Cisco Cisco AnyConnect Secure Mobility Client v4.x Leaflet

EAP-FAST 설정

EAP-FAST는 유연하고 간편한 배포와 관리를 제공하는 IEEE 802.1X 인증 유형으로 다양한 사용자
및 비밀번호 데이터베이스 유형, 서버에서 시작하는 비밀번호 만료와 변경 및 디지털 인증서(선택 사
항)를 지원합니다.

EAP-FAST는 인증서를 사용하지 않고 사전 공격(Dictionary Attack)으로부터 보호를 제공하는 IEEE

802.1X EAP 유형을 배포하려는 고객을 위해 개발되었습니다.

AnyConnect 3.1부터는 컴퓨터 및 사용자 연결을 구성할 때 EAP 체이닝이 지원됩니다. 즉 Network

Access Manager에서 컴퓨터와 사용자가 알려진 엔터티이며 기업에서 관리하고 있는지 확인함을 의
미하므로 기업 네트워크에 연결된 사용자 소유의 자산을 관리하는 데 유용합니다. EAP 체이닝에 대
한 자세한 내용은 RFC 3748을 참조하십시오.

EAP-FAST는 TLS 메시지를 EAP 내에서 캡슐화하며 다음과 같이 3가지 프로토콜 단계로 구성되어
있습니다.

프로비저닝 단계에서는 ADHP(Authenticated Diffie-Hellman Protocol)를 사용하여 PAC(Protected
Access Credential)라는 공유 보안 자격 증명을 통해 클라이언트를 프로비저닝합니다.

터널 설정 단계에서는 터널을 설정하기 위해 PAC를 사용합니다.

인증 단계에서는 인증 서버가 사용자의 자격 증명(토큰, 사용자 이름/비밀번호 또는 디지털 인증
서)을 인증합니다.

다른 터널링 EAP 방법과 달리 EAP-FAST는 내부 및 외부 방법 간에 암호화 바인딩을 제공하여 공격
자가 유효한 사용자 연결을 가로채는 중간자 공격(Man-in-the-Middle Attack)의 특수 클래스를 방지합
니다.

EAP-FAST 구성

• EAP-FAST 설정

◦ 서버 ID 확인 — 서버 인증서 검증을 활성화합니다. 이 옵션을 활성화하면 관리 유틸리티

에 2개의 추가 대화 상자가 생성되고 Network Access Manager 프로파일 편집기 작업 목록
에 추가 인증서 창이 추가됩니다.

이 옵션을 활성화한 경우 RADIUS 서버에 설치된 서버 인증서에 서버 인증의
EKU(Extended Key Usage: 확장 키 사용)가 포함되었는지 확인하십시오. RADIUS
서버가 인증 중에 구성한 인증서를 클라이언트에 전송하는 경우, 인증서에는 네
트워크 액세스 및 인증을 위한 이 서버 인증 설정이 포함되어야 합니다.

참고

◦ 빠른 재연결 활성화 — 세션 재개를 활성화합니다. EAP-FAST에서 인증 세션을 재개하는

2가지의 메커니즘은 내부 인증 및 TLS 세션 재개를 대체하는 사용자 권한 부여 PAC와 단
축된 외부 TLS 핸드셰이크에 허용되는 TLS 세션 재개입니다. 빠른 재연결 활성화 매개변
수는 두 가지 메커니즘을 모두 활성화 또는 비활성화합니다. 인증자가 사용할 메커니즘을
선택합니다.

Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.0    

Network Access Manager 구성

네트워크, 사용자 또는 시스템 인증 페이지