Questa domanda è un po 'complicata, ma sembra che tu abbia confuso le metodologie di autenticazione di rete con SSL (TLS).
- WPA2 / Radius non è un proxy, quindi MiTM non è applicabile.
- SSL / TLS fornisce la crittografia end-to-end per il contenuto dei dati. Il modo in cui tali pacchetti sono instradati in termini di WiFi è irrilevante.
Pensa in questo modo: hai racchiuso una lettera in una cassastrong da 800 sterline. Puoi spostare la cassastrong dal punto A al punto B usando un treno (ethernet) o puoi farlo tramite un aereo (WiFi).
In entrambi i casi, la modalità di trasporto è irrilevante per il messaggio (la lettera) è la protezione (la cassastrong) e la sua consegna.
Il tuo radius server funge semplicemente da registro dei depositi ferroviari e degli aeroporti autorizzati dai quali è possibile inviare la lettera nella cassastrong.
Se sei preoccupato per il "peso" che gli utenti devono ricordare la loro password per accedere alla tua rete, allora sarai tristemente deluso dal genere umano. Sembra essere un prerequisito per gli utenti di lamentarsi delle proprie password e l'inconveniente di avere sicurezza. Sicurezza e facilità d'uso sono diametralmente opposte. Quindi, devi scendere a compromessi tra avere una grande sicurezza (incastrare il tuo wifi in cemento e affondarlo nel fondo dell'oceano) e avere una connessione wifi utilizzabile (aperta, non crittografata, clicca per connetterti a Internet).
Se sei disposto a caricare i tuoi sforzi in anticipo, puoi rendere "più semplice" la connessione al Wi-Fi implementando raggio che utilizza RSA o altra crittografia delle chiavi. Per l'utente, questo è "clicca per connettersi" facile perché tutta l'autenticazione è fatta dietro le quinte.
Se non puoi (o non vuoi farlo), devi dire ai tuoi utenti che dovranno ricordare le loro password. Se gli utenti sono dipendenti, è una loro sfortuna dover mettere "impegno" nel loro lavoro. Se gli utenti sono clienti, allora devi fare un giudizio su quanta sicurezza sono disposti a sopportare per accedere alle risorse di rete e dove è la tua responsabilità. Probabilmente gli utenti non ti permetteranno di configurare RSA, né vorranno digitare d892la0as9jfm10-9svnm come loro password.
In entrambi i casi, RADIUS non fa un proxy e quindi le preoccupazioni MiTM sono infondate.