X

IPSec (IP Security)

1. IPSec (IP Security)의 개념 및 특징

개념 IP망 전송 데이터 보호를 위해 AH, ESP 프로토콜 및 SPD, SAD 정책 기반 OSI 7 Layer 중 네트워크 계층 통신 보안 프로토콜
특징 전송 데이터 보호 OSI 7 Layer 중 네트워크 계층 IP망 전송 데이터 보호
기밀성 보장 대칭키 암호화를 통한 기밀성 제공 (ESP 프로토콜)
송신처 인증 메시지 인증 코드(MAC)를 통해 IP 패킷 무결성 보장
터널링 구성 종단 구간 또는 중계 장치 간 보안 통로 구성 (IPSec VPN)
  • IPSec을 이용하여 공용망 전송 데이터 보호, Application 데이터 암호화, 송신자 인증, 두 장치 간 사설 터널을 생성

 

2. IPSec 패킷 전송 절차 및 구성 요소

(1) IPSec 패킷 전송 절차

※ SPD(보안정책 데이터베이스), SAD(보안연관 데이터베이스), Discard(폐기), Protect(보호), Bypass(허용)
SPD 검색 전송 대상 패킷에 대해 SPD를 검색하여 일치하는 엔트리가 없으면 삭제, 있으면 첫번째 엔트리의 정책에 따라 처리
정책 결정 정책 확인 결과, Discard → 패킷삭제, Bypass → 패킷 전송, Protect → SAD 검색
SAD 검색 SAD 검색하여 일치하는 엔트리가 있으면 IPSec 처리 수행 후 전송, 일치하는 엔트리가 없으면 IKE 과정 수행 후 보안 연결(SA)을 생성

(2) IPSec 구성 요소

구분 구성 요소 역할
보안
정책
SPD (Security Policy Database) – 패킷 보안 정책 적용, 트래픽 처리 참조
(Protect, Bypass, Discard)
SAD (Security Authentication Database) – 양단 간 비밀 데이터 교환 위해 사전 설정 요소 관리
보안
프로토콜
AH (Authentication Header) 메시지 인증 코드(MAC)를 이용하여 인증 제공
ESP (Encapsulating Security Payload) MAC암호화를 이용하여 인증, 기밀성 제공
IKE (Internet Key Exchange) – 두 장치 간 암호화 키 및 알고리즘 협상, 보안 연결(SA) 설정
  • 호스트 종단간 또는 라우터 간 효율적인 IPSec 기반 통신을 위해 전송 모드 또는 터널 모드 사용

 

3. IPSec의 운용 모드

전송 모드
(Transport Mode)
패킷
구조
동작
방식
– 원본 IP Header는 그대로 사용하고, Payload 만 보호하는 방식
– Host-to-Host(종단간) 주로 사용, 상위 계층 프로토콜 보호
터널 모드
(Tunnel Mode)
패킷
구조
동작
방식
– IP 패킷 전체를 보호하고, 새로운 IP Header를 추가하는 방식
– 두 라우터 상호간, 호스트와 라우터, 게이트웨이 간 주로 사용
  • IPSec은 IP망에서 안전한 데이터 전송을 위한 3계층(Network Layer) 보안을 위해 IETF에 의해 제안되어 IPSec VPN 구현에 널리 사용되고 있음
  • IPsec은 주로 장비 간 전송 데이터 보호에 사용하고, 장비-단말 간 전송 데이터 보호 위해서는 공개키, 전자서명 등을 추가로 사용하는 4계층 (Transport Layer) 수준의 SSL (Secure Socket Layer) 사용

 
[참고]

  • AWS, IPSec이란 무엇인가요
도리: