strongSwanでEAP-MD5を使用することはセキュリティリスクですか？

はい、strongSwan、またはより一般的には IKEv2 のコンテキストでは、EAPメッセージはIKE_AUTH交換で暗号化されて送信されます。中間者攻撃は、最初に標準のIKEv2認証を使用して証明書でサーバーを認証することによって回避されます。 IKEv2 RFC のセキュリティに関する考慮事項は、実際には次のように述べています。

EAPを使用する実装では、EAP認証を開始する前に、クライアントに対するサーバーの公開鍵ベースの認証も使用する必要があります...

これは、相互認証を使用するEAP方式（例：EAP-TLS、ただしEAP-MD5は使用しない）が使用され、クライアントが EAPのみの認証 をサポートしている場合を除きます。

EAP認証がVPNサーバーで終了していないが、たとえば別のRADIUSサーバーでは、これら2つの間の通信は通常暗号化されていないことを考慮する必要があります。そこで情報を漏らさないために、他のEAPメソッド内でEAP-MD5を使用することもできます（例： EAP-TTLS または EAP-PEAP ）は、EAP-MD5メッセージが認証サーバーに転送されるTLSトンネルを提供します。これにより、クライアントはそれを認証することもできます。サーバー。これは、相互認証を提供しないため、EAP-MD5だけでは不可能です。このようなトンネリングEAP方式と単純なユーザー認証を組み合わせることも、WiFiの使用例（例：EAP-PEAP/EAP-MSCHAPv2）では非常に一般的です。