IPSEC

IPsec(Internet Protocol Security)은 통신 세션의 각 IP패킷을 암호화하고 인증하는 안전한 인터넷 프로토콜(IP) 통신을 위한 인터넷 프로토콜 스위트이다.

특징

  ㅇ 인터넷 경유 구간에 일종의 보안 통로인 터널링을 형성해 줌

     - 가상사설망(VPN)에서 특히 많이 사용되는 터널링 프로토콜 임

  ㅇ 응용 소프트웨어 변경 필요 없음

     - 수송계층(TCP,UDP등) 하위에서 구현되기 때문에 응용에 투명함

        . 대부분 운영체제 쪽에서 IPSec 구현 기능을 직접 제공하는 편임

  ㅇ IP 버젼별 요구 수준

     - IPv4 : 선택적인 요구사항

     - IPv6 : 보다 강제적인 요구사항

주요 보안 서비스

  ㅇ 통신 상대방 인증 (Peer Authentication)

  ㅇ 데이터 원천(근원지) 인증 (Data Origin Authentication)

  ㅇ 비연결형 무결성 (Connectionless Integrity)

  ㅇ 기밀성 (Confidentiality)

  ㅇ 접근제어 (Access Control)

  ㅇ 재생공격 방지 (Replay Attack Protection) 등

프로토콜 구조

-인증 헤더(AH(Authentication Header))

데이터 무결성과 IP패킷(발신지 인증)의 인증을 제공

MAC기반

Replay Attack로 부터의 보호기능(순서번호 사용)을 제공

인증 시 MD5,SHA-1인증 알고리즘을 이용하여 Key값과 IP패킷의 데이터를 입력한 인증값을 계산하여

인증 필드에 기록

수신자는 같은 키를 이용하여 인증 값을 검증

-보안 페이로드 캡슐화(ESP(Encapsulating Security Payload)) - 기밀성까지 제공

전송 자료를 암호화하여 전송하고 수신자가 받은 자료를 복호화하여 수신

IP 데이터그램에 제공하는 기능으로서 데이터의 선택적 인증, 무결성,기밀성,Replay Attack방지를 위해 사용

AH와 달리 암호화를 제공(대칭키,DES,3-DES 알고리즘)=>기밀성을 위해 암호화

TCP/UDP 등의 Transport 계층까지 암호화 할 경우 Transport모드

전체 IP패킷에 대해 암호화를 할 경우 터널모드를 사용

키관리 프로토콜

IKE(Internet Key Exchange)

IPSec을 위한 SA을 생성하며,그에 따른 키 관리를 수행하는 복합 프로토콜

RFC2409에 규정되어 있으며,IPSec을 암호화 하는데 사용

송신측에서 수신측이 생성한 암호키를 상대방에게 안전하게 송신하기 위한 방법

RSA(공개키 암호화)법과 DIffie-Hellman법 등의 암호 기술을 사용

키 전달시에는 UDP 포트번호 500을 이용

ISAKMP

IKE교환을 위한 메시지 형식 및 기반구조로써 설계됨

SA(보안연관)란?

보안 속성들을 함께 결합시켜 세분화 및 추상화시킨 개념을 말하며,

일련의 보안연관을 생성하는 과정이 바로 IKE에 의함

운용모드

-터널모드(Tunnel)

IP 패킷 전체를 보호하고,그위에 새로운 IP헤더를 추가하는 방식

두 라우터간,호스트와 라우터간,두게이트간에 주로 사용(IPSec VPN 구현)

-전송(수송) 모드(Transport)

원래의 IP헤더는 대부분 그대로 이용,나머지 데이터 부분만 보호하는 방식

호스트-호스트 간(종단대종단)에 주로사용

주로 상위 계층 프로토콜을 보호하기 위해 사용

IP 주소를 숨기지 못한다.

터널모드가 더 안전하나 과부하를 주게됨

운영방식

아래참조

AH 수송,터널모드

ESP 수송,터널모드

http://www.ktword.co.kr/word/abbr_view.php?m_temp1=6185

IPSEC에 대한 설명이다. 괄호 안에 알맞은 것을 순서대로 넣으시오.

( 1 ) : UDP 프로토콜을 사용해서 키를 교환한다.

( 2 ) : 전송 자료를 암호화하여 송신하고 수신측은 복호화한다.

( 3 ) : 순서번호를 사용해서 Replay Attach로부터 보호하고 인증을 수행한다.

1.IKE, ESP, AH

2.SA, ESP, AH

3.SA, AH, ESP

4.SA, ESP, SPI

정답 1번

IPSEC VPN에 대한 설명으로 올바르지 않은 것을 고르시오.

1.전송 모드로 전송 시에 스니핑을 통해서 IP 주소를 획득할 수 있다.

2.터널 모드는 New IP Header를 포함시켜서 암호화를 수행한다.

3.IKE는 TCP 프로토콜을 사용해서 출발지와 도착지 간에 키 교환을 담당한다.

4.ISAKMP는 SA설정과 협상을 담당한다.

정답 3번

IKE의 경우 UDP 500 Port를 사용해서 키교환을 담당한다.