문제
- 인증 엔드포인트에서 사용할 ESET 보안 인증(ESA) 구성
- 클라이언트가 사용자 이름 및 암호의 유효성을 검사하지 않음
- 클라이언트에서 사용자 이름 및 비밀번호 유효성 검사
- RADIUS의 액세스 챌린지 기능 사용
- 클라이언트가 사용자 이름 및 비밀번호의 유효성을 검사하지 않음 - 복합어 피하기
- <사용되지 않음>
- 샘플 통합 가이드
솔루션
ESA는 AD(Active Directory) 환경에서 인증을 처리하는 방식에 따라 세 가지 클라이언트 유형(예: VPN)을 차별화합니다.
클라이언트가 사용자 이름 및 비밀번호의 유효성을 검사하지 않음
모든 VPN은 이 시나리오를 지원해야 합니다. ESA 웹 콘솔에서 RADIUS 클라이언트를 구성할 때 클라이언트 유형을 클라이언트가 사용자 이름 및 비밀번호를 확인하지 않음으로 설정하면 ESA에서 두 가지 요소(첫 번째 요소는 사용자 이름 및 비밀번호, 두 번째 요소는 OTP)를 모두 확인합니다.
요구 사항
ESA 웹 콘솔에서 구성한 RADIUS 서버를 가리키는 RADIUS 인증을 사용하도록 VPN 연결의 인증을 구성하세요.
어떻게 작동하나요?
- SMS 기반 OTP - 첫 로그인 시도 시 사용자에게 비밀번호를 입력하라는 메시지가 표시됩니다. 로그인 시도는 실패하지만 사용자는 SMS를 통해 OTP를 받습니다. 두 번째 로그인 시도 시 사용자는 비밀번호 입력란에 받은 OTP를 입력합니다.
- 모바일 애플리케이션 OTP/하드 토큰 OTP- 사용자가 비밀번호와 OTP를 동시에 사용하여 로그인합니다.
- 모바일 애플리케이션 푸시-사용자가 로그인 자격 증명을 사용하여 로그인을 시도합니다. 사용자의 모바일 장치에 푸시 알림이 생성됩니다. 알림을 승인하면 로그인에 성공합니다.
- 2FA를 사용하지 않는 사용자/화이트 리스트에 등록된 사용자: 사용자가 로그인 자격 증명을 사용하여 로그인합니다. ESA가 비밀번호의 유효성을 검사합니다.
클라이언트가 사용자 이름과 비밀번호를 확인합니다
VPN이 이 기능을 지원하고 올바르게 구성되었는지 확인하세요. 잘못 구성하면 비밀번호 확인을 건너뛸 수 있습니다. ESA 웹 콘솔에서 RADIUS 클라이언트를 구성할 때 클라이언트 유형을 클라이언트에서 사용자 이름 및 비밀번호를 확인으로 설정하면 첫 번째 요소(사용자 이름 및 비밀번호)는 AD에서 유효성을 검사합니다.
요구 사항
서버를 가리키는 하나의 인증과 ESA RADIUS 서버를 가리키는 하나의 RADIUS 인증을 설정합니다.
어떻게 작동하나요?
- SMS 기반 OTP - 두 번의 로그인 시도가 필요합니다. 먼저 첫 번째 비밀번호 필드에 비밀번호를 입력한 다음 따옴표 없이
sms를입력합니다. 올바른 사용자 아이디와 비밀번호를 입력하면 오류 메시지 없이 로그인 화면이 다시 표시되고 사용자는 SMS를 통해 OTP를 받습니다. 두 번째 로그인 시도 시 사용자는 두 번째 비밀번호 입력란에 수신한 OTP를 입력합니다.
- 모바일 애플리케이션 OTP/하드 토큰 OTP - 사용자가 생성된 OTP를 두 번째 비밀번호 입력란에 입력합니다.
- 모바일 애플리케이션 푸시- 사용자가 해당 필드에 따옴표 없이 "비어 있음", "없음" 사용자 이름 또는 "푸시"를 입력합니다. ESA는 푸시 알림을 생성하고 승인을 기다립니다.
- 2FA가 없는 사용자/ 화이트리스트에 등록된 사용자: 사용자가 두 번째 비밀번호 필드를 비워 두거나 해당 필드에 따옴표 없이 "없음" 또는 "푸시"를 입력합니다.
RADIUS의 액세스 챌린지 기능 사용
VPN 서버가 두 가지 요소(사용자 이름과 비밀번호를 첫 번째 요소로, OTP를 두 번째 요소로)를 모두 확인하기 위해 ESA RADIUS에만 연결하지만 인증이 두 단계로 구성된 경우 이 옵션을 사용하세요.
다음 RADIUS 클라이언트는 RADIUS 액세스 챌린지 기능을 지원합니다:
- Junos Pulse(VPN)
- Linux PAM 모듈
다음 RADIUS 클라이언트는 액세스 챌린지 기능과 함께 사용해서는 안 됩니다:
- Microsoft RRAS
요구 사항
ESA 웹 콘솔에서 구성한 RADIUS 서버를 가리키는 RADIUS 인증을 사용하도록 VPN 연결의 인증을 구성합니다.
어떻게 작동하나요?
- SMS 인증: 사용자는 로그인 자격 증명을 사용하여 로그인하고 다음 화면 또는 팝업 대화 상자에서 SMS를 통해 받은 OTP를 입력합니다.
- 모바일 OTP/하드 토큰: 사용자가 로그인 자격 증명을 사용하여 로그인하고 다음 화면 또는 팝업 대화 상자에서 생성된 OTP를 입력합니다.
- 푸시 인증: 사용자가 로그인 자격 증명을 사용하여 로그인하고 생성된 푸시 알림을 승인합니다.
- 2FA가 없는 사용자/ 화이트리스트에 등록된 사용자: 사용자는 로그인 자격 증명만 사용합니다.
클라이언트가 사용자 이름과 비밀번호를 확인하지 않음 - 중복 방지
요구 사항
ESA 웹 콘솔에서 구성한 RADIUS 서버를 가리키는 RADIUS 인증을 사용하도록 VPN 연결의 인증을 구성합니다.
어떻게 작동하나요?
- SMS 기반 OTP, 모바일 애플리케이션 푸시 - 첫 번째 로그인 시도 시 사용자에게 비밀번호를 묻는 메시지가 표시됩니다. 로그인 시도는 실패하지만 사용자는 SMS를 통해 OTP를 받습니다. 두 번째 로그인 시도 시 사용자는 받은 OTP를 비밀번호 입력란에 입력합니다.
- 모바일 애플리케이션 OTP/하드 토큰 OTP - 사용자는 비밀번호를 입력할 필요 없이 OTP만 입력합니다. 보안 위험을 낮추려면 모바일 애플리케이션 PIN을 강제 입력하세요:
- ESA 웹 콘솔에서 설정 > 모바일 애플리케이션으로 이동합니다.
- 사용자는 PIN 코드를 사용해야 함을 켭니다.
- 저장을 클릭합니다.
- 2FA가 없는 사용자/화이트 리스트 사용자: 사용자가 로그인 자격 증명을 사용하여 로그인합니다. ESA가 비밀번호의 유효성을 검사합니다.
<사용 중단됨
ESA 버전 2.8 이하에서는 관리자가 사용자 이름 및 비밀번호를 확인하지 않는 클라이언트와 사용자 이름 및 비밀번호를 확인하는 클라이언트 유형의 일관되지 않은 설정으로 끝날 수 있었습니다. ESA 3.0에서는 이렇게 구성된 클라이언트 유형은<사용되지 않음>으로 레이블이 지정됩니다 . 이러한 클라이언트 유형은 더 이상 사용되지 않는 해당 버전을 사용하는 것이 좋습니다.샘플 통합 가이드
아래의 해당 링크를 클릭하여 구성에 대한 ESET 보안 인증 통합 가이드를 확인하세요. 이 통합 가이드는 ESA RADIUS 기능 확인 ESET Secure Authentication 문서와 함께 사용하도록 설계되었습니다. 일부 가이드는 오래되어 샘플로 제공될 수 있습니다. 최신 통합 가이드는 위에서 설명한 지원되는 클라이언트 유형과 관련하여 사용 중인 VPN 어플라이언스 공급업체에 문의하세요.
VPN, 방화벽 및 UTM 엔드포인트:
- Barracuda'
- Check Point Software'
- Cisco ASA IPsec'
- Cisco ASA SSL'
- Citrix Access Gateway''입니다
- Citrix Netscaler'
- Cyberoam'
- 포티넷 포티게이트'
- Microsoft 포어프론트 위협 관리 게이트웨이'
- Netasq'
클라우드 및 VDI 엔드포인트
응용 프로그램별 통합 가이드 외에도 ESET 보안 인증을 구현할 때 ESET 보안 인증 온라인 도움말도 읽어 보는 것이 좋습니다. ESET 보안 인증 API를 사용하여 기존 애플리케이션에 ESET 보안 인증을 추가하려는 경우, ESET 보안 인증 API 사용 가이드 및 ESET 보안 인증 SSL 인증서 교체 문서도 사용할 수 있습니다.
