잔글 (→Reject Delay) |
(→고급) |
||
| 52번째 줄: | 52번째 줄: | ||
이 설정은 RADIUS 구성 항목에서 설정할 수 있으며 이 설정을 통해 Access-Reject를 일정 시간(초) 지연 후 전송 할 수 있습니다. 이 기능은 Dos 공격 도는 Brute-force 공격으로 인한 취약성을 보완할 수 있습니다. | 이 설정은 RADIUS 구성 항목에서 설정할 수 있으며 이 설정을 통해 Access-Reject를 일정 시간(초) 지연 후 전송 할 수 있습니다. 이 기능은 Dos 공격 도는 Brute-force 공격으로 인한 취약성을 보완할 수 있습니다. | ||
값을 0으로 설정하면 Access-Reject를 즉시 전송합니다. 설정가능 범위는 0~5초 이며 권장 값은 1입니다. | 값을 0으로 설정하면 Access-Reject를 즉시 전송합니다. 설정가능 범위는 0~5초 이며 권장 값은 1입니다. | ||
| − | |||
| − | |||
| − | |||
| − | |||
==== Reject2ban ==== | ==== Reject2ban ==== | ||
[[Reject2ban|Reject2ban]]을 참고하세요. | [[Reject2ban|Reject2ban]]을 참고하세요. | ||
2023년 10월 18일 (수) 18:14 판
RADIUS > 설정 > 일반
데이터 유지
| 항목 | 설명 |
|---|---|
| 외부 데이터베이스 사용자 캐시 | 외부 데이터베이스를 통해 승인된 username과 password를 로컬 데이터베이스에 지정된 기간동안 저장합니다. 이 기능을 사용하면 매번 외부 데이터베이스를 통해 사용자 확인을 하지 않으므로 외부 데이터베이스로에 |
| 로컬 데이터베이스 사용자 | 사용되지 않는 로컬 데이터베이스 사용자 정보를 삭제할 수 있습니다. 이 기능을 사용하지 않으려면 선택을 해제 하세요. |
| NAS-ID 캐시 | NAS-ID는 자동으로 수집되어 저장되는데 지정된 기간 이상 발견되지 않는 NAS-ID를 자동으로 삭제합니다. |
로컬 데이터베이스 사용자 비밀번호 정책
RADIUS 사용자의 비밀번호 길이 및 복잡도를 설정할 수 있습니다. 새로운 RADIUS 사용자를 생성할때 이 정책이 적용됩니다.
비밀번호 초기화
비밀번호 초기화는 로컬 데이터베이스에 생성되어있는 사용자의 비밀번호를 초기화하는 것으로 PASSWORD 방식과 OTP 방식이 존재합니다.
비밀번호가 초기화되면 임시 비밀번호가 발급되고 해당 사용자의 무선랜 인증은 일시적으로 거부됩니다. 무선랜 사용자는 "비밀번호 변경"페이지를 통해 초기화를 통해 생성된 임시 비밀번호를 이용하여 새로운 비밀번호를 설정해야 무선랜 인증이 허용됩니다.
무선랜 사용자가 자신의 비밀번호를 변경 할 수 있는 페이지는 사용자 신청 메뉴에서 구성할 수 있습니다.
- PASSWORD: 비밀번호 초기화 후 임시 비밀번호가 지정된 비밀번호로 저장(모든 사용자에 동일한 비밀번호 설정)
- OTP: 비밀번호 초기화 후 임시 비밀번호가 무작위 6자리의 숫자로 생성(사용자마다 다른 비밀번호 생성)
다음은 비밀번호 초기화 과정에 대한 기본 흐름입니다.
- 무선랜 사용자가 비밀번호 초기화 요청
- 관리자가 비밀번호 초기화 후 생성된 임시 비밀번호 통보
- 무선랜 사용자는 Captive Portal 또는 기타 방법으로 비밀번호 변경 페이지 접속
- 무선랜 사용자가 임시 비밀번호를 이전 비밀번호로 입력 후 새로운 비밀번호 생성 후 저장
- ssid 변경 후 새로운 비밀번호로 무선랜 접속
EAP(Extensible Authentication Protocol)
기본 EAP 유형은 TTLS(Tunneled Transport Layer Security)와 PEAP(protected extensible authentication protocol)가 있으면 어떠한것을 선택해도 무관합니다.
2단계 인증 PAP(Password Authentication Protocol)은 사용하지 않을 경우 Windows 10 또는 11 단말은 인증이 거부될 수 있습니다. 이러한 환경에서 사용자 또는 그룹 단위로 PAP 사용을 허용하려면 인증 속성에 PAP-Auth-Allow := 1 attribute를 사용하면됩니다. 반대로 2단계 PAP 인증을 허용한 상태에서 특정 사용자 혹은 그룹에 대해 PAP 사용을 제한하려면 PAP-Auth-Deny :=1 attribute를 추가하면됩니다.
나머지 설정은 기본으로 사용하시면 되며 지원 가능한 TLS 버전은 고급을 클릭하시면 설정할 수 있습니다.
Windows 10의 경우 TLS 1.0을 사용하므로 TLS 1.0 ~ 1.2을 사용을 권장합니다.
RADIUS 구성
쓰레드(Thread) 관련 설정은 수신되는 요청을 처리 할 수 있는 쓰레드의 개수를 정의하며 적당한 크기의 쓰레드 풀은 많은 요청에 대해 빠른 속도로 응답을 송신 할 수 있습니다.
쓰레드 관련 설정은 기본 값 사용을 권장합니다.
Reject Delay
이 설정은 RADIUS 구성 항목에서 설정할 수 있으며 이 설정을 통해 Access-Reject를 일정 시간(초) 지연 후 전송 할 수 있습니다. 이 기능은 Dos 공격 도는 Brute-force 공격으로 인한 취약성을 보완할 수 있습니다. 값을 0으로 설정하면 Access-Reject를 즉시 전송합니다. 설정가능 범위는 0~5초 이며 권장 값은 1입니다.
Reject2ban
Reject2ban을 참고하세요.