게시 날짜: 2006년 8월 29일
이 페이지에서
소개
스마트 카드 기술
원격 액세스 VPN에 스마트 카드 로그온을 사용하는 시나리오
요약
소개
점차 팽창하는 시장에서 비용을 절감하는 동시에 경쟁 우위를 갖춰야 할 필요성으로 인한 통신 기술의 발달을 통해 기업은 통신 채널을 365일 하루 24시간 내내 유지 관리할 수 있을 뿐 아니라 원격지의 비즈니스 데이터 및 서비스에 연결할 수 있게 되었습니다.
기업과 개인은 컴퓨터를 사용하여 인터넷으로 전 세계의 데이터를 전달하고 공유할 수 있으므로 비즈니스 관련 비용은 절감하면서 뛰어난 접근성, 확장성, 성능을 누릴 수 있게 되었습니다. 그러나 인터넷은 보안성이 떨어지고 기업이 사용하기에 적대적인 환경이라고 할 수 있습니다. 문제는 필요한 수준의 데이터와 통신 보안을 유지하면서 인터넷이 제공하는 장점을 최대한 활용하는 것입니다.
VPN(가상 사설망)은 안전한 인증 및 암호화 메커니즘 등 수많은 보안 기능을 제공하므로 VPN을 통해 기업은 인터넷을 활용하면서 데이터와 통신 채널의 노출 수준을 제한할 수 있습니다.
이 가이드를 읽어야 할 사람
이 가이드는 VPN 서비스를 네트워크 환경에 배포하는 IT 직원을 대상으로 합니다.
이 가이드의 정보는 네트워크에 안전한 원격 액세스를 제공해야 하는 중소 기업에 적용됩니다.
개요
네트워크 리소스에 대한 원격 VPN 액세스를 구성할 때 작업 시 네트워크에 액세스하는 데 사용한 것과 동일한 자격 증명(네트워크 사용자 이름과 암호)을 사용할 수 있습니다. 그러나 이것은 가장 안전한 솔루션이라고 보기 어렵습니다. 명함이나 문서에 보통 사용자 이름이 있기 마련인데, 이러한 사용자 이름은 시행착오(Trial-and-Error) 공격을 받기 쉽습니다. 제3자가 사용자 이름을 알게 된다면 회사 네트워크를 보호할 수 있는 유일한 보안 메커니즘으로 암호가 남습니다.
암호와 같은 단일 기밀 정보는 효과적으로 보안을 제어하는 수단이 될 수 있습니다. 임의의 문자, 숫자, 특수 문자로 구성된 긴 암호는 풀기가 매우 어렵습니다. 또한 암호 문구는 단일 암호보다 더 강화된 보안을 제공합니다.
안타깝게도 사용자는 항상 복잡한 암호를 기억할 수 없으므로 별도로 기록해 두기도 합니다. 암호 복잡성에 제한이 없는 경우 사용자는 쉽게 유추해낼 수 있는 암호를 만드는 경향이 있습니다.
사용자 이름과 암호 솔루션은 사용자가 아는 사실만 사용하여 네트워크에 액세스하기 때문에 단일 요소라고 합니다. 다중 요소 인증 시스템은 다음과 같은 요구 사항을 조합하여 단일 요소 인증의 문제점을 해결합니다.
사용자가 아는 사실(예: 암호 또는 PIN(개인 식별 번호))
사용자가 가지고 있는 것(예: 하드웨어 토큰 또는 스마트 카드)
사용자 신체의 일부(예: 지문 또는 망막 스캔)
스마트 카드와 관련 PIN은 신뢰성과 비용 면에서 효율성이 뛰어난 이중 인증 방식으로 사용 빈도가 점차 증가하고 있습니다. 사용자가 네트워크 리소스에 액세스하려면 스마트 카드를 보유하고 PIN을 알고 있어야 합니다. 이중 인증 요구 사항을 충족하면 기업의 네트워크에 무단으로 액세스할 가능성이 상당히 줄어듭니다.
VPN의 장점
기업에서 원격 액세스를 위해 민감한 독점 데이터가 포함된 네트워크를 인터넷에 연결해야 한다면 연결이 늘어날수록 상당히 위험한 보안 수준에 노출됩니다.
보안이 취약한 인터넷 환경에서 VPN 솔루션은 운영 비용 절감과 더불어 개인 네트워크 인프라와 연관된 보안을 유지하는 데 많은 도움이 되므로 매우 중요합니다. VPN 솔루션은 보안 터널 연결을 사용하여 데이터를 암호화하고 인증된 사용자만 기업 네트워크에 액세스할 수 있도록 하기 때문에 안전합니다.
VPN은 비즈니스 데이터 보안을 유지하는 데 필요한 여러 가지 인증 방법, 터널링 프로토콜, 암호화 기술을 지원합니다.
VPN 인증 방법은 다음과 같습니다.
PAP(암호 인증 프로토콜)
CHAP(Challenge-Handshake 인증 프로토콜)
MS-CHAP(Microsoft® Challenge-Handshake 인증 프로토콜)
MS-CHAP v2(MS-CHAP 버전 2)
EAP(확장할 수 있는 인증 프로토콜)
VPN 터널링 프로토콜은 다음과 같습니다.
PPTP(지점 간 터널링 프로토콜)
L2TP(계층 2 터널링 프로토콜)
VPN 암호화 프로토콜은 다음과 같습니다.
MPPE(Microsoft Point-to-Point Encryption)
IPsec(IP 보안)
가장 광범위한 Microsoft 클라이언트 운영 체제를 지원하려면 MS-CHAP, PPTP 및 MPPE 버전을 사용하십시오.
Microsoft Windows® 2000 이상에서 EAP, L2TP 및 IPsec을 사용할 경우 매우 뛰어난 수준의 보안을 제공할 수 있습니다.
VPN 인증, 터널링, 암호화에 대한 자세한 내용은 Microsoft TechNet의 Virtual Private Networking: An Overview (영문) 백서 (www.microsoft.com/technet/prodtechnol/windows2000serv/plan/vpnoverview.mspx)를 참조하십시오.
스마트 카드 기술
스마트 카드는 이중 인증을 제공합니다. 이중 인증은 단순한 사용자 이름과 암호 조합의 수준을 넘어, 사용자에게 PIN과 함께 고유한 토큰 형태의 정보를 제공할 것을 요구합니다.
스마트 카드는 신용 카드 크기의 플라스틱 카드로, 마이크로컴퓨터와 소량의 메모리가 포함되어 있으며, 개인 키 및 X.509 보안 인증서에 필요한 안전한 위조 방지 저장소를 제공합니다.
컴퓨터 또는 원격 액세스 연결로 인증하려면 사용자는 스마트 카드를 해당 판독기에 넣고 PIN을 입력해야 합니다. 사용자는 PIN과 스마트 카드 중 하나만으로는 네트워크에 액세스할 수 없습니다. 잘못된 PIN을 여러 번 입력하면 스마트 카드가 잠기므로 스마트 카드 PIN에는 확장된 무작위 침입(Brute-Force) 공격을 할 수 없습니다.
스마트 카드는 데이터를 저장할 수 있는 파일 시스템 형태 및 포함된 운영 체제를 실행합니다. 스마트 카드 운영 체제는 다음 작업을 수행할 수 있어야 합니다.
사용자의 공용 키와 개인 키 저장
관련된 공용 키 인증서 저장
관련된 공용 키 인증서 검색
사용자 대신 개인 키 작업 수행
스마트 카드에 대한 자세한 내용과 Microsoft에서 지원하는 스마트 카드 판독기 목록을 보려면 Microsoft TechNet의 Smart Cards (영문) 항목(www.microsoft.com/technet/security/topics/identitymanagement/scard.mspx)을 참조하십시오.
스마트 카드 배포 요구 사항
원격 액세스 VPN에 스마트 카드 로그온을 지원하려면 컴퓨터 시스템에 특정 하드웨어 및 소프트웨어 구성 요소가 있어야 합니다.
스마트 카드 배포 요구 사항과 사양에 대한 자세한 내용은 Microsoft TechNet의 스마트 카드를 사용한 보안 액세스 계획 가이드 (https://www.microsoft.com/korea/technet/security/topics/networksecurity/securesmartcards/default.mspx)를 참조하십시오.
스마트 카드 클라이언트 하드웨어 요구 사항
스마트 카드 VPN 솔루션을 지원하려면 사용자에게 Windows XP를 실행할 수 있는 클라이언트 컴퓨터가 있어야 합니다.
또한 스마트 카드 판독기가 RS-232 직렬, PS/2, PC 카드 또는 USB(범용 직렬 버스) 등의 표준 주변 장치 인터페이스에 연결되어 있어야 합니다.
스마트 카드 클라이언트 소프트웨어 요구 사항
스마트 카드 VPN 솔루션을 지원하려면 원격 액세스 클라이언트에 Windows XP가 있어야 합니다. 또한 서비스 팩 2(SP2)를 설치하는 것이 좋습니다.
각 클라이언트 컴퓨터에는 선택한 스마트 카드를 지원하는 CSP(암호화 서비스 공급자)를 설치해야 합니다. Windows XP에는 여러 가지 스마트 카드 솔루션을 지원하는 CSP가 포함되어 있습니다. 스마트 카드 솔루션 공급업체에서 CSP를 제공할 수도 있습니다. CSP가 수행하는 기능은 다음과 같습니다.
디지털 서명 등의 암호화 기능
개인 키 관리
클라이언트 컴퓨터의 스마트 카드 판독기와 스마트 카드 간의 안전한 통신
각 클라이언트 컴퓨터에는 특정 스마트 카드 판독기에 필요한 장치 드라이버를 설치해야 합니다. 장치 드라이버는 판독기 기능을 Windows XP와 스마트 카드 인프라에서 제공되는 기본 서비스로 매핑합니다. 스마트 카드 판독기 장치 드라이버는 카드 삽입 및 제거 이벤트를 전달하고 카드에 수행되는 데이터 통신 기능을 제공합니다.
연결 관리자는 Windows XP의 표준 기능으로 네트워크, 전화 접속 및 VPN 연결을 쉽게 관리합니다. CMAK(연결 관리자 관리 키트)를 사용하여 연결 관리자 프로필을 사용자 지정하고, 클라이언트에 배포되는 VPN 연결을 자동으로 구성하는 설치 파일을 만들 수 있습니다.
스마트 카드 배포에는 클라이언트의 카드 관리 소프트웨어가 포함될 수 있습니다. 소프트웨어에 스마트 카드 관리, 연결, 보안 도구가 들어 있으므로 스마트 카드 내용을 확인하고 PIN을 재설정하며 다른 인증서를 추가할 수 있습니다.
VPN 서버 하드웨어 요구 사항
VPN 연결은 원격 액세스 서버에 추가 프로세서 로드를 배치합니다. 스마트 카드 로그온은 해당 로드에 명시적으로 추가되지 않습니다. 대용량의 인바운드 연결을 서비스하는 VPN 원격 액세스 서버에는 빠른 프로세서가 장착되어야 하며, 가급적 다중 프로세서로 구성되고 많은 네트워크 처리량을 지원해야 합니다. IPsec 보안 VPN을 사용하는 기업은 IPsec 암호화 프로세스를 네트워크 카드에 있는 별도의 프로세서에 오프로드하는 네트워크 카드를 구현할 수 있습니다.
VPN 서버 소프트웨어 요구 사항
스마트 카드 액세스를 위한 VPN 서버 소프트웨어 요구 사항은 비교적 단순합니다. 원격 액세스 서버는 Windows 2000 Server 이상을 실행하고 라우팅 및 원격 액세스를 사용해야 하며 EAP-TLS(확장할 수 있는 인증 프로토콜-전송 계층 보안)를 지원해야 합니다.
EAP-TLS는 하드웨어 토큰 또는 스마트 카드 등의 보안 장치와 함께 사용하도록 개발된 상호 인증 메커니즘입니다. EAP-TLS는 PPP(지점 간 프로토콜) 및 VPN 연결을 지원하고 IPsec 외에 MPPE의 공유 비밀 키를 교환할 수 있습니다.
EAP-TLS의 주요 장점은 무작위 침입(Brute-Force) 공격을 방어하고 상호 인증을 지원한다는 것입니다. 상호 인증을 사용하면 클라이언트와 서버가 서로 ID를 증명해야 합니다. 클라이언트나 서버가 ID를 확인할 인증서를 보내지 않으면 연결이 종료됩니다.
Microsoft Windows Server™ 2003은 전화 접속 및 VPN 연결에 EAP-TLS를 지원하므로 원격 사용자가 스마트 카드를 사용할 수 있습니다. EAP-TLS에 대한 자세한 내용은 Extensible Authentication Protocol (EAP) (영문) 항목(www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/auth\_eap.mspx)을 참조하십시오.
EAP 인증서 요구 사항에 대한 자세한 내용은 Microsoft 기술 자료 " Certificate Requirements when you use EAP-TLS or PEAP with EAP-TLS "(https://support.microsoft.com/default.aspx?scid=814394)를 참조하십시오.
스마트 카드 배포를 위한 네트워크 인프라 전제 조건
스마트 카드를 사용하려면 운영 체제와 네트워크 요소를 지원하는 적절한 인프라가 필요합니다. 스마트 카드 배포 프로세스를 시작하기 전에 다음 구성 요소가 필요합니다.
사용자 요구 사항
PKI(공개 키 인프라)
인증서 템플릿
Active Directory® 디렉터리 서비스
보안 그룹
등록 스테이션 및 등록 에이전트
사용자 요구 사항
VPN 액세스가 필요한 사용자 및 그룹의 ID는 스마트 카드 배포에서 매우 중요한 부분입니다. 프로젝트 및 관리 비용의 범위를 쉽게 정의할 수 있도록 프로세스 진행 초기에 이 계정을 확인하십시오.
PKI(공개 키 인프라)
스마트 카드 솔루션을 사용하려면 Active Directory에서 계정 매핑을 수행할 수 있도록 PKI에서 공개 키/개인 키 쌍이 있는 인증서를 제공해야 합니다. 이 PKI는 다음 두 가지 방법 중 하나를 사용하여 구현할 수 있습니다. 외부 조직에 내부 인증서 인프라를 제공하거나 Windows Server 2003의 인증서 서비스를 사용합니다. 스마트 카드 솔루션에 Windows Server 2003의 인증서 서비스를 사용하려면 CA(인증 기관)가 엔터프라이즈 CA여야 하며 Active Directory가 필요합니다.
Windows Server 2003의 인증서 서비스에 대한 자세한 내용은 Public Key Infrastructure for Windows Server 2003 (영문) 웹 사이트(www.microsoft.com/windowsserver2003/technologies/pki/default.mspx)를 참조하십시오.
PKI에는 인증서 해지를 처리하는 메커니즘이 있어야 합니다. 인증서가 만료되거나 공격자가 인증서를 손상시킬 경우에 인증서 해지가 필요합니다. 인증서를 해지하여 관리자는 인증서를 사용하는 사람이 액세스하는 것을 거부합니다. 각 인증서에는 CRL(인증서 해지 목록) 위치가 포함되어 있습니다.
인증서 해지 관리 방법에 대한 자세한 내용은 Microsoft TechNet의 인증서 해지 관리 (영문) 항목(https://www.microsoft.com/technet/prodtechnol/windowsserver2003/ko/library/ServerHelp/92a5e655-3eb2-4843-b9cb-58c84c0a91d6.mspx?mfr=true)을 참조하십시오.
PKI를 사용하여 VPN 솔루션의 모든 스마트 카드에 하나의 인증서를 할당할 수 있습니다. VPN 서버가 신뢰하는 CA에서 인증서를 발행해야 합니다. Windows Server 2003의 인증서 서비스를 사용할 경우에는 PKI 루트 인증서를 VPN 서버에 설치해야 합니다.
상호 인증에서는 클라이언트가 신뢰하는 CA에서 VPN 서버에 인증서를 할당해야 합니다. Windows Server 2003의 인증서 서비스를 사용할 경우에는 PKI 루트 인증서를 VPN 클라이언트에 설치해야 합니다.
인증서 템플릿
Windows Server 2003에서는 스마트 카드 솔루션에서 사용할 디지털 인증서를 발행하는 데 필요한 특정 인증서 템플릿을 제공합니다. 스마트 카드에 사용하는 세 가지 인증서 템플릿은 다음과 같습니다.
등록 에이전트 - 승인된 사용자가 다른 사용자에 대해 인증서를 요청할 수 있습니다.
스마트 카드 사용자 - 사용자가 스마트 카드를 사용하여 로그온하고 전자 메일에 서명할 수 있습니다. 이 인증서는 클라이언트 인증도 제공합니다.
스마트 카드 로그온 - 스마트 카드를 사용하여 로그온할 수 있고 클라이언트 인증을 제공하지만 서명된 전자 메일은 사용할 수 없습니다.
참고 고급 보안 기능을 사용하려면 현재 Windows Server 2003 PKI를 Windows Server 2003 서비스 팩 1(SP1) PKI로 업그레이드하는 것이 좋습니다.
VPN 솔루션을 사용하려면 등록 에이전트 인증서를 가진 한 명 이상의 관리자가 스마트 카드에 인증서를 할당하는 작업을 담당해야 합니다. 또한 클라이언트에는 스마트 카드에 대한 스마트 카드 로그온 인증서가 필요합니다.
인증서 템플릿에 대한 자세한 내용은 TechNet의 인증서 템플릿 (영문) 항목(https://www.microsoft.com/technet/prodtechnol/windowsserver2003/ko/library/ServerHelp/7d82b420-10ef-4f20-a56f-17ee7ee352d2.mspx?mfr=true)을 참조하십시오.
Active Directory
Active Directory는 스마트 카드 솔루션을 구현하는 데 필요한 핵심 구성 요소이자 네트워크 환경을 구성하는 ID 및 관계를 관리하는 방법을 제공합니다. Windows Server 2003의 Active Directory에는 기본적으로 인증서에 계정을 매핑하고 스마트 카드 로그온을 수행하는 작업을 지원합니다. 인증서에 사용자 계정을 매핑하는 기능은 스마트 카드의 개인 키를 Active Directory에 있는 인증서에 연결합니다.
등록 에이전트가 특정 사용자의 스마트 카드에 인증서를 할당하면 인증서가 Active Directory의 사용자 계정에 매핑됩니다. 로그온할 때 스마트 카드 자격 증명을 제시하려면 Active Directory에서 특정 카드를 사용자 계정에 일치시켜야 하며, 이를 통해 네트워크의 관련 권한과 기능이 사용자에게 제공됩니다.
인증서 매핑에 대한 자세한 내용은 Microsoft TechNet의 사용자 계정에 인증서 매핑 (영문) 항목(https://www.microsoft.com/technet/prodtechnol/windowsserver2003/ko/library/ServerHelp/66d38725-713f-494a-b4c5-0b5040bb9872.mspx?mfr=true)을 참조하십시오.
Active Directory에 대한 자세한 내용은 Windows Server 2003 Active Directory 페이지(https://www.microsoft.com/korea/windowsserver2003/technologies/directory/activedirectory/default.mspx)를 참조하십시오.
보안 그룹
Active Directory에서 보안 그룹을 사용하여 사용자를 구성하면 스마트 카드 배포 및 관리 프로세스가 상당히 간편해집니다. 예를 들어, 일반적으로 스마트 카드를 배포할 경우에는 다음 보안 그룹을 만들어야 합니다.
스마트 카드 등록 에이전트 . 스마트 카드 등록 에이전트는 스마트 카드를 사용자에게 배포합니다.
스마트 카드 준비 . 스마트 카드 준비 그룹에는 스마트 카드를 받았지만 등록 에이전트에서 아직 해당 카드가 등록되어 활성화되지 않은 모든 사용자가 포함됩니다.
스마트 카드 사용자 . 스마트 카드 사용자 그룹에는 등록 과정이 완료되고 활성화된 스마트 카드를 보유한 모든 사용자가 포함됩니다. 등록 에이전트는 스마트 카드 준비 그룹의 사용자를 스마트 카드 사용자 그룹으로 이동합니다.
스마트 카드 임시 예외 . 스마트 카드 임시 예외 그룹은 스마트 카드를 분실했거나 잊고 가져오지 않은 경우 등으로 인해 스마트 카드 요구 사항에 임시적인 예외가 필요한 사용자를 위한 것입니다.
스마트 카드 영구 예외 . 스마트 카드 영구 예외 그룹은 스마트 카드 로그온을 위한 요구 사항에 영구적인 예외가 필요한 계정을 포함합니다.
최소한 VPN 솔루션에는 등록 에이전트 및 스마트 카드 사용자의 그룹이 필요합니다. 이러한 그룹을 만들면 여러 사용자를 더욱 쉽게 관리하고 구성할 수 있습니다.
등록 스테이션 및 등록 에이전트
웹 기반 인터페이스를 사용하여 스마트 카드 사용자를 등록하거나 스마트 카드를 발행할 수 있지만 이 방법은 권장되지 않습니다. 사용자는 스마트 카드를 얻기 위해 사용자 이름과 암호를 입력해야 하므로 이 방법은 사실상 스마트 카드 보안 수준을 웹 인터페이스에 표시된 자격 증명과 동일한 수준으로 떨어뜨립니다. 이때 좋은 해결책은 등록 스테이션을 만들고 한 명 이상의 관리자를 등록 에이전트로 지정하는 것입니다.
일반적인 등록 스테이션은 스마트 카드 판독기와 스마트 카드 작성기가 연결된 컴퓨터입니다. 판독기를 통해 등록 에이전트가 로그온할 수 있고 작성기는 새 스마트 카드를 사용자에게 발행합니다. 등록 스테이션에는 등록 에이전트가 스마트 카드를 제거하자마자 로그오프하도록 지정하는 그룹 정책 설정이 있습니다.
지정된 관리자는 등록 에이전트의 역할을 수행하고 스마트 카드를 사용하여 등록 스테이션에 로그온합니다. 그런 다음 인증서 서비스 웹 페이지를 열고 사용자 ID를 확인한 후 사용자를 등록하고 등록된 스마트 카드를 발행합니다. 등록 에이전트에게는 등록 에이전트 인증서와, 인증서 템플릿에 액세스할 수 있는 권한이 있어야 합니다.
운영 관련 고려 사항
스마트 카드 VPN 솔루션은 솔루션의 운영 상태를 모니터링하는 기능을 제공해야 합니다. 모니터 도구는 운영 지원을 제공하는 데 필요한 정보를 표시해야 합니다. 솔루션이 이 요구 사항을 충족하지 않으면 보안 담당자는 솔루션이 보안 원격 액세스 연결을 효과적으로 유지하는지 여부를 확인할 수 없습니다.
운영 관련 고려 사항은 다음과 같습니다.
내부 응용 프로그램 인증 테스트 . 스마트 카드는 초기 로그온에만 영향을 주어야 합니다. 시범 서비스 프로그램은 내부 응용 프로그램의 성공적인 인증을 테스트하고 확인해야 합니다.
원격 클라이언트 문제 해결 . 클라이언트 문제점을 해결하기 위해 다른 표준 시간대에 걸쳐 있는 여러 팀이 밀접하게 협력하도록 할 수 있습니다. 엄격한 테스트와 적절한 시범 서비스 배포를 통해 지원 통화 건수를 줄일 수 있습니다.
조직 원격 액세스 시나리오 및 위협 이해 . 조직의 원격 액세스 시나리오, 보안 위협 그리고 이 두 가지의 균형을 이해해야 합니다. 보호가 가장 필요한 자산에 우선 순위를 설정하고 비용과 위험 간의 적절한 균형을 결정해야 합니다.
기술적 과제 예상 . 스마트 카드 관리 도구의 설치 루틴 및 배포와 같은 기술적 과제를 예상해야 합니다. 스마트 카드 솔루션을 기존의 엔터프라이즈 관리 도구에 통합해야 할 수 있습니다.
모니터링 및 관리 성능 문제 . 배포 전에 성능 문제를 모니터링하고 관리하며 사용자 기대 수준을 설정해야 합니다.
개인 자산 고려 . 직원의 가정용 컴퓨터는 개인 재산이며 회사 IT 부서에서 관리하지 않는다는 것을 기억하십시오. 직원이 스마트 카드 보안 원격 액세스를 지원하는 하드웨어와 소프트웨어를 설치할 수 없는 경우에는 다른 옵션을 사용할 수 있습니다. 예를 들어, Microsoft OWA(Outlook® Web Access)는 직원에게 암호화된 SSL(Secure Sockets Layer) 연결을 통해 Microsoft Exchange Server 사서함에 대한 액세스를 제공합니다.
전자 메일 보안에 대한 자세한 내용은 이 시리즈의 " How to Protect E-mail Confidentiality in Regulated Industries (영문) " 문서(https://go.microsoft.com/fwlink/?LinkId=71176)를 참조하십시오.
솔루션 변경 관리 . 초기 배포에 필요한 프로세스와 비슷한 프로세스를 통해 솔루션에 대한 변경 및 개선을 관리해야 합니다.
솔루션 최적화 . 스마트 카드 솔루션은 모든 측면에서 정기적인 검토 및 최적화 기능이 필요합니다. 보안과 무결성 강화라는 목표를 가지고 등록 프로세스 및 계정 예외 필요성을 정기적으로 검토해야 합니다.
원격 액세스 VPN에 스마트 카드 로그온을 사용하는 시나리오
이 섹션에서 원격 액세스 VPN용으로 스마트 카드 로그온을 구성하기 위해 정의된 프로세스는 중소 기업 시나리오에 해당됩니다. 다음 그림은 중소 기업의 네트워크를 나타낸 것으로 사용자의 환경에는 그림에 표시된 서비스 중 일부 또는 모두가 포함되어 있을 수 있습니다.
.gif)
그림 1. 중소 기업 IT 환경의 원격 액세스
이 프로세스는 특히 원격 사용자가 외부 위치에서 회사 데이터와 서비스에 액세스해야 하는 경우에 적합합니다. 이 액세스를 수행하기 위해 원격 사용자는 Windows Server 2003 VPN 사용자에 대한 VPN 연결을 만들고 인증에 스마트 카드를 사용합니다.
다음 절차를 사용하면 원격 액세스 VPN을 지원하는 스마트 카드를 쉽게 준비하여 배포하고 구성할 수 있습니다.
스마트 카드 인증서를 발행할 CA를 준비하는 방법
먼저 필요한 인증서, 등록 에이전트, 스마트 카드 로그온을 할당할 CA를 준비해야 합니다.
스마트 카드 인증서를 발행할 CA 준비
관리자 권한으로 로그온합니다.
Active Directory 사이트 및 서비스 를 엽니다.
보기 메뉴를 클릭하고 서비스 노드 표시 를 선택합니다.
서비스 를 확장하고 공용 키 서비스 를 클릭한 후 다음 스크린 샷에 표시된 인증서 템플릿 을 클릭합니다.
.gif)
EnrollmentAgent 인증서 템플릿을 마우스 오른쪽 단추로 클릭한 다음 속성 을 선택합니다.
배포 전제 조건의 일부로 만든 등록 에이전트의 보안 그룹을 추가한 후 다음 스크린 샷에 표시된 읽기 및 등록 권한을 할당합니다. 그런 다음 확인 을 클릭합니다.
.gif)
Active Directory 사이트 및 서비스 를 닫습니다.
인증 기관 을 엽니다.
서버 이름을 확장하고 인증서 템플릿 을 선택합니다. 오른쪽 창에 CA가 할당할 수 있는 인증서 목록(다음 스크린 샷에 표시된 항목)이 나타납니다.
.gif)
인증서 템플릿 을 마우스 오른쪽 단추로 클릭하고 새로 만들기 를 가리킨 다음 발급할 인증서 템플릿 을 클릭합니다.
Ctrl 키를 누른 채 인증서 템플릿 사용 목록에서 다음 스크린 샷에 표시된 등록 에이전트 와 스마트 카드 로그온 을 선택합니다. 그런 다음 확인 을 클릭합니다.
.gif)
인증 기관 을 닫습니다.
.gif)
.gif)
.gif)
.gif)
스마트 카드에 인증서를 배포하는 방법
원격 사용자의 스마트 카드에 인증서를 할당할 수 있습니다. 사용자 계정이 있는 도메인에 대해 등록 에이전트로 로그온하십시오.
스마트 카드에 인증서 배포
Microsoft Internet Explorer®를 엽니다.
주소 표시줄에서 스마트 카드 로그온 인증서를 발행하는 CA의 주소를 입력하고 Enter 키를 누릅니다.
인증서 요청 을 클릭하고 고급 인증서 요청 을 클릭합니다. 다음과 비슷한 화면이 표시됩니다.
.gif)
스마트 카드 인증서 등록 스테이션을 사용하여 다른 사용자 대신 스마트 카드의 인증서 요청 을 클릭합니다. Microsoft ActiveX® 컨트롤을 사용할지 묻는 메시지가 표시되면 예 를 클릭합니다. Internet Explorer에서 ActiveX 컨트롤을 사용하도록 설정해야 합니다.
다음 스크린 샷에 표시된 Smart Card Certificate Enrollment Station 화면에서 스마트 카드 로그온 을 클릭합니다. 또한 인증 기관 , 암호화 서비스 공급자 및 관리자 서명 인증서 의 이름이 표시되어야 합니다. 관리자 서명 인증서를 선택할 수 없으면 로그온한 사용자에게 등록 에이전트 인증서를 할당하지 않은 것입니다.
.gif)
인증 기관 드롭다운 목록에서 스마트 카드 인증서를 발행할 CA 이름을 선택합니다.
암호화 서비스 공급자 드롭다운 목록에서 스마트 카드 제조업체를 선택합니다.
관리자 서명 인증서 에서 등록 요청을 서명할 등록 에이전트 인증서 이름을 입력하거나 인증서 선택 을 클릭하여 이름을 선택합니다.
사용자 선택 을 클릭한 다음 적절한 사용자 계정을 선택합니다. 등록 을 클릭합니다.
메시지가 표시되면 스마트 카드를 컴퓨터의 스마트 카드 판독기에 넣고 확인 을 클릭합니다. PIN을 묻는 메시지가 표시되면 스마트 카드의 PIN을 입력합니다.
.gif)
.gif)
스마트 카드 인증을 위해 VPN 서버를 구성하는 방법
VPN 서버를 구성할 수 있습니다.
EAP 인증을 사용하도록 라우팅 및 원격 액세스 서비스 구성
라우팅 및 원격 액세스 스냅인을 시작합니다.
서버 이름 을 마우스 오른쪽 단추로 클릭하고 속성 을 클릭한 다음 보안 탭을 클릭합니다.
인증 방법 을 클릭합니다.
다음 스크린 샷에 표시된 EAP(확장할 수 있는 인증 프로토콜) 확인란을 선택한 다음 확인 을 클릭합니다.
.gif)
확인 을 클릭합니다.
.gif)
스마트 카드 인증을 위해 원격 액세스 정책을 구성하는 방법
원격 액세스 정책에서 EAP를 사용할 수 있습니다. 원격 액세스 정책 구성 요소는 기본적으로 라우팅 및 원격 액세스 스냅인에 포함되어 있습니다. 단, RADIUS(Remote Authentication Dial-in User Service)라고도 하는 IAS(인터넷 인증 서비스)가 설치된 경우에는 IAS 스냅인에 원격 액세스 정책 구성 요소가 포함되어 있습니다.
원격 액세스 정책과 함께 EAP 사용
라우팅 및 원격 액세스의 왼쪽 창에서 원격 액세스 정책 을 클릭합니다.
오른쪽 창에서 Microsoft 라우팅 및 원격 액세스 서버의 연결 을 두 번 클릭합니다. 다음과 비슷한 화면이 표시됩니다.
.gif)
프로필 편집 을 클릭하고 인증 탭을 클릭한 후 다음 스크린 샷에 표시된 EAP 방법 을 클릭합니다.
.gif)
EAP 유형 목록에서 다음 스크린 샷에 표시된 스마트 카드 또는 다른 인증서 가 나타나지 않으면 추가 를 클릭하고 스마트 카드 또는 다른 인증서 를 선택한 다음 확인 을 클릭합니다.
.gif)
스마트 카드 또는 다른 인증서 를 선택하고 편집 을 클릭합니다. 다음과 비슷한 화면이 표시됩니다.
.gif)
드롭다운 목록에서 EAP 인증에 사용할 인증서를 선택한 다음 확인 을 세 번 클릭합니다.
원격 액세스 권한 허용 을 선택했는지 확인하고 확인 을 클릭한 다음 라우팅 및 원격 액세스를 닫습니다.
.gif)
.gif)
.gif)
.gif)
스마트 카드 인증을 위해 VPN 클라이언트를 구성하는 방법
스마트 카드를 지원하기 위해 클라이언트가 EAP 인증을 사용하도록 구성합니다.
전화 번호부 항목 만들기
시작 을 클릭하고 연결 대상 , 모든 연결 표시 를 차례로 가리킨 다음 네트워크 작업 목록에서 새 연결 만들기 를 클릭합니다. 새 연결 마법사 시작 화면에서 다음 을 클릭합니다. 다음 화면이 표시됩니다.
.gif)
회사 네트워크에 연결 을 선택하고 다음 을 클릭합니다.
가상 사설망 연결 을 선택하고 다음 을 클릭합니다.
회사 이름 상자에 연결 이름을 입력하고 다음 을 클릭합니다. 다음 화면이 표시됩니다.
.gif)
인터넷에 전용선으로 연결된 경우 초기 연결을 사용 안 함 을 선택하고 다음 을 클릭합니다. VPN을 만들기 전에 전화 접속으로 연결해야 할 경우에는 자동으로 이 초기 연결 사용 을 선택한 다음 드롭다운 목록에서 전화를 걸 연결을 선택하고 다음 을 클릭합니다.
호스트 이름 또는 IP 주소 상자에 VPN 서버 이름이나 IP 주소를 입력하고 다음 을 클릭합니다.
내 스마트 카드 사용 을 선택하고 다음 을 클릭한 다음 마침 을 클릭합니다.
.gif)
전화 번호부 항목을 만든 후에는 EAP를 사용하도록 이 항목을 구성합니다.
스마트 카드 인증을 사용하도록 현재 연결 구성
연결을 마우스 오른쪽 단추로 클릭하고 속성 을 선택한 다음 보안 탭을 선택합니다. 다음 화면이 표시됩니다.
.gif)
일반 설정(권장) 을 선택했는지 확인하고 다음으로 내 신분을 확인 드롭다운 목록에서 스마트 카드 사용 을 선택합니다.
고급 설정(사용자 지정) 을 선택한 다음 설정 을 클릭합니다.
스마트 카드 또는 다른 인증서(암호화 사용) 를 클릭합니다.
속성 을 클릭하고 내 스마트 카드 사용 을 클릭합니다.
서버 인증서 유효성 확인 옵션을 사용하도록 설정해야 합니다.
필요한 경우 서버 이름이 다음으로 끝날 때만 연결 확인란을 선택합니다.
신뢰된 루트 인증 기관 상자에서 스마트 카드와 함께 사용할 인증서 또는 설치된 사용자 인증서를 발행한 CA의 이름을 클릭합니다.
필요한 경우 연결에 다른 사용자 이름 사용 확인란을 선택합니다.
사용자 인증서와 함께 EAP를 사용하려면 사용자가 컴퓨터에 로그온해야 합니다.
스마트 카드 인증을 위해 연결 관리자를 사용하여 VPN 클라이언트를 구성하는 방법
여러 클라이언트에 대해 VPN 연결을 구성해야 할 경우 연결 관리자를 사용합니다.
Windows Server 2003을 실행하는 컴퓨터에서 CMAK 설치
시작 , 제어판 을 차례로 클릭한 다음 프로그램 추가/제거 를 두 번 클릭합니다.
프로그램 추가/제거 대화 상자에서 Windows 구성 요소 추가/제거 를 클릭합니다.
Windows 구성 요소 마법사 화면에서 관리 및 모니터링 도구 를 선택하고 자세히 를 클릭합니다. 다음과 비슷한 화면이 표시됩니다.
.gif)
관리 및 모니터링 도구 대화 상자에서 연결 관리자 관리 키트 를 선택하고 확인 , 다음 , 마침 을 차례로 클릭합니다.
.gif)
CMAK를 사용하여 사용자에게 배포할 수 있는 VPN 연결 프로필 만들기
시작 , 관리 도구 , 연결 관리자 관리 키트 를 차례로 클릭합니다.
연결 관리자 관리 키트 마법사 시작 화면에서 다음 을 클릭합니다.
새 프로필 을 선택했는지 확인하고 다음 을 클릭합니다.
서비스 이름 상자에 프로필 이름을 입력하고 파일 이름 상자에 클라이언트에 배포할 실행 파일 이름을 입력합니다.
다음 스크린 샷에 표시된 영역 이름 화면에서 사용자 이름의 영역 이름을 추가할 수 있습니다. 사용자가 RADIUS를 사용하여 IAS(인터넷 인증 서비스) 서버에 네트워크 인증 자격 증명을 전송하는 타사 네트워크 액세스 서버를 통해 VPN에 연결할 경우 사용자를 확인하려면 영역 이름을 추가해야 합니다.
이 옵션이 필요하지 않은 경우에는 사용자 이름에 영역 이름을 추가하지 않음 을 선택하고 다음 을 클릭합니다.
.gif)
프로필 정보 병합 화면에서 이전에 구성한 연결 관리자 프로필을 병합할 수 있습니다. 다른 프로필에 포함된 정보(예: 네트워크 액세스 번호)를 현재 프로필에 통합해야 할 경우에 이 작업을 수행합니다. 필요한 프로필을 추가하고 다음 을 클릭합니다.
다음 스크린 샷에 표시된 VPN 지원 화면에서 프로필로 전화 번호부를 만들고 VPN 클라이언트에 알맞게 VPN 서버를 구성할 수 있습니다.
.gif)
전화 번호부에는 지역 번호, 전화 번호, 사용자 인증 방법 등의 정보가 포함됩니다. 연결 관리자 전화 번호부에는 CMAK 마법사를 실행할 때 구성하는 다양한 네트워크 설정도 포함됩니다.
클라이언트에서 여러 VPN 서버에 연결하는 옵션을 사용하도록 하려면 다음 스크린 샷에 표시된 VPN 서버 목록을 텍스트 파일로 만듭니다. 연결할 때 VPN 서버 목록을 사용하려면 연결하기 전에 사용자가 VPN 서버를 선택할 수 있음 을 선택한 후 텍스트 파일을 찾고 다음 을 클릭합니다.
.gif)
VPN 항목 화면에서 사용자가 만드는 프로필을 선택하고 편집 , 보안 탭을 차례로 클릭합니다. 다음 대화 상자가 표시됩니다.
.gif)
보안 설정 드롭다운 목록에서 고급 보안 설정 사용 을 선택한 다음 구성 을 클릭합니다. 다음 대화 상자가 표시됩니다.
.gif)
데이터 암호화 드롭다운 목록에 암호화 사용 이 사용되고 있는지 확인하고, VPN 전략 드롭다운 목록에서 올바른 터널링 프로토콜을 선택하십시오.
해당 드롭다운 목록에서 EAP(확장할 수 있는 인증 프로토콜) 사용 및 스마트 카드 또는 다른 인증서(암호화 사용) 를 선택한 다음 속성 을 클릭합니다. 다음과 비슷한 화면이 표시됩니다.
.gif)
내 스마트 카드 사용 을 선택하고 클라이언트에 서버 유효성을 검증하도록 확인하려면 서버 인증서 유효성 확인 을 선택합니다. 또한 연결할 하나 이상의 서버 이름과 서버 유효성을 확인할 인증서 루트 인증 기관을 입력할 수 있습니다. 클라이언트가 다른 사용자 이름을 사용하여 인증서의 이름을 인증해야 할 경우에는 연결에 다른 사용자 이름 사용 을 선택합니다. 확인 을 세 번 클릭하고 다음 을 클릭합니다.
전화 번호부 화면에서 프로필이 있는 추가 전화 번호부 파일을 포함하고 전화 번호부 업데이트를 자동으로 다운로드할 수 있습니다. 전화 번호부에는 지역 번호, 전화 번호, 지원되는 사용자 인증 방법 등의 정보가 포함됩니다. 연결 관리자 전화 번호부에는 CMAK 마법사를 실행할 때 구성하는 다양한 네트워크 설정도 포함됩니다. 전화 번호부 업데이트를 자동으로 다운로드 를 선택한 경우에는 업데이트를 다운로드하는 위치를 입력해야 합니다. 전화 번호부 업데이트를 다운로드하지 않아도 되면 이 옵션을 선택하지 마십시오. 다음 을 클릭합니다.
전화 접속 네트워킹을 사용하여 연결할 경우 전화 접속 네트워킹 항목 화면에서 편집 을 클릭합니다. 연결할 때 전화 접속 네트워킹을 사용하지 않을 경우 이후 절차에 해당 옵션을 사용하지 않도록 설정하는 방법이 설명됩니다. 필요한 구성을 수행한 경우 또는 전화 접속 네트워킹을 사용하지 않아도 되는 경우에는 다음 을 클릭합니다. 14단계부터 25단계에 설명된 마법사 화면에서는 주로 연결 모양을 변경하는 선택적 구성 요소를 구성합니다.
라우팅 테이블 업데이트 화면의 설정을 사용하여 연결의 라우팅 정보를 구성할 수 있습니다. 기본 설정은 VPN 클라이언트가 VPN 인터페이스를 통해 직접 연결되지 않은 모든 네트워크에 연결되도록 지정하는 것입니다. 그러나 VPN 클라이언트에서 VPN 연결을 기본 게이트웨이로 사용하도록 구성하지 않은 경우 VPN 클라이언트에서 내부 네트워크에서 선택한 서브넷에 액세스하도록 사용자 지정 라우팅 테이블 항목을 만들 수 있습니다. 작업이 끝나면 다음 을 클릭합니다.
자동 프록시 구성 화면의 설정을 사용하여 VPN 클라이언트에서 VPN 서버를 웹 프록시 서버로 사용하도록 지정할 수 있습니다. 다음 을 클릭합니다.
사용자 지정 동작 화면의 설정을 사용하여 VPN 연결 이전, 이후 또는 연결 중에 자동으로 시작할 프로그램을 지정할 수 있습니다. 다음 을 클릭합니다.
로그온 비트맵 화면의 설정을 사용하여 사용자가 VPN 연결을 열 때 나타나는 특수 그래픽을 만들 수 있습니다. 사용자 지정 그래픽을 만드는 경우 330x140 픽셀로 만드십시오. 다음 을 클릭합니다.
전화 번호부 비트맵 화면의 설정을 사용하여 사용자가 전화 번호부를 열 때 나타나는 특수 그래픽을 만들 수 있습니다. 사용자 지정 그래픽을 만드는 경우 114x309 픽셀로 만드십시오. 다음 을 클릭합니다.
아이콘 화면의 설정을 사용하여 연결 관리자 UI(사용자 인터페이스)에 표시할 아이콘을 지정할 수 있습니다. 다음 을 클릭합니다.
알림 영역 바로 가기 메뉴 화면의 설정을 사용하여 연결 관리자 상황에 맞는 메뉴에 항목을 추가할 수 있습니다. 다음 을 클릭합니다.
도움말 파일 화면의 설정을 사용하여 사용자 지정 도움말 파일을 사용자에게 지정할 수 있습니다. 다음 을 클릭합니다.
지원 정보 화면의 설정을 사용하여 지원 정보를 사용자에게 제공할 수 있습니다. 다음 을 클릭합니다.
연결 관리자 소프트웨어 화면의 설정을 검토할 수 있습니다. 해당 컴퓨터에 아직 설치되지 않은 경우 연결 관리자 버전 1.3을 클라이언트에 설치할 수 있습니다. 다음 을 클릭합니다.
사용권 계약 화면의 설정을 사용하여 연결의 사용자 지정 사용권 계약을 포함할 수 있습니다. 다음 을 클릭합니다.
추가 파일 화면을 사용하여 연결 관리자 프로필에 추가 파일을 포함할 수 있습니다. 다음 을 클릭합니다.
서비스 프로필 만들 준비 화면에서 고급 사용자 지정 을 선택하고 다음 을 클릭합니다.
다음 스크린 샷에 표시된 고급 사용자 지정 화면에서는 프로필 구성 파일의 설정 값을 구성할 수 있습니다. 스마트 카드를 사용하는 VPN 연결에서는 전화 접속의 값을 0으로 설정하여 사용하지 않도록 해야 합니다. HideDomain, HideUserName 및 HidePassword 설정도 사용되었습니다.
.gif)
프로필 구성 파일은 텍스트 기반 파일로 파일 이름 확장명은 .inf, .cms, .cmp입니다. 마법사는 CMAK와 함께 설치된 기본 .template.inf, template.cms 및 template.cmp 파일을 읽습니다.
마법사를 완료하면 프로필의 새 구성 파일 profilename.inf, profilename.cms, profilename.cmp가 만들어집니다. 기본 템플릿 파일을 편집하여 마법사의 사용자가 구성할 수 있는 다른 설정을 추가할 수 있습니다.
연결 관리자의 고급 사용자 지정 옵션에 대한 자세한 내용은 Advanced Customization Options for Connection Manager (영문) 페이지(www.microsoft.com/resources/documentation/Windows/2000/server/reskit/en-us/ierk/Ch14\_d.asp)를 참조하십시오.
다음 스크린 샷에 표시된 template.cms 파일은 필요한 경우 기능을 포함할 수 있도록 도메인, 사용자 이름 및 암호 상자를 숨기는 기능을 포함하도록 편집되었습니다. MPPE는 암호화 프로세스에서 사용자 암호를 사용하므로 솔루션에 사용자 이름 및 암호 상자가 필요한 경우도 있습니다.
.gif)
모든 설정을 변경한 후 다음 을 클릭하여 실행 파일과 구성 파일을 만듭니다. 파일을 저장할 위치를 기록해 두고 마침 을 클릭합니다. 표준 소프트웨어 배포 메커니즘을 통해 클라이언트에 실행 파일을 배포합니다. 클라이언트에서 파일을 수동으로 실행하거나 VPN 연결을 설치하는 프로세스를 자동화할 수 있습니다.
.gif)
.gif)
스마트 카드 VPN 솔루션을 확인하는 방법
확인 프로세스의 목적은 전체 배포 이전에 솔루션의 설계나 구성에 문제가 있는지 확인하는 것입니다. 스마트 카드 VPN 솔루션을 확인하려면 솔루션의 주요 절차를 수행해야 합니다. 주요 확인 절차는 다음과 같습니다.
스마트 카드에 인증서 할당
연결 관리자 프로필 배포
연결 관리자 프로필 설치
스마트 카드 인증을 사용하여 VPN 서버에 연결
VPN 연결을 통해 내부 네트워크 리소스에 액세스
스마트 카드 VPN 솔루션의 문제를 해결하는 방법
확인 프로세스의 목적은 솔루션의 문제를 해결하고 프로세스가 실패한 부분을 확인하여 해당 영역에 노력을 집중시키는 것입니다.
다음 표에는 스마트 카드 VPN 솔루션의 문제 해결 지침이 수록되어 있습니다.
표 1. 스마트 카드 VPN 문제 해결 지침
| 문제 | 솔루션 |
|---|---|
| 관련 인증서를 CA에서 사용할 수 없습니다. | Active Directory 사이트 및 서비스에서 인증서 템플릿을 사용합니다. 등록 권한을 할당합니다. |
| 스마트 카드에 인증서를 할당할 수 없습니다. | 스마트 카드 작성기를 설치합니다. 등록 에이전트 인증서를 할당합니다. |
| VPN 서버가 원격 클라이언트를 인증할 수 없습니다. | EAP-TLS 인증을 지원하도록 서버를 구성합니다. 서버에 사용되는 인증서를 클라이언트에서 신뢰해야 합니다. |
| 클라이언트가 VPN을 만들기 전에 전화 접속으로 연결하려고 합니다. | 초기 연결을 사용하지 않도록 클라이언트를 구성합니다. |
| 클라이언트가 VPN을 만들기 전에 전화 접속으로 연결하지 않습니다. | 초기 연결을 사용하도록 클라이언트를 구성합니다. |
| 클라이언트가 VPN을 만들려고 할 때 클라이언트에 사용자 이름, 도메인 이름 및 암호를 묻습니다. | 스마트 카드를 사용하도록 VPN 연결을 구성해야 합니다. HideUserName, HideDomain, HidePassword 설정이 사용되어야 합니다. |
| 클라이언트에 네트워크 연결의 연결 개체가 없습니다. | 연결 관리자 프로필이 클라이언트에 전달되어야 합니다. 연결 관리자 프로필 실행 파일이 실행되어야 합니다. |
| 클라이언트가 VPN 서버에 연결되지 않습니다. | 클라이언트 연결이 올바른 VPN 서버 이름으로 구성되어야 합니다. 클라이언트가 VPN 서버 목록에서 올바른 서버를 선택해야 합니다. |
| 클라이언트가 VPN 서버에서 인증할 수 있습니다. | 클라이언트가 올바른 VPN 서버에 연결되어야 합니다. 스마트 카드에 VPN 서버에서 신뢰하는 인증서가 있어야 합니다. |
VPN 연결의 일반적인 문제 해결에 대한 자세한 내용은 Microsoft TechNet의 **VPN 문제 해결 (영문) 항목(https://www.microsoft.com/technet/prodtechnol/windowsserver2003/ko/library/ServerHelp/4543aff5-e10f-487c-92ad-bb5518a73620.mspx?mfr=true)을 참조하십시오.
요약
스마트 카드를 구현하여 원격 액세스 연결을 인증하면 단순한 사용자 이름과 암호 조합에 비해 뛰어난 보안 효과를 얻을 수 있습니다. 스마트 카드는 스마트 카드와 PIN을 조합하여 이중 인증을 구현합니다. 이중 인증은 손상시키기가 상당히 어려우며 PIN은 강력한 암호에 비해 사용자가 기억하기 쉽습니다.
원격 액세스 사용자에게 스마트 카드 인증을 제공하면 안전하고 경제적인 방식으로 네트워크 보안 수준을 향상시킬 수 있습니다.
다운로드