IPSEC(IP Security)

IPSEC(IP Security)

• 보안에 취약한 인터넷에서 안전한 통신을 실현하는 통신 규약이다.
• 인터넷상에 전용 회선과 같이 이용 가능한 가상 전용 회선을 구축하여 데이터 도청과 같은 공격을 방지하는 통신 규약이다.

IPSEC 전송 방법

전송 모드

• 데이터에 대해 암호화를 수행하지만, IP 헤더에 대해서는 암호화를 수행하지 않는다.
• 패킷의 출발지에서 암호화를 하고 목적지에서 복호화를 하므로 종단 간 보안을 제공한다.

터널 모드

• 보안 IPSEC 헤더를 추가하고 IP 헤더와 데이터 모두를 암호화한다.
• VPN과 같은 구성으로 패킷의 출발지에서 일반 패킷이 보내지면 중간에서 IPSEC을 탑재한 중계 장비가 패킷 전체를 암호화하고 중계 장치의 IP 주소를 붙여 전송한다.

IPSEC Header 구조

IPSEC 인증 및 암호화를 위한 헤더로 AH와 ESP가 존재한다.

AH

• MAC을 기반으로 하며, 데이터 무결성과 IP 패킷의 인증을 제공한다.
• 재생 공격으로부터 보호 기능(Sequence Number)을 제공한다.

ESP

• 데이터를 암호화하여 전송한다.
• IP 데이터그램에서 제공하는 기능이며, 데이터의 선택적 인증, 무결성, 기밀성, 재생 공격 방지를 위해 사용한다.
• AH와 달리 암호화를 제공한다.
• TCP/UDP 등의 전송 계층까지 암호화할 경우 Transport 모드를 사용한다.
• IP 패킷 전체에 대해 암호화할 경우 터널 모드를 사용한다.

IPSEC 키 관리

ISAKMP(Internet Security Association and Key Managemnet Protocol)

• Security Association 설정, 협상, 변경, 삭제 등 SA 관리와 키 교환 방식을 정의

IKE(Internet Key Exchange)

• UDP 프로토콜을 사용하여 전달
• 출발지 도착지 주소는 500번 포트를 사용
• 키 교환을 담당