IPSec은 IPv4와 IPv6를 지원한다
🔒 두 가지 모드로 나뉜다.
✔ Transport mode
- Payload만 보호, IP 헤더는 보호하지 않음
- Payload와 IP헤더의 선택된 부분을 인증한다.
- 전송계층과 네트워크 계층 사이에 있다.
✔ Tunnel mode
- Payload + IP header 모두 보호
- 서로 다른 네트워크의 라우터 ↔️ 라우터, 호스트 ↔️ 라우터 간에 사용됨
- 내보낼 때 경계 침입차단시스템의 라우터 주소로 보내 IPSec 처리 후, 목적지의 경계 침입차단시스템 라우터 주소로 보내짐
🔒 패킷 인증, 암호화 프로토콜
✔ AH(Authentication Header)
- 발신지 인증과 데이터 무결성 제공
- 기밀성은 제공하지 않음
- 재전송 공격에 대한 보호가 가능하다
- 메시지 다이제스트를 만들기 위해 keyed hash 함수와 대칭키 사용
- 만들어진 메시지 다이제스트는 인증 헤더에 삽입
✔ ESP (Encapsulating Security Payload)
- 발신지 인증, 데이터 무결성, 기밀성 모두 제공
- 재전송 공격에 대한 보호가 가능하다
🔒 SA(Security Association) 보안 연관
- 통신하려는 두 개체 사이의 약속의 의미이다.
- 예를들어 두 개체 사이에 기밀성이 필요하다면 비밀키를 공유하여야 하는 것과 같은 약속이다.
- IKE (Internet Key Exchange)를 사용한다.
- SPD(Security Policy Database) : 보안 연관을 사용하기 전, 패킷에 대한 보안
정책을 정해야 한다.- 패킷을 보낼때는 외부적 SPD를 참조한다.
- 패킷이 도착할 때는 내부적 SPD를 조회한다.