to continue if a 4-way handshake frame is
discarded or if PTK/GTK/IGTK configuration fails. Force the client to
disconnect in such a case to avoid confusing user by claiming the
connection was successfully completed.

wpa_supplicant AP: add sta_add() and sta_remove()

wpa_supplicant AP: Fix build after hostapd driver_ops changes

nl80211: Add/remove monitor interface dynamically based on mode

nl80211: Delete Beacon information on deinit in wpa_supplicant AP mode

Use C99 designated initializers to cleanup driver_ops setup

These driver wrappers use UNIX domain sockets and as such, won't be
built with Microsoft compiler. Consequently, use of C99-style designated
initializers can be used to make these files easier to maintain. Only
driver_ndis.c needs to support the old C89-style due to Microsoft
compiler not supporting newer C standard.