IPSec은 IP 계층의 보안 프로토콜로서 호스트와 호스트 간, 호스트와 보안 게이트웨이,
보안 게이트웨이와 보안 게이트웨이 간의 경로를 보호하기 위한 프로토콜이다.
여기서 보안 게이트웨이와 보안 게이트웨이는 기존의 라우터 혹은 침입차단시스템에 IPSec 프로토콜을 구현한 시스템을 말한다.
IPSec은 네트워크 계층의 보안을 위해 인증헤더(AH)와 ESP 프로토콜을 사용하여 보안 연계 서비스를 제공한다.
IPSec은 IPv4와 IPv6을 지원한다. IPv6에서는 AH와 ESP는 확장 헤더의 한 부분임.
특징
IPSec는 네트워크 계층 보호를 위해 널리 사용되고 있는 표준이다.
IPSec는 강력한 암호화와 인증 방식을 가지며 두 컴퓨터 사이의 터널화된 통시늘 가능하도록 한다.
IPSec 보안은 기능적 영역을 3가지 분야로 나눌 수 있는데 인증, 기밀성, 키 관리이다.
IPSec 서비스
보안 서비스(RFC 2401)
1. 접근 제어
보안 정책(SP, Security Policy)을 통해 송수신 IP 패킷에 대한 시스템을 접근 제어한다
접근제어 방식은 IP 패킷의 허용(BYpass), 폐기(Discard), 보호(Protext, IPSec 적용) 등이 있다.
2. 비연결 무결성
메시지가 위/변조 되지 않았음을 보장해줌
MAC(메시지 인증 코드)를 통해 각 IP 패킷별로(순서에 상관없음) 무결성을 보장
3. 데이터 발신처 인증
수신한 메시지가 올바른 발신처로부터 온 것임울 보장
MAC(메시지 인증 코드)를 통해 IP 패킷이 올바른 발신처로부터 온 것임을 보장
4. 재전송 패킷 거부
송신측에서 IP 패킷별로 순서번호(Swquence Number)를 전송하고 수신측에서 해당 보안연관(SA, Security Association)에 순서번호를 유지 이를 검증함으로써 재전송 공격을 방지한다.
5. 기밀성(암호화)
대칭 암호화를 통해 메시지가 제3자에 의해 도청되어도 그 내용을 알 수 없음을 보장해준다.
AH 프로토콜은 암호화를 지원하지 않으며 ESP 프로토콜만 암호화를 지원한다.
6. 제한된 트래픽 흐름의 기밀성
트래픽 흐름이란 해당 패킷이 어디에서 출발해서 어디를 목적지로 향해 가는지에 대힌 정보를 뜻하는데.
ESP/터널모드의 경우 New IP 헤더를 통해 터널/보안 게이트웨이 구간의 트래픽 흐름 정보는 노출되지만
원본 IP 헤더는 암호화되어 있기 때문에 터널/보안 게이트웨이와 종단 노드 구간의 트래픽 흐름의 기밀성은 보장된다.
'네트워크 보안' 카테고리의 다른 글
VPN(Virtual Private Network) - 가상 사설망 개념 및 구성요소 (1) | 2020.05.18 |
---|---|
침입차단시스템(Firewall) 개념 및 구성요소 (1) | 2020.05.17 |
IDS와IPS 기초 개념 (0) | 2019.12.22 |
댓글