IPSEC

[정보보안 기사] 네트워크 보안 - 보안

 

 

VPN

 

- 공중망을 이용해 사설망이 요구하는 서비스를 제공할 수 있도록 구축한 망

- 낮은 비용으로 전용선과 비슷한 서비스 제공

- 터널링 프로토콜 : 전송로에 외부로부터의 침입을 막기 위해 파이프를 구성(보안성 향상)

- 페이로드 : 터널링되는 데이터(터널링 프로토콜에 의해 캡슐화)

 

VPN Protocol

 

1. PPTP(Point to Point Tunnel Protocol) - MS사 설계

- Datalink Layer(Layer 2) Protocol

- PPP 패킷을 IP Packet으로 캡슐화해서 IP 네트워크에서 전송하기 위한 터널링 기법

- 하나의 터널에 하나의 연결만 가능(일대일 통신)

 

2. L2F(Layer 2 Forwarding) - Cisco사 설계

- Datalink Layer(Layer 2) Protocol

- ISP 장비에서 접근 서버의 터널 서버로 L2F 터널 생성, 이 터널은 Direct-dial PPP/RAS 세션 생성

- 하나의 터널에 여러 개의 연결 가능(다자간 통신)

- PPP 사용, 인증으로 RADIUS, TACACS+ 사용

 

3. L2TP(Layer 2 Tunneling Protocol) - MS사, Cisco사

- Datalink Layer(Layer 2) Protocol

- L2F을 기반으로 하고 PPTP와의 호환성을 고려해 만든 터널링 프로토콜

- IP, IPX 등 프로토콜에 대해 지원, WAN 기술도 지원

 

4. IPSec(IP Security Protocol) - IETF

- Network Layer(Layer 3) Protocol

- IP망에서 안전한 전송을 위해 표준화된 3계층 터널링 프로토콜

- 보안에 중점(IP 데이터그램의 인증, 무결성, 기밀성 등 제공)

- IP 계층에서 직접 서비스를 제공하기 때문에 상위 계층 변경 불필요

- 암호화된 패킷은 IP패킷과 동일한 형태로 되어있기 때문에 장비 변경 불필요

 

 

IPSec

 

- IETF에서 IP 보안을 위해 개방형 구조로 설계한 표준

 

보안 서비스

 

1. 기밀성

- 대칭 암호화를 통한 기밀성 제공

- ESP 프로토콜만 암호화 지원

 

2. 비연결형 무결성

- MAC을 통해 패킷별로 무결성 지원

 

3. 인증

- MAC을 통해 인증 제공

 

4. 재전송 공격 방지

- 송신측에서 sequence number를 전송하고 수신측에서 보안연관(SA)에 sequnce number를 보관해 이를 검증

 

5. 접근 제어

- 보안 정책(SP)를 통해 IP 패킷에 대한 시스템 접근 제어

- 제어 방식 : 허용(Bypass), 폐기(Discard), 보호(Protect) 등

 

6. 제한적 트래픽 흐름 기밀성

- ESP/터널모드의 경우 터널/보안 게이트웨이 구간의 트래픽 흐름은 노출되지만, 원본 IP헤더는 캡슐화/암호화되어있기 때문에 터널/보안 게이트웨이와 종단 노드 구간의 트래픽 흐름 기밀성은 보장

 

IPSec 동작 모드

 

1. 전송 모드(Transport Mode)

- IP Packet의 페이로드 부분을 보호하는 모드

- Payload만 IPSec으로 캡슐화하고 IP 헤더는 그대로 유지

- IP header는 보호하지 않으므로 트래픽 흐름이 분석될 수 있음

- 보호 구간 : 종단 노드 구간의 IP 패킷 보호

 

2. 터널 모드(Tunnel Mode)

- IP 패킷 전체를 보호하는 모드

- IP 패킷 전체를 IPSec으로 캡슐화하여 IP 헤더를 식별할 수 없기 때문에 패킷 전송이 불가능해서 주소 정보를 담은 New IP Header를 추가함

- 원본 IP header를 보호하기 때문에 트래픽 기밀성 보장(새로운 IP header는 노출되므로 제한적 트래픽 흐름 기밀성이라고 함)

- 보호 구간 : 터널/보안 게이트웨이 구간, 터널/보안 게이트웨이와 종단노드 구간

 

IPSec 세부 프로토콜

 

1. AH(Authentication Header) Protocol

- MAC을 이용해 무결성, 송신 인증을 제공하는 프로토콜(기밀성 X)

- MAC 알고리즘과 인증 키를 통해 인증 데이터를 계산해 전송, 수신 측에서 검증(인증 데이터 계산 : 변경 가능한 필드를 제외한 IP 패킷 전체)

- 변경 가능한 필드 : TTL, Checksum, NAT 환경에서의 Source IP

1) AH 헤더 필드

- SPI : 보안연관(SA) 식별자

- Sequence Number : 재전송 공격 방지

- Authentication data : 변경 가능한 필드 제외 IP 패킷 전체에 대한 MAC 값(ICV)

2) 동작 모드

 

- 전송 모드 : IP 헤더 전송 중 변경 가능한 필드를 제외한 IP 패킷 전체 인증

- 터널 모드 : New IP 헤더 전송 중 변경 가능한 필드를 제외한 New IP 패킷 전체 인증

 

2. ESP(Encapsultion Security Protocol) Protocol)

- MAC과 암호화를 이용하여 무결성, 송신 인증, 기밀성 제공

- 인증 or 인증+암호화 적용 가능

- ESP는 IP header를 인증하지 않음

1) ESP 헤더 필드

- SPI : 보안연관(SA) 식별자

- Sequence Number : 재전송 공격 방지

2) ESP trailer 필드

- 블록 암호를 위한 패딩 정보, Payload의 프로토콜 타입 정보

3) ESP Auth 필드

- 인증 데이터 정보

4) 동작 모드

- 전송 모드 : IP Payload와 ESP trailer를 암호화하고 암호화된 데이터와 ESP 헤더 인증

- 터널 모드 : 원본 IP Packet 전체와 ESP trailer를 암호화하고 암호화된 데이터와 ESP 헤더 인증