wpa_supplicant/eap_testing.txt

   1 Automatic regression and interoperability testing of wpa_supplicant's
   2 IEEE 802.1X/EAPOL authentication
   3
   4 Test program:
   5 - Linked some parts of IEEE 802.1X Authenticator implementation from
   6   hostapd (RADIUS client and RADIUS processing, EAP<->RADIUS
   7   encapsulation/decapsulation) into wpa_supplicant.
   8 - Replaced wpa_supplicant.c and wpa.c with test code that trigger
   9   IEEE 802.1X authentication automatically without need for wireless
  10   client card or AP.
  11 - For EAP methods that generate keying material, the key derived by the
  12   Supplicant is verified to match with the one received by the (now
  13   integrated) Authenticator.
  14
  15 The full automated test suite can now be run in couple of seconds, but
  16 I'm more than willing to add new RADIUS authentication servers to make
  17 this take a bit more time.. ;-) As an extra bonus, this can also be
  18 seen as automatic regression/interoperability testing for the RADIUS
  19 server, too.
  20
  21 In order for me to be able to use a new authentication server, the
  22 server need to be available from Internet (at least from one static IP
  23 address) and I will need to get suitable user name/password pairs,
  24 certificates, and private keys for testing use. Other alternative
  25 would be to get an evaluation version of the server so that I can
  26 install it on my own test setup. If you are interested in providing
  27 either server access or evaluation version, please contact me
  28 (j@w1.fi).
  29
  30
  31 Test matrix
  32
  33 +) tested successfully
  34 F) failed
  35 -) server did not support
  36 ?) not tested
  37
  38 Cisco ACS ----------------------------------------------------------.
  39 hostapd --------------------------------------------------------.   |
  40 Cisco Aironet 1200 AP (local RADIUS server) ----------------.   |   |
  41 Periodik Labs Elektron ---------------------------------.   |   |   |
  42 Lucent NavisRadius ---------------------------------.   |   |   |   |
  43 Interlink RAD-Series ---------------------------.   |   |   |   |   |
  44 Radiator -----------------------------------.   |   |   |   |   |   |
  45 Meetinghouse Aegis ---------------------.   |   |   |   |   |   |   |
  46 Funk Steel-Belted ------------------.   |   |   |   |   |   |   |   |
  47 Funk Odyssey -------------------.   |   |   |   |   |   |   |   |   |
  48 Microsoft IAS --------------.   |   |   |   |   |   |   |   |   |   |
  49 FreeRADIUS -------------.   |   |   |   |   |   |   |   |   |   |   |
  50                         |   |   |   |   |   |   |   |   |   |   |   |
  51
  52 EAP-MD5                 +   -   -   +   +   +   +   +   -   -   +   +
  53 EAP-GTC                 +   -   -   ?   +   +   +   +   -   -   +   -
  54 EAP-OTP                 -   -   -   -   -   +   -   -   -   -   -   -
  55 EAP-MSCHAPv2            +   -   -   +   +   +   +   +   -   -   +   -
  56 EAP-TLS                 +   +   +   +   +   +   +   +   -   -   +   +
  57 EAP-PEAPv0/MSCHAPv2     +   +   +   +   +   +   +   +   +   -   +   +
  58 EAP-PEAPv0/GTC          +   -   +   -   +   +   +   +   -   -   +   +
  59 EAP-PEAPv0/OTP          -   -   -   -   -   +   -   -   -   -   -   -
  60 EAP-PEAPv0/MD5          +   -   -   +   +   +   +   +   -   -   +   -
  61 EAP-PEAPv0/TLS          +   +   -   +   +   +   F   +   -   -   +   -
  62 EAP-PEAPv0/SIM          -   -   -   -   -   -   -   -   -   -   +   -
  63 EAP-PEAPv0/AKA          -   -   -   -   -   -   -   -   -   -   +   -
  64 EAP-PEAPv0/PSK          -   -   -   -   -   -   -   -   -   -   +   -
  65 EAP-PEAPv0/PAX          -   -   -   -   -   -   -   -   -   -   +   -
  66 EAP-PEAPv0/SAKE         -   -   -   -   -   -   -   -   -   -   +   -
  67 EAP-PEAPv0/GPSK         -   -   -   -   -   -   -   -   -   -   +   -
  68 EAP-PEAPv1/MSCHAPv2     -   -   +   +   +   +1  +   +5  +8  -   +   +
  69 EAP-PEAPv1/GTC          -   -   +   +   +   +1  +   +5  +8  -   +   +
  70 EAP-PEAPv1/OTP          -   -   -   -   -   +1  -   -   -   -   -   -
  71 EAP-PEAPv1/MD5          -   -   -   +   +   +1  +   +5  -   -   +   -
  72 EAP-PEAPv1/TLS          -   -   -   +   +   +1  F   +5  -   -   +   -
  73 EAP-PEAPv1/SIM          -   -   -   -   -   -   -   -   -   -   +   -
  74 EAP-PEAPv1/AKA          -   -   -   -   -   -   -   -   -   -   +   -
  75 EAP-PEAPv1/PSK          -   -   -   -   -   -   -   -   -   -   +   -
  76 EAP-PEAPv1/PAX          -   -   -   -   -   -   -   -   -   -   +   -
  77 EAP-PEAPv1/SAKE         -   -   -   -   -   -   -   -   -   -   +   -
  78 EAP-PEAPv1/GPSK         -   -   -   -   -   -   -   -   -   -   +   -
  79 EAP-TTLS/CHAP           +   -   +2  +   +   +   +   +   +   -   +   -
  80 EAP-TTLS/MSCHAP         +   -   +   +   +   +   +   +   +   -   +   -
  81 EAP-TTLS/MSCHAPv2       +   -   +   +   +   +   +   +   +   -   +   -
  82 EAP-TTLS/PAP            +   -   +   +   +   +   +   +   +   -   +   -
  83 EAP-TTLS/EAP-MD5        +   -   +2  +   +   +   +   +   +   -   +   -
  84 EAP-TTLS/EAP-GTC        +   -   +2  ?   +   +   +   +   -   -   +   -
  85 EAP-TTLS/EAP-OTP        -   -   -   -   -   +   -   -   -   -   -   -
  86 EAP-TTLS/EAP-MSCHAPv2   +   -   +2  +   +   +   +   +   +   -   +   -
  87 EAP-TTLS/EAP-TLS        +   -   +2  +   F   +   +   +   -   -   +   -
  88 EAP-TTLS/EAP-SIM        -   -   -   -   -   -   -   -   -   -   +   -
  89 EAP-TTLS/EAP-AKA        -   -   -   -   -   -   -   -   -   -   +   -
  90 EAP-TTLS/EAP-PSK        -   -   -   -   -   -   -   -   -   -   +   -
  91 EAP-TTLS/EAP-PAX        -   -   -   -   -   -   -   -   -   -   +   -
  92 EAP-TTLS/EAP-SAKE       -   -   -   -   -   -   -   -   -   -   +   -
  93 EAP-TTLS/EAP-GPSK       -   -   -   -   -   -   -   -   -   -   +   -
  94 EAP-SIM                 +   -   -   ?   -   +   -   ?   -   -   +   -
  95 EAP-AKA                 -   -   -   -   -   +   -   -   -   -   +   -
  96 EAP-PSK                 +7  -   -   -   -   +   -   -   -   -   +   -
  97 EAP-PAX                 -   -   -   -   -   +   -   -   -   -   +   -
  98 EAP-SAKE                -   -   -   -   -   -   -   -   -   -   +   -
  99 EAP-GPSK                -   -   -   -   -   -   -   -   -   -   +   -
 100 EAP-FAST/MSCHAPv2(prov) -   -   -   +   -   -   -   -   -   +   +   +
 101 EAP-FAST/GTC(auth)      -   -   -   +   -   -   -   -   -   +   +   +
 102 EAP-FAST/MSCHAPv2(aprov)-   -   -   -   -   -   -   -   -   -   +   +
 103 EAP-FAST/GTC(aprov)     -   -   -   -   -   -   -   -   -   -   +   +
 104 EAP-FAST/MD5(aprov)     -   -   -   -   -   -   -   -   -   -   +   -
 105 EAP-FAST/TLS(aprov)     -   -   -   -   -   -   -   -   -   -   +   +
 106 EAP-FAST/SIM(aprov)     -   -   -   -   -   -   -   -   -   -   +   -
 107 EAP-FAST/AKA(aprov)     -   -   -   -   -   -   -   -   -   -   +   -
 108 EAP-FAST/MSCHAPv2(auth) -   -   -   -   -   -   -   -   -   -   +   +
 109 EAP-FAST/MD5(auth)      -   -   -   -   -   -   -   -   -   -   +   -
 110 EAP-FAST/TLS(auth)      -   -   -   -   -   -   -   -   -   -   +   +
 111 EAP-FAST/SIM(auth)      -   -   -   -   -   -   -   -   -   -   +   -
 112 EAP-FAST/AKA(auth)      -   -   -   -   -   -   -   -   -   -   +   -
 113 LEAP                    +   -   +   +   +   +   F   +6  -   +   -   +
 114 EAP-TNC                 +9  -   -   -   -   +   -   -   -   -   -   -
 115 EAP-IKEv2               +10 -   -   -   -   -   -   -   -   -   +   -
 116
 117 1) PEAPv1 required new label, "client PEAP encryption" instead of "client EAP
 118    encryption", during key derivation (requires phase1="peaplabel=1" in the
 119    network configuration in wpa_supplicant.conf)
 120 2) used FreeRADIUS as inner auth server
 121 5) PEAPv1 required termination of negotiation on tunneled EAP-Success and new
 122    label in key deriviation
 123    (phase1="peap_outer_success=0 peaplabel=1") (in "IETF Draft 5" mode)
 124 6) Authenticator simulator required patching for handling Access-Accept within
 125    negotiation (for the first EAP-Success of LEAP)
 126 7) tested only with an older (incompatible) draft of EAP-PSK; FreeRADIUS does
 127    not support the current EAP-PSK (RFC) specification
 128 8) PEAPv1 used non-standard version negotiation (client had to force v1 even
 129    though server reported v0 as the highest supported version)
 130 9) only EAP-TTLS/EAP-TNC tested, i.e., test did not include proper sequence of
 131    client authentication followed by TNC inside the tunnel
 132 10) worked only with special compatibility code to match the IKEv2 server
 133     implementation
 134
 135
 136 Automated tests:
 137
 138 FreeRADIUS (2.0-beta/CVS snapshot)
 139 - EAP-MD5-Challenge
 140 - EAP-GTC
 141 - EAP-MSCHAPv2
 142 - EAP-TLS
 143 - EAP-PEAPv0 / MSCHAPv2
 144 - EAP-PEAPv0 / GTC
 145 - EAP-PEAPv0 / MD5-Challenge
 146 - EAP-PEAPv0 / TLS
 147 - EAP-TTLS / EAP-MD5-Challenge
 148 - EAP-TTLS / EAP-GTC
 149 - EAP-TTLS / EAP-MSCHAPv2
 150 - EAP-TTLS / EAP-TLS
 151 - EAP-TTLS / CHAP
 152 - EAP-TTLS / PAP
 153 - EAP-TTLS / MSCHAP
 154 - EAP-TTLS / MSCHAPv2
 155 - EAP-TTLS / EAP-TNC (partial support; no authentication sequence)
 156 - EAP-SIM
 157 - LEAP
 158
 159 Microsoft Windows Server 2003 / IAS
 160 - EAP-TLS
 161 - EAP-PEAPv0 / MSCHAPv2
 162 - EAP-PEAPv0 / TLS
 163 - EAP-MD5
 164 * IAS does not seem to support other EAP methods
 165
 166 Funk Odyssey 2.01.00.653
 167 - EAP-TLS
 168 - EAP-PEAPv0 / MSCHAPv2
 169 - EAP-PEAPv0 / GTC
 170 - EAP-PEAPv1 / MSCHAPv2
 171 - EAP-PEAPv1 / GTC
 172   Note: PEAPv1 requires TLS key derivation to use label "client EAP encryption"
 173 - EAP-TTLS / CHAP (using FreeRADIUS as inner auth srv)
 174 - EAP-TTLS / MSCHAP
 175 - EAP-TTLS / MSCHAPv2
 176 - EAP-TTLS / PAP
 177 - EAP-TTLS / EAP-MD5-Challenge (using FreeRADIUS as inner auth srv)
 178 - EAP-TTLS / EAP-GTC (using FreeRADIUS as inner auth srv)
 179 - EAP-TTLS / EAP-MSCHAPv2 (using FreeRADIUS as inner auth srv)
 180 - EAP-TTLS / EAP-TLS (using FreeRADIUS as inner auth srv)
 181 * not supported in Odyssey:
 182   - EAP-MD5-Challenge
 183   - EAP-GTC
 184   - EAP-MSCHAPv2
 185   - EAP-PEAP / MD5-Challenge
 186   - EAP-PEAP / TLS
 187
 188 Funk Steel-Belted Radius Enterprise Edition v4.71.739
 189 - EAP-MD5-Challenge
 190 - EAP-MSCHAPv2
 191 - EAP-TLS
 192 - EAP-PEAPv0 / MSCHAPv2
 193 - EAP-PEAPv0 / MD5
 194 - EAP-PEAPv0 / TLS
 195 - EAP-PEAPv1 / MSCHAPv2
 196 - EAP-PEAPv1 / MD5
 197 - EAP-PEAPv1 / GTC
 198 - EAP-PEAPv1 / TLS
 199   Note: PEAPv1 requires TLS key derivation to use label "client EAP encryption"
 200 - EAP-TTLS / CHAP
 201 - EAP-TTLS / MSCHAP
 202 - EAP-TTLS / MSCHAPv2
 203 - EAP-TTLS / PAP
 204 - EAP-TTLS / EAP-MD5-Challenge
 205 - EAP-TTLS / EAP-MSCHAPv2
 206 - EAP-TTLS / EAP-TLS
 207
 208 Meetinghouse Aegis 1.1.4
 209 - EAP-MD5-Challenge
 210 - EAP-GTC
 211 - EAP-MSCHAPv2
 212 - EAP-TLS
 213 - EAP-PEAPv0 / MSCHAPv2
 214 - EAP-PEAPv0 / TLS
 215 - EAP-PEAPv0 / GTC
 216 - EAP-PEAPv0 / MD5-Challenge
 217 - EAP-PEAPv1 / MSCHAPv2
 218 - EAP-PEAPv1 / TLS
 219 - EAP-PEAPv1 / GTC
 220 - EAP-PEAPv1 / MD5-Challenge
 221   Note: PEAPv1 requires TLS key derivation to use label "client EAP encryption"
 222 - EAP-TTLS / CHAP
 223 - EAP-TTLS / MSCHAP
 224 - EAP-TTLS / MSCHAPv2
 225 - EAP-TTLS / PAP
 226 - EAP-TTLS / EAP-MD5-Challenge
 227 - EAP-TTLS / EAP-GTC
 228 - EAP-TTLS / EAP-MSCHAPv2
 229 * did not work
 230   - EAP-TTLS / EAP-TLS
 231     (Server rejects authentication without any reason in debug log. It
 232      looks like the inner TLS negotiation starts properly and the last
 233      packet from Supplicant looks like the one sent in the Phase 1. The
 234      server generates a valid looking reply in the same way as in Phase
 235      1, but then ends up sending Access-Reject. Maybe an issue with TTLS
 236      fragmentation in the Aegis server(?) The packet seems to include
 237      1328 bytes of EAP-Message and this may go beyond the fragmentation
 238      limit with AVP encapsulation and TLS tunneling. Note: EAP-PEAP/TLS
 239      did work, so this issue seems to be with something TTLS specific.)
 240
 241 Radiator 3.17.1 (eval, with all patches up to and including 2007-05-25)
 242 - EAP-MD5-Challenge
 243 - EAP-GTC
 244 - EAP-OTP
 245 - EAP-MSCHAPv2
 246 - EAP-TLS
 247 - EAP-PEAPv0 / MSCHAPv2
 248 - EAP-PEAPv0 / GTC
 249 - EAP-PEAPv0 / OTP
 250 - EAP-PEAPv0 / MD5-Challenge
 251 - EAP-PEAPv0 / TLS
 252   Note: Needed to use unknown identity in outer auth and some times the server
 253         seems to get confused and fails to send proper Phase 2 data.
 254 - EAP-PEAPv1 / MSCHAPv2
 255 - EAP-PEAPv1 / GTC
 256 - EAP-PEAPv1 / OTP
 257 - EAP-PEAPv1 / MD5-Challenge
 258 - EAP-PEAPv1 / TLS
 259   Note: This has some additional requirements for EAPTLS_MaxFragmentSize.
 260         Using 1300 for outer auth and 500 for inner auth seemed to work.
 261   Note: Needed to use unknown identity in outer auth and some times the server
 262         seems to get confused and fails to send proper Phase 2 data.
 263 - EAP-TTLS / CHAP
 264 - EAP-TTLS / MSCHAP
 265 - EAP-TTLS / MSCHAPv2
 266 - EAP-TTLS / PAP
 267 - EAP-TTLS / EAP-MD5-Challenge
 268 - EAP-TTLS / EAP-GTC
 269 - EAP-TTLS / EAP-OTP
 270 - EAP-TTLS / EAP-MSCHAPv2
 271 - EAP-TTLS / EAP-TLS
 272   Note: This has some additional requirements for EAPTLS_MaxFragmentSize.
 273         Using 1300 for outer auth and 500 for inner auth seemed to work.
 274 - EAP-SIM
 275 - EAP-AKA
 276 - EAP-PSK
 277 - EAP-PAX
 278 - EAP-TNC
 279
 280 Interlink Networks RAD-Series 6.1.2.7
 281 - EAP-MD5-Challenge
 282 - EAP-GTC
 283 - EAP-MSCHAPv2
 284 - EAP-TLS
 285 - EAP-PEAPv0 / MSCHAPv2
 286 - EAP-PEAPv0 / GTC
 287 - EAP-PEAPv0 / MD5-Challenge
 288 - EAP-PEAPv1 / MSCHAPv2
 289 - EAP-PEAPv1 / GTC
 290 - EAP-PEAPv1 / MD5-Challenge
 291   Note: PEAPv1 requires TLS key derivation to use label "client EAP encryption"
 292 - EAP-TTLS / CHAP
 293 - EAP-TTLS / MSCHAP
 294 - EAP-TTLS / MSCHAPv2
 295 - EAP-TTLS / PAP
 296 - EAP-TTLS / EAP-MD5-Challenge
 297 - EAP-TTLS / EAP-GTC
 298 - EAP-TTLS / EAP-MSCHAPv2
 299 - EAP-TTLS / EAP-TLS
 300 * did not work
 301   - EAP-PEAPv0 / TLS
 302   - EAP-PEAPv1 / TLS
 303     (Failed to decrypt Phase 2 data)
 304
 305 Lucent NavisRadius 4.4.0
 306 - EAP-MD5-Challenge
 307 - EAP-GTC
 308 - EAP-MSCHAPv2
 309 - EAP-TLS
 310 - EAP-PEAPv0 / MD5-Challenge
 311 - EAP-PEAPv0 / MSCHAPv2
 312 - EAP-PEAPv0 / GTC
 313 - EAP-PEAPv0 / TLS
 314 - EAP-PEAPv1 / MD5-Challenge
 315 - EAP-PEAPv1 / MSCHAPv2
 316 - EAP-PEAPv1 / GTC
 317 - EAP-PEAPv1 / TLS
 318   "IETF Draft 5" mode requires phase1="peap_outer_success=0 peaplabel=1"
 319   'Cisco ACU 5.05' mode works without phase1 configuration
 320 - EAP-TTLS / CHAP
 321 - EAP-TTLS / MSCHAP
 322 - EAP-TTLS / MSCHAPv2
 323 - EAP-TTLS / PAP
 324 - EAP-TTLS / EAP-MD5-Challenge
 325 - EAP-TTLS / EAP-MSCHAPv2
 326 - EAP-TTLS / EAP-GTC
 327 - EAP-TTLS / EAP-TLS
 328
 329 Note: user certificate from NavisRadius had private key in a format
 330 that wpa_supplicant could not use. Converting this to PKCS#12 and then
 331 back to PEM allowed wpa_supplicant to use the key.
 332
 333
 334 hostapd v0.3.3
 335 - EAP-MD5-Challenge
 336 - EAP-GTC
 337 - EAP-MSCHAPv2
 338 - EAP-TLS
 339 - EAP-PEAPv0 / MSCHAPv2
 340 - EAP-PEAPv0 / GTC
 341 - EAP-PEAPv0 / MD5-Challenge
 342 - EAP-PEAPv1 / MSCHAPv2
 343 - EAP-PEAPv1 / GTC
 344 - EAP-PEAPv1 / MD5-Challenge
 345 - EAP-TTLS / CHAP
 346 - EAP-TTLS / MSCHAP
 347 - EAP-TTLS / MSCHAPv2
 348 - EAP-TTLS / PAP
 349 - EAP-TTLS / EAP-MD5-Challenge
 350 - EAP-TTLS / EAP-GTC
 351 - EAP-TTLS / EAP-MSCHAPv2
 352 - EAP-SIM
 353 - EAP-PAX
 354
 355 Cisco Secure ACS 3.3(1) for Windows Server
 356 - PEAPv1/GTC worked, but PEAPv0/GTC failed in the end after password was
 357   sent successfully; ACS is replying with empty PEAP packet (TLS ACK);
 358   wpa_supplicant tries to decrypt this.. Replying with TLS ACK and and
 359   marking the connection completed was enough to make this work.
 360
 361
 362 PEAPv1:
 363
 364 Funk Odyssey 2.01.00.653:
 365 - uses tunneled EAP-Success, expects reply in tunnel or TLS ACK, sends MPPE
 366   keys with outer EAP-Success message after this
 367 - uses label "client EAP encryption"
 368 - (peap_outer_success 1 and 2 work)
 369
 370 Funk Steel-Belted Radius Enterprise Edition v4.71.739
 371 - uses tunneled EAP-Success, expects reply in tunnel or TLS ACK, sends MPPE
 372   keys with outer EAP-Success message after this
 373 - uses label "client EAP encryption"
 374 - (peap_outer_success 1 and 2 work)
 375
 376 Radiator 3.9:
 377 - uses TLV Success and Reply, sends MPPE keys with outer EAP-Success message
 378   after this
 379 - uses label "client PEAP encryption"
 380
 381 Lucent NavisRadius 4.4.0 (in "IETF Draft 5" mode):
 382 - sends tunneled EAP-Success with MPPE keys and expects the authentication to
 383   terminate at this point (gets somewhat confused with reply to this)
 384 - uses label "client PEAP encryption"
 385 - phase1="peap_outer_success=0 peaplabel=1"
 386
 387 Lucent NavisRadius 4.4.0 (in "Cisco ACU 5.05" mode):
 388 - sends tunneled EAP-Success with MPPE keys and expects to receive TLS ACK
 389   as a reply
 390 - uses label "client EAP encryption"
 391
 392 Meetinghouse Aegis 1.1.4
 393 - uses tunneled EAP-Success, expects reply in tunnel or TLS ACK, sends MPPE
 394   keys with outer EAP-Success message after this
 395 - uses label "client EAP encryption"
 396 - peap_outer_success 1 and 2 work