IPSec(IP Security)

reference:
컴퓨터 네트워킹 3판
71회 김영호 기술사 엥라퍼
정의
네트워크 계층의 IP 데이터그램을 보호하기 위한 인터넷 표준 방식

IPSec의 필요성
    - 보안 통신의 기본 요소 제공 이외에도 IP 주소 위장(IP Spoofing) 공격에 대한 방어 수단이 됨.

주요특징
    1. 근원지 인증, 데이터 기밀성, 데이터 무결성 보장(ESP 프로토콜의 경우)
    2. OSI 3 계층인 네트워크 계층에서 보안절차 진행
    3. 통신을 위해 핸드쉐이킹 과정을 통한 네트워크 계층 논리 연결(SA: Security Association)을 확립
(연결형 네트워크 계층), 그리고 만들어진 SA를 통해 키, 암호화 알고리즘을 공유 및 상호간 인증.
    4. 프로토콜에 따라 AH, ESP로 구분

IPSec의 주요 기술(프로토콜)
    1. AH(Authentication Header) : 근원지 인증, 데이터 무결성까지만 보장.

사용자 삽입 이미지

AH 프로토콜의 구조

사용자 삽입 이미지

AH 프로토콜 스택


        - IP 데이터그램 데이터(payload)와 IP 헤더 사이에 위치
        - IP 헤더 프로토콜 필드에 51번 마킹
        - Next 헤더 : payload의 종류 구분(일반 IP 헤더의 프로토콜 필드의 역할)
        - SPI : 데이터그램에 대한 SA(연결식별자 역할)를 확인
        - 순서번호(Sequence Number) : 각 데이터그램에 대한 순서번호. '가운데 남자 공격(Replay Attack)' 방지에 활용
        - 인증 데이터(Authentication Data) : 데이터그램에 서명된 MD(Message Digest)를 가진 가변길이 필드 -> 데이터 무결성, 근원지 호스트 인증 기능 제공
        - HMAC(암호화된 MD: 인증을 위해 공개키가 아닌 공유된 비밀키를 이용)를 통해 메시지 인증

    2. ESP(Encapsulating Security Payload) : 근원지 인증, 데이터 무결성, 데이터 기밀성 모두 보장

사용자 삽입 이미지

ESP 프로토콜의 구조
       
        - 헤더와 트레일러 필드로 payload 캡슐화
        - 기밀성은 DES-CBC 암호화를 통해 제공됨.
        - 헤더는 SPI와 순서번호(Sequence Number)로 구성됨(AH의 그것과 동일)
        - 트레일러는 NEXT 헤더 필드를 포함하며, 암호화됨으로 인해 전송 프로토콜을 침입자가 알 수 없음.
        - ESP Authentication(인증) 필드 AH의 인증 필드와 동일 역할(데이터 무결성, 인증)

IPSec negotiation 과정

사용자 삽입 이미지


기타특징
    1. 확장성 있고 자동화된 SA와 키 관리 계획이 플수적. 이를 위해 여러 프로토콜이 정의됨
        - IKE(Internet Key Exchange) : IPSec을 위한 기본 키 관리 프로토콜
        - ISKMP(Internet Security Key Management Protocol) : SA를 설정하고 해제하는 순서를 정의
    2. IPv4뿐 아닌 IPv6까지 충분히 고려된 설계
    3. 전송 모드와 터널 모드가 존재. payload만을 암호화하는 전송 모드와는 달리, IP 패킷 전체를 암호화하는 터널 모드에서는 중계 장비의 IP를 덧붙이기 위한 부가적인 IP 헤더 구성이 요구됨. 또한 호스트가 아닌 라우터가 보안 기능을 제공함.

IPSec의 활용
    1. VPN을 통한 원격 접속
    2. 본사와 지사간의 안전한 연결
    3. 전자 상거래 보안(+ SET)


'digging IT 인프라 > 보안' 카테고리의 다른 글

SQL Injection  (0) 2007.10.10
XSS : cross Site Scripting  (2) 2007.10.10
OTP(One Time Password)  (2) 2007.10.05
IPSec : IP Security  (2) 2007.08.21
SSL : Secure Sockets Layer  (2) 2007.08.21
UTM(S) : United Threat Management System  (0) 2007.08.19
Posted by 어쨌건간에

댓글을 달아 주세요

  1. 성재경 기술사 2007.09.14 10:14  댓글주소  수정/삭제  댓글쓰기

    IPSEC은 25점용으로 더 정리하셔야 할꺼 같습니다.