WPA2 Enterprise på Samfundet
WPA2 Enterprise lever i høyeste grad opp til navnet sitt. Interopabiliteten er forferdelig, implementasjonene dårlige og kompleksiteten stor.
WPA2 Enterprise er 802.1x-over-WLAN. 802.1x krever at klientene prater EAP med en RADIUS-tjener for autentisering (og autorisering og accounting). EAP finnes i en rekke varianter, og omtrent åtte av dem er spesifisert for WPA2 Enterprise. De har svært ulik klientstøtte (her er EAP-AKA og EAP-SIM tatt ut, siden de krever SIM-kort):
| Windows 7 | Windows 8 (og 8.1) | OS X | IOS | Android | Linux | Kommentar | |
|---|---|---|---|---|---|---|---|
| Bruk av captive-portal mai 2014 | 7.9% | 2.7% | 28.0% | 17.8% | 37.1% | 6.5% | Litt støy i data |
| EAP-TTLS | ✓ | ✓* | ✓* | ✓ | ✓ | RADIUS får klartekstpassord (fleksibelt!), men klienter sjekker typisk ikke tjenersertifikat, så MITM-bart med mindre vi shipper sertifikat | |
| EAP-TLS/PEAP-TLS | ✓ | ✓ | ✓* | ✓* | ✓ | ✓ | Krever egen PKI med klientsertifikater, knotete oppsett i klienter |
| EAP-MSCHAPv2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | Krever lagring av klartekstpassord eller MD4(passord), MSCHAPv2 er uendelig brukket |
| EAP-GTC | ✓† | ✓† | ✓ | ✓ | Funker ikke i inner-tunnel, ment å bruke security tokens | ||
| EAP-FAST | ✓ | ✓ | ✓ | Krever Cisco-nettutstyr, RADIUS får klartekstpassord |
* Apple har fjernet UIet for å konfigurere dette, nå kreves det at man importerer en XML-fil med innstillinger
† Halve Internett ser ut til å ha problemer med Apple-utstyr og EAP-GTC
Epost: itk@samfundet.no | Telefon: 992 15 925 | Sist endret: 2014-09-21 13:42 | Revisjon: 8 (historie, blame) | Totalt: 1886 kB | Rediger