Seguridad Wireless

[patillotes]

Pregunta:

Tenemos una red inalambrica con cifrado WPA/2, con cifrado TKIP o AES . Da igual. El asunto esta en la autenticacion:
Si hay un servidor RADIUS montado, contra el que nos autenticamos usando el PEAP MS_CHAP (2), es obligatorio que haya instalado en el servidor RADIUS un certificado de autoridad (CA), ¿no? Quicir.
Aunque el admin te diga que no, que tu en los clientes (por ejemplo maquinas Windows) has de indicar que no usas certificados de autoridad, en realidad si que se usan, pero son firmados por si mismo, quicir.

Todo esto viene porque algunos cacharros (moviles y creo que algun linux) no admiten no indicar CA y habria que pedir el certificado e instalarlo a mano. Recapitulo pues:

El CA en PEAP/MS-CHAP(2) es obligatorio, otra cosa es que no quieras pagarle la pasta a una autoridad de certificacion y te crees tú tu propio CA firmado por ti mismo.
La manera correcta de montar un chiringuito de estos seria dejar el CA a disposicion del publico para que:
a) Los clientes que admitan conexiones sin CA (que a efectos practicas se comen cualquier CA) se lo instalen y evitamos phissing.
b) Los clientes que trabajen con una version estricta del protocolo puedan conectarse.

¿Estoy encaminado?

[patillotes]

Pregunta dos:

a) Supuesto un cliente windows xp o similar, que admite conectarse.
b) ¿Hay alguna manera de extraerle a leches el CA para luego endiñarselo a los clientes que no se conectan?