IPsec(Internet Protocol security)
IPsec은 인터넷 프로토콜 (IP)에서 데이터 전송을 보호하기 위한 프로토콜 모음이다.
IPsec이 하는 일
- IP 주소 위장 방지(출발지 인증)
- IP 데이터그램의 변경 및 재전송 방지
- Ip 데이터그램을 위한 기밀성, 무결성 제공
- 보안 프로토콜 선택(시스템들이 필요로 하는)
- 암호 알고리즘 선택(선택된 프로토콜에서 사용되도록)
- 암호키 생성, 분배(요청된 서비스의 제공에 필요)
IPsec의 구성
- IPsec AH(인증 헤더): 데이터 근원 인증, 무결성 제공
- 캡슐화 보안페이로드(ESP) : 데이터 기밀성, 제한된 트래픽 흐름 기밀성, 비연결형 무결성, 데이터 근원 인증, 재전송 공격 방지 제공
- 비연결형 무결성: 데이터가 전송되는 과정에서 무결성을 유지하도록 보장하는 기술
- IKE 프로토콜: 통신 당사자간 키관리 프로토콜, 암호 알고리즘 협상 , 키 분배 위해 사용된다.
IPsec의 동작 방식
- 협상 : 두 장치는 먼저 보안을 위한 매개변수와 키 교환 방식을 논의한다. 이 단계에서 보안키를 생성하고 안전한 채널(암호화된 터널)을 만든다.
- 데이터 전송 : IPsec은 데이터 전송을 시작한다. 이 단계에서는 이미 설정된 채널을 사용하여 데이터 패킷이 암호화 되고 인증한다.
- 보안 프로토콜 선택: ESP, AH
IPsec 모드
: IPsec은 네트워크 트래픽의 보안을 확보하기 위해 두가지 주요 모드를 제공한다.
1. Transport Mode
정의: 두 호스트 간의 엔드 투 엔드 통신을 보호하는 모드
요구 사항 : 관련된 모든 호스트는 IPsec을 지원해야한다.
전송 방식 : IP프로토콜의 상위 계층의 데이터가 안전하게 전송된다.
헤더 처리 : IP헤더에 IPsec헤더 정보를 추가하여 전송한다.
특징 :
- 직속 통신으로, 데이터만을 암호화 해서 전송한다.
- 성능이 상대적으로 향상되고, 각 호스트에서 IPsec을 처리하므로 유연성이 높다.
2. Tunnel Mode
정의: 터널 내의 모든 IP 트래픽을 보호하는 모드이다.
구성 요소: 터널 시작과 종료 지점에 IPSec 게이트웨이가 필요하다.
헤더 처리: 터널 시작 게이트웨이에서 새로운 IP헤더와 IPsec 헤더를 추가하고, 터널 종료 게이트웨이에서 이를 제거한다.
특징:
- 모든 데이터가 터널을 통해 이동하며, 내부 패킷은 라우터가 확인하지 못한다.
- 송신자와 수신자의 주소가 다를수 있다.
- 종종 방화벽과 함께 구현되어 보안을 강화한다.
- VPN과 같은 환경에서 자주 사용된다.
Transport Mode
Transport 모드에서는 Ip haeder는 그대로 유지가 되고, IPSec헤더가 추가된다. 오직 전송되는 데이터만 암호화 되기 때문에 외부에서 패킷을 보는 경우 목적지 IP는 확인할 수 있지만 어떤 내용인지는 확인할수 없다.
예시: 두대의 컴퓨터가 직접 연결 되어 있을때, 이메일 암호화 등
Tunnel Mode
터널 모드에서는 원래의 IP header도 변경이 되어 새로운 IP헤더와 IPsec헤더가 추가된다. 외부에서는 목적지 IP도 알수 없다. 출발지에 있는 게이트웨이가 ip header를 암호화 하고 목적지 게이트웨이가 이를 복호화 해서 중간에 있는 네트워크 장비들은 origin ip를 알 수 없다.
정리: 네트워크 보안의 각 계층
1. 어플리케이션 레이어
: 네트워크를 통해 사용자에게 직접 서비스를 제공하는 계층이다. 이메일, 파일 전송, 웹 브라우징 등 다양한 애플리케이션 프로토콜이 작동.
2. 전송 레이어
: 네트워크 노드 간의 데이터 전송을 관리하는 계층으로, 데이터 흐름 제어 및 오류 검사를 담당한다.
3. 네트워크 레이어
: 데이터를 목적지까지 전송하는 경로를 선택하고, 패킷 전송을 처리하는 계층이다. 주요 프로토콜에는 IP(Internet Protocol)가 있습니다.
4. 데이터 링크 레이어
: 물리적으로 연결된 네트워크 노드 간의 데이터 전송을 처리하며, MAC 주소를 사용하여 디바이스 식별 및 오류 검사를 담당한다.
