IP Sec
IP sec이 제공하는 건 암호화, 인증, 무결성 제공
두개의 모드가 있음
- Transport mode: datagram(payload)부분만 암호화 및 인증
- Tunnel mode: 전체 datagram이 암호화 및 인증, 새로운 datagram안에 캡슐화시켜 암호화
두개의 IPsce 프로토콜
Authentication Header protocol (AH): 인증, 무경성만 제공
Encapsulation Security Protocol (ESP): 인증, 무결성, 기밀성 모두 제공
(이제 ESP를 다룰 예정)
Security associations (SAs)
- 데이터를 보내기 전에, SA를 설정 (방향성이 있음)
- 따라서 보내는쪽과 받는쪽 모두 SA에 대한 상태정보를 유지해야한다. 일반적으로 IP는 상태정보를 가지고 있지않지만 IPsec은 가지고 있다.
IPsec datagram
동작과정
- ESP트레일러를 붙임
- SA를 이용해 이용해 암호화
- ESP 헤더를 앞에 붙임
- 인증용 MAC생성해 붙임
- 새로운 IP헤더와 도착지 정보를 붙임
IPsec sequence numbers
IPsec은 순서번호를 사용
IPsec security databases
Security policy database(SPD): '어떤' SA를 사용할지에 대한 정책
Security Assoc. Database(SAD): '어떻게' SA를 처리할지에 대한 정책
IKE: Internet Key Exchange
여러가지 SA 프로토콜들을 저장해서 직접 키교환을 할때, 이것을 매뉴얼처럼 사용함
공부노트