IKE(Internet Key Exchange)는 IPsec VPN에서 사용되는 프로토콜로, IPsec SA(Security Association)를 설정하고, 암호화 키를 교환하는 역할을 합니다. IKE는 두 개의 단계로 구성되어 있으며, 각각 phase 1과 phase 2라고 불립니다.
Phase 1에서는 IKE 피어(peer) 간에 안전한 채널을 설정하기 위해 인증과 키 교환을 수행합니다. Phase 1은 두 가지 모드로 구분되는데, 첫 번째는 main mode이고, 두 번째는 aggressive mode입니다. Main mode는 6개의 메시지를 교환하여 안전한 채널을 설정하는 반면, aggressive mode는 3개의 메시지를 교환하여 더 빠르게 채널을 설정할 수 있습니다. 그러나 aggressive mode는 보안성이 main mode보다 떨어진다는 단점이 있습니다.
Phase 2에서는 Phase 1에서 설정한 안전한 채널을 통해 IPsec SA를 설정하고, 암호화 키를 교환합니다. Phase 2는 quick mode라고도 불리며, 3개의 메시지를 교환하여 SA를 설정합니다.
IKE는 다음과 같은 세 가지 모드를 제공합니다.
- Main mode: 6개의 메시지를 교환하여 안전한 채널을 설정합니다. 이 모드는 가장 높은 보안성을 제공하지만, 설정 시간이 가장 오래 걸립니다.
- Aggressive mode: 3개의 메시지를 교환하여 더 빠르게 채널을 설정합니다. 그러나 보안성이 main mode보다 떨어집니다.
- Quick mode: Phase 1에서 설정한 안전한 채널을 통해 IPsec SA를 설정하고, 암호화 키를 교환합니다. 3개의 메시지를 교환하여 SA를 설정합니다.
IKE는 다음과 같은 특징을 가지고 있습니다.
- 인증: IKE는 디지털 서명, 공개 키 암호화, 프리셔어드 키 등의 인증 방식을 지원합니다.
- 암호화: IKE는 DES, 3DES, AES 등의 대칭 키 암호화 알고리즘을 지원합니다.
- 해시: IKE는 MD5, SHA-1, SHA-2 등의 해시 알고리즘을 지원합니다.
- 키 교환: IKE는 Diffie-Hellman 키 교환 알고리즘을 사용하여 암호화 키를 생성합니다.
- 네트워크 트래버설: IKE는 NAT(Network Address Translation) 및 파이어월을 통과할 수 있는 능력을 가지고 있습니다.
다음은 IKE의 세 가지 모드를 비교한 표입니다.
| 비교 기준 | Main Mode | Aggressive Mode | Quick Mode |
|---|---|---|---|
| 설정 메시지 수 | 6개 | 3개 | 3개 |
| 설정 시간 | 가장 오래 걸림 | 가장 빠름 | 중간 |
| 보안성 | 가장 높음 | 낮음 | 중간 |
| 인증 방식 | 디지털 서명, 공개 키 암호화, 프리셔어드 키 등 | 프리셔어드 키 | 디지털 서명, 공개 키 암호화, 프리셔어드 키 등 |
| 암호화 알고리즘 | DES, 3DES, AES 등 | DES, 3DES, AES 등 | DES, 3DES, AES 등 |
| 해시 알고리즘 | MD5, SHA-1, SHA-2 등 | MD5, SHA-1, SHA-2 등 | MD5, SHA-1, SHA-2 등 |
| 키 교환 알고리즘 | Diffie-Hellman | Diffie-Hellman | Diffie-Hellman |
| NAT 및 파이어월 트래버설 | 지원 | 지원 | 지원 |
IKE는 IPsec VPN에서 중요한 역할을 합니다. IKE를 사용하여 IPsec SA를 설정하고, 암호화 키를 교환하면, 안전한 VPN 통신을 구축할 수 있습니다.
DevSecOps, Pentest, Cloud(OpenStack), Develop, Data Engineering, AI-Agent