Cisco Cisco AnyConnect Secure Mobility Client v2.x Administrator's Guide
网络访问管理器不支持在 EAP-TTLS 身份验证期间使用的内部和外部方法加密绑定。 如果需要加密
绑定,则必须使用 EAP-FAST。 加密绑定可防御特殊类别的中间人攻击,在这类攻击中,攻击者无
需知道凭证就可以劫持用户的连接。
绑定,则必须使用 EAP-FAST。 加密绑定可防御特殊类别的中间人攻击,在这类攻击中,攻击者无
需知道凭证就可以劫持用户的连接。
可以在第 2 阶段使用的身份验证机制包括以下协议:
• PAP(密码验证协议)- 使用双向握手为对等项提供证明其身份的简单方法。 对等项向身份验
证器重复发送ID/密码对,直至身份验证确认或失败。如果需要相互身份验证,必须将EAP-TTLS
配置为在第 1 阶段验证服务器证书。
配置为在第 1 阶段验证服务器证书。
由于密码传递到身份验证器,您可以使用此协议对照包含哈希值密码的数据库进行身份验证。
如果存在数据库泄露的可能,建议使用此方法。
如果存在数据库泄露的可能,建议使用此方法。
可以使用 EAP-TTLS PAP 进行基于令牌和基于 OTP 的身份验证。
注释
• CHAP(质询握手身份验证协议)- 使用三次握手验证对等项的身份。 如果需要相互身份验证,
应将 EAP-TTLS 配置为在第 1 阶段验证服务器证书。 使用此质询响应方法,需要在身份验证器
的数据库中存储明文密码。
的数据库中存储明文密码。
• MS-CHAP (Microsoft CHAP) - 使用三次握手验证对等项的身份。 如果需要相互身份验证,应将
EAP-TTLS 配置为在第 1 阶段验证服务器证书。 使用这个基于密码的 NT 哈希值的质询响应方
法,需要在身份验证器的数据库中存储明文密码或至少存储密码的 NT 哈希值。
法,需要在身份验证器的数据库中存储明文密码或至少存储密码的 NT 哈希值。
• MS-CHAPv2 - 通过在响应数据包中包含对等项质询以及在成功数据包中包含身份验证器响应来
提供对等项之间的相互身份验证。 先对客户端、再对服务器进行身份验证。 如果服务器需要
先于客户端进行身份验证(以防御字典攻击),应该将 EAP-TTLS 配置为在第 1 阶段验证服务
器证书。 使用这个基于密码的 NT 哈希值的质询响应方法,需要在身份验证器的数据库中存储
明文密码或至少存储密码的 NT 哈希值。
先于客户端进行身份验证(以防御字典攻击),应该将 EAP-TTLS 配置为在第 1 阶段验证服务
器证书。 使用这个基于密码的 NT 哈希值的质询响应方法,需要在身份验证器的数据库中存储
明文密码或至少存储密码的 NT 哈希值。
配置 EAP-TTLS
• EAP - 允许使用以下 EAP 方法之一:
EAP-MD5 (EAP Message Digest 5) - 使用三向握手来验证对等体的身份(类似于 CHAP)。
使用这种质询-响应方法,需要在验证方的数据库中存储明文密码。
使用这种质询-响应方法,需要在验证方的数据库中存储明文密码。
EAP-MSCHAPv2 - 使用三次握手验证对等体的身份。 先对客户端、再对服务器进行身份
验证。 如果对服务器的身份验证需要先于客户端(例如为防止字典攻击),则应配置
验证。 如果对服务器的身份验证需要先于客户端(例如为防止字典攻击),则应配置
EAP-TTLS 以在第 1 阶段验证服务器的证书。 对 NT 哈希值形式的密码使用这种质询-响
应方法时,需要在验证方的数据库中存储明文密码或至少 NT 哈希值形式的密码。
应方法时,需要在验证方的数据库中存储明文密码或至少 NT 哈希值形式的密码。
• EAP-TTLS 设置
Validate Server Identity - 启用服务器证书验证。
Cisco AnyConnect 安全移动客户端管理员指南,4.1 版
152
配置网络访问管理器
Networks,User or Machine Authentication 页面