IPSEC

IPSEC

보안에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약.

IPSEC 전송 방법

터널모드

VPN과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPsec을 탑재한 중계장비가 패킷 전체를 암호화(인증)하고 중계 장비의 IP 주소를 붙여 전송.(새로운 IP 헤더가 추가됨)

전송모드

패킷의 출발지에서 암호화를 하고 목적지에서 복호화가 이루어짐.(기존의 IP헤더 사용)

IPSEC header 구조

AH(인증 헤더)

데이터 무결성과 IP 패킷의 인증을 제공.MAC 기반.

재생 공격으로부터 보호.(순서번호 사용)

next header : AH 헤더 다음에 오는 페이로드의 유형을 나타낸다.

icmp -> 1, tcp -> 6, udp ->17

payload length : ah 헤더의 길이

reserved :0으로 설정되고, 사용하지 않는다.

security parameters index : 데이터그램을  위한 SA를 식별하기 위한 index값.

sequence number : 동일한 spi를 이용하여 패킷의 일련번호를 나타낸다.

authentication data : 패킷에 대한 무결성을 조사하기 위한 값.

AH는 인증과 무결성을 제공하지만 기밀성은 보장되지 않는다.

ESP

IP 페이로드를 암호화 하여 데이터 기밀성을 제공함으로써 공격자에게 데이터가 노출되는 것을 차단. 기밀성, 무결성, 인증을 수행함.

esp 헤더와 esp 트레일러를 추가한다.

ah와 달리 데이터를 암호화하여 전송한다.

전체 패킷을 암호화 할 경우 터널모드를 사용한다.

SA(보안 연관)

보안 연관은 두 당사자 사이의 약속이다. 그들 사이에 보안상 안전한 채널을 만든다.

두 당사자간에 기밀성을 위해 대칭키를 공유한다고 할 때 두개의 보안 연관이 있다고 할 수 있다.

외부적 SA와 내부적 SA이다.

각자의 키값을 변수에 저장하고 암복호화 알고리즘의 이름을 저장한다. 

IKE

보안관련 설정들을 생성하고 협상하여 관리하는 프로토콜.

SA에서 사용되는 대칭키를 분배하는 과정이다.

ISAKMP

IKE의 일부로 대칭키를 교환하는 매커니즘을 설정하는 프로토콜.