Cisco Cisco AnyConnect Secure Mobility Client v4.x Leaflet
VPN 인증 관리
중요한 보안 고려사항
• 사용자가 실수로 Rogue 서버의 인증서를 신뢰하도록 브라우저를 구성할 가능성이 있고 보안 게
이트웨이에 연결할 때 사용자가 보안 경고에 응답해야 하는 불편함이 발생할 수 있으므로 보안
게이트웨이에서 자체 서명된 인증서를 사용하지 않는 것이 좋습니다.
게이트웨이에서 자체 서명된 인증서를 사용하지 않는 것이 좋습니다.
• 다음과 같은 이유로 인해 AnyConnect 클라이언트에 대해 엄격한 인증서 신뢰를 활성화하는 것
이 좋습니다.
• 대상이 있는 악용이 증가함에 따라 로컬 정책에서 엄격한 인증서 신뢰를 활성화하면 사용
자가 공용 액세스 네트워크와 같이 신뢰할 수 없는 네트워크에서 연결 중인 경우 "중간자"
공격을 방지하는 데 도움이 됩니다.
공격을 방지하는 데 도움이 됩니다.
• 완전히 확인 가능하고 신뢰할 수 있는 인증서를 사용하는 경우에도 AnyConnect 클라이언
트는 기본적으로 엔드 유저가 확인 불가능한 인증서를 수락하는 것을 허용합니다. 엔드 유
저가 중간자 공격의 영향을 받는 경우, 악의적인 인증서를 수락하라는 프롬프트가 표시될
수 있습니다. 엔드 유저에서 이 결정사항을 제거하려면 엄격한 인증서 신뢰를 활성화합니
다.
저가 중간자 공격의 영향을 받는 경우, 악의적인 인증서를 수락하라는 프롬프트가 표시될
수 있습니다. 엔드 유저에서 이 결정사항을 제거하려면 엄격한 인증서 신뢰를 활성화합니
다.
Strict Certificate Trust(엄격한 인증서 신뢰) 를 구성하려면
에서 로컬 정책 매개변수 및 값을 참조하십시오.
서버 인증서 처리 구성
서버 인증서 확인
• AnyConnect 클라이언트는 CRL(Certificate Revocation List: 인증서 해지 목록)을 사용하는 인증
서 확인을 지원하지 않습니다.
여러 사이트에서는 기업 네트워크 내부에 서버 인증서를 확인하는 데 사용하는 인증 기관을 둡
니다. 이는 공용 네트워크에서 CRL에 액세스할 수 없으므로 헤드엔드에 연결하려고 시도할 때
클라이언트가 CRL을 확인할 수 없음을 의미합니다. Windows 및 Mac OS X에서 CRL을 확인하
도록 클라이언트 운영 체제를 구성할 수 있지만 해당 설정을 무시합니다.
니다. 이는 공용 네트워크에서 CRL에 액세스할 수 없으므로 헤드엔드에 연결하려고 시도할 때
클라이언트가 CRL을 확인할 수 없음을 의미합니다. Windows 및 Mac OS X에서 CRL을 확인하
도록 클라이언트 운영 체제를 구성할 수 있지만 해당 설정을 무시합니다.
• 사용자가 서버 인증서를 사용하여 구성된 ASA에 연결한 경우, 신뢰 체인(루트, 중개 장치 등)에
문제가 있는 경우에도 해당 인증서를 신뢰하고 가져오기 위한 확인란이 계속 표시됩니다. 다른
인증서 문제가 있는 경우 확인란이 표시되지 않습니다.
인증서 문제가 있는 경우 확인란이 표시되지 않습니다.
• FQDN을 통해 수행 중인 SSL 연결은 FQDN을 사용하는 초기 확인이 실패할 경우, 이름 확인을
위해 FQDN에서 확인한 IP 주소로 2차 서버 인증서 확인을 수행하지 않습니다.
• IPsec 및 SSL 연결은 서버 인증서에 키 사용이 포함된 경우, 특성에 DigitalSignature 및
KeyAgreement 또는 KeyEncipherment를 포함해야 합니다. 서버 인증서에 EKU가 포함된 경우, 특
Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.0
124
VPN 액세스 구성
VPN 인증 관리