A autenticação 802.1X (e a subsequente geração de chaves WPA) envolve três entidades: um suplicante (o cliente), um autenticador (o ponto de acesso) e um servidor de autenticação.
Como Zoredache disse, a comunicação entre o cliente e o servidor de autenticação é protegida por criptografia de chave pública (pelo menos se você usa EAP-TTLS ou EAP-PEAP). Não é possível posar como o servidor de autenticação original.
No entanto, não há autenticação direta do AP (o autenticador, na linguagem 802.1X) para o cliente (o suplicante), ou o inverso. O autenticador está apenas retransmitindo mensagens entre o suplicante e o servidor de autenticação; toda a sofisticada criptografia de chave pública e autenticação mútua fornecida por alguns métodos EAP é transparente para o autenticador e, portanto, teoricamente poderia ser interceptada e reproduzida por um ponto de acesso invasor (MITM).
Com o 802.1X básico, não há realmente nenhuma proteção contra autenticadores desonestos - mas o 802.1X, quando usado para "criptografia empresarial WPA" (EAP), fornece segurança adicional:
A chave de criptografia WPA (que, entre outras coisas, habilita a autenticação mútua entre cliente e AP - que é o que você deseja proteger contra APs invasores!) porque a conexão não é gerada pelo ponto de acesso, mas pelo servidor de autenticação e é retransmitido para o cliente através do canal EAP interno protegido. É claro que, para o ponto de acesso (= autenticador) se comunicar com o cliente, ele precisa conhecer a chave também, mas obtém a chave do servidor de autenticação, e não do cliente.
Em uma configuração normal, o servidor não aceitará solicitações de autenticação de terceiros; normalmente comunica-se apenas com um conjunto limitado de autenticadores, e a comunicação é geralmente criptografada (por um segredo RADIUS emparelhado). Assim, para um MITM imitar com êxito um ponto de acesso adequado, o invasor teria que imitar a função de um ponto de acesso válido no servidor de autenticação.
Para encurtar a história, a proteção contra APs invasores é tão boa quanto a autenticação e a criptografia entre os autenticadores (por exemplo, os APs) e o servidor de autenticação.
Se você criasse um AP não autorizado, poderia conseguir transmitir a autenticação 802.1X; no entanto, você não conseguirá ler nenhum tráfego de clientes, pois isso seria criptografado com uma chave WPA desconhecida para você. Da mesma forma, qualquer coisa enviada ao cliente pelo seu AP não autorizado seria rejeitada pelo cliente, pois a chave WPA também é usada para autenticação de mensagens.