IPSec 개념정리

IPSec

network layer의 node간 데이터 전송을 보호하기위한 프로토콜 세트
 
 

IPSec이 제공하는 정책

 
SA(Security Association)
-두 peer간 안전한 통신을 위한 보안 연결 설정 정책
-SA설정을 잘 끝마쳐야 데이터 통신이 수행됨

-주요요소

• Sequence Number Counter: 패킷의 Sequence number 설정을 위한 카운터
• Anti-Replay Window: 재전송 공격 방어 위한 Window 값
• AH/ESP: 프로토콜 정보
• Lifetime: 세션 만료 기간
• Mode: 동작모드 (Transport, Tunnel)
• path MTU: 경로 MTU 값

 
SP(Security policy)
-패킷 필터링 정책
-외부에서 내부로 들어오는 Traffic과 내부에서 외부로 나가는 Traffic으로 구분하여 각기 다른 정책 설정
-송/수신 IP 주소, 송/수신 포트 번호, DNS 식별자, TCP/UDP 등을 고려해 정책을 설정함

-주요 요소

• Source / Destination IP Address: 송/수신 IP 주소
• Source / Destination Port: 송/수신 포트 번호
• Name: DNS 식별자 등의 이름
• Transport Layer Protocol: TCP or UDP

 
 

IPSec 구성 프로토콜

 
AH 프로토콜
-송신자 인증 데이터가 포함된 헤더를 추가하고, 인가되지 않은 사용자가 수정하지 못하도록 데이터를 보호
- 수신자에게 원본 데이터 패킷이 조작되었을 가능성을 경고
-> 무결성 보장, 송신자 인증
 
ESP 프로토콜
- IPSec 모드에 따라,  전체 IP 패킷 또는 페이로드에 대해서만 암호화를 수행
-암호화 수행시 헤더와 트레일러를 데이터의 앞뒤로 추가해 데이터를 감싸고있는 형태가 됨
->기밀성, 무결성 보장
 
IKE 프로토콜
-두 peer 간 보안 연결을 설정하는 프로토콜 (키 교환 프로토콜)
-두 peer 간 통신을 위해 SA 설정 시 필요한 암호화 키 및 알고리즘을 협상하는 과정에 사용되는 프로토콜
 
 

IPSec 동작 모드

 
Transport mode
-IP 패킷의 페이로드에만 암호화를 하고 IP 헤더를 원래 형식으로 유지함
-암호화 되지 않은 IP 헤더를 통해 라우터는 각 패킷의 주소 식별 가능
->신뢰할 수 있는 네트워크상 데이터 전송에 적합 
 
Tunnel mode
-인가되지 않은 사용자로부터의 데이터 보호를 강화함
-전체 IP 패킷을 암호화, 데이터에 새 헤더 추가
-> 공용 네트워크상 데이터 전송에 적합