Cisco Cisco AnyConnect Secure Mobility Client v4.x Leaflet

• EAP 요청 - 인증자가 요청 패킷을 신청자에게 전송합니다. 각 EAP 요청에는 사용할 신청자 ID

및 EAP 유형과 같은 요청 항목을 나타내는 유형 필드가 있습니다. 시퀀스 번호를 통해 인증자
및 피어가 EAP 응답을 각 EAP 요청에 일치시킬 수 있습니다.

• EAP 응답 - 신청자가 인증자에게 응답 패킷을 전송하고 시퀀스 번호를 사용하여 시작 EAP 요청

을 일치시킵니다. 응답이 부정(NAK)이 아닌 경우 일반적으로 EAP 응답의 유형은 EAP 요청과
일치합니다.

• EAP 성공 - 인증이 성공하면 인증자가 신청자에게 성공 패킷을 전송합니다.

• EAP 실패 - 인증이 실패하면 인증자가 신청자에게 실패 패킷을 전송합니다.

EAP를 IEEE 802.11X 시스템에서 사용할 경우 액세스 포인트가 EAP 통과 모드에서 작동합니다. 이
모드에서는 액세스 포인트가 코드, ID 및 길이 필드를 확인한 후 신청자로부터 수신한 EAP 패킷을
AAA 서버에 전달합니다. AAA 서버 인증자로부터 수신한 패킷은 신청자에게 전달됩니다.

EAP-GTC는 간단한 사용자 이름과 비밀번호 인증을 기반으로 하는 EAP 인증 방법입니다. 시도 응답
방법을 사용하지 않고 사용자 이름과 비밀번호가 암호화되지 않은 텍스트로 전달됩니다. 이 방법은
터널링 EAP 메서드(아래의 터널링 EAP 메서드 참조) 내에서 또는 OTP(One Time Password, 일회용
비밀번호)를 사용하는 경우 권장됩니다.

EAP-GTC는 상호 인증을 제공하지 않습니다. 클라이언트만 인증하므로 Rogue 서버가 사용자의 자격
증명을 가져올 수도 있습니다. 상호 인증이 필요한 경우 EAP-GTC가 터널링 EAP 메서드 내부에서 사
용되어 서버 인증을 제공합니다.

EAP-GTC를 통해 키 요소가 제공되지 않으므로 MACsec의 경우 이 방법을 사용할 수 없습니다. 추가
트래픽 암호화에 대한 키 요소가 필요한 경우, EAP-GTC가 터널링 EAP 메서드 내부에서 사용되어 키
요소 및 필요에 따라 내부 및 외부 EAP 메서드 암호화 바인딩을 제공합니다.

다음과 같이 2가지 비밀번호 소스 옵션이 있습니다.

• 비밀번호를 사용하여 인증 - 보호 수준이 양호한 유선 환경에만 적합합니다.

• 토큰을 사용하여 인증 - 토큰 코드 또는 OTP의 수명이 짧기 때문에(일반적으로 약 10초) 보안 수

준이 더 강력합니다.

Network Access Manager, 인증자 또는 EAP-GTC 프로토콜은 비밀번호와 토큰 코
드를 구별할 수 없습니다. 이러한 옵션은 Network Access Manager 내의 자격 증명
수명에만 영향을 줍니다. 비밀번호는 로그아웃한 후에도 기억될 수 있으나 토큰
코드는 인증할 때마다 토큰 코드를 묻는 프롬프트가 사용자에게 표시되므로 기
억될 수 없습니다.

비밀번호를 인증에 사용하는 경우 인증자에게 암호화되지 않은 텍스트로 전달
되므로 해시된 비밀번호를 사용하는 데이터베이스에 대한 인증을 위해 이 프로
토콜을 사용할 수 있습니다. 데이터베이스 누출의 가능성이 있는 경우 이 방법을
사용하는 것이 좋습니다.

참고

   Cisco AnyConnect Secure Mobility Client 관리자 설명서, 릴리스 4.1

Network Access Manager 구성

네트워크, 사용자 또는 머신 인증 페이지