시드니랩
[Security] 17. IPSecurity 본문
이론
TCP/IP Suite 기준 Network Layer 에서 동작하는 보안 프로토콜로, Network Layer 그리고 그 상위 Layer 까지 의 보안을 담당한다.
네트워크 계층에 보안을 하는 이유는 역시 Efficiency 와 Security 두가지 측면이 있다. 각각의 어플리케이션 마다 보안 프로토콜을 구현하기엔 효율적이지 못하고, 데이터링크 계층까지 가버리면 네트워크 구조상 보안상의 문제가 생기기 때문이다.
위 그림에서 볼수 있듯이 IP 프로토콜 위에 IPSec 이 얹혀져 있다고 생각하면 된다. IPSec 은 뒤에서 나오겠지만 AH와 ESP 두가지 방법을 사용할 수 있다.
개요
IPSec 이 제공하는 Security Service 는 아래와 같으며, 구조는 아래 그림을 참조하자.
Sender Authentication
Data Integrity
Data Confidentiality
Limited Traffic flow confidentiality
Anti replay attack
✣Security Association
Security Association 이란, 한 개체에서 다른 개체와 통신할때, 단방향 차원에서, 어떻게 보안 정책을 가져갈 것인지를 결정하는 것이다.
아래 필기를 확인하며 수업 내용을 상기하자.
✣Security Policy Database
들어오고 나가는 패킷에 대해서, 패킷의 내용에따라 패킷을 버릴 것인지 그냥 통과시킬 것인지 등에 대한 정책을 결정할 수 있다.
결정한 정책들은 SPD라는 데이터베이스에 담겨있다.
✣ IPSec Protocols
- 가능한 4 가지 조합을 모두 생각해야한다.
Tunnel Mode - AH / ESP
TransPortMode - AH / ESP
☞ Tunnel Mode and Transport Mode
위에 Security Association 에서도 볼수 있듯이, IPSec 을 생성할때, tunnelmode 와 transport 모드를 정해줄수 있다. 통신하는 상대방이 IPSec 소프트웨어가 설치되어 있으면, Transport 모드를 사용하고, 둘중 하나라도 IPSec 소프트웨어가 설치되어있지 않다면, Tunnel 모드를 사용한다. Tunnel 모드의 이름은 각 개체가 속한 라우터까지 Tunnel을 만든다는 의미에서 붙여졌다.
☞ Authentication Header(AH) and Encapsulating Security Payload(ESP)
가장 큰 차이는 ESP 모드는 Data Confidentiality 를 보장하고, AH는 Confidentiality 를 보장하지 않는다는 것이다.
AH Transport 모드를 예로들어 한번 헤더를 확인해보면 아래와 같다.
실습으로 참고하면 좋은 블로그 :
devcentral.f5.com/s/articles/understanding-ikev1-negotiation-on-wireshark-34187
'랩 > Cryptography and Security' 카테고리의 다른 글
| [Security] 19. Secure Socket Layer (SSL) (0) | 2021.01.01 |
|---|---|
| [Security] 16. Kerberos for Distributed System (0) | 2021.01.01 |
| [Security] 15. Pretty Good Privacy (PGP) (0) | 2021.01.01 |
| [Cryptography] 14. Secret Sharing - Shamir's Secret Sharing Scheme & Chinese Remainder Theorem (0) | 2021.01.01 |
| [Cryptography] 13. Digital Signature Standard, RSA and DSA Signing (0) | 2020.12.31 |
