설명
IETF 기관이 IP 계층 보안을 위하여 개방형 구조로 설계한 표준이다.
네트워크계층의 보안에 대해 안정적이고 표준화된 기초를 제공한다.
네트워크 계층에서 직접 보안을 제공하므로 상위 계층 프로그램의 변경이 필요하지 않다.
패킷을 암호화 하더라도 기존 IP 패킷과 동일한 형태를 가지므로 라우터에 의해 쉽게 라우팅 가능하다.
암호화 장비는 종단점이 되며, 구현 및 관리 비용을 크게 줄일 수 있다.
IPsec은 다른 암호화 알고리즘도 수용할 수 있어 IPv6 에서도 IPsec 을 기본으로 포함하고 있다고 한다.
데이터 기밀성 | 제 3자에 의해 도청되어도 내용을 알 수 없다. AH 프로토콜은 암호화를 지원하지 않는다. |
비연결 무결성 | 전달된 메세지가 위/변조 되지 않음을 증명 |
송신자 인증 | 전달된 메세지가 올바른 송신자로부터 온 것임을 증명한다. |
재생 공격 보호 | IPsec 헤더의 시퀀스 넘버를 파악하여 재생공격의 여부를 파악 |
접근 제어 | 중요한 정보 및 시스템에 접근을 제어 SAD(보안 협정 DB)를 이용해 간접적으로 접근을 제어한다. 패킷이 목적지에 도착했는데, SA 패킷이 없다면 폐기한다. |
제한적 트래픽 흐름 기밀성 | 제한적으로 네트워크 트래픽 흐름에 대한 기밀성을 제공 IPsec 의 '터널링' 모드 에서는 IP패킷 전체가 암호화 된다.
IP 페이로드, 트레일러 의 앞부분에 'IP 헤더'라는 것을 새로 추가하여 암호화 시키는 방식 |
IPsec의 두가지 전송모드
전송 모드 : 데이터 만을 보호, IP 패킷의 Payload(데이터 부)만을 보호한다.
호스트 대 호스트(종단 대 종단/End to End)의 통신에 사용됨.
터널 모드 : IP 패킷 전체를 보호하여 암호화
원본 IP 헤더까지 보호되므로 패킷 전송을 위한 새로운 IP헤더가 생성된다.
주로 터널 게이트웨이(VPN,라우터,방화벽 등)간 또는 터널게이트웨이<->호스트 간에 사용
IPsec의 보안프로토콜 AH,ESP
IP패킷에 대해 데이터무결성, 송신자인증, 재생공격 보호 기능을 제공하는 AH
(헤더에 의해 지정된 인증을 수행한다~),
AH의 기능을 모두 가지며 추가로 암호화를 통한 기밀성까지 제공하는 ESP.
(~지정된 암호/인증을 결합한 프로토콜)
암호관련 프로파일 SA,
SA 협상과 키 교환을 위해 설계된 프로토콜 IKE
IPsec은 공개키 암호화 방식을 사용하는데, 송/수신측이 공개키를 교환하고 인증 및 암호화 알고리즘과 암호키에 대한 정보를 교환해야 한다. 이런 프로파일을 SA라고 한다.
상호 협상에 생성되며 양쪽에 하나씩의 SA가 생성이 되어야 한다.(SA는 단방향이므로)
SAD는 SA에 관련된 정보를 보유하고 있는 데이터베이스 이다.
IKE는 상대방 인증 및 SA 협상과 키 교환을 위해 만들어진 프로토콜이다.
Oakley, SKEME, ISAKMP에 기반을 둔 복잡한 프로토콜이다.
정리 및 출처
방문 해주셔서 감사합니다. 로그인 없이 가능한
아래 하트♥공감 버튼을 꾹 눌러주시면 감사하겠습니다!
'네트워크' 카테고리의 다른 글
| [네트워크] OSI 7 Layer 간단 요약표 (0) | 2019.07.19 |
|---|---|
| [네트워크] SSL/TLS (0) | 2019.07.17 |
| [네트워크] SNMP (0) | 2019.07.17 |
| [네트워크] 포워드 프록시와 리버스 프록시 (0) | 2019.07.17 |
| [네트워크] SIEM (Security Information & Event Management) (0) | 2019.07.17 |