본문 바로가기
23년 2학기 학교공부/컴퓨터네트워크

[CN] IPSec - IP계층 보안

부엉익 2023. 12. 3. 22:11

목차

728x90
반응형
SMALL
2023학년도 2학기 충남대학교 이영석 교수님의 컴퓨터네트워크 수업 정리자료입니다.

 

 

 

 

📁 IPsec

 

IPsec란 IP security의 약자로, 통신 세션의 각 IP패킷을 암호화하고 인증하는 안전한 인터넷 프로토콜 통신을 위한 인터넷 프로토콜 스위트를 지칭한다. 이 보안은 통신 세션의 개별 IP 패킷을 인증하고 암호화하는 방식으로 동작하며, 암호화(encryption), 인증(authentication), 무결성(integrity)를 제공한다.

 

두개의 모드가 있다.

 

 

1. transport mode

datagram의 payload부분만 암호화 및 인증한다.

 

 

2. tunnel mode

전체 datagram이 암호화 및 인증되고, 암호화된 datagram은 새로운 IP헤더를 갖는 새 datagram 안에 캡슐화되어 목적지로 터널링된다.

 

 

 

IP sec에는 몇 가지 프로토콜이 있다.

  1. Authentication Header protocol (AH) : 인증과 무결성만 제공한다.
  2. Encapsulation Security Protocol (ESP) : 인증과 무결성, 기밀성 모두 제공하며, AH보다 널리 사용된다.
  3. Internet Key Exchange(IKE) : 인터넷에서 두 디바이스 간에 보안 연결을 설정한다. 

 

 

 

 

 

🌱 Security associations (SAs)

데이터를 전송하기 전에, 송신측부터 수신측까지 직접적인 보안연결(SA)이 수립된다.

수신측과 TCP 엔드포인트는 SA에 대한 상태 정보를 유지한다(?)

 

IP는 connectionless 이지만 IPsec은 connection-oriented 이다.

라우터 R1은 SA를 위해 다음과 같은 정보를 저장한다.

  • 32비트짜리 식별자 : Security Parameter Index(SPI)
  • SA 인터페이스의 origin (200.168.1.100)
  • SA 인터페이스의 목적지 (193.68.2.23)
  • 암호화 키
  • 인증 키
  • 무결성 체크가 사용되는지 여부
  • 암호화가 사용되는지 여부

 

 

 

 

🌱 IPsec Datagram

 

 

  • ESP trailer에는 block cipher를 위한 padding이 들어 있음
  • ESP header에는 replay attack을 막기 위한 seq #가 들어 있고 SPI가 들어 있음

 

🌙 ESP tunnel mode

  1. original datagram에 ESP trailer를 붙인다.
  2. SA에 의해 정의된 알고리즘과 키를 이용해 암호화한다.
  3. 암호화된 quantity 앞에 ESP header를 붙인다.
  4. SA에 의해 정의된 알고리즘과 키를 이용해 authentication MAC을 만든다.
  5. MAC을 붙여 payload를 만든다.
  6. 새로운 IP header를 만들고 tunnel endpoint로 주소를 지정한다.

 

 

 

 

🌱 Internet Key Exchange(IKE)

인터넷 키 교환(Internet Key Exchange)은 IPsec 프로토콜 제품군에서 보안 연결을 설정하는 데 사용되는 프로토콜을 말한다.

 

이전 예시에서(?)는 IPsec의 endpoint에서 IPsec SA를 위와 같이 수동으로 설정하였지만, VPN같은 경우 수백개의 endpoint가 있기 때문에 수동 설정이 불가능하다.

 

이럴때 IPsec IKE를 이용한다.

 

 

 

더보기

참고

https://velog.io/@parksh089g/%EC%BB%B4%ED%93%A8%ED%84%B0%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC%ED%95%98%ED%96%A5%EC%8B%9D-%EC%A0%91%EA%B7%BC8%EC%9E%A5-IP-%EB%B3%B4%EC%95%88

 

[컴퓨터네트워크_하향식 접근]8장 IP 보안

IP sec이 제공하는 건 암호화, 인증, 무결성 제공Transport mode: datagram(payload)부분만 암호화 및 인증Tunnel mode: 전체 datagram이 암호화 및 인증, 새로운 datagram안에 캡슐화시켜 암호화Authentication

velog.io

https://velog.io/@dltmdrl1244/%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-8-6.-IPsec

 

[네트워크] 8-6. IPsec

[네트워크] 8-6. IPsec

velog.io

https://aws.amazon.com/ko/what-is/ipsec/

 

IPSec란 무엇인가요? - IPSec 프로토콜 설명 - AWS

IPSec 암호화는 데이터를 스크램블하여 권한이 없는 당사자로부터 콘텐츠를 보호하는 소프트웨어 기능입니다. 데이터는 암호화 키로 암호화되며, 정보의 스크램블을 해제하려면 복호화 키가 필

aws.amazon.com

 

 

728x90
반응형
LIST
저작자표시

'23년 2학기 학교공부/컴퓨터네트워크' Related Articles

부엉부엉부엉익 님의 블로그입니다.

티스토리툴바