MS-CHAP v2(Microsoft Challenge Handshake Authentication Protocol 버전 2)는 PPTP(Point to Point Tunneling Protocol) 기반 VPN에서 인증 방법으로 널리 사용되는 암호 기반 인증 프로토콜입니다. 캡슐화 없는 MS-CHAP v2와 VPN 연결을 위한 PPTP 터널을 사용하는 모든 조직은 잠재적으로 비보안 구성에서 실행될 수 있습니다.

소개

MS-CHAP v2/PPTP를 사용하는 조직은 네트워크에서 PEAP(Protected Extensible Authentication Protocol)를 구현하는 것이 좋습니다. 이러한 방법은 TLS에서 MS-CHAP v2 인증 트래픽을 캡슐화하여 이 기법을 완화합니다.

인증에 PEAP-MS-CHAP v2를 사용하도록 PPTP 구성

PEAP-MS-CHAP v2

클라이언트 인증 방법으로 MS-CHAP v2를 사용하는 PEAP는 VPN 인증의 보안을 유지하는 데 도움이 되는 한 가지 방법입니다. 클라이언트 플랫폼에서 PEAP가 사용되도록 하려면 Windows RRAS(Routing and Remote Access Server) 서버가 PEAP 인증을 사용하는 연결만 허용하고 MS-CHAP v2 또는 EAP-MS-CHAP v2를 사용하는 클라이언트의 연결은 거부하도록 구성되어야 합니다. 관리자는 RRAS 서버와 NPS(Network Policy Server) 서버에서 해당 인증 방법 옵션을 확인해야 합니다.또한 관리자는 다음 사항을 확인해야 합니다.

  • 서버 인증서 유효성 검사가 켜져 있는지 확인합니다. (기본 동작은 켜짐입니다.)

  • 서버 이름 유효성 검사가 켜져 있는지 확인합니다. (기본 동작은 켜짐입니다.) 올바른 서버 이름을 지정했는지 확인합니다.

  • 서버 인증서가 발급된 루트 인증서가 클라이언트 시스템 저장소에 제대로 설치되어 있고 켜져 있는지 확인합니다. (항상 켜져 있습니다.)

  • Windows 7, Windows Vista 및 Windows XP에서 PEAP 속성 창의 새 서버 또는 인증 기관을 허가하도록 사용자에게 묻지 않음 확인란이 설정되어 있어야 합니다. 기본적으로는 사용되지 않도록 해제되어 있습니다.

PEAP-MS-CHAP v2 인증 방법에 대해 RRAS 서버 구성

RRAS 서버에 대한 PEAP-MS-CHAP v2 인증 방법을 구성하고 덜 안전한 방법인 MS-CHAP v2 및 EAP-MS-CHAP v2를 해제하는 절차는 다음 단계에 간단히 설명되어 있습니다.RRAS에 대한 인증 방법 구성이렇게 하려면 다음과 같이 하십시오.

  1. RRAS 서버 관리 창에서 서버 속성 대화 상자를 열고 보안 탭을 클릭합니다.

  2. 인증 방법을 클릭합니다.

  3. EAP 확인란이 선택되어 있는지와 MS-CHAP v2 확인란이 선택되어 있지 않은지 확인합니다.

NPS에 대한 연결 구성PEAP-MS-CHAP v2 인증 방법을 사용하는 클라이언트의 연결만 허용하도록 NPS(Network Policy Server)를 구성합니다. NPS를 구성하려면 다음과 같이 하십시오.

  1. NPS UI를 열고 정책을 클릭한 다음 네트워크 정책을 클릭합니다.

  2. Microsoft 라우팅 및 원격 액세스 서버의 연결을 마우스 오른쪽 단추로 클릭하고 속성을 클릭합니다.

  3. 속성 UI에서 제약 조건 탭을 클릭합니다.

  4. 왼쪽의 제약 조건 창에서 인증 방법을 선택한 다음 MS-CHAP 및 MS-CHAP-v2 방법에 대한 확인란을 선택 취소합니다.

  5. EAP 종류 목록에서 EAP-MS-CHAP v2를 제거합니다.

  6. 추가를 클릭하고 PEAP 인증 방법을 선택한 다음 확인을 클릭합니다.참고 NPS 연결을 구성하려면 먼저 유효한 서버 인증서가 "개인" 저장소에 설치되어 있고 유효한 루트 인증서가 서버의 "신뢰할 수 있는 루트 CA" 저장소에 설치되어 있어야 합니다.

  7. 편집을 클릭하고 인증 방법으로 EAP-MS-CHAP v2를 선택합니다.

PEAP-MS-CHAP v2 인증 방법에 대해 RRAS 클라이언트 구성

VPN 연결 속성 UI에서 해당 연결 방법을 선택하고 클라이언트 시스템에 해당 루트 인증서를 설치하여 PEAP-MS-CHAP v2 인증 방법을 사용하도록 Windows VPN 클라이언트를 구성해야 합니다.

권장 사항

Facebook LinkedIn 전자 메일

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

검색 커뮤니티

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

Microsoft 365 구독 혜택

Microsoft 365 교육

Microsoft 보안

접근성 센터

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.

Microsoft 커뮤니티에 질문하기

Microsoft Tech Community

Windows 참가자

Microsoft 365 참가자