[정보보안기사] IPSEC 프로토콜

1. IPSec ( IP Security )
네트워크 계층에서 보안을 위해 설계 IP 패킷을 암호화하고 인증하는 IP보안 서비스

1-1 ) IPSec 기능
기밀성
비연결형 무결성
송신처 인증
재전송 공격 방지
접근 제어
제한된 트래픽 흐름의 기밀성

---

2. IPSec 동작모드

2-1) 전송모드

보호 : 상위계층의 데이터 보호
구간 : 종단 대 종단

2-2) 터널모드

 

헤더부분을 캡슐화로 목적지정보를 알 수 없기 때문에 목적지를 담은 새로운 IP 헤더부분을 생성한다.

보호 : IP패킷 전체 ( IP 헤더 + 데이터 )
구간 : 게이트웨이 대 게이트웨이

---

3. IPSec 프로토콜

3-1) AH 프로토콜 (인증헤더 프로토콜)

AH 헤더
Next Header (8)	Payload Length (8)	예약 (16)
Security Parameter Index (32)
Sequence Number (32)
Authentication Data (다이제스트) (32) (가변길이)

Security Parameter Index (SPI, 보안 매개변수 색인) : 보안연관 식별자
Sequence Number (순서번호) : 재전성 공격을 방어 할 수 있으며 항상 1씩 증가
Authentication Data (인증 데이터) : 변경되는 필드를 제외한 IP 패킷 해시 값

- MAC를 사용하여 무결성과 송신처인증 기능을 제공하지만 기밀성(암호화)는 제공하지 않는다.
- IP 헤더 중 변경 가능한 필더를 제외한 전체를 인증 검사한다.

3-1-1) 모드별 AH 프로토콜

전송모드 : IP 헤더 중 변경가능한 필드를 제외한 모든 IP 패킷을 인증한다.
터널모드 : New IP 헤더 중 변경가능한 필드를 제외한 모든 IP 패킷을 인증한다.

변경가능한필드 : TTL, HeaderChecksum, NAT 환경의 출발지 IP

 

3-2) ESP 프로토콜

- AH 프로토콜 상위버전
- MAC를 사용하여 무결성과 송신처인증 기능을 제공
- 암호화를 이용하여 기밀성 제공

3-2-1) 모드별 ESP 프로토콜

전송모드 암호화 : IP페이로드(data)와 ESP 트레일러를 암호화
전송모드 인증 : 암호화한 IP페이로드(data)와 ESP 헤더 인증

터널모드 암호화 : 원본 IP패킷 전체와 ESP 트레일러를 암호화
터널모드 인증 : 암호화한 원본 IP패킷 전체와 ESP 헤더 인증

---

4. 보안연관 SA (Security Association)
논리적연결상태에서 적용하는 보안설정정보
단반향성이기 때문에 A와 B가 통신을 하기 위해서는 SA(A->B), SA(B->A) SA 2개가 필요하다.

---

5. IKE 프로토콜 (인터넷 키 교환 프로토콜)
IPSec을 위해 SA(보안연관)을 생성하고 그에 따른 키를 관리하는 프로토콜

---

문제1 ) IPSec 프로토콜에 대하여 빈칸을 채우시오.
IPSec은 ( A ) 계층 프로토콜이며 2가지 헤더가 있다. 하나는 송신자를 인증하고 데이터 무결성을 위한 ( B )프로토콜과 인증과 무결성, 기밀성 까지 제공하는 ( C ) 프로토콜이 있다.

 

답1 )
A. 네트워크
B. AH
C. ESP

---

문제2 ) IPSec 프로토콜에 대하여 모드별 인증 및 암호화에 대해 설명하시오.
1) AH 프로토콜 전송모드 인증 / 암호화 구간
2) AH 프로토콜 터널모드 인증 / 암호화 구간
3) ESP 프로토콜 전송모드 인증 / 암호화 구간
4) ESP 프로토콜 터널모드 인증 / 암호화 구간
5) IPSec 키 교환 프로토콜 명은?

 

답2 )
1. AH 전송 모드
   인증 : IP 헤더 중 변경 가능 한 필드를 제외한 전체 IP 패킷 인증
   암호화 : 제공하지않는다.
2. AH 터널 모드
   인증 : 새로운 IP 헤더 중 변경 가능 한 필드를 제외한 전체 IP 패킷 인증
   암호화 : 제공하지않는다.
3. ESP 전송 모드
   인증 : ESP 헤더 + IP 페이로드 (data) + ESP 트레일러
   암호화 : IP 페이로드 (data) + ESP 트레일러
4. ESP 터널 모드
   인증 : ESP 헤더 + 원본 IP 패킷 전체 + ESP 트레일러
   암호화 : 원본 IP 패킷 전체 + ESP 트레일러
5. IKE 프로토콜

---