WPA2 Enterprise på Samfundet

WPA2 Enterprise lever i høyeste grad opp til navnet sitt. Interopabiliteten er forferdelig, implementasjonene dårlige og kompleksiteten stor.

WPA2 Enterprise er 802.1x-over-WLAN. 802.1x krever at klientene prater EAP med en RADIUS-tjener for autentisering (og autorisering og accounting). EAP finnes i en rekke varianter, og omtrent åtte av dem er spesifisert for WPA2 Enterprise. De har svært ulik klientstøtte (her er EAP-AKA og EAP-SIM tatt ut, siden de krever SIM-kort):

Windows 7Windows 8 (og 8.1)OS XIOSAndroidLinuxKommentar
Bruk av captive-portal mai 2014 7.9% 2.7% 28.0% 17.8% 37.1% 6.5% Litt støy i data
EAP-TTLS ✓* ✓* RADIUS får klartekstpassord (fleksibelt!), men klienter sjekker typisk ikke tjenersertifikat, så MITM-bart med mindre vi shipper sertifikat
EAP-TLS/PEAP-TLS ✓* ✓* Krever egen PKI med klientsertifikater, knotete oppsett i klienter
EAP-MSCHAPv2 Krever lagring av klartekstpassord eller MD4(passord), MSCHAPv2 er uendelig brukket
EAP-GTC ✓† ✓† Funker ikke i inner-tunnel, ment å bruke security tokens
EAP-FAST Krever Cisco-nettutstyr, RADIUS får klartekstpassord

* Apple har fjernet UIet for å konfigurere dette, nå kreves det at man importerer en XML-fil med innstillinger

† Halve Internett ser ut til å ha problemer med Apple-utstyr og EAP-GTC

Lenker: Start, wlan

Mail: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2014-09-21 13:42 | Revisjon: 8 (historie, blame) | Totalt: 1467 kB | Rediger