Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

EAP-TLS 인증을 사용한 인증서 기반 검증(CLI 절차)

개요

이 구성에서 외부 사용자 인증(RADIUS 서버별)에 대한 사용자 이름과 비밀번호를 사용하고 EAP-TLS 인증 방법을 사용하여 사용자 인증서를 검증합니다.

그림 1과 같이 인터페이스, 영역 및 보안 정책을 포함하여 SRX 시리즈 방화벽의 기본 설정을 완료했다고 가정합니다.

그림 1: 토폴로지 Topology

사전 필수 사항에 대한 자세한 내용은 시스템 요구 사항을 참조하십시오.

백엔드 인증으로 구성된 PKI(Public Key Infrastructure)가 있는지 확인합니다. 이 경우 각 클라이언트에 CA의 루트 인증서와 각 클라이언트 디바이스에 사용자 특정 인증서를 설치해야 합니다. 이 시나리오에서는 로컬 인증이 지원되지 않습니다.

SRX 시리즈 방화벽이 기본 시스템 생성 인증서 대신 서명된 인증서 또는 자체 서명 인증서를 사용하는지 확인해야 합니다. Juniper Secure Connect 구성을 시작하기 전에 다음 명령을 실행하여 인증서를 SRX 시리즈 방화벽에 바인딩해야 합니다.

예를 들어:

여기서 SRX_Certificate 자체 서명 인증서입니다.

CLI 빠른 구성

SRX 시리즈 방화벽에서 이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브러브를 제거하고, 네트워크 구성과 일치하기 위해 필요한 세부 사항을 변경한 다음 명령을 복사하여 [edit] 계층 수준의 CLI에 붙여 넣습니다.

단계별 절차

명령줄 인터페이스를 사용하여 VPN 설정을 구성하려면 다음을 수행합니다.

  1. 명령줄 인터페이스(CLI)를 사용하여 SRX 시리즈 방화벽에 로그인합니다.
  2. 구성 모드를 입력합니다.
  3. 원격 액세스 VPN을 구성합니다.

    Juniper Secure Connect 구축하려면 자체 서명된 인증서를 생성하고 인증서를 SRX 시리즈 방화벽에 바인딩해야 합니다. 자세한 내용은 Juniper Secure Connect 구성 준비를 참조하십시오.

    IKE 구성:

    1. IKE(Internet Internet) 제안을 구성합니다.

      인증서 기반 인증을 구성하기 위해 인증 방법으로 을(를) 구성 rsa-signatures 합니다.

      인증 프로세스에 이 옵션을 활성화합니다. IKEv2에는 사용자 인증에 EAP가 필요합니다. SRX 시리즈 방화벽은 EAP 서버 역할을 할 수 없습니다. EAP 인증을 수행하려면 IKEv2 EAP에 외부 RADIUS 서버를 사용해야 합니다. SRX는 Juniper Secure Connect 클라이언트와 RADIUS 서버 간에 EAP 메시지를 릴레이하는 패스스루 인증자 역할을 합니다.

      인증서 기반 인증 방법을 선택할 때 EAP-TLS는 기본적으로 활성화됩니다.

      IKE(Internet Key Exchange) 제안 인증 방법, Diffie-Hellman 그룹 및 인증 알고리즘을 정의합니다.
      제안(보안 IKE)을 참조하십시오.
    2. IKE 정책을 구성합니다.

      IKE(Internet Key Exchange) 1단계 정책 모드, IKE 제안을 참조하고 IKE(Internet Key Exchange) 1단계 정책 인증 방법을 설정합니다.

      정책(보안 IKE)을 참조하십시오.
      로컬 인증서를 로드하려면 로컬 디바이스에 여러 개의 로드된 인증서가 set security ike policy policy-name certificate local-certificate certificate-id 있는 경우 명령을 사용하여 특정 로컬 인증서를 지정합니다. 이미 외부에 서명된 로컬 인증서 중 하나를 선택할 수 있습니다. 이 예에서 SRX_Certificate 정책에 대해 JUNIPER_SECURE_CONNECT 로드된 기존 로컬 인증서입니다.
      기존 로컬 인증서가 없는 경우 다음 단계를 수행하여 인증서를 생성할 수 있습니다.
      로컬 인증서를 생성한 후 명령을 사용하여 set security ike policy policy-name certificate local-certificate certificate-id 인증서를 IKE 정책에 연결할 수 있습니다.
    3. IKE(Internet Internet) 게이트웨이 옵션을 구성합니다. 동적을 참조하십시오.

      DPD 값과 버전 정보를 구성하지 않으면 Junos OS 이러한 옵션에 대한 기본 값을 할당합니다. Dead Peer Detection을 참조하십시오.

      클라이언트가 연결할 외부 인터페이스 IP 주소를 구성합니다. Juniper Secure Connect 애플리케이션의 게이트웨이 주소 필드에 동일한 IP 주소(이 예: https://192.0.2.0)를 입력해야 합니다. 게이트웨이를 참조하십시오.

    IPsec 구성:

    1. IPsec 제안을 구성합니다.
      IPsec 2단계 제안 프로토콜, 암호화 알고리즘 및 기타 2단계 옵션을 지정합니다.
      제안(보안 IPsec)을 참조하십시오.
    2. IPsec 정책을 구성합니다.
      • Diffie-Hellman 그룹 19를 사용하도록 IPsec 2단계 PFS를 지정합니다.
      • IPsec 2단계 제안 참조를 지정합니다.
      정책(보안 IPsec)을 참조하십시오.

    IPSec VPN 구성:

    1. IPsec VPN 매개 변수를 구성합니다. vpn(보안)을 참조하십시오.
    2. VPN 트래픽 선택기를 구성합니다. 트래픽 선택기를 참조하십시오.
  4. 원격 사용자 클라이언트 옵션을 구성합니다.
    1. 원격 액세스 프로필을 구성합니다. 원격 액세스를 참조하십시오.
    2. 원격 액세스 클라이언트 구성을 구성합니다. 클라이언트 구성을 참조하십시오.

    표 1 에는 원격 사용자 설정 옵션이 요약됩니다.

    표 1: 원격 사용자 설정 옵션

    원격 사용자 설정

    설명

    연결 모드

    클라이언트 연결을 수동 또는 자동으로 설정하려면 적절한 옵션을 구성합니다.

    • 수동 옵션을 구성하는 경우, Juniper Secure Connect 응용 프로그램에서 연결을 설정하려면 토글 단추를 클릭하거나 메뉴에서 연결 > 연결을 선택해야 합니다.

    • Always 옵션을 구성하는 경우, Juniper Secure Connect 자동으로 연결을 설정합니다.

    알려진 제한 사항:

    Android 디바이스: Always를 사용하거나 선택하면 처음 사용된 SRX 디바이스에서 구성이 다운로드됩니다. 첫 번째 SRX 시리즈 방화벽 구성이 변경되거나 새 SRX 디바이스에 연결하면 구성이 Juniper Secure Connect 애플리케이션으로 다운로드되지 않습니다.

    즉, 일단 안 드 로이드 장치를 사용 하 여 항상 모드에서 연결, SRX 시리즈 방화벽의 구성 변경 Juniper Secure Connect 적용 되지 않습니다.

    Dead Peer Detection

    DPD(Dead Peer Detection)는 기본적으로 클라이언트가 SRX 시리즈 방화벽에 도달할 수 있는지, 디바이스에 도달할 수 없는 경우 연결이 복원될 때까지 연결을 비활성화할 수 있도록 허용합니다.

    default -profile

    VPN 연결 프로필을 기본 프로파일로 구성하는 경우, Juniper Secure Connect 응용 프로그램에서 게이트웨이 주소만 입력해야 합니다. 응용 프로그램이 자동으로 기본 프로필을 영역 이름으로 선택하기 때문에 Juniper Secure Connect 응용 프로그램에서 영역 이름을 입력하는 것이 선택 사항입니다. 이 예에서는 Juniper Secure Connect 애플리케이션의 게이트웨이 주소 필드에 ra.example.com 입력합니다.

    참고:

    Junos OS 릴리스 23.1R1부터는 [edit security remote-access] 계층 수준에서 옵션을 숨깁니다default-profile. 릴리스 23.1R1 Junos OS 이전 릴리스에서는 이 옵션을 사용하여 원격 액세스 프로필 중 하나를 Juniper Secure Connect 기본 프로파일로 지정합니다. 그러나 원격 액세스 프로필 이름 형식을 변경하면 더 이상 옵션이 필요하지 default-profile 않습니다.

    하위 호환성을 제공하고 기존 구성이 변경된 default-profile 구성을 준수하도록 하기 위해 즉시 제거하지 않고 옵션을 더 이상 사용되지 않습니다. 구성에서 옵션을 계속 사용 default-profile 한다면 경고 메시지가 표시됩니다. 그러나 현재 구성을 수정하는 경우 기존 구축은 영향을 받지 않습니다. default-profile(Juniper Secure Connect)을 참조하십시오.
  5. 로컬 게이트웨이를 구성합니다.
    1. 클라이언트 동적-IP 할당을 위한 주소 풀을 생성합니다. 주소 할당(액세스)을 참조하십시오.

      • 주소 할당에 사용하는 네트워크 주소를 입력합니다.

      • DNS 서버 주소를 입력합니다. 필요한 경우 WINS 서버 세부 정보를 입력합니다. 클라이언트에 IP 주소를 할당하기 위해 주소 범위를 만듭니다.

      • 이름을 입력하고 하한 및 상한을 입력합니다.

    2. 액세스 프로필을 생성합니다.

      외부 사용자 인증의 경우, 소스될 radius 통신을 위해 Radius 서버 IP 주소, Radius 암호 및 소스 주소를 제공합니다. 인증 순서에 대한 radius를 구성합니다.

    3. PKI(Public Key Infrastructure) 속성을 구성합니다. pki를 참조하십시오.
    4. SSL 종료 프로필을 생성합니다. SSL 종료는 SRX 시리즈 방화벽이 SSL 프록시 서버 역할을 하고 클라이언트에서 SSL 세션을 종료하는 프로세스입니다. SSL 종료 프로파일의 이름을 입력하고 SRX 시리즈 방화벽에서 SSL 종료에 사용할 서버 인증서를 선택합니다. 서버 인증서는 로컬 인증서 식별자입니다. 서버 인증서는 서버의 ID를 인증하는 데 사용됩니다.
    5. SSL VPN 프로필을 생성합니다. tcp-encaps 참조
    6. 방화벽 정책을 생성합니다.
      트러스트 영역에서 VPN 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
      VPN 영역에서 트러스트 영역으로 트래픽을 허용하는 보안 정책을 생성합니다.
  6. 이더넷 인터페이스 정보를 구성합니다.

    inet으로 설정된 패밀리를 사용하여 st0 인터페이스를 구성합니다.

  7. 보안 영역을 구성합니다.
  8. 원격 사용자 및 로컬 게이트웨이를 통한 원격 액세스 구성이 성공적으로 구성됩니다.
  9. Juniper Secure Connect 애플리케이션을 시작하고 Juniper Secure Connect 애플리케이션의 게이트웨이 주소 필드에서 외부 IP 주소에 대해 구성한 것과 동일한 IP 주소를 제공합니다.

    이 예에서는 https://192.0.2.0/ 클라이언트가 연결할 외부 인터페이스 IP 주소로 구성했습니다. Juniper Secure Connect 애플리케이션의 게이트웨이 주소 필드에 대해 동일한 IP 주소 (https://192.0.2.0/)를 입력해야 합니다.

결과

운영 모드에서 , show accessshow security pki 명령을 입력하여 구성을 show security확인합니다. 출력에 의도한 구성이 표시되지 않으면 이 예의 구성 지침을 반복하여 수정합니다.

디바이스에서 기능 구성이 완료되면 구성 모드에서 커밋을 입력합니다.

관련 문서