IKE SA

자동 키의 IKE SA를 설정합니다. 새로운 IKE SA를 추가하거나 이미 등록된 IKE SA를 확인하고 수정, 삭제할 수 있습니다.

IKE SA 목록에서는 다음과 같은 정보를 확인할 수 있습니다.

IPSec VPN: IPSec VPN을 사용하도록 설정되어 있는지 보여줍니다. 기본적으로 사용하지 않도록 설정되어 있습니다.
사용: IPSec VPN을 사용하도록 설정되어 있습니다.
사용 안 함: IPSec VPN을 사용하도록 설정되어 있지 않습니다.
전체 개수: 등록된 IKE SA의 개수입니다. 최대 3,000개까지 추가할 수 있습니다.
이름: IKE SA의 이름입니다.
IKE 모드: IKE SA의 모드입니다.
인증 방법: IKE SA의 인증 방법입니다.
접속 방법: 원격지에서 접속하는 방법입니다.
고정 IP 주소: 고정 IP 주소로 접속합니다.
동적 IP 주소: 동적 IP 주소로 접속합니다.
클라이언트 프로그램 사용: AhnLab TrusGuard IPSec VPN Client 프로그램을 사용하여 접속합니다.
원격지 아이디: 원격지 게이트웨이에 할당된 아이디입니다.
사용자 아이디: IPSec VPN Client 프로그램을 통해 로그인을 허용할 사용자 아이디입니다.
암호화 알고리즘: IKE SA에 사용한 암호화 알고리즘입니다.
해시 알고리즘: IKE SA에 사용한 해시 알고리즘입니다.
설명: 위에 마우스 포인터를 올려놓으면 IKE SA에 대한 설명이 나타납니다.
수정: 을 누르면 IKE SA를 수정할 수 있습니다.
삭제: 을 누르면 IKE SA를 삭제할 수 있습니다.
페이지당 표시 개수: 한 화면에 보이는 항목의 개수입니다. 숫자를 누르면 한 화면에 보일 항목의 개수를 선택할 수 있습니다. 기본 값은 50이며, 50, 100, 500, 1000 중에서 선택할 수 있습니다.

IKE SA 검색

IKE SA 목록에서 원하는 항목을 검색하는 방법은 다음과 같습니다.

<IKE SA 목록>의 검색 영역에서 검색할 조건을 설정합니다. 원래대로를 누르면 설정한 조건을 초기화합니다.

이름: IKE SA의 이름을 입력합니다. 영문자 또는 숫자를 기준으로 1~15자 사이의 값으로 입력할 수 있습니다.
IKE 모드: IKE 모드를 선택합니다. 기본 값은 모두이며 모두, IKE v2 모드, 기본 모드, 어그레시브 모드 가운데에서 선택할 수 있습니다.
인증 방법: IKE SA의 인증 방법을 선택합니다. 기본 값은 모두이며 모두, 사전 공유 키, 전자 서명, EAP-MD5, EAP-TLS 가운데에서 선택할 수 있습니다.
사전 공유 키: 사전에 정의됭 비밀 키를 인증 방법으로 사용합니다.
전자 서명: CA로부터 발급받은 인증서를 인증 방법으로 사용합니다.
EAP-MD5: MD5 해쉬 기반 EAP를 인증 방법으로 사용합니다.
EAL-TLS: TLS 기반 EAP를 인증 방법으로 사용합니다.
접속 방법: 접속 방법을 선택합니다. 기본 값은 모두이며 모두, 고정 IP 주소, 동적 IP 주소, 클라이언트 프로그램 사용 가운데에서 선택할 수 있습니다.
원격지 아이디: 원격지 아이디를 입력합니다. 영문자 또는 숫자를 기준으로 1~15자 사이의 값으로 입력할 수 있습니다.
사용자 아이디: 사용자 아이디를 입력합니다. 영문자 또는 숫자를 기준으로 1~15자 사이의 값으로 입력할 수 있습니다.
암호화 알고리즘: 암호화 알고리즘을 선택합니다. 기본 값은 모두이며 모두, 3DES, AES-128, AES-192, AES-256, SEED, ARIA-128, ARIA-192, ARIA-256 가운데에서 선택할 수 있습니다.
해시 알고리즘: 해시 알고리즘을 선택합니다. 기본 값은 모두이며 모두, SHA1, SHA2-256, SHA2-384, SHA2-512, HAS160 가운데에서 선택할 수 있습니다.

검색할 조건을 설정한 다음 검색을 누르면 설정한 검색 조건에 맞는 IKE SA가 목록에 나타납니다. 모두 보기를 누르면 모든 IKE SA가 목록에 나타납니다.

열 설정

IKE SA 목록의 열을 추가, 삭제할 수 있으며 열의 순서를 변경할 수 있습니다.

열 설정을 누릅니다.
<열 설정>이 나타납니다.
항목에서 열을 선택한 다음 을 누르면 목록에 표시할 항목에 내용이 추가됩니다.
목록에 표시할 항목에서 내용을 삭제하려면 삭제할 내용 뒤에 있는 을 누릅니다.
내용이 나타나는 순서를 변경하려면 이나 을 누릅니다.
확인을 누릅니다.

IKE SA 추가/수정

새로운 IKE SA를 추가/수정하는 방법은 다음과 같습니다.

메뉴에서 VPN->IPSec VPN->자동 키 설정->IKE SA(1단계)를 선택합니다.
추가를 누르건, 수정할 항목의 오른쪽에 있는 을 누릅니다.
<IKE SA 추가> 또는 <IKE SA 수정>에서 필요한 항목을 설정합니다.

이름: IKE SA를 구분할 수 있는 이름을 입력합니다. 영문자 또는 숫자를 기준으로 1~15자 사이의 값으로 입력할 수 있습니다.
IKE 모드: IKE 모드를 선택합니다. 기본 값은 IKE v2 모드이며 IKE v2 모드, 기본 모드, 어그레시브 모드 가운데에서 선택할 수 있습니다.
IKE v2 모드: IKE v1보다 키 교환 과정을 간소화하고 DoS 공격을 방어할 수 있는 IKE SA 협상 방식입니다.
기본 모드: IKE v1의 기본이 되는 모드입니다. IKE 보안 협상을 하고 D-H 키(Diffie-Hellman Key)를 교환한 다음 상호 인증하는 방식입니다.
어그레시브 모드: IKE SA 협상을 빠르게 할 수 있는 IKE v1 모드입니다. IKE 보안 협상과 D-H 키 교환을 한 번에 진행하고 상호 인증하는 방식입니다.
접속 방법: 원격지 게이트웨이 또는 IPSec VPN 사용자가 IPSec VPN에 접속하는 방법을 선택합니다. 기본 값은 고정 IP 주소이며 고정 IP 주소, 동적 IP 주소, 클라이언트 프로그램 사용 가운데에서 선택할 수 있습니다.
고정 IP 주소: 원격지 게이트웨이가 고정 IP 주소를 사용하는 경우에 선택합니다. 인증 방법은 사전 공유 키와 전자 서명 가운데 선택합니다. 기본 값은 사전 공유 키입니다.
사전 공유 키: 사전 공유 키(Preshared Key)를 이용하여 인증합니다. 접속 방법을 고정 IP 주소로 선택하고 인증 방법을 사전 공유 키로 설정한 경우 사전 공유 키, 원격지 아이디, 로컬 아이디를 입력합니다. 사전 공유 키는 영문자, 숫자를 반드시 포함해야 하며 6~15자 사이의 값을 입력합니다. #, $, &, <, >를 제외한 특수 문자도 입력할 수 있습니다. 원격지 아이디와 로컬 아이디에는 영문자 또는 숫자를 기준으로 1~15자 사이의 값으로 입력할 수 있습니다.
전자 서명: 로컬 인증서에 등록된 인증서를 이용하여 인증합니다. 접속 방법을 고정 IP 주소로 선택하고 인증 방법을 전자 서명으로 설정한 경우 사용할 전자 서명을 선택해야 합니다. 또한 사용자 제한 정규식에 정규 표현식을 입력하면 정규 표현식에 해당하는 CN이 전자 서명에 포함된 사용자만 접속할 수 있습니다.
동적 IP 주소: 원격지 게이트웨이가 동적 IP 주소를 사용하는 경우에 선택합니다. 인증 방법은 사전 공유 키와 전자 서명 가운데 선택합니다. 기본 값은 사전 공유 키입니다.
사전 공유 키: 사전 공유 키(Preshared Key)를 이용하여 인증합니다. 접속 방법을 동적 IP 주소로 선택하고 인증 방법을 사전 공유 키로 설정한 경우 사전 공유 키, 원격지 아이디, 로컬 아이디를 입력합니다. 사전 공유 키는 영문자, 숫자를 반드시 포함해야 하며 6~15자 사이의 값을 입력합니다. #, $, &, <, >를 제외한 특수 문자도 입력할 수 있습니다. 원격지 아이디와 로컬 아이디에는 영문자 또는 숫자를 기준으로 1~15자 사이의 값으로 입력할 수 있습니다.
전자 서명: 로컬 인증서에 발급된 인증서를 이용하여 인증합니다. 접속 방법을 동적 IP 주소로 선택하고 인증 방법을 전자 서명으로 설정한 경우 사용할 전자 서명을 선택해야 합니다. 또한 사용자 제한 정규식에 정규 표현식을 입력하면 정규 표현식에 해당하는 CN이 전자 서명에 포함된 사용자만 접속할 수 있습니다.
클라이언트 프로그램 사용: IPSec VPN 사용자가 TrusGuard IPSec VPN Client를 사용하여 접속하는 경우에 선택합니다. 인증 방법은 사전 공유 키, 전자 서명, EAP-MD5, EAP-TLS 가운데 선택합니다.
사전 공유 키: 사전 공유 키(Preshared Key)를 이용하여 인증합니다. 접속 방법을 클라이언트 프로그램 사용으로 선택하고 인증 방법을 사전 공유 키로 설정한 경우 사용자 아이디, 사용자 IP 주소를 선택해야 합니다. 사용자 아이디는 객체에 등록된 인증 서버 그룹 가운데에서 선택해야 합니다. 사용자 IP 주소는 객체에 등록된 IPv4 주소 가운데에서 선택해야 합니다. 새로 만들기...를 누르면 새로운 사용자 아이디 또는 사용자 IP 주소를 만들 수 있습니다.
전자 서명: 로컬 인증서에 발급된 인증서를 이용하여 인증합니다. 접속 방법을 클라이언트 프로그램 사용으로 선택하고 인증 방법을 전자 서명으로 설정한 경우 전자 서명, 사용자 제한 정규식, 사용자 IP 주소를 선택해야 합니다. 사용자 제한 정규식에 정규 표현식을 입력하면 정규 표현식에 해당하는 CN이 전자 서명에 포함된 사용자만 접속할 수 있습니다. 사용자 IP 주소는 객체에 등록된 IPv4 주소 가운데에서 선택해야 합니다. 새로 만들기...를 누르면 새로운 사용자 IP 주소를 만들 수 있습니다.
EAP-MD5: EAP-MD5 (Extensible Authentication Protocol-Message Digest 5)를 사용하여 인증합니다. EAP-MD5는 EAP (Extensible Authentication Protocol) 인증 방식의 한 종류로 아이디, 비밀번호를 이용하여 사용자를 인증하는 기본적인 인증 방법입니다. 접속 방법을 클라이언트 프로그램 사용으로 선택하고 인증 방법을 EAP-MD5로 설정한 경우 사용자 아이디, 사용자 제한 정규식, 사용자 IP 주소를 설정해야 합니다. 사용자 아이디는 객체에 등록된 사용자 또는 사용자 그룹 가운데에서 선택해야 합니다. 또한 사용자 제한 정규식에 정규 표현식을 입력하면 정규 표현식에 해당하는 CN이 전자 서명에 포함된 사용자만 접속할 수 있습니다. 사용자 IP 주소는 객체에 등록된 IPv4 주소 가운데에서 선택해야 합니다. 새로 만들기...를 누르면 새로운 사용자 아이디 또는 사용자 IP 주소를 만들 수 있습니다.

EAP-TLS: EAP-TLS (Extensible Authentication Protocol-Transport Layer Security)를 사용하여 인증합니다. EAP-TLS는 EAP-MD5처럼 단순히 아이디, 비밀번호로 사용자를 인증하는 방식과 달리, 전자 서명을 이용하여 사용자를 인증하므로 보안성이 우수한 인증 방법입니다. 접속 방법을 클라이언트 프로그램 사용으로 선택하고 인증 방법을 EAP-TLS로 설정한 경우 전자 서명, 사용자 아이디, 사용자 제한 정규식, 사용자 IP 주소를 설정해야 합니다. 사용자 아이디는 객체에 등록된 사용자 또는 사용자 그룹 가운데에서 선택해야 합니다. 또한 사용자 제한 정규식에 정규 표현식을 입력하면 정규 표현식에 해당하는 CN이 전자 서명에 포함된 사용자만 접속할 수 있습니다. 사용자 IP 주소는 객체에 등록된 IPv4 주소 가운데에서 선택해야 합니다. 새로 만들기...를 누르면 새로운 사용자 아이디 또는 사용자 IP 주소를 만들 수 있습니다.

키 협상 주기: 키 협상 주기를 설정합니다. 키 협상 주기마다 마스터 키를 새로 생성합니다. 기본 값은 8시간이며 1~24 사이의 값을 입력할 수 있습니다.
DH 그룹: DH 그룹(Diffie-Hellman Group)을 설정합니다. 기본 값은 2이며 2, 5, 14, 16 가운데서 선택할 수 있습니다.
알고리즘: IKE SA에 사용할 알고리즘을 설정합니다.

암호화 알고리즘: IKE SA에 사용할 암호화 알고리즘을 선택합니다. IPSec 프로토콜을 ESP로 선택했을 때만 나타납니다. 기본 값은 3DES이며 3DES, AES-128, AES-192, AES-256, SEED, ARIA-128, ARIA-192, ARIA-256 가운에서 5개까지 추가할 수 있습니다.

추가/삭제: 설정한 내용을 추가하거나 삭제합니다. 추가를 누르면 설정한 내용을 목록에 추가합니다. 를 누르면 설정한 내용을 목록에서 삭제합니다.
해시 알고리즘: IKE SA에 사용할 해시 알고리즘을 선택합니다. 기본 값은 SHA1이며 SHA1, SHA2-256, SHA2-384, SHA2-512, HAS160 가운에서 5개까지 추가할 수 있습니다.

추가/삭제: 설정한 내용을 추가하거나 삭제합니다. 추가를 누르면 설정한 내용을 목록에 추가합니다. 를 누르면 설정한 내용을 목록에서 삭제합니다.
설명: 설명은 영문자와 숫자를 기준으로 63자까지 입력할 수 있습니다. 한글, 중국어와 같은 2바이트 문자는 한 글자가 2자로 계산됩니다.

확인을 누릅니다. 설정이 올바르지 않으면 다음과 같은 메시지가 나타날 수 있습니다.

IKE SA 이름는 IKE SA에 이미 있습니다.: 동일한 이름을 갖는 IKE SA가 이미 있을 때
IKE SA를 추가할 수 없습니다. 원격지 아이디 또는 사용자 아이디(%s)를 이미 다른 IKE SA(%s)에서 사용하고 있습니다.: 원격지 아이디 또는 사용자 아이디를 다른 IKE SA에서 사용하고 있을 때
IKE SA를 수정할 수 없습니다. 원격지 아이디 또는 사용자 아이디(%s)를 이미 다른 IKE SA(%s)에서 사용하고 있습니다.: 원격지 아이디 또는 사용자 아이디를 다른 IKE SA에서 사용하고 있을 때
사전 공유 키를 입력하십시오.: 사전 공유 키를 입력하지 않았을 때
원격지 아이디를 입력하십시오.: 원격지 아이디를 입력하지 않았을 때
잘못된 원격지 아이디입니다.: 원격지 아이디가 유효 범위를 초과했거나 사용할 수 없는 문자를 입력했을 때
로컬 아이디를 입력하십시오.: 로컬 아이디를 입력하지 않았을 때
잘못된 로컬 아이디입니다.: 로컬 아이디가 유효 범위를 초과했거나 사용할 수 없는 문자를 입력했을 때
잘못된 사전 공유 키입니다. 사전 공유 키는 영문자와 숫자를 반드시 포함해야 하며 공백 또는 #, $, &, <, >를 사용할 수 없습니다.: 사전 공유 키에 사용할 수 없는 문자를 입력했을 때
잘못된 키 협상 주기입니다. 키 협상 주기에는 1~24 사이의 값을 입력하십시오.: 키 협상 주기 입력범위를 초과했을 때
더 이상 IKE SA를 추가할 수 없습니다. IKE SA는 최대 3000개까지 추가할 수 있습니다.: IKE SA 최대 개수를 초과했을 때
설명을 잘못 입력했습니다. 설명은 영문자와 숫자를 기준으로 63자까지 입력할 수 있습니다. 한글, 중국어와 같은 2바이트 문자는 한 글자가 2자로 계산됩니다.: 설명에 영문자와 숫자를 기준으로 64자 이상을 입력했을 때

변경 사항 적용을 눌러 변경된 내용을 적용합니다.

IKE SA 삭제

IKE SA를 삭제하는 방법은 다음과 같습니다.

삭제할 항목의 오른쪽에 있는 을 누릅니다.
삭제 확인 메시지가 나오면 확인을 누릅니다. 다음과 같은 메시지가 나타날 수 있습니다.

SA를 삭제할 수 없습니다. IKE SA 이름은(는) IPSec VPN 네트워크(IPSec VPN 네트워크 이름)에서 사용하고 있습니다.: IPSec VPN 네트워크에서 사용하고 있는 IKE SA를 삭제하려고 할 때

변경 사항 적용을 눌러 변경된 내용을 적용합니다.

참고

클라이언트 프로그램을 사용하는 G-to-C VPN 연결은 IPSec VPN보다 SSL VPN의 사용을 권장합니다.

TrusGuard IPSec VPN Client는 다음과 같은 암호화 알고리즘을 지원하지 않습니다: SEED, ARIA-128, ARIA-192, ARIA-256
TrusGuard IPSec VPN Client는 다음과 같은 해시 알고리즘을 지원하지 않습니다: HAS160

사용자 제한 정규식의 최대 길이는 15자입니다.

주의

EAP-MD5는 보안상 매우 취약한 알고리즘입니다. 인증 방법 선택 시 불가피한 경우가 아니라면, EAP-MD5를 사용하지 마십시오.