어쨌건간에 흘러가는 者

IPSec의 주요 기술(프로토콜)
    1. AH(Authentication Header) : 근원지 인증, 데이터 무결성까지만 보장.

        - IP 데이터그램 데이터(payload)와 IP 헤더 사이에 위치
        - IP 헤더 프로토콜 필드에 51번 마킹
        - Next 헤더 : payload의 종류 구분(일반 IP 헤더의 프로토콜 필드의 역할)
        - SPI : 데이터그램에 대한 SA(연결식별자 역할)를 확인
        - 순서번호(Sequence Number) : 각 데이터그램에 대한 순서번호. '가운데 남자 공격(Replay Attack)' 방지에 활용
        - 인증 데이터(Authentication Data) : 데이터그램에 서명된 MD(Message Digest)를 가진 가변길이 필드 -> 데이터 무결성, 근원지 호스트 인증 기능 제공
        - HMAC(암호화된 MD: 인증을 위해 공개키가 아닌 공유된 비밀키를 이용)를 통해 메시지 인증

    2. ESP(Encapsulating Security Payload) : 근원지 인증, 데이터 무결성, 데이터 기밀성 모두 보장
       
        - 헤더와 트레일러 필드로 payload 캡슐화
        - 기밀성은 DES-CBC 암호화를 통해 제공됨.
        - 헤더는 SPI와 순서번호(Sequence Number)로 구성됨(AH의 그것과 동일)
        - 트레일러는 NEXT 헤더 필드를 포함하며, 암호화됨으로 인해 전송 프로토콜을 침입자가 알 수 없음.
        - ESP Authentication(인증) 필드 AH의 인증 필드와 동일 역할(데이터 무결성, 인증)

IPSec negotiation 과정

기타특징
    1. 확장성 있고 자동화된 SA와 키 관리 계획이 플수적. 이를 위해 여러 프로토콜이 정의됨
        - IKE(Internet Key Exchange) : IPSec을 위한 기본 키 관리 프로토콜
        - ISKMP(Internet Security Key Management Protocol) : SA를 설정하고 해제하는 순서를 정의
    2. IPv4뿐 아닌 IPv6까지 충분히 고려된 설계
    3. 전송 모드와 터널 모드가 존재. payload만을 암호화하는 전송 모드와는 달리, IP 패킷 전체를 암호화하는 터널 모드에서는 중계 장비의 IP를 덧붙이기 위한 부가적인 IP 헤더 구성이 요구됨. 또한 호스트가 아닌 라우터가 보안 기능을 제공함.

IPSec의 활용
    1. VPN을 통한 원격 접속
    2. 본사와 지사간의 안전한 연결
    3. 전자 상거래 보안(+ SET)