IPsec

 

IPsec ( Internet Protocol Security )

 

 

IPsec 이란 ?

 

프라이버시 보호를 위한 사용자의 데이터를 암호화를 진행하는 것을 말한다.

즉, 메시지 무결성을 인증하여 데이터가 중간에 변조되지 않았음을 보장해주고 재생공격과 같은

특정 종류의 공격으로부터 사용자의 데이터를 보호한다.

장비가 자신의 보안 요구에 맞는 보안 알고리즘과 키를 협상하여 통신하도록 지원하고

서로 다른 네트워크 요구를 만족시키기 위하여 두 보안 모드를 사용 한다.

 

IPsec의 등장 배경  

 

IP의 약점으로는 전송되는 데이터가 암호화 되지 않아 보호되지 않는다는 점이다.

IPsec의 경우 처음에는 IPv4의 고갈 문제로 인해 IPv6개발시 IP의 단점인 보안 문제를 해결하기위해

처음 등장한 프로토콜이다. 현재는 이것을 발전시켜 IPv4에도 적용하여 사용한다.

IPsec의 경우 IP계층에서 동작하기 때문에 상위 계층의 프로토콜도 보호 할 수 있다.

IPsec은 주로 VPN과 같이 사용한다.

 

 

 

 

IPsec 에서 사용하는 알고리즘

 

1. 암호화 알고리즘 : DES, 3DES

2. 무결성 알고리즘 : HMAC-SHA1, HMAC-MD5

3. 보안 파라미터 협상 프로토콜 : IKE ( Internet Key Exchange )

4. 공유 비밀 키 분패 프로토콜 : Diffie-Hellman 키 교환 방식

 

 

IPsec의 모드

 

 1. 전송모드 : 송신자와 수신자간 통신시 처음부터 끝까지 전부 암호화를 진행하여 통신하는 방법

IPsec 기능을 가진 종단 단말들 간에 IP 패킷을 전송 할 때 사용

기존 IP헤더와 IP데이터 영역 사이에 AH 또는 ESP 영역을 추가 하여 사용

 

 

 

2. 터널모드 : 게이트웨이간 가상의 터널을 만들어 게이트웨이간 통신시 암호화를 진행하는 방법

 

IPsec 전용 Router간에 생성된 IP터널을 이용하여 사용

IPsec Router는 단말로 부터 전달된 일반 IP 패킷에 AH나 ESP헤더를 추가한 IPsec 패킷으로 변환 후 터널로 전송

터널 전송을 위해 터널용 IP헤더를 추가적으로 붙인다.

 

 

&& 위그림에서 보면 AH프로토콜만 사용할 경우 ESP보다 처리속도가 빠르다. 이유는 붙는 헤더의 수가 적기때문

 

 

IPsec Protocol ( AH & ESP )

 

1. AH ( Authentication Header ) : 무결성, 인증

2. ESP ( Encapsulation Security Payload ) : 기밀성 제공

ESP + AH : ESP 패킷에 AH헤더를 추가 시킴으로써 기밀성과 무결성을 제공

 

 

IPsec Protocol  협상과정

 

기본적으로 2개의 Phase(단계)로 구성된다.

 

(1) Phase 1 [ main mode ] : IPsec 관련 값을 안전하게 전달하기 위한 과정

Diffie-Hellman 키 분배 방식을 사용한다.

Phase2에서 사용될 마스터 키를 설정하고 상호 인증 수행

상호 인증을 위해 PSK, RSA, Kerberos등의 디지털 서명이 사용된다.

종류로는 Main mode, Aggressive mode 2가지가 있다.

 

(2) Phase 2 [ Quick mode ] : 두 시스템간에 공유하는 Session Key 설정

Phase2에서 협상된 session key와 동작 모드에 따라 IPsec이 동작한다.

Windows Server에서 제공되는 방식으로는 총 3가지가 존재한다.

Kerberos[domain 환경], CA[서버의 인증기관], PSK[공유키]

 

 

 IP 보안정책을 이용한 IPsec 통신

 

 

 

 

Kerberos를 이용한 IPsec 통신

 

 

 

CA 서버인증기관을 이용한 IPsec 통신