Cisco Cisco AnyConnect Secure Mobility Client v3.x Leaflet

비밀번호 쌍은 피어에 의해 인증자에게 반복적으로 전달됩니다. 상호 인증이 필요한 경우에는
1단계에서 서버 인증서를 확인하도록 EAP-TTLS를 구성해야 합니다.

비밀번호가 인증자에게 전달되었으므로 해시된 비밀번호를 사용하여 데이터베이스에 대한 인
증 시 해당 프로토콜을 사용할 수 있습니다. 데이터베이스 누출의 가능성이 있는 경우 이 방법
을 사용하는 것이 좋습니다.

토큰 및 OTP 기반 인증을 위해 EAP-TTLS PAP를 사용할 수 있습니다.

참고

• CHAP(Challenge Handshake Authentication Protocol, 챌린지 핸드셰이크 인증 프로토콜) - 해당 피

어의 ID를 검증하기 위해 3방향 핸드셰이크를 사용합니다. 상호 인증이 필요한 경우 1단계에서
서버 인증서를 확인하도록 EAP-TTLS를 구성해야 합니다. 이 시도 응답 방법을 사용하여 인증
자의 데이터베이스에 암호화되지 않은 텍스트 비밀번호를 저장해야 합니다.

• MS-CHAP(Microsoft CHAP) - 해당 피어의 ID를 검증하기 위해 3방향 핸드셰이크를 사용합니다.

상호 인증이 필요한 경우 1단계에서 서버 인증서를 확인하도록 EAP-TTLS를 구성해야 합니다.
비밀번호의 NT 해시를 기반으로 이러한 시도 응답 방법을 사용하려면 인증자 데이터베이스에
암호화되지 않은 텍스트 비밀번호 또는 최소한 비밀번호의 NT 해시를 저장해야 합니다.

• MS-CHAPv2 - 응답 패킷의 피어 시도와 성공 패킷의 인증자 응답을 포함하여 피어 간의 상호 인

증을 제공합니다. 클라이언트는 서버보다 먼저 인증됩니다. 사전 공격(Dictionary Attack)을 막기
위해 클라이언트보다 먼저 서버를 인증해야 하는 경우 1단계에서 서버의 인증서를 확인하도록
EAP-TTLS를 구성해야 합니다. 비밀번호의 NT 해시를 기반으로 이러한 시도 응답 방법을 사용
하려면 인증자 데이터베이스에 암호화되지 않은 텍스트 비밀번호 또는 최소한 비밀번호의 NT
해시를 저장해야 합니다.

EAP-TTLS 구성

• EAP — 다음 EAP 방법 중 하나를 사용할 수 있습니다.

◦ EAP-MD5(EAP Message Digest 5) — 피어의 ID를 확인하기 위해 3방향 핸드셰이크를 사용

합니다(CHAP와 유사). 이 시도 응답 방법을 사용하는 경우 인증자의 데이터베이스에서 암
호화되지 않은 텍스트 비밀번호를 저장해야 합니다.

◦ EAP-MSCHAPv2 — 피어의 ID를 확인하기 위해 3방향 핸드셰이크를 사용합니다. 클라이

언트는 서버보다 먼저 인증됩니다. 사전 공격(Dictionary Attack) 방지 등을 위해 서버를 클
라이언트보다 먼저 인증해야 하는 경우, 1단계에서 서버 인증서를 확인하도록 EAP-TTLS
를 구성해야 합니다. 비밀번호의 NT 해시에서 이 시도 응답 방법을 사용하는 경우 사용자
는 암호화되지 않은 텍스트 비밀번호 또는 최소한 비밀번호의 NT 해시 중 하나를 인증자
의 데이터베이스에 저장해야 합니다.

• EAP-TTLS 설정

◦ 서버 ID 확인 — 서버 인증서 검증을 활성화합니다.

Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.1

172

Network Access Manager 구성

네트워크, 사용자 또는 머신 인증 페이지