IPSec(IP Security)

 

 

 

[정의] TCP/IP 프로토콜의 IP계층에서 무결성과 인증을 보장하는 인증헤더(AH)와 기밀성을 보장하는 ESP를 이용한 IP보안 프로토콜

 

[동작모드]

- 트랜스포트 모드: Transport Layer에서 Network Layer 로 오는 정보만 보호. IP 헤더를 보호하지 않음. Peer-to-peer

- 터널모드 : 전체 IP 패킷을 보호. 헤더를 포함한 IP 패킷을 취해서, 전체 패킷에 IPSec 보안을 적용한 다음 새로운 IP 헤더 추가, 새로운 IP 헤더는 라우터의 IP. site-to-site

 

[프로토콜]

- AH(Authentication Header. 데이터 무결성과 IP 패킷의 인증을 지원, 재생방지(anti-reply) 서비스를 제공, 기밀성을 제공해주지는 않음)

- ESP(Encapsulation Security Payload. 암호화 기법을사용하여 데이터의 무결성, 비밀성의 기능을 제공하는 프로토콜, 프라이버시 제공)

 

 

 

 

[정책 및 키관리]
-SPD(Security Policy Database): 패킷에 대한 보안 정책을 적용하며, 모든 트래픽 처리 시에 참조. SAD를
이용하기 전에, 호스트 패킷에 대해 규정된 정책을 결정.(종류: Drop(폐기), 통과(Bypass), 적용(Apply) 등)
-SAD(Security Authentication Database): 양단간의 비밀 데이터 교환을 위해 미리 설정되어야 할 보안
요소들에 대한 데이터 관리.
-IKE(Internet Key Exchange): inbound 와 outbound 보안 연관을 생성하기 위하여 설계된 프로토콜로
IPSec을 위한 SA(Security Association) 생성. Key 를 주고 받는 알고리즘, 공개된 네트워크를 통하여
Key 를 어떻게 할 것 인가를 정의, IKE 교환을 위한 메시지를 전달하는 프로토콜. ISAKMP(키교환, 인증을
위한 프레임워크, 메시지포멧), SKEME(인증을 위한 공개키 암호화 기법), Oakley(Mode-based 메커니즘)의
3가지 방식 중 Oakley, SKEME 를 다포함하는 ISAKMP 를 주로 사용.

 

[IKE SA(Security Association)과정]
-IKE Phase 1 (IKE SA설정) : 1) IKE 보안 파라미터 협상과정, 2) IKE SA용 마스터키가 설정, 3) 상호 인증과정
-IKE Phase 1.5(Option) : - 추가인증(Xauth), 클라이언트에게 파라미터 값 전달(Mode config)
-IKE Phase 2 (IP Sec SA 설정) : 4) IPSec SA 보안 파라미터 협상 과정, 5) 세션키 생성, 6) 상호인증