8.2. In-band Initiator-Target Authentication
8.2. In-band Initiator-Target 인증
During login, the target MAY authenticate the initiator and the initiator MAY authenticate the target.
로그인 중에 타겟은 이니시에이터를 인증할 수 있으며 이니시에이터는 타겟을 인증할 수 있습니다.
The authentication is performed on every new iSCSI connection by an exchange of iSCSI Login PDUs using a negotiated authentication method.
인증은 협상된 인증 방법을 사용하여 iSCSI 로그인 PDU를 교환함으로써 모든 새로운 iSCSI 연결에서 수행됩니다.
The authentication method cannot assume an underlying IPsec protection, because IPsec is optional to use.
IPsec은 선택적으로 사용할 수 있으므로 인증 방법은 기본 IPsec 보호를 가정할 수 없습니다.
An attacker should gain as little advantage as possible by inspecting the authentication phase PDUs.
공격자는 인증 단계 PDU를 검사하여 가능한 한 적은 이점을 얻어야 합니다.
Therefore, a method using clear text (or equivalent) passwords is not acceptable; on the other hand, identity protection is not strictly required.
따라서 일반 텍스트 (또는 이에 상응하는) 비밀번호를 사용하는 방법은 허용되지 않습니다. 반면에 신원 보호는 엄격하게 요구되지 않습니다.
The authentication mechanism protects against an unauthorized login to storage resources by using a false identity (spoofing).
인증 메커니즘은 허위 ID (스푸핑)를 사용하여 스토리지 리소스에 대한 무단 로그인을 방지합니다.
Once the authentication phase is completed, if the underlying IPsec is not used, all PDUs are sent and received in clear.
인증 단계가 완료되면 기본 IPsec이 사용되지 않으면 모든 PDU가 일반 형식으로 전송 및 수신됩니다.
The authentication mechanism alone (without underlying IPsec) should only be used when there is no risk of eavesdropping, message insertion, deletion, modification, and replaying.
인증 메커니즘만 (기본 IPsec 없이) 도청, 메시지 삽입, 삭제, 수정 및 재생의 위험이 없는 경우에만 사용해야 합니다.
Section 11 iSCSI Security Text Keys and Authentication Methods defines several authentication methods and the exact steps that must be followed in each of them, including the iSCSI-text-keys and their allowed values in each step.
섹션 11 iSCSI 보안 텍스트 키 및 인증 방법에서는 iSCSI 텍스트 키와 각 단계에서 허용되는 값을 포함하여 여러 인증 방법과 각 인증 방법에서 따라야 하는 정확한 단계를 정의합니다.
Whenever an iSCSI initiator gets a response whose keys, or their values, are not according to the step definition, it MUST abort the connection.
iSCSI 이니시에이터가 키 또는 해당 값이 단계 정의에 따르지 않는 응답을 받을 때마다 연결을 중단해야 합니다.
Whenever an iSCSI target gets a response whose keys, or their values, are not according to the step definition, it MUST answer with a Login reject with the "Initiator Error" or "Missing Parameter" status.
iSCSI 타겟이 단계 정의에 따르지 않는 키 또는 값을 갖는 응답을 받을 때마다 "이니시에이터 오류" 또는 "매개변수 누락" 상태와 함께 로그인 거부로 응답해야 합니다.
These statuses are not intended for cryptographically incorrect values such as the CHAP response, for which "Authentication Failure" status MUST be specified.
이러한 상태는 "인증 실패" 상태를 지정해야 하는 CHAP 응답과 같이 암호화된 잘못된 값을 위한 것이 아닙니다.
The importance of this rule can be illustrated in CHAP with target authentication (see Section 11.1.4 Challenge Handshake Authentication Protocol (CHAP)) where the initiator would have been able to conduct a reflection attack by omitting his response key (CHAP_R) using the same CHAP challenge as the target and reflecting the target's response back to the target.
이 규칙의 중요성은 타겟 인증을 사용하는 CHAP에서 설명할 수 있습니다 (섹션 11.1.4 챌린지 핸드셰이크 인증 프로토콜 (CHAP) 참조). 여기서 이니시에이터는 타겟과 동일한 CHAP 챌린지를 사용하여 응답 키 (CHAP_R)를 생략하고 타겟의 응답을 타겟에 다시 반영하여 반사 공격을 수행할 수 있습니다.
In CHAP, this is prevented because the target must answer the missing CHAP_R key with a Login reject with the "Missing Parameter" status.
CHAP에서는 타겟이 누락된 CHAP_R 키에 대해 "매개변수 누락" 상태의 로그인 거부로 응답해야 하므로 이런 문제가 방지됩니다.
For some of the authentication methods, a key specifies the identity of the iSCSI initiator or target for authentication purposes.
일부 인증 방법의 경우 키는 인증 목적으로 iSCSI 초기자 또는 대상의 ID를 지정합니다.
The value associated with that key MAY be different from the iSCSI name and SHOULD be configurable.
해당 키와 연결된 값은 iSCSI 이름과 다를 수 있으며 구성 가능해야 합니다.
(CHAP_N, see Section 11.1.4 Challenge Handshake Authentication Protocol (CHAP) and SRP_U, see Section 11.1.3 Secure Remote Password (SRP)).
(CHAP_N, 섹션 11.1.4 챌린지 핸드셰이크 인증 프로토콜 (CHAP) 및 SRP_U, 섹션 11.1.3 보안 원격 암호 (SRP) 참조).