본문 바로가기
프로그래밍 놀이터/보안

[도서 정리] 69. IPsec - 보안의 기본

by 돼지왕왕돼지 2019. 12. 18.

69. IPsec - 보안의 기본



* IP 패킷의 암호화와 인증을 위한 프로토콜


-

IPsec 은 TCP/IP 통신에서 사용하는 IP 패킷 단위의 암호화와 패킷이 변조되지 않았다는 것을 확인(인증)하기 위한 프로토콜이다.

VPN 을 구축할 때 주로 사용한다.



-

IPsec 에서는 대부분의 경우 IP 패킷 자체를 암호화하고, 암호화된 IP 패킷을 페이로드로 만든 후 IP 헤더를 부여하는 통신을 한다

IP 패킷의 암호화와 복호화는 IPsec 을 해석하는 IPsec 게이트웨이라는 장치에서 수행한다.





* IPsec 게이트웨이의 역할


-

IPsec 게이트웨이는 보통의 TCP/IP 통신을 IPsec 통신으로 변환하거나 IPsec 통신을 보통의 TCP/IP 통신으로 변환하기 위한 장치이다.

IPsec 게이트웨이를 사용한 변환 처리에서는 하나의 IP 패킷이 하나의 IPsec 패킷에 대응한다.

그래서 IPsec 패킷이 하나 결손되어도 그것은 IP 패킷 하나가 결손되는 것으로 끝나기 때문에 SSL-VPN 과 같은 TCP 세션을 사용하는 VPN 과 비교하여 VPN 을 운용할 때 안전성이 뛰어나다.





* 공통키 암호 방식과 4개의 키


-

IPsec 은 암호화를 위해 공통키 암호 방식을 사용한다.

왜냐면 패킷을 하나하나 암호화하기 위해서는 공통키 암호 방식에 의한 고속 암호화 복호화가 필요하기 때문이다.

암호화된 패킷은 인증키에 의해 해시값이 계산되어 패킷의 변조에 대비한다.



-

IPsec 패킷을 통신할 때는 암호키와 인증키가 하나씩 필요하며 수신 시에는 통신 시와는 다른 암호키와 인증키가 하나씩 필요하다.

즉 총 4개의 키가 필요하다.

이 모든 키를 수동으로 관리하는 것은 힘이 들기 때문에 보통은 IKE(Internet Key Exchange)라는 장치를 사용하여 키를 설정한다.





* IKE (Internet Key Exchange) 에 의한 키 교환과 데이터 송수신


-

IPsec 에서 사용되는 키는 IKE 에 의해 자동으로 설정된다.

IKE 가 상대의 인증에 사용하는 정보(예: IKE 의 IP 주소 정보나 상대를 인증할 비밀번호 등)는 사전에 암호화 메일이나 FAX 를 비롯한 안전한 방법으로 교환한다.



-

1. 통신 상대를 확인하고, 4개의 키를 교환한다. ( 일정시간마다 키 교환 및 설정을 한다. )

2. IKE 로 키를 설정한다. (송신 데이터 암호키(Ka), 송신 데이터 인증키(Kb) / 송신 데이터 암호키(Kc), 송신 데이터 인증키(Kd), 상대방은 반대로 세팅)

3. 발신측에서 발신 요청

4. 발신 데이터 암호화 with key (발신 데이터 암호키, Ka)

5. 해시 값 계산하여 새로운 패킷을 만듦 (발신 데이터 인증키(digital signature), Kb)

6. 발신

7. 수신측에서 해시 값 계산하여 변질되지 않았음을 확인 (Kb)

8. 복호화 (Ka)

9. 수신측에  송신




댓글0