[도서 정리] 69. IPsec - 보안의 기본

69. IPsec - 보안의 기본

* IP 패킷의 암호화와 인증을 위한 프로토콜

-

IPsec 은 TCP/IP 통신에서 사용하는 IP 패킷 단위의 암호화와 패킷이 변조되지 않았다는 것을 확인(인증)하기 위한 프로토콜이다.

VPN 을 구축할 때 주로 사용한다.

-

IPsec 에서는 대부분의 경우 IP 패킷 자체를 암호화하고, 암호화된 IP 패킷을 페이로드로 만든 후 IP 헤더를 부여하는 통신을 한다

IP 패킷의 암호화와 복호화는 IPsec 을 해석하는 IPsec 게이트웨이라는 장치에서 수행한다.

* IPsec 게이트웨이의 역할

-

IPsec 게이트웨이는 보통의 TCP/IP 통신을 IPsec 통신으로 변환하거나 IPsec 통신을 보통의 TCP/IP 통신으로 변환하기 위한 장치이다.

IPsec 게이트웨이를 사용한 변환 처리에서는 하나의 IP 패킷이 하나의 IPsec 패킷에 대응한다.

그래서 IPsec 패킷이 하나 결손되어도 그것은 IP 패킷 하나가 결손되는 것으로 끝나기 때문에 SSL-VPN 과 같은 TCP 세션을 사용하는 VPN 과 비교하여 VPN 을 운용할 때 안전성이 뛰어나다.

* 공통키 암호 방식과 4개의 키

-

IPsec 은 암호화를 위해 공통키 암호 방식을 사용한다.

왜냐면 패킷을 하나하나 암호화하기 위해서는 공통키 암호 방식에 의한 고속 암호화 복호화가 필요하기 때문이다.

암호화된 패킷은 인증키에 의해 해시값이 계산되어 패킷의 변조에 대비한다.

-

IPsec 패킷을 통신할 때는 암호키와 인증키가 하나씩 필요하며 수신 시에는 통신 시와는 다른 암호키와 인증키가 하나씩 필요하다.

즉 총 4개의 키가 필요하다.

이 모든 키를 수동으로 관리하는 것은 힘이 들기 때문에 보통은 IKE(Internet Key Exchange)라는 장치를 사용하여 키를 설정한다.

* IKE (Internet Key Exchange) 에 의한 키 교환과 데이터 송수신

-

IPsec 에서 사용되는 키는 IKE 에 의해 자동으로 설정된다.

IKE 가 상대의 인증에 사용하는 정보(예: IKE 의 IP 주소 정보나 상대를 인증할 비밀번호 등)는 사전에 암호화 메일이나 FAX 를 비롯한 안전한 방법으로 교환한다.

-

1. 통신 상대를 확인하고, 4개의 키를 교환한다. ( 일정시간마다 키 교환 및 설정을 한다. )

2. IKE 로 키를 설정한다. (송신 데이터 암호키(Ka), 송신 데이터 인증키(Kb) / 송신 데이터 암호키(Kc), 송신 데이터 인증키(Kd), 상대방은 반대로 세팅)

3. 발신측에서 발신 요청

4. 발신 데이터 암호화 with key (발신 데이터 암호키, Ka)

5. 해시 값 계산하여 새로운 패킷을 만듦 (발신 데이터 인증키(digital signature), Kb)

6. 발신

7. 수신측에서 해시 값 계산하여 변질되지 않았음을 확인 (Kb)

8. 복호화 (Ka)

9. 수신측에  송신

69. IPsec - 보안의 기본, FAX, ike, internet key exchange, ip 패킷 암호화, ip 패킷 인증, IPSec, ipsec 4개의 키, ipsec gateway, ipsec 게이트웨이, ipsec 공통키, ipsec 인증키 암호키, ssl vpn, VPN 기술, 고속 복호화, 고속 암호화, 암호화 메일, 패킷 변조, 패킷 복호화, 패킷 암호화, 패킷 인증