IPSec 개요 , 원리 , 관련 프로토콜

* IPSec

  IP망 계층자체에서 보안조치를 취하는 보안 메케니즘으로 Network Layer 사용

* IPSec 원리 

   - 전송모드

      . Transport Layer에서 Network Layer로 오는 정보만 보호

        IP 헤더를 보호하지 않음

      . 송수신

        1) Transport Layer에서 TCP Header 추가

        2) Network Layer로 넘어갈 때 IPSec 헤더 추가

        3) 네트워크 망으로 전송

        4) Network Layer에서 수신하고, IP 헤더 제거

           원본 IP 헤더가 앞에 존재하므로, 기존의 IP망을 이용해 단말의 네트워크 계층까지 전달 가능

        5) Transport Layer로 넘어가면서 IPSec 제거

           에이전트 프로그램이 있어야 IPSec 해석 가능

      . 모든 사용자 컴퓨터에 IPSec 메이전트 설치, Peer-To-Peer 경우에 유용

        But, 사용자가 늘어나면 관리가 힘듬

      

   - 터널모드

      . 전체 IP 패킷 보호

        헤더를 포함한 IP 패킷을 취해서, 전체 패킷에다 IPSec 보안을 적용한 다음 새로운 IP 헤더 추가

        새로운 IP 헤더는 라우터의 IP

     . 송수신

        1) 송신 단말에서는 IP 헤더-TCP 헤더-Data 패킷 전송

        2) 라우터의 Network Layer에서 IPSec 헤더 추가하고, 라우터의 IP를 IP 헤더로 추가

        3) Secure Tunnel 망으로 전송

        4) 수신 라우터의 Network Layer에서 IP 헤더 제거하고, IPSec 헤더 제거

        5) Original IP 패킷을 수신 단말에 전달

      . 단말의 에이전트 불필요하고, 패킷이 방화벽 전달 전에 IP단에서 불량 패킷 제거 가능

        2개의 헤더 추가되어 부하가 커지고, 단편화 현상으로 네트워크 지연 현상 발생

        -> 성능 좋은 라우터가 필요 

* IPSec 프로토콜

 - AH(Authentication Header)

    . 데이터 무결성과 IP 패킷의 인증을 지원

 - ESP(Encapsulating Security Payload)

   . 데이터 무결성, IP 패킷의 인증, 프라이버시 제공

     AH 프로토콜 사용한 후에 설계되어 AH 기능에 추가 기능 포함

* IPSec 컴포넌트 레이아웃

   

   - IPSec Engine

     사용자가 정의한 IPSec 정책을 DataBase에서 읽어 들여 Rule 기반으로 동작하며,

     X.509 인증서를 이용해 암호화/복호화 서비스

     이때, 키를 교환하는 프로토콜인 IKE 사용

   - Packet interceptor

     TCP/IP 스택에서 패킷 가로채서 IPSec Engine의 입력으로 사용

     (IP헤더, IPSec 헤더, TPC 헤더, 페이로드 포함된 패킷)

     IPSec Engine의 결과인 TCP 헤더와 페이로드만 포함된 패킷을 전송 계층으로 전달

   - IPSec 정책

     . SPD(Security Policy Database)

       패킷들에 대한 보안 정책 적용하며, 모든 트래픽 처리 시에 참조

       SAD를 이용하기 전에, 호스트 패킷에 대해 규정된 정책을 결정

       종류 : 폐기, 통과, IPSec 적용 등

       # Inbound processing 

      # Outbound processin

     . SAD(Security Association Database)

       양단간의 비밀 데이터 교환을 위해 미리 설정돼야 할 보안 요소들에 대한 데이터 관리

  

  - IKE(Internet Key Exchange)

    . inbound와 outbound 보안 연관을 생성하기 위해여 설계된 프로토콜로 IPSec을 위한 SA 생성

    . 구성요소

      ISAKMP(Internet Security Association and Key Management Protocol)

       : IKE 교환을 위한 메시지를 전달하는 프로토콜

      Oakley

      SKEME

* SA(Security association)

  - IPSec 두 호스트간에 요구되는 논리적인 연결-관계로 이때의 정보는 SAD에 저장되며,

    SPD의 데이터와 상호작용을 거쳐 엔진모듈의 사용하게 된다

  - SA간의 통신에는 IKE(Internet Key Exchange) 프로토콜로 인증키 교환 해결

  - 속성으로 알고리즘(인증, 기밀), SPI(AH and ESP시 SA와의 연관을 위한 구분자나 암호인자),

    키(인증을 위한 키, 설정을 위한 키), 만료시간 등

  - 전송모드와 터널모드

 

   - <그림14> 호스트에 IPSec 에이전트 설치돼 있고, 호스트와 라우터 간에도 공통적으로

      IPSec 프로토쿨 이용하기 때문에 안전한 통신 보장

IP Authentication Header ==> http://tools.ietf.org/html/rfc4302

Cryptographic Algorithm Implementation Requirements for  
Encapsulating Security Payload (ESP) and Authentication Header (AH) ==> http://tools.ietf.org/html/rfc4305 

[출처] IPSsdfec|http://tools.ietf.org/html/rfc4305

a작성자 혀df누기