네트워크 보안 - IPSEC
IPSec 보안 프로토콜에서 메시지 출처 인증, 메시지 무결성, 메시지 기밀성 서비스를 지원하는 프로토콜과 새로운 IP 헤 더가 추가되는 동작모드가 잘 묶여진 것은? 2
① ESP 프로토콜, Transport 동작모드
② ESP 프로토콜, Tunnel 동작모드
③ AH 프로토콜, Transport 동작모드
④ AH 프로토콜, Tunnel 동작모드
보안 페이로드 캡슐화, Encapsulating Security Payload, ESP
IP 보안 프로토콜(IPsec)에 있어서 데이터의 무결성과 프라이버시(privacy)를 제공하는 기능.
인증되지 않은 데이터 스트림에 대한 공격을 막기 위해 제한적 트래픽 흐름의 비밀성을 제공하며, 인증 헤더(AH)의 기능인 무결성과 데이터 인증 및 재사용 방지 기능도 제공한다. 트랜스포트 계층 세그먼트를 암호화할 경우와 전체 IP 패킷을 암호화할 경우에 사용된다.
1. IPSec (IP Security)
ㅇ 네트워크계층(IP 계층) 상에서 IP 패킷 단위로 `인증`, `암호화`, ` 키관리`를 하는 프로토콜
2. IPSec 특징
ㅇ 인터넷 경유 구간에 일종의 보안 통로인 터널링을 형성해 줌
- 가상사설망(VPN)에서 특히 많이 사용되는 터널링 프로토콜 임
ㅇ 응용 소프트웨어 변경 필요 없음
- 수송계층(TCP,UDP등) 하위에서 구현되기 때문에 응용에 투명함
. 대부분 운영체제 쪽에서 IPSec 구현 기능을 직접 제공하는 편임
ㅇ IP 버젼별 요구 수준
- IPv4 : 선택적인 요구사항
- IPv6 : 보다 강제적인 요구사항
3. IPSec 주요 보안 서비스
ㅇ 통신 상대방 인증 (Peer Authentication)
ㅇ 데이터 원천(근원지) 인증 (Data Origin Authentication)
ㅇ 비연결형 무결성 (Connectionless Integrity)
ㅇ 기밀성 (Confidentiality)
ㅇ 접근제어 (Access Control)
ㅇ 재생공격 방지 (Replay Attack Protection) 등
4. IPSec 프로토콜 구조
※ IP 계층에서 안전하게 데이터를 보호하기 위하여 다음과 같이 복수의 요소들로 구성
ㅇ 보안성을 제공하기 위한 2가지 종류의 프로토콜 `헤더`
- AH (인증 헤더, Authentication Header)
. 발신지 인증,데이터 무결성 만을 보장
- ESP (캡슐화된 보안 페이로드, Encapsulating Security Payload)
. 발신지 인증, 데이터 무결성, 기밀성 모두를 보장
ㅇ `키 관리` 프로토콜
- IKE (Internet Key Exchange)
. IPSec을 위한 SA(보안연관)을 생성하며, 그에따른 키 관리를 수행하는 복합 프로토콜
- ISAKMP (Internet Security Association and Key Management Protocol)
. IKE 교환을 위한 메세지 형식 및 기반구조로써 설계됨
- 여기서, SA(Security Association,보안연관) 이라 함은,
. 보안 속성들을 함께 결합시켜 세분화 및 추상화시킨 개념을 말하며,
. 일련의 보안연관을 생성하는 과정이 바로 IKE에 의함
5. IPSec 운용 모드
ㅇ Tunnel 모드 (터널 모드)
- IP 패킷 전체를 보호하고, 그 위에 새로운 IP 헤더를 추가하는 방식
- `두 라우터 간에`, `호스트와 라우터 간에`, `두 게이트웨이 간에` 주로 사용
. 즉, IPSec VPN 구현
ㅇ Transport 모드 (수송 모드)
- 원래의 IP 헤더는 대부분 그대로 이용, 나머지 데이터 부분 만 보호하는 방식
- `호스트-호스트 (종단대종단) 간에` 주로 사용
- 주로, 상위 계층 프로토콜을 보호하기 위해 사용
※ 위 두가지 중 Tunnel 모드가 보다 안전하나 과부하를 주게됨
6. IPSec 운영 방식
ㅇ AH 수송 모드 (AH Transport mode)
- IP 패킷 내 페이로드 및 IP 헤더 중 선택된 일부를 인증
ㅇ AH 터널 모드 (AH Tunnel mode)
- 내부 IP 패킷 전체 및 외부 IP 헤더 중 선택된 일부를 인증
ㅇ ESP 수송 모드 (ESP Transport mode)
ㅇ ESP 터널 모드 (ESP Tunnel mode)
- 전체 IP 패킷을 암호화하는데 사용
- 내부 IP 패킷의 인증은 선택사항 임
[출처]정보통신기술용어해설, TTA정보통신용어사전
'IT > 정보보안' 카테고리의 다른 글
네트워크 보안 - TCP/UDP Well Known Port (0) | 2019.08.28 |
---|---|
네트워크 보안 - NAC, Network Access Control (0) | 2019.08.28 |
네트워크 보안 - Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, CCMP (0) | 2019.08.28 |
네트워크 보안 - Wireless LAN Security 무선랜 보안 (0) | 2019.08.28 |
네트워크 보안 - 무선랜 보안 취약점 공격 (0) | 2019.08.28 |
댓글