AnyConnect NAM 및 ISE의 EAP-FAST 및 체인 구현 이해

Size: px

Start display at page:

Download "AnyConnect NAM 및 ISE의 EAP-FAST 및 체인 구현 이해"

호민 삼
1 years ago
Views:

1 AnyConnect NAM 및 ISE 의 EAP-FAST 및체인구현이해 목차 소개사전요구사항요구사항사용되는구성요소이론단계 PAC PAC 가생성되는경우 EAP-FAST 서버마스터키 ACS 4.x 와 ACS 5x 및 ISE 비교세션다시시작서버상태상태비저장 (PAC 기반 ) AnyConnect NAM 구현 PAC 프로비저닝 (0 단계 ) 익명 TLS 터널인증된 TLS 터널 EAP 연결 PAC 파일이저장되는위치 AnyConnect NAM 3.1 vs 4.0 예네트워크다이어그램사용자및머신 PAC 와 EAP 연결없이 EAP-Fast PAC 빠른재연결을통한 EAP 연결을사용하는 EAP-Fast PAC 없이 EAP 연결을사용하는 EAP-Fast EAP 연결권한부여 PAC 만료를사용하는 EAP-Fast EAP 연결터널 PAC 가만료된 EAP-Fast EAP 연결및익명 TLS 터널 PAC 프로비저닝을사용하는 EAP-Fast EAP 연결사용자인증만있는 EAP-Fast EAP 연결및일관성없는익명 TLS 터널설정을사용하는 EAP-Fast 문제해결 ISE AnyConnect NAM 참조 소개 이문서에서는 Cisco AnyConnect NAM(Network Access Manager) 및 ISE(Identity Services Engine) 의 EAP-FAST 구현에대한세부정보를설명합니다. 또한특정기능이어떻게연동되는지설명하고일반적인활용사례와예를제공합니다.

2 사전요구사항 요구사항 다음주제에대한지식을보유하고있으면유용합니다. EAP 프레임워크및 EAP-FAST 방법에대한기본지식 ISE(Identity Services Engine) 에대한기본지식 AnyConnect NAM 및프로파일편집기에대한기본지식 802.1x 서비스를위한 Cisco Catalyst 구성에대한기본지식 사용되는구성요소 이문서의정보는다음소프트웨어버전을기반으로합니다. Windows 7 with Cisco AnyConnect Secure Mobility Client, 릴리스 3.1 및 4.0 Cisco Catalyst 3750X 스위치 ( 소프트웨어 이상 ) Cisco ISE, 릴리스 1.4 이론 단계 EAP-FAST 는신청자와서버의상호인증을허용하는유연한 EAP 방법입니다.EAP-PEAP 와비슷하지만일반적으로클라이언트또는서버인증서를사용할필요가없습니다.EAP-FAST 의한가지이점은여러인증을연결 ( 여러내부방법사용 ) 하고암호방식으로연결 (EAP 연결 ) 하는기능입니다. Cisco 구현에서는사용자및머신인증에이기능을사용합니다. EAP-FAST 는 PAC(Protected Access Credentials) 를사용하여 TLS 터널 ( 세션재개 ) 을신속하게설정하거나사용자 / 머신 ( 인증에대한내부방법건너뛰기 ) 을인증합니다. EAP-FAST 에는 3 가지단계가있습니다. 단계 0(PAC 프로비저닝 ) 1단계 (TLS 터널설정 ) 2단계 ( 인증 ) EAP-FAST는 PAC-less 및 PAC 기반대화를지원합니다.PAC 기반은 PAC 프로비저닝및 PAC 기반인증으로구성됩니다.PAC 프로비저닝은익명또는인증된 TLS 세션을기반으로할수있습니다. PAC PAC 는서버에서생성되어클라이언트에제공되는보호액세스자격증명입니다. 구성요소 : PAC 키 (TLS 마스터및세션키파생에사용되는임의비밀값 ) PAC 불투명 (PAC 키 + 사용자 ID - 모두 EAP-FAST 서버마스터키로암호화됨 ) PAC 정보 ( 서버 ID, TTL 타이머 ) PAC를실행하는서버는 EAP-FAST 서버마스터키 (PAC 불투명 ) 를사용하여 PAC 키와 ID를암호

3 화하고전체 PAC 를클라이언트로보냅니다. 다른정보는보관 / 저장하지않습니다 ( 모든 PAC 에대해동일한마스터키제외 ). PAC 불투명키를수신하면 EAP-FAST 서버마스터키를사용하여해독되고검증됩니다.PAC 키는축약 TLS 터널에대한 TLS 마스터및세션키를파생시키는데사용됩니다. 이전마스터키가만료되면새 EAP-FAST 서버마스터키가생성됩니다. 경우에따라마스터키를취소할수있습니다. 현재사용중인 PAC 유형은몇가지가있습니다. 터널 PAC: TLS 터널설정에사용됩니다 ( 클라이언트또는서버인증서가필요하지않음 ). TLS 클라이언트 Hello로전송됨 컴퓨터 PAC:TLS 터널설정및즉시시스템권한부여에사용됩니다.TLS 클라이언트 Hello로전송됨 사용자권한부여 PAC: 서버에서허용하는경우즉시사용자인증 ( 내부방법건너뛰기 ) 에사용됩니다.TLV를사용하여 TLS 터널내부에서전송됨. 머신권한부여 PAC: 서버에서허용하는경우즉시시스템인증 ( 내부방법건너뛰기 ) 에사용됩니다.TLV를사용하여 TLS 터널내부에서전송됨. Trustsec PAC: 환경또는정책새로고침을수행할때권한부여에사용됩니다. 이러한모든 PAC는일반적으로 0단계에서자동으로전달됩니다. PAC의일부 ( 터널, 머신, Trustsec) 도수동으로전달할수있습니다. PAC 가생성되는경우 터널 PAC: 이전에사용하지않은경우성공적인인증 ( 내부방법 ) 후에프로비저닝됨 권한부여 PAC: 인증성공후프로비저닝됨 ( 내부방법 )( 이전에사용되지않음 ) 컴퓨터 PAC: 이전에사용되지않거나권한부여 PAC가사용되지않는경우, 성공적인머신인증 ( 내부방법 ) 후에프로비저닝됨이는터널 PAC가만료될때제공되지만, 인증 PAC가만료될때는제공되지않습니다.EAP 체이닝이활성화되거나비활성화되면프로비저닝됩니다. 참고 : 각 PAC 프로비저닝에는다음활용사례를제외하고성공적인인증이필요합니다. 권한이있는사용자가 AD 계정이없는컴퓨터에대해머신 PAC 를요청합니다. 다음표에는프로비저닝및사전대응적업데이트기능이요약되어있습니다. PAC 유형터널 v1/v1a/cts 컴퓨터 Ahthorization( 권한부프로비저닝요청시 PAC 인증된프로비저닝에서예인증된프로비저닝만제공터널 PAC가요청된경이인증에서사용되지인증요청시 PAC 제공예예경우에만 사전업데이트 예 아니요 아니요 실패한 PAC 기반인증 ( 예 : PAC가만료된경우 ) 후 PAC 프로비저닝으로다시전환할때 거부및새기능제공안함거부및새기능제공안함거부및새기능제공안 ACS 4.x PAC 지원터널 PAC v1/v1a 용예아니요 EAP-FAST 서버마스터키 ACS 4.x 와 ACS 5x 및 ISE 비교

4 ACS 4.x 와 ISE 를비교할때마스터키처리에약간의차이가있습니다. 기능 ACS ACS 5.x / ISE 마스터키 PAC 새로고침 마스터키에 TTL 이있으며활성, 폐기또는만료될수있습니다. PAC 암호화에사용된마스터키가만료되지않는한 PAC 가만료될때서버에서 PAC 업데이트를보냅니다. 마스터키는구성된기간마다시드에서자동으로생성됩니다. 특정마스터키는항상액세스가능하며만료되지않음 PAC 업데이트는 PAC 만료시점이전의특정구성가능한기간에수행된첫번째인증성공후서버에서전송됩니다. 즉, ISE 는모든이전마스터키를유지하고기본적으로매주한번새마스터키를생성합니다. 마스터키가만료될수없으므로 PAC TTL 만검증됩니다. ISE 마스터키생성기간은 Administration( 관리 ) -> Settings( 설정 ) -> Protocol( 프로토콜 ) -> EAP- FAST -> EAP-FAST Settings(EAP-FAST 설정 ) 에서구성됩니다. 세션다시시작 이는터널 PAC 사용을허용하는중요한구성요소입니다. 인증서사용없이 TLS 터널재협상이가능합니다. EAP-FAST 에대한두가지세션재시작유형이있습니다. 서버상태기반및상태비저장 (PAC 기반 ) 서버상태 표준 TLS 기반메서드는서버에캐시된 TLS SessionID 를기반으로합니다.TLS Client Hello 를보내는클라이언트는세션을재개하기위해 SessionID 를연결합니다. 세션은익명 TLS 터널을사용할때 PAC 프로비저닝에만사용됩니다.

5 상태비저장 (PAC 기반 ) 사용자 / 머신권한부여 PAC 는피어에대한이전인증및권한부여상태를저장하는데사용됩니다. 클라이언트측재시작은 RFC 4507 을기반으로합니다. 서버는데이터를캐시할필요가없습니다. 대신클라이언트는 TLS Client Hello SessionTicket 확장에 PAC 를연결합니다. 그러면 PAC 는서버에의해검증됩니다. 서버에전달된터널 PAC 를기반으로한예 :

6 AnyConnect NAM 구현 빠른재연결을통해클라이언트측 (AnyConnect NAM) 에서활성화되지만권한부여 PAC 사용만제어하는데사용됩니다.

7 설정이비활성화된상태에서 NAM 은터널 PAC 를사용하여 TLS 터널을구축합니다 ( 인증서필요없음 ). 그러나즉시사용자및머신권한부여를수행하기위해권한부여 PAC 를사용하지않습니다. 따라서내부방법을사용하는 2 단계가항상필요합니다. ISE 에는스테이트리스세션재개를활성화하는옵션이있습니다. 그리고 NAM 과마찬가지로이는단지 Authorization PAC 를위한것입니다. 터널 PAC 사용은 "Use PACs(PAC 사용 )" 옵션으로제어됩니다.

8 옵션이활성화된경우 NAM 은 PAC 를사용하려고시도합니다.ISE 에서 "Don't Use PACs(PACs 사용안함 )" 가구성되고 ISE 가 TLS 확장에서터널 PAC 를수신하면다음오류가보고되고 EAP 실패가반환됩니다. 여기에삽입 ISE 에서는 TLS SessionID( 전역 EAP-FAST 설정에서 ) 를기반으로세션재개를활성화해야합니다. 기본적으로비활성화되어있습니다.

9 세션재개유형은하나만사용할수있습니다.SessionID 기반은 PAC-less 구축에만사용되며 RFC 4507 기반은 PAC 구축에만사용됩니다. PAC 프로비저닝 (0 단계 ) PAC 는단계 0 에서자동으로프로비저닝될수있습니다. 단계 0 은다음과같이구성됩니다. TLS 터널설정 인증 ( 내부방법 ) PAC는 PAC TLV( 및 PAC TLV Acknowledgement) 를통해 TLS 터널내에서성공적인인증후전달됩니다. 익명 TLS 터널 PKI 인프라가없는구축의경우익명 TLS 터널을사용할수있습니다. 익명 TLS 터널은서버또는클라이언트인증서없이 Diffie Hellman 암호그룹을사용하여구축됩니다. 이러한접근방식은 Man in the Middle 공격 ( 가장 ) 에영향을주기쉽습니다. 이옵션을사용하려면 NAM 에다음구성옵션이필요합니다. "PAC 를사용하면인증되지않은 PAC 프로비저닝이허용됩니다."(PKI 인프라가없으면인증서기반내부방법을사용할수없기때문에비밀번호기반내부방법에만적합합니다.) 또한 ISE 는 Authentication Allowed Protocols( 인증허용프로토콜 ) 아래에다음과같이구성해야합니다. " 익명대역내 PAC 프로비저닝허용 " 익명대역내 PAC 프로비저닝이 TrustSec NDAC 구축 ( 네트워크디바이스간에협상된 EAP-FAST 세션 ) 에서사용되고있습니다. 인증된 TLS 터널 가장안전하고권장되는옵션입니다.TLS 터널은신청자가검증한서버인증서를기반으로구축됩니다. 이렇게하려면서버측에만 PKI 인프라가필요합니다. ISE 에필요합니다 (NAM 에서는 "Validate Server Identity" 옵션을비활성화할수있습니다 ). ISE 의경우두가지추가옵션이있습니다. 일반적으로 PAC 프로비저닝후, 신청자가 PAC 를사용하여재인증하도록강제하는액세스거부전송해야합니다. 그러나 PAC 가인증과함께 TLS 터널에제공되었으므로전체프로세스를단축하고 PAC 프로비저닝직후에 Access-Accept 를반환할수있습니다. 두번째옵션은클라이언트인증서를기반으로 TLS 터널을구축합니다 ( 엔드포인트에서 PKI 구축이필요함 ). 이를통해상호인증을통해 TLS 터널을구축할수있으며, 내부방법을건너뛰고 PAC 프

10 로비저닝단계로바로이동합니다. 여기서주의해야합니다. 경우에따라신청자가 ISE 에서신뢰하지않는인증서 ( 다른용도로사용 ) 를표시하고세션이실패합니다. EAP 연결 하나의 RADIUS/EAP 세션내에서사용자및머신인증을허용합니다. 여러 EAP 방법을함께연결할수있습니다. 첫번째인증 ( 일반적으로머신 ) 이성공적으로완료되면서버는성공을나타내는중간결과 TLV( 내부 TLS 터널 ) 를보냅니다. 해당 TLV 는 Crypto-Binding TLV 요청과함께사용해야합니다. 암호화바인딩은서버와피어가모두특정인증시퀀스에참여했음을입증하는데사용됩니다. 암호화바인딩프로세스에서는 1 단계및 2 단계의키자료를사용합니다. 또한다음 TLV 를하나더추가합니다.EAP-Payload(EAP- 페이로드 ) - 새세션을시작합니다 ( 일반적으로사용자에대해 ). ISE(Radius Server) 가 Crypto-Binding TLV 응답을수신하고이를검증하면다음 EAP 방법이로그에표시되고다음 EAP 방법이시도됩니다 ( 일반적으로사용자인증을위해 ) EAP-FAST cryptobinding verification passed 암호화바인딩검증이실패하면전체 EAP 세션이실패합니다. 인증내에서실패한인증이계속정상인경우 ISE 는관리자가권한부여조건 NetworkAccess:EapChainingResult 를기반으로여러연결결과를구성할수있습니다. EAP-FAST 사용자및머신인증이활성화되면 NAM 에서 EAP 체이닝이자동으로활성화됩니다. ISE 에서 EAP 체이닝이구성되어야합니다. PAC 파일이저장되는위치 기본적으로 Tunnel 및 Machine PAC 는 C:\ProgramData\Cisco\Cisco AnyConnect Secure Mobility Client\Network Access Manager\system\internalConfiguration.xml 섹션에 <credential> 에저장됩니다. 암호화된형태로저장됩니다.

11 권한부여 PAC 는메모리에만저장되며리부팅또는 NAM 서비스를다시시작한후에제거됩니다. 터널또는시스템 PAC 를제거하려면서비스를다시시작해야합니다. AnyConnect NAM 3.1 vs 4.0 관리자는 AnyConnect 3.x NAM 프로파일편집기를사용하여 PAC 를수동으로구성할수있습니다. 이기능은 AnyConnect 4.x NAM 프로파일편집기에서제거되었습니다.

12 이기능을제거하기로결정한것은 CSCuf31422 및 CSCua13140 을기반으로합니다. 예 네트워크다이어그램 모든예는다음네트워크토폴로지를사용하여테스트되었습니다. 무선을사용할때도마찬가지입니다. 사용자및머신 PAC 와 EAP 연결없이 EAP-Fast 기본적으로 ISE 에서 EAP_chaining 이비활성화됩니다. 그러나시스템및권한부여 PAC 를비롯한다른모든옵션이활성화됩니다. 신청자에이미유효한시스템및터널 PAC 가있습니다. 이플로우에서는 ISE 에별도의로그가있는두개의개별인증 ( 시스템에대해하나씩, 사용자에대해하나씩 ) 이있습니다.ISE 에의해로깅된기본단계. 첫번째인증 ( 컴퓨터 ): 서플리컨트가시스템 PAC와함께 TLS 클라이언트 hello를보냅니다. 서버가머신 PAC를검증하고 TLS 터널을구축합니다 ( 사용된인증서없음 ). 서버는시스템 PAC를확인하고 Active Directory에서계정조회를수행하고내부방법을건너뜁니다 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated Extracted first TLS record; TLS handshake started Received Machine PAC Extracted TLS ClientHello message Prepared TLS ServerHello message Prepared TLS ChangeCipherSpec message TLS handshake succeeded EAP-FAST built PAC-based tunnel for purpose of authentication Account validation succeeded User's Attributes retrieval from Active Directory succeeded - example.com

13 12124 EAP-FAST inner method skipped Prepared EAP-Success Returned RADIUS Access-Accept 두번째인증 ( 사용자 ): 서플리컨트가터널 PAC와함께 TLS 클라이언트 Hello를전송합니다. 서버는 PAC를검증하고 TLS 터널을구축합니다 ( 사용된인증서없음 ). 서플리컨트에권한부여 PAC가없으므로내부방법 (EAP-MSCHAP) 인증에사용됩니다 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated Extracted first TLS record; TLS handshake started Received Tunnel PAC Extracted TLS ClientHello message Prepared TLS ServerHello message Prepared TLS ChangeCipherSpec message TLS handshake succeeded EAP-FAST built PAC-based tunnel for purpose of authentication EAP-FAST inner method started Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge User authentication against Active Directory succeeded - example.com Prepared EAP-Success Returned RADIUS Access-Accept ISE 의상세보고서의 " 기타특성 " 섹션에서사용자및머신인증에대해다음과같이표시됩니다. EapChainingResult: No chaining PAC 빠른재연결을통한 EAP 연결을사용하는 EAP-Fast 이흐름에서신청자는사용자및머신권한부여 PAC 와함께이미유효한터널 PAC 를가지고있습니다. 서플리컨트가터널 PAC와함께 TLS 클라이언트 Hello를전송합니다. 서버는 PAC를검증하고 TLS 터널을구축합니다 ( 사용된인증서없음 ). ISE는 EAP 체인을시작하고, 신청자는 TLS 터널내에서 TLV를사용하여사용자및시스템에대한권한부여 PAC를연결합니다. ISE는권한부여 PACs( 내부방법필요없음 ) 를확인하고, Active Directory에계정이있는지확인 ( 추가인증없음 ), 성공반환 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated Extracted first TLS record; TLS handshake started Received Tunnel PAC Extracted TLS ClientHello message Prepared TLS ServerHello message Prepared TLS ChangeCipherSpec message TLS handshake succeeded EAP-FAST built PAC-based tunnel for purpose of authentication

14 12209 Starting EAP chaining Received User Authorization PAC Received Machine Authorization PAC User's Attributes retrieval from Active Directory succeeded - example.com Machine Attributes retrieval from Active Directory succeeded - example.com Prepared EAP-Success Returned RADIUS Access-Accept ISE의상세보고서의 " 기타특성 " 섹션에서다음과같은내용이표시됩니다. EapChainingResult: EAP Chaining 또한사용자및머신자격증명이아래와같은로그에포함됩니다. Username: cisco,host/mgarcarz-pc PAC 없이 EAP 연결을사용하는 EAP-Fast 이흐름에서 NAM 은 PAC 를사용하지않도록구성되며 ISE 는 PAC 를사용하지않도록구성됩니다 ( 그러나 EAP 체이닝으로 ). 서플리컨트가터널 PAC 없이 TLS 클라이언트 Hello를보냅니다. 서버는 TLS 인증서및인증서요청페이로드로응답합니다. 서플리컨트가서버인증서를신뢰해야하며클라이언트인증서를전송하지않습니다 ( 인증서페이로드는 0). TLS 터널이구축됩니다. ISE는 TLS 터널내에서클라이언트인증서에대한 TLV 요청을전송하지만서플리컨트는그렇지않습니다 ( 계속하려면 TLV를가질필요가없음 ). MSCHAPv2 인증과함께내부방법을사용하여사용자에대한 EAP 체이닝을시작합니다. MSCHAPv2 인증과함께내부방법을사용하여머신인증을계속합니다. 프로비저닝중인 PAC가없습니다 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated Extracted first TLS record; TLS handshake started Extracted TLS ClientHello message Prepared TLS ServerHello message Prepared TLS Certificate message Prepared TLS CertificateRequest message Extracted TLS Certificate message containing client certificate Extracted TLS ClientKeyExchange message TLS handshake succeeded Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel Started renegotiated TLS handshake Extracted EAP-Response containing EAP-FAST challenge-response Extracted TLS Certificate message containing client certificate Extracted TLS ClientKeyExchange message Extracted TLS Finished message Prepared TLS ChangeCipherSpec message Prepared TLS Finished message

15 12226 Started renegotiated TLS handshake Client certificate was requested but not received inside the tunnel. Will continue with inner method EAP-FAST PAC-less full handshake finished successfully Starting EAP chaining Selected identity type 'User' Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge User authentication against Active Directory succeeded - example.com Selected identity type 'Machine' Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge Machine authentication against Active Directory is successful - example.com Prepared EAP-Success Returned RADIUS Access-Accept EAP 연결권한부여 PAC 만료를사용하는 EAP-Fast 이흐름에서신청자는유효한터널 PAC 를가지고있지만권한부여 PAC 가만료되었습니다. 서플리컨트가터널 PAC와함께 TLS 클라이언트 Hello를전송합니다. 서버는 PAC를검증하고 TLS 터널을구축합니다 ( 사용된인증서없음 ). ISE는 EAP 체인을시작하고, 신청자는 TLS 터널내에서 TLV를사용하여사용자및머신에대한권한부여 PAC를연결합니다. PAC가만료되면사용자와머신모두에대한내부방법이시작됩니다 (EAP-MSCHAP). 두인증이모두성공하면사용자및머신권한부여 PAC가모두프로비저닝됩니다 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated Extracted first TLS record; TLS handshake started Received Tunnel PAC Extracted TLS ClientHello message Prepared TLS ServerHello message Prepared TLS ChangeCipherSpec message TLS handshake succeeded EAP-FAST built PAC-based tunnel for purpose of authentication Starting EAP chaining User Authorization PAC has expired - will run inner method Machine Authorization PAC has expired - will run inner method Selected identity type 'User' Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge User authentication against Active Directory succeeded - example.com Selected identity type 'Machine' Machine authentication against Active Directory is successful - example.com Successfully finished EAP-FAST user authorization PAC provisioning/update

16 12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update Prepared EAP-Success Returned RADIUS Access-Accept EAP 연결터널 PAC 가만료된 EAP-Fast 유효한터널 PAC 가없을경우이흐름에서내부단계를사용한전체 TLS 협상이발생합니다. 서플리컨트가터널 PAC 없이 TLS 클라이언트 Hello 를전송합니다. 서버는 TLS 인증서및인증서요청페이로드로응답합니다. 서플리컨트는서버인증서를신뢰해야하며클라이언트인증서를전송하지않습니다 ( 인증서페이로드는 0). TLS 터널이구축됩니다. ISE는 TLS 터널내에서클라이언트인증서에대한 TLV 요청을전송하지만서플리컨트는그렇지않습니다 ( 계속하려면 TLV를가질필요가없음 ). MSCHAPv2 인증과함께내부방법을사용하여사용자에대한 EAP 체이닝을시작합니다. MSCHAPv2 인증과함께내부방법을사용하여머신인증을계속합니다. 모든 PAC를프로비저닝했습니다 (ISE 컨피그레이션에서활성화됨 ) Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated Extracted first TLS record; TLS handshake started Extracted TLS ClientHello message Prepared TLS ServerHello message Prepared TLS Certificate message Prepared TLS CertificateRequest message Prepared EAP-Request with another EAP-FAST challenge Returned RADIUS Access-Challenge Received RADIUS Access-Request TLS handshake succeeded Client certificate was requested but not received during tunnel establishment. Will renegotiate and request client certificate inside the tunnel Started renegotiated TLS handshake Extracted EAP-Response containing EAP-FAST challenge-response Extracted TLS Certificate message containing client certificate Extracted TLS ClientKeyExchange message Extracted TLS Finished message Prepared TLS ChangeCipherSpec message Prepared TLS Finished message Started renegotiated TLS handshake Client certificate was requested but not received inside the tunnel. Will continue with inner method EAP-FAST built authenticated tunnel for purpose of PAC provisioning Prepared EAP-Request with another EAP-FAST challenge Returned RADIUS Access-Challenge Received RADIUS Access-Request RADIUS is re-using an existing session Extracted EAP-Response containing EAP-FAST challenge-response Starting EAP chaining Selected identity type 'User' Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge User authentication against Active Directory succeeded - example.com EAP-FAST cryptobinding verification passed Approved EAP-FAST client Tunnel PAC request

17 12202 Approved EAP-FAST client Authorization PAC request Selected identity type 'Machine' Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge Machine authentication against Active Directory is successful - example.com Successfully finished EAP-FAST tunnel PAC provisioning/update Successfully finished EAP-FAST user authorization PAC provisioning/update Successfully finished EAP-FAST machine PAC provisioning/update Successfully finished EAP-FAST machine authorization PAC provisioning/update Prepared EAP-Success Returned RADIUS Access-Accept EAP 연결및익명 TLS 터널 PAC 프로비저닝을사용하는 EAP-Fast 이흐름에서 ISE 및 NAM 익명 TLS 터널은 PAC 프로비저닝 (PAC 프로비저닝을위한 ISE 인증 TLS 터널이비활성화됨 ) 에대해구성됩니다. PAC 프로비저닝요청은다음과같습니다. 서플리컨트가여러암호그룹없이 TLS 클라이언트 Hello를보냅니다. 서버는 TLS Server Hello 및 TLS 익명 Diffie Hellman 암호 ( 예 : TLS_DH_anon_WITH_AES_128_CBC_SHA) 로응답합니다. 서플리컨트가이를수락하고익명 TLS 터널이구축 ( 교환된인증서없음 ) 됩니다. MSCHAPv2 인증과함께내부방법을사용하여사용자에대한 EAP 체이닝을시작합니다. MSCHAPv2 인증과함께내부방법을사용하여머신인증을계속합니다. 익명 TLS 터널이빌드되고있으므로권한부여 PAC는허용되지않습니다. Radius Reject(RADIUS 거부 ) 가반환되어서플리컨트가다시인증 ( 프로비저닝된 PAC 사용 ) 합니다 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated Extracted first TLS record; TLS handshake started Extracted TLS ClientHello message Prepared TLS ServerHello message Prepared TLS ServerKeyExchange message Prepared TLS ServerDone message Extracted TLS ClientKeyExchange message Extracted TLS Finished message Prepared TLS ChangeCipherSpec message Prepared TLS Finished message TLS handshake succeeded EAP-FAST built anonymous tunnel for purpose of PAC provisioning Starting EAP chaining Selected identity type 'User' Prepared EAP-Request for inner method proposing EAP-MSCHAP with challenge User authentication against Active Directory succeeded - example.com Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning

12200 Approved EAP-FAST client Tunnel PAC request 12219 Selected identity type 'Machine' 24470 Machine authentication against Active Directory is successful - example.

18 12200 Approved EAP-FAST client Tunnel PAC request Selected identity type 'Machine' Machine authentication against Active Directory is successful - example.com Cannot provision Authorization PAC on anonymous provisioning. Authorization PAC can be provisioned only on authenticated provisioning Successfully finished EAP-FAST tunnel PAC provisioning/update Successfully finished EAP-FAST machine PAC provisioning/update Prepared EAP-Failure Returned RADIUS Access-Reject 익명 TLS 터널협상을위한 Wireshark 패킷캡처 : EAP 연결사용자인증만있는 EAP-Fast 이흐름에서 AnyConnect NAM with EAP-FAST and User (EAP-TLS) and Machine authentication

19 (EAP-TLS) 이구성됩니다.Windows PC 가부팅되지만사용자자격증명이제공되지않습니다. 스위치가 802.1x 세션을시작합니다. 그러나 NAM 은응답해야합니다. 그러나사용자자격증명이제공되지않습니다 ( 사용자저장소및인증서에대한액세스권한이아직없음 ). 사용자인증이실패하는동안시스템이성공합니다. - ISE authz 조건 "Network Access:EapChainingResult EQUALS User failed and machine succeeded" 가충족됩니다. 나중에사용자가로그인하고다른인증이시작되며사용자와시스템모두성공합니다. 서플리컨트가시스템 PAC와함께 TLS 클라이언트 hello를보냅니다. 서버가 TLS 암호변경사양에응답합니다. TLS 터널은해당 PAC를기반으로즉시구축됩니다. ISE는 EAP 체이닝을시작하고사용자 ID를요청합니다. 서플리컨트가대신머신 ID를제공합니다 ( 사용자가아직준비되지않음 ). EAP-TLS 내부방법을완료합니다. ISE가사용자 ID를다시요청합니다. 신청자가이를제공할수없습니다. ISE는중간결과 = 실패 ( 사용자인증용 ) 로 TLV를보냅니다. ISE는최종 EAP 성공메시지, ISE 조건네트워크액세스 :EapChainingResult EQUALS 사용자실패및머신성공을반환합니다 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated Extracted first TLS record; TLS handshake started Received Machine PAC Extracted TLS ClientHello message Prepared TLS ServerHello message Prepared TLS ChangeCipherSpec message Prepared TLS Finished message TLS handshake succeeded EAP-FAST built PAC-based tunnel for purpose of authentication Starting EAP chaining Selected identity type 'User' Identity type provided by client is not equal to requested type Client suggested 'Machine' identity type instead Extracted EAP-Response containing EAP-FAST challenge-response Extracted EAP-Response/NAK for inner method requesting to use EAP-TLS instead Extracted TLS ClientHello message Prepared TLS ServerHello message Prepared TLS Certificate message Prepared TLS CertificateRequest message TLS handshake succeeded EAP-TLS full handshake finished successfully Identity name is taken from certificate attribute Selected Identity Source - Test-AD Identity resolution detected single matching account Approved EAP-FAST client Authorization PAC request Selected identity type 'User' Identity type provided by client is not equal to requested type Identity type provided by client was already used for authentication Sent EAP Intermediate Result TLV indicating failure

20 12179 Successfully finished EAP-FAST machine authorization PAC provisioning/update EAP-FAST authentication phase finished successfully Prepared EAP-Success Returned RADIUS Access-Accept EAP 연결및일관성없는익명 TLS 터널설정을사용하는 EAP-Fast 이흐름에서 ISE 는익명 TLS 터널을통해서만 PAC 프로비저닝에대해구성되지만 NAM 은인증된 TLS 터널을사용중이며 ISE 는다음을기록합니다 Extracted EAP-Response containing EAP-FAST challenge-response and accepting EAP-FAST as negotiated Extracted first TLS record; TLS handshake started Extracted TLS ClientHello message Prepared TLS Alert message TLS handshake failed Client didn't provide suitable ciphers for anonymous PAC-provisioning Prepared EAP-Failure Returned RADIUS Access-Reject 이문제는 NAM 이특정 TLS 암호를사용하여인증된 TLS 터널을구축하려고할때발생합니다. 이터널은익명 TLS 터널에대해구성된 ISE 에서수락되지않습니다 (DH 암호만적용 ). 문제해결 ISE 자세한로그를보려면해당 PSN 노드에서 Runtime-AAA 디버그를활성화해야합니다. 다음은 prrtserver.log 의로그예입니다. 시스템 PAC 생성 : DEBUG,0x7fd5332fe700,cntx= ,sesn=mgarcarz- ise14/ /29245,cpmsessionid=0a3e946d00000fe5131f9d26,callingstationid=00-50-b6-11-ed- 31,FramedIPAddress= ,Using IID from PAC request for machine,eapfasttlv.cpp:1234 DEBUG,0x7fd5332fe700,cntx= ,sesn=mgarcarz- ise14/ /29245,cpmsessionid=0a3e946d00000fe5131f9d26,callingstationid=00-50-b6-11-ed- 31,FramedIPAddress= ,Adding PAC of type=machine Authorization,EapFastProtocol.cpp:3610 DEBUG,0x7fd5332fe700,cntx= ,sesn=mgarcarz- ise14/ /29245,cpmsessionid=0a3e946d00000fe5131f9d26,callingstationid=00-50-b6-11-ed- 31,FramedIPAddress= ,Eap-Fast: Generating Pac, Issued PAC type=machine Authorization with expiration time: Fri Jul 3 10:38: PAC 요청승인 : INFO,0x7fd5330fc700,cntx= ,sesn=mgarcarzise14/ /29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarzpc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress= ,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=machine,eapfastprotocol.cpp:955 INFO,0x7fd5330fc700,cntx= ,sesn=mgarcarzise14/ /29245,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarzpc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress= ,Eap-Fast: client PAC request approved for PAC type - Requested PAC type=machine Authorization,EapFastProtocol.cpp:955

21 PAC 검증 : DEBUG,0x7fd5330fc700,cntx= ,sesn=mgarcarz- ise14/ /29243,cpmsessionid=0a3e946d00000fe5131f9d26,user=anonymous,callingstationid=00-50-b6-11-ed-31,framedipaddress= ,authorization PAC is valid,eapfastprotocol.cpp:3403 Eap, :34:39,208,DEBUG,0x7fd5330fc700,cntx= ,sesn=mgarcarz- ise14/ /29243,cpmsessionid=0a3e946d00000fe5131f9d26,user=anonymous,callingstationid=00-50-b6-11-ed-31,framedipaddress= ,authorization PAC accepted,eapfastprotocol.cpp:3430 PAC 생성을위한성공적인요약예 : DEBUG,0x7fd5331fd700,cntx= ,sesn=mgarcarz- ise14/ /29245,cpmsessionid=0a3e946d00000fe5131f9d26,user=cisco,callingstationid= B6-11-ED-31,FramedIPAddress= ,Conversation summary: Provisioning. Authenticated. Inner method succeeded. Inner method succeeded. Generated PAC of type Tunnel V1A. Generated PAC of type User Authorization. Generated PAC of type Machine. Generated PAC of type Machine Authorization. Success PAC 검증을위한성공적인요약예 : DEBUG,0x7fd5330fc700,cntx= ,sesn=mgarcarzise14/ /29243,CPMSessionID=0A3E946D00000FE5131F9D26,user=host/mgarcarzpc,CallingStationID=00-50-B6-11-ED-31,FramedIPAddress= ,Conversation summary: Authentication. PAC type Tunnel V1A. PAC is valid.skip inner method. Skip inner method. Success AnyConnect NAM NAM 의 DART 로그에는다음세부정보가제공됩니다. 비 EAP 연결세션, 빠른재연결없이머신인증의예 : EAP: Identity requested Auth[eap-fast-pac:machine-auth]: Performing full authentication Auth[eap-fast-pac:machine-auth]: Disabling fast reauthentication 권한부여 PAC 조회예 ( 비 EAP 연결세션에대한머신인증 ): Looking for matching pac with iid: host/admin-pc2 Requested machine pac was sen MSCHAP 의모든내부방법상태는아래로그에서확인할수있습니다. EAP (0) EAP-MSCHAP-V2: State: 0 (eap_auth_mschapv2_c.c 731 EAP (0) EAP-MSCHAP-V2: State: 2 (eap_auth_mschapv2_c.c 731 EAP (0) EAP-MSCHAP-V2: State: 1 (eap_auth_mschapv2_c.c 731 EAP (0) EAP-MSCHAP-V2: State: 4 (eap_auth_mschapv2_c.c 73 NAM 은모든 EAP 패킷을캡처하여 pcap 파일에저장할확장로깅기능의컨피그레이션을허용합니다. 이는로그온전시작기능에특히유용합니다 (EAP 패킷은사용자로그온전에발생하는인증에도캡처됨 ). 기능활성화에대해서는 TAC 엔지니어에게문의하십시오. 참조

22 Cisco AnyConnect Secure Mobility Client 관리자가이드, 릴리스 4.0 EAP-FAST 컨피그레이션 Cisco Identity Services Engine 관리자가이드, 릴리스 1.4 EAP-FAST 권장사항 Cisco Identity Services Engine 설계가이드 AnyConnect NAM 및 Cisco ISE로 EAP 체이닝구축 기술지원및문서 Cisco Systems

歯규격(안).PDF

歯규격(안).PDF ETRI ETRI ETRI ETRI WTLS PKI Client, WIM IS-95B VMS VLR HLR/AC WPKI Cyber society BTS BSC MSC IWF TCP/IP Email Server Weather Internet WAP Gateway WTLS PKI Client, WIM BSC VMS VLR HLR/AC Wireless Network