IPSec은 이름에서 알 수 있듯이 보안성이 부족한 기존 IP프로토콜을 보완하기 위한 보안 기술이다. 기존 IP프로토콜에 추가적인 절차를 더해 호환성있게 적용되며 IPv4에선 보안이 필요한 경우에만 선택적으로 사용되었지만 IPv6부턴 기본 스펙에 포함된 필수 사항이다.
IPSec에는 2+1가지 프로토콜이 지원된다.
프로토콜이라고 하지만 실제론 헤더의 구성 차이, 기능 차이라고 보면 된다.
AH(Authentication Header) : Sequence number를 이용하여 재전송 공격을 방지한다. 무결성을 보장한다.
ESP(Encapsulating Security Payload) : AH의 기능을 포함하고 추가적으로 패킷을 암호화하여 기밀성을 제공한다.
이 둘은 선택 옵션이다. 초기 연결 시에 어떤 프로토콜을 선택하는 지에 따라 헤더가 달라진다.
IKE(Internet key Exchange) : 암호화 키 분배를 위해 쓰이는 별도의 프로토콜이다.
IPSec에는 2가지 모드가 있다.
Transport Mode : IP Header를 제외한 패킷의 내용이 암호화 된다. IP Header를 암호화하지 않는 것은 목적지는 알아야 라우팅이 가능하기 때문이다. 송신자와 수신자는 노출된다. 아래와 같이 기존 패킷에서 AH만 추가된다.
IP header |
AH |
TCP |
Data |
Tunneling Mode : IP Header를 포함한 전체 패킷이 암호화된다. 별도의 게이트웨이를 목적지로 한 새로운 Header가 생긴다. 이 게이트웨이에서 실제 목적지가 복호화 되어 수신자에게 전달된다. 아래와 같이 기존 IP헤더는 남겨 두고 새로운 IP header가 사용된다.
New IP header |
AH |
IP header |
TCP |
Data |
IPSec는 VPN의 표준 프로토콜이다.
VPN이란 가상 사설망이란 뜻으로 실제 물리적인 사설망을 구축하자니 비용이 너무 많이 들고 번거로워 보안 기술을 이용해 마치 사설망을 구축한 것처럼 사용하겠다는 것이다. 이때 활용되는 것이 IPSec의 터널링 기술이다. 송신망부터 수신 망까지 패킷이 암호화되어 안전하게 전송되고 목적 망에 들어 와서야 복호화 되므로 스니핑, 스푸핑, 세션하이재킹 등의 위협으로 부터 비교적 안전하게, 마치 사설망을 구축한 것처럼 사용할 수 있는 것이다.
'IT 이론 > 정보보호' 카테고리의 다른 글
PKI 기반 전자서명과 공인인증서 (0) | 2016.10.11 |
---|---|
XML 기반 보안 기술 (0) | 2016.10.11 |
SSL/TLS 프로토콜 (118) | 2016.10.11 |
RSA 키 분배 알고리즘(Rivest-Shamir-Adleman method) (3) | 2016.10.11 |
디피-헬만 키 교환 알고리즘(Diffie-Hellman key exchange) (11) | 2016.10.11 |
댓글