네트워크 계층 보안 - IPSec

IPSec은 IPv4와 IPv6를 지원한다

 

🔒 두 가지 모드로 나뉜다.

✔ Transport mode

• Payload만 보호, IP 헤더는 보호하지 않음
• Payload와 IP헤더의 선택된 부분을 인증한다.
• 전송계층과 네트워크 계층 사이에 있다.

 

✔ Tunnel mode

• Payload + IP header 모두 보호
• 서로 다른 네트워크의 라우터 ↔️ 라우터, 호스트 ↔️ 라우터 간에 사용됨
• 내보낼 때 경계 침입차단시스템의 라우터 주소로 보내 IPSec 처리 후, 목적지의 경계 침입차단시스템 라우터 주소로 보내짐

 

 

🔒 패킷 인증, 암호화 프로토콜

✔ AH(Authentication Header)

• 발신지 인증과 데이터 무결성 제공
• 기밀성은 제공하지 않음
• 재전송 공격에 대한 보호가 가능하다
• 메시지 다이제스트를 만들기 위해 keyed hash 함수와 대칭키 사용
• 만들어진 메시지 다이제스트는 인증 헤더에 삽입

✔ ESP (Encapsulating Security Payload)

• 발신지 인증, 데이터 무결성, 기밀성 모두 제공
• 재전송 공격에 대한 보호가 가능하다

🔒 SA(Security Association) 보안 연관

• 통신하려는 두 개체 사이의 약속의 의미이다.
• 예를들어 두 개체 사이에 기밀성이 필요하다면 비밀키를 공유하여야 하는 것과 같은 약속이다.
• IKE (Internet Key Exchange)를 사용한다.
• SPD(Security Policy Database) : 보안 연관을 사용하기 전, 패킷에 대한 보안
  정책을 정해야 한다.
  • 패킷을 보낼때는 외부적 SPD를 참조한다.
  • 패킷이 도착할 때는 내부적 SPD를 조회한다.