정보보호론-(23) IPsec
IPsec 구성
- 통신 세션의 각 IP패킷을 암호화하고 인증하는 안전한 인터넷 프로토콜(IP) 통신을 위한 인터넷 프로토콜이다.
- IPsec의 보안 통신 당사자간 키 관리 프로토콜 : IKE(Internet Key Exchange)
- IPsec의 실제 보안 서비스를 제공하는 프로토콜 : AH, ESP
- IPsec의 응요 : VPN(Virtual Private Network)
IPsec 모드
- Transport 모드
- Tunnel 모드
IPsec Transport 모드
- 호스트(host)와 호스트(host)간의 통신을 보호하기 위해 사용됨
- IP 헤더 다음에 IPsec 헤더 정보를 추가함
- 통신 당사자(호스트)들이 IPsec 프로토콜을 구현하고 있어야 함
IP 터널이란?
- IP 데이터그램들을 터널의 시작점에서 새로운 IP 데이터그램의 데이터로 캡슐화(encapsulation)하여 전송한다.
- 즉, 지역 네트워크의 IP 데이터그램 묶음을 한 데이터로 처리하는 것
- 터널의 종점에서 원래의 IP 데이터그램으로 복원하여 목적지로 전달한다.
IPsec Tunnel 모드
- 터널 구간을 통과하는 모든 IP 트래픽을 보호함
- 터널 시작점과 종점에 IPsec Gateway를 설치함
Security Association(SA)
- IPsec 장치간 통신을 위한 매개변수 설정
- SA는 단방향이므로 양방향 통신을 위해선 두개의 SA설정이 필요
IPsec장치가 SA를 설정하기 위한 방법
- IKE(Internet Key Exchange)프로토콜을 통한 민감 정보(암호화 키)를 교환한다
- ISAKMP(Internert Security Association Key Management Protocol)은 SA를 설정하기 위해 키 교환을 하는 프토토콜로써 Diffe-Hellman 키 교환 알고리즘의 단점을 보완한 프로토콜이다.
Diffie-Hellman 키 교환 알고리즘의 문제점
(1) DoS 공격에 취약 : Diffie-Hellman 키 교환 알고리즘은 지수 연산을 하므로 연산 복잡성이 높은데 이를 이용한 DoS 공격이 가능함. => TCP SYN Flooding Attack(DoS공격)을 TCP Cookie로 방어할 수 있음
2019/06/04 - [정보보호/정보보호론(박승철)] - 정보보호론-(6) Dos, DDoS, Amplified DoS
(2) 중간자 공격(Man-In-The-Middle Attack)에 취약 : MAC(Message Authentication Code)를 이용해 인증성을 확보하여 해결
(3) 재현 공격(Replay Attack)에 취약 : 넌스(nonce)를 활용하여 해결
IPsec의 실제 보안 서비스를 제공하는 프로토콜 : AH, ESP
AH(Authentication Header) 프로토콜
- IP 데이터그램의 무결성, 출발지 호스트 인증성, 재현 공격 방지, 기밀성 없음
ESP(Encapsulating Security Payload) 프로토콜
- IP 데이터그램의 무결성, 출발지 호스트 인증성, 재현 공격 방지, 기밀성
Reference
1.
'정보보호 > 정보보호론(박승철)' 카테고리의 다른 글
| 정보보호론-(25) 이메일 보안 프로토콜(PGP, S/MIME) (0) | 2019.06.07 |
|---|---|
| 정보보호론-(24) SSL/TLS (0) | 2019.06.06 |
| 정보보호론-(22) 침입 탐지 시스템(IDS), 침입 방지 시스템(IPS) (0) | 2019.06.06 |
| 정보보호론-(21) 방화벽 - 2 (0) | 2019.06.06 |
| 정보보호론-(20) 방화벽 - 1 (0) | 2019.06.06 |
