Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

EAP-MSCHAPv2 인증을 사용한 인증서 기반 검증

요약 이 구성에서 외부 사용자 인증(RADIUS 서버별)에 대한 사용자 이름과 비밀번호를 사용하고 EAP-MSCHAPv2 인증 방법을 사용하여 사용자 인증서를 검증합니다.

Juniper Secure Connect 위한 구축 시나리오에 표시된 것처럼 인터페이스, 영역 및 보안 정책을 포함한 SRX 시리즈 방화벽의 기본 설정을 완료했다고 가정합니다.

사전 필수 사항에 대한 자세한 내용은 시스템 요구 사항을 참조하십시오.

백엔드 인증으로 구성된 PKI(Public Key Infrastructure)가 있는지 확인합니다. 이 경우 각 클라이언트에 CA의 루트 인증서만 설치하면 됩니다. 이 시나리오에서는 로컬 인증이 지원되지 않습니다.

참고:

SRX 시리즈 방화벽이 기본 시스템 생성 인증서 대신 서명된 인증서 또는 자체 서명 인증서를 사용하는지 확인해야 합니다. Juniper Secure Connect 구성을 시작하기 전에 Juniper Secure Connect 구축을 위한 사전 필수 사항의 지침을 읽는 것이 중요합니다.

Juniper Secure Connect VPN 설정 구성

J-Web 인터페이스를 사용하여 VPN 설정을 구성하려면 다음을 수행합니다.

  1. J-Web 인터페이스를 사용하여 SRX 시리즈 방화벽에 로그인합니다. 그림 1은 J-Web 로그인 페이지를 보여줍니다.
    그림 1: J-Web 액세스 및 로그인 J-Web Access and Login

    성공적으로 로그인한 후 기본 설정 페이지에 착륙합니다. 그림 2 는 랜딩 페이지의 예를 보여줍니다.

    그림 2: J-Web 랜딩 페이지 J-Web Landing Page
  2. J-Web 측 창에서 네트워크 > VPN > IPsec VPN으로 이동합니다.
    1. IPsec VPN을 클릭하면 IPSec VPN 페이지가 표시됩니다. 그림 3IPsec VPN 페이지의 예를 보여줍니다.

      그림 3: IPSec VPN 페이지 IPsec VPN Page
    2. 페이지의 오른쪽 모서리에서 VPN > 원격 액세스 > Juniper Secure Connect 만들기 를 선택하여 Juniper Secure Connect 대한 IPsec VPN 설정을 생성합니다.

      다음과 같은 경고 메시지가 나타납니다.

      그림 4: 자체 서명 인증서 Warning Message To Generate And Bind Self-signed Certificate 를 생성하고 바인딩하는 경고 메시지

      경고 메시지에서 언급했듯이 자체 서명된 인증서를 생성하고 인증서를 SRX 시리즈 방화벽에 바인딩합니다. 자세한 내용은 Juniper Secure Connect 구성 준비를 참조하십시오.

      원격 액세스 VPN 생성에 대한 자세한 내용은 원격 액세스 VPN 생성(Juniper Secure Connect)을 참조하십시오.

    3. 다시 네트워크 > VPN > IPsec VPN 으로 이동하고 페이지의 오른쪽 모서리에서 VPN > 원격 액세스 > Juniper Secure Connect 생성 을 선택하여 Juniper Secure Connect 대한 IPsec VPN 설정을 만듭니다. 원격 액세스 생성(Juniper Secure Connect) 페이지가 나타납니다. 그림 5 는 원격 액세스 VPN을 생성하는 예를 보여줍니다.

      그림 5: VPN 생성 - 원격 액세스 Create VPN - Remote Access

      그림 6인증서 기반 인증 방법을 사용하여 원격 액세스 페이지 생성의 예를 보여줍니다.

      그림 6: 인증서 기반 인증 방법을 Create Remote Access Page For Certificate-Based Authentication Method 위한 원격 액세스 페이지 생성
  3. 원격 액세스 생성(Juniper Secure Connect) 페이지에서( 그림 7 참조):
    1. 원격 액세스 연결의 이름(즉, Juniper Secure Connect 응용 프로그램의 최종 사용자 영역 이름에 표시될 이름)과 설명을 입력합니다.

    2. 라우팅 모드는 기본적으로 트래픽 선택기(자동 경로 삽입) 로 설정됩니다.

    3. 인증 방법을 선택합니다. 이 예에서는 드롭다운 목록에서 인증서 기반(Certificate Based )을 선택합니다.

    4. 예(Yes)를 선택하여 방화벽 정책 자동 생성 옵션을 사용하여 방화벽 정책을 자동으로 생성합니다.

    그림 7: 인증서 기반 인증 방법 Certificate-Based Authentication Method
  4. 원격 사용자 아이콘을 클릭하여 Juniper Secure Connect 애플리케이션 설정을 구성합니다.
    그림 8: 원격 사용자 페이지 Remote User Page

    그림 8 은 원격 사용자 페이지의 예를 보여줍니다.

    원격 사용자 페이지에서 옵션을 선택한 다음 [확인]을 클릭하여 원격 사용자 클라이언트를 구성합니다.

    표 1 에는 원격 사용자 설정 옵션이 요약됩니다.

    표 1: 원격 사용자 클라이언트 설정 옵션

    원격 사용자 클라이언트 설정

    설명

    기본 프로필

    기본 프로필은 기본적으로 활성화되어 있습니다. 이 프로필이 기본 프로필이 되지 않도록 하려면 토글 단추를 클릭합니다.

    VPN 연결 프로필에 대한 기본 프로필을 활성화하면 Juniper Secure Connect 기본 프로필을 영역 이름으로 자동으로 선택합니다(이 예시: https://12.12.12.12/). 이 경우, Juniper Secure Connect 영역 이름을 입력하는 것이 선택 사항입니다.

    VPN 연결 프로필에 대한 기본 프로필을 비활성화하는 경우, Juniper Secure Connect 게이트웨이 주소(이 예: https://12.12.12.12/JUNIPER_SECURE_CONNECT)와 함께 영역 이름을 입력해야 합니다.

    참고:

    Junos OS 23.1R1 릴리스부터 기본 프로필은 J-Web에서 더 이상 사용되지 않습니다. 그러나 CLI에서는 즉시 제거하기보다는 하위 호환성을 제공하고 기존 구성이 변경된 구성을 준수하도록 할 수 있습니다. 구성에서 기본 프로필 옵션을 계속 사용한다면 경고 메시지가 표시됩니다. 그러나 CLI를 사용하여 현재 구성을 수정하는 경우 기존 구축은 영향을 받지 않습니다. default-profile(Juniper Secure 참조

    연결 모드

    클라이언트 연결을 수동 또는 자동으로 설정하려면 적절한 옵션을 선택합니다.

    • Juniper Secure Connect 응용 프로그램에서 수동 설정을 선택하면 연결을 설정하려면 토글 단추를 클릭하거나 메뉴에서 연결 > 연결을 선택해야 합니다.

    • Always를 선택하면 Juniper Secure Connect 자동으로 연결을 설정합니다.

    알려진 제한 사항:

    Android 디바이스: Always를 사용하거나 선택하면 처음 사용된 SRX 디바이스에서 구성이 다운로드됩니다. 첫 번째 SRX 시리즈 방화벽 구성이 변경되거나 새 SRX 디바이스에 연결하면 구성이 Juniper Secure Connect 애플리케이션으로 다운로드되지 않습니다.

    즉, 일단 안 드 로이드 디바이스를 사용 하 여 항상 모드에서 연결, SRX 시리즈 방화벽의 구성 변경 Juniper Secure Connect 적용 되지 않습니다.

    SSL VPN

    Juniper Secure Connect 애플리케이션에서 SRX 시리즈 방화벽으로의 SSL VPN 연결을 지원하려면 토글 단추를 클릭합니다. 클라이언트는 SSL VPN을 활성화하여 SRX 시리즈 방화벽을 연결할 수 있는 유연성을 줍니다. 기본적으로 SSL VPN 이 활성화되어 있습니다.

    생체 인증

    이 옵션은 기본적으로 비활성화되어 있습니다. 이 옵션을 활성화하면 Juniper Secure Connect 연결을 클릭하면 Juniper Secure Connect 인증 프롬프트가 표시됩니다.

    이 옵션을 사용하면 운영 시스템의 내장된 생체 인증 지원을 사용하여 자격 증명을 보호할 수 있습니다.

    피어 디도스(Dead Peer Detection)

    DPD(Dead Peer Detection)는 기본적으로 클라이언트가 SRX 시리즈 방화벽에 도달할 수 없는지 감지하고 연결이 복원될 때까지 연결을 비활성화하도록 허용합니다.

    인증서

    이 옵션은 인증서 옵션을 구성하기 위해 기본적으로 활성화되어 있습니다.

    • 만료 경고 - 이 옵션은 기본적으로 활성화되어 있습니다. 이(가) 활성화되면 인증서가 만료될 때 Secure Connect 클라이언트에서 인증서 만료 경고를 받습니다.

    • 경고 간격 - 경고가 며칠 안에 표시되는 간격을 입력합니다.

    • 연결당 Pin Req - 이 옵션은 기본적으로 활성화됩니다. 활성화되면 모든 연결에 대해 인증서 핀을 입력해야 합니다.

    EAP-TLS

    EAP-TLS 는 기본적으로 활성화되어 있습니다. 이 예에서는 EAP-MSCHAPv2를 사용하여 EAP-TLS 스위치를 비활성화 상태로 전환합니다.

    Windows 로고

    이 옵션을 사용하면 사용자가 이미 설정된 VPN 터널(Windows 사전 로그온 사용)을 통해 로컬 Windows 시스템에 로그온하여 중앙 Windows 도메인 또는 Active Directory에 인증되도록 할 수 있습니다.

  5. 로컬 게이트웨이를 클릭하여 로컬 게이트웨이 설정을 구성합니다.

    그림 9 는 로컬 게이트웨이 구성 설정의 예를 보여줍니다.

    그림 9: 로컬 게이트웨이 구성 Local Gateway Configuration
    1. NAT 뒤에 게이트웨이를 활성화하면 텍스트 상자가 나타납니다. 텍스트 상자에 NAT IP 주소를 입력합니다. IPv4 주소만 지원합니다. NAT 주소는 외부 주소입니다.

    2. user@hostname.com 형식으로 IKE ID를 입력합니다. 예를 들어, abc@xyz.com.

    3. 외부 인터페이스 필드에서 클라이언트가 연결할 IP 주소를 선택합니다. Juniper Secure Connect 애플리케이션의 게이트웨이 주소 필드에 동일한 IP 주소(이 예: https://12.12.12.12/)를 입력해야 합니다.

      NAT 뒤에 게이트웨이를 활성화하면 NAT IP 주소가 게이트웨이 주소가 됩니다.

    4. 터널 인터페이스 드롭다운 목록에서 경로 기반 VPN에 바인딩할 인터페이스를 선택합니다. 또는 추가를 클릭합니다. 추가를 클릭하면 터널 인터페이스 생성 페이지가 나타납니다.

      그림 10 은 터널 인터페이스 생성 페이지의 예를 보여줍니다.

      그림 10: 터널 인터페이스 페이지 Create Tunnel Interface Page 생성

      사용 가능한 다음 ST0 논리적 인터페이스 번호는 인터페이스 단위 필드에 표시되며 이 인터페이스에 대한 설명을 입력할 수 있습니다. 이 터널 인터페이스를 에 추가할 영역을 선택합니다. 자동 생성 방화벽 정책 (원격 액세스 생성 페이지에서)이 '예'로 설정된 경우 방화벽 정책은 이 영역을 사용합니다. [확인]을 클릭합니다.

    5. 로컬 인증서 필드에서 이미 외부 서명된 로컬 인증서 중 하나를 선택합니다. 추가를 클릭하여 새 로컬 인증서를 추가하거나 가져오기를 클릭하여 로컬 인증서를 가져옵니다.

      그림 11 은 구성 예시만 보여줍니다.

      그림 11: 로컬 Generate Certificate Page For Local certificate 인증서의 인증서 페이지 생성
    6. CA 인증서의 경우 신뢰할 수 있는 CA/그룹 필드에서 일치하는 Trusted CA/Group 을 포함하여 이미 외부에 서명된 CA 인증서 중 하나를 선택합니다. 이 중 어느 것이라도 없는 경우 CA 프로필 추가 를 클릭하고 환경과 일치하는 값을 채웁니다. 그림 12 에는 CA PROFILE 추가 페이지의 예가 표시됩니다.

      그림 12: CA 프로필 추가 페이지 ADD CA PROFILE page
    7. 사용자 인증 드롭다운 목록에서 기존 액세스 프로필을 선택하거나 추가를 클릭하여 새 액세스 프로필을 만듭니다. 추가를 클릭하면 액세스 프로필 생성 페이지가 표시됩니다.

      그림 13 은 액세스 프로필 생성 페이지의 예를 보여줍니다.

      그림 13: 액세스 프로필 페이지 Create Access Profile Page 생성

      액세스 프로필 이름을 입력합니다. 주소 할당 드롭다운 목록에서 주소 풀을 선택하거나 주소 풀 생성을 클릭합니다. 주소 풀 만들기를 클릭하면 주소 풀 만들기 페이지가 나타납니다.

      그림 14 는 주소 풀 만들기 페이지의 예를 보여줍니다.

      그림 14: 주소 풀 페이지 Create Address Pool Page 생성
      • 클라이언트의 VPN 정책에 있는 로컬 IP 풀에 대한 세부 정보를 입력합니다. IP 주소 풀의 이름을 입력합니다.

      • 주소 할당에 사용하는 네트워크 주소를 입력합니다.

      • DNS 서버 주소를 입력합니다. 필요한 경우 WINS 서버 세부 정보를 입력합니다. 이제 추가 아이콘(+)을 클릭하여 주소 범위를 생성하여 클라이언트에 IP 주소를 할당합니다.

      • 이름을 입력하고 하한 및 상한을 입력합니다. 세부 정보를 입력한 후 [확인]을 클릭합니다.

      모든 인증 세부 정보가 외부 radius 서버에 저장되는 RADIUS 확인란을 선택합니다.

      • 추가 아이콘(+)을 클릭하여 Radius 서버 세부 정보를 구성합니다. 그림 15를 참조하십시오.

        그림 15: RADIUS 서버 페이지 Create RADIUS Server Page 생성
      • 에서 조달할 radius 통신을 위해 Radius 서버 IP 주소, Radius 암호 및 소스 주소를 입력합니다. [확인]을 클릭합니다.

        인증 순서에서 순서 1 드롭다운 목록에서 RADIUS 선택합니다. [확인]을 클릭하여 액세스 프로필 구성을 완료합니다.

        그림 16 은 액세스 프로필 생성 페이지의 예를 보여줍니다.

        그림 16: 액세스 프로필 페이지 Create Access Profile Page 생성
    8. SSL VPN 프로필 드롭다운 목록에서 기존 프로필을 선택하거나 추가를 클릭하여 새로운 SSL VPN 프로필을 생성합니다. 추가를 클릭하면 SSL VPN 프로필 추가 페이지가 나타납니다.

      그림 17 은 SSL VPN 프로필 추가 페이지의 예를 보여줍니다.

      그림 17: SSL VPN 프로필 페이지 Add SSL VPN Profile Page 추가

      SSL VPN 프로필 추가 페이지에서 SSL VPN 프로필을 구성할 수 있습니다. 이름 필드에 SSL VPN 프로필 이름을 입력하고 필요한 경우 토글을 사용하여 로깅을 활성화합니다. SSL 종료 프로파일 필드에서 드롭다운 목록에서 SSL 종료 프로파일을 선택합니다. SSL 종료는 SRX 시리즈 방화벽이 SSL 프록시 서버 역할을 하고 클라이언트에서 SSL 세션을 종료하는 프로세스입니다. 새로운 SSL 종료 프로필을 만들고 싶다면 추가를 클릭합니다. SSL 종료 프로파일 생성 페이지가 표시됩니다.

      그림 18 은 SSL 종료 프로필 생성 페이지의 예를 보여줍니다.

      그림 18: SSL 종료 프로필 페이지 Create SSL Termination Profile Page 생성
      • SSL 종료 프로파일의 이름을 입력하고 SRX 시리즈 방화벽에서 SSL 종료에 사용할 서버 인증서를 선택합니다. 추가 를 클릭하여 새 서버 인증서를 추가하거나 가져오기 를 클릭하여 서버 인증서를 가져옵니다. 서버 인증서는 로컬 인증서 식별자입니다. 서버 인증서는 서버의 ID를 인증하는 데 사용됩니다.

      • [확인]을 클릭합니다.

    9. 소스 NAT 트래픽 옵션은 기본적으로 활성화되어 있습니다. 소스 NAT 트래픽이 활성화되면 Juniper Secure Connect 애플리케이션의 모든 트래픽이 기본적으로 선택된 인터페이스로 NATed됩니다. 토글 단추를 클릭하여 소스 NAT 트래픽 옵션을 비활성화합니다. 옵션이 비활성화된 경우, 반환 트래픽을 올바르게 처리하기 위해 네트워크에서 SRX 시리즈 방화벽을 가리키는 경로가 있는지 확인해야 합니다.

    10. 보호 네트워크에서 추가 아이콘(+)을 클릭하여 Juniper Secure Connect 애플리케이션이 연결할 수 있는 네트워크를 선택합니다.

      그림 19 는 보호 네트워크 생성 페이지의 예를 보여줍니다.

      그림 19: 보호 네트워크 페이지 Create Protected Networks Page 생성

      기본적으로 모든 네트워크 0.0.0.0/0은 허용됩니다. 특정 네트워크를 구성하는 경우, Juniper Secure Connect 애플리케이션에 대한 분할 터널링이 활성화됩니다. 기본값을 유지하는 경우 클라이언트 네트워크에서 방화벽 정책을 조정하여 정의된 네트워크에 대한 액세스를 제한할 수 있습니다. [확인]을 클릭합니다. 이제 선택한 네트워크가 보호되는 네트워크 목록에 있습니다. 확인을 클릭하여 로컬 게이트웨이 구성을 완료합니다.

      그림 20 은 원격 사용자 및 로컬 게이트웨이를 통한 원격 액세스 구성이 성공적으로 완료된 예를 보여줍니다.

      그림 20: 완전한 원격 액세스 구성 Complete Remote Access Configuration

      IKE 설정IPsec 설정 은 고급 옵션입니다. J-Web은 이미 IKE 및 IPsec 매개 변수에 대한 기본 값으로 구성되었습니다. 이러한 설정을 구성하는 것이 의무 사항은 아닙니다.

  6. 이제 원격 사용자가 연결할 URL을 찾을 수 있습니다. 이 URL을 복사하여 저장하여 원격 사용자와 공유하십시오. 이 구성이 기본 프로필이 아닌 경우 /xxxx 정보만 필요합니다.

    그림 21 은 원격 액세스 연결을 설정하기 위해 원격 사용자가 Juniper Secure Connect 애플리케이션의 게이트웨이 주소 필드에 입력해야 하는 URL을 강조 표시합니다.

    그림 21: 원격 액세스 구성 Commit Remote Access Configuration 커밋
    1. 자동 정책 생성 옵션을 선택한 경우 저장 을 클릭하여 Juniper Secure Connect VPN 구성 및 관련 정책을 완료합니다.

    2. 강조 표시된 커밋 버튼(피드백 버튼 옆 페이지 오른쪽 상단)을 클릭하여 구성을 커밋합니다.

클라이언트 머신에 Juniper Secure Connect 애플리케이션을 다운로드하여 설치합니다. Juniper Secure Connect 시작하고 SRX 시리즈 방화벽의 게이트웨이 주소에 연결합니다. 또한 루트 CA 인증서를 각 플랫폼에 Juniper Secure Connect 애플리케이션을 설치한 적절한 디렉터리 위치에 배치해야 합니다. 자세한 내용은 Juniper Secure Connect 사용자 가이드 를 참조하십시오.