IPSec   IP Security  

(2021-04-10)

1. IPSec (IP Security)네트워크계층(IP 계층) 상에서 IP 패킷 단위로 `인증`,`암호화`,`키관리`를 하는 프로토콜


2. IPSec의 특징인터넷 경유 구간에 일종의 보안 통로인 터널링을 형성해 줌
     - Layer 3에서 캡슐화에 의해 보안 통로 제공

  ㅇ 응용 소프트웨어 필요 없이, 대부분 운영체제에서 직접 제공
     - 수송계층(TCP,UDP등) 하위에서 구현되기 때문에, 응용에 투명함
     - 대부분, 운영체제 쪽에서 IPSec 구현 기능을 직접 제공하는 편임

  ㅇ 가상사설망(VPN)에서 특히 많이 사용
     - 사이트 투 사이트, 클라이언트서버, 클라이언트게이트웨이 등 다양한 적용 가능

  ㅇ IP 버젼별 요구 수준
     - IPv4 : 선택적인 요구사항
     - IPv6 : 보다 강제적인 요구사항


3. IPSec의 주요 보안 서비스통신 상대방 인증 (Peer Authentication)
  ㅇ 데이터 원천(근원지) 인증 (Data Origin Authentication)
  ㅇ 비연결형 무결성 (Connectionless Integrity)
     - AH 헤더,ESP 헤더에 의해 제공
       . 각 IP 패킷 마다 메세지 다이제스트가 생성되고, 이를 통해 무결성 여부 확인됨
  ㅇ 기밀성 (Confidentiality)
     - ESP 헤더기밀성 제공
  ㅇ 접근제어 (Access Control)
     - 보안연관을 통해 간접적으로 접근제어 제공
        . 만일, IP 패킷이 기설정된 보안연관이 없으면 이를 폐기하는 등
  ㅇ 재생공격 방지 (Replay Attack Protection) 등


4. IPSec 프로토콜 구조 IP 계층에서 안전하게 데이터를 보호하기 위하여 다음과 같이 복수의 요소들로 구성

  ㅇ 보안성을 제공하기 위한 2가지 종류의 프로토콜 `헤더`
     - AH (인증 헤더, Authentication Header)                             ☞ AH 헤더 참조
        . 발신지 인증,데이터 무결성 만을 보장
     - ESP (캡슐화보안 페이로드, Encapsulating Security Payload)      ☞ ESP 헤더 참조
        . 발신지 인증,데이터 무결성,기밀성 모두를 보장

  ㅇ `키 관리` 프로토콜
     - IKE (Internet Key Exchange)
        . IPSec을 위한 SA(보안연관)을 생성하며, 그에따른 키 교환을 수행하는 복합 프로토콜
           .. 공개 키 방식 구현이 가능하도록, 공개키,개인키 교환을 하는 프로토콜
     - ISAKMP (Internet Security Association and Key Management Protocol)
        . IKE 교환을 위한 메세지 형식,전달 절차 등을 규정하는 기반구조로써 설계됨 

     - 여기서, SA(Security Association,보안연관) 이라 함은,
        . 보안 속성들을 함께 결합시켜, 세분화추상화된 개념을 말하며,
        . 일련의 보안연관을 생성하는 과정이, 바로 IKE에 의함


5. IPSec 운용 모드 및 방식

  ※ ☞ IPSec 운용 모드 참조
     - 운용 모드
        . Tunnel 모드 (터널 모드) : IP 패킷 전체를 보호, 그 위에 새로운 IP 헤더를 추가하는 방식
           .. `두 라우터 간에`, `호스트라우터 간에`, `두 게이트웨이 간에` 주로 사용 (IPSec VPN) 
        . Transport 모드 (수송 모드) : IP 헤더 이외 나머지 데이터 부분 만 보호하는 방식
           .. `호스트호스트 (종단대종단) 간에` 주로 사용
     - 운용 방식
        . AH 수송 모드 (AH Transport mode)
        . AH 터널 모드 (AH Tunnel mode)
        . ESP 수송 모드 (ESP Transport mode)
        . ESP 터널 모드 (ESP Tunnel mode)



Copyrightⓒ   차재복 (Cha Jae Bok)    " 정보통신 및 과학기술 지식을 간결하게 정리,체계화시키고 있습니다. "