IPSec: Difference between revisions
From IT위키
No edit summary |
No edit summary |
||
| Line 13: | Line 13: | ||
===IKE(Internet key Exchange)=== | ===IKE(Internet key Exchange)=== | ||
* IPSec에서 키 교환에 사용되는 프로토콜 | |||
* UDP 500 포트를 사용한다. | |||
==2가지 동작 모드== | ==2가지 동작 모드== | ||
===전송 모드(Transport Mode)=== | ===전송 모드(Transport Mode)=== | ||
* 보호 범위 | |||
** IP 패킷 전체를 보호하는 것이 아니라 IP 헤더를 제외한 IP 패킷의 페이로드(Payload)만을 보호 | |||
** IP 헤더는 암호화하지 않으므로 트래픽 경로는 노출된다. | |||
* 보호 구간 | |||
** 일반적으로 종단 노드(End Node) 구간의 IP 패킷 보호를 위해 사용한다. | |||
===터널 모드(Tunneling Mode)=== | ===터널 모드(Tunneling Mode)=== | ||
* 보호 범위 | |||
** IP 패킷 전체를 보호하는 모드로 패킷 전체를 암호화한다. | |||
** 암호화된 패킷에 IP 패킷에 IPSec 헤더를 추가하여 라우팅을 수행한다. | |||
** IPSec 헤더는 구간 간 이동에 대한 정보만 있으므로 종단 정보(출발지, 목적지)와 트래픽 경로는 보호된다. | |||
* 보호 구간 | |||
** 일반적으로 터널/보안 게이트웨이 구간 또는 종단 노드와 터널/보안 게이트웨이 구간의 IP 패킷 보호를 위해 사용한다. | |||
==패킷 송수신 절차== | ==패킷 송수신 절차== | ||
Revision as of 23:09, 5 May 2018
개요
- 보안에 취약한 구조를 가진 IP의 보안을 위하여 국제 인터넷 기술 위원회(IETF)에서 설계한 표준(RFC2401)
- IPv4에선 보안이 필요한 경우에만 선택적으로 사용하였지만 IPv6부턴 기본 스펙에 포함됨
2+1 프로토콜
AH(Authentication Header)
- 메세지 인증 코드(MAC)를 이용하여 메시지 무결성(integrity)과 인증(Authentication)을 제공해주는 프로토콜
- 암호화는 기본적으로 제공되지 않는다.
ESP(Encapsulating Security Payload)
- 메시지 인증 코드(MAC)를 이용하여 메시지 무결성(integrity)과 인증(Authentication)을 제공해주는 프로토콜
- 대칭키 암호화를 통해 기밀성(Confidentiality)을 제공한다.
IKE(Internet key Exchange)
- IPSec에서 키 교환에 사용되는 프로토콜
- UDP 500 포트를 사용한다.
2가지 동작 모드
전송 모드(Transport Mode)
- 보호 범위
- IP 패킷 전체를 보호하는 것이 아니라 IP 헤더를 제외한 IP 패킷의 페이로드(Payload)만을 보호
- IP 헤더는 암호화하지 않으므로 트래픽 경로는 노출된다.
- 보호 구간
- 일반적으로 종단 노드(End Node) 구간의 IP 패킷 보호를 위해 사용한다.
터널 모드(Tunneling Mode)
- 보호 범위
- IP 패킷 전체를 보호하는 모드로 패킷 전체를 암호화한다.
- 암호화된 패킷에 IP 패킷에 IPSec 헤더를 추가하여 라우팅을 수행한다.
- IPSec 헤더는 구간 간 이동에 대한 정보만 있으므로 종단 정보(출발지, 목적지)와 트래픽 경로는 보호된다.
- 보호 구간
- 일반적으로 터널/보안 게이트웨이 구간 또는 종단 노드와 터널/보안 게이트웨이 구간의 IP 패킷 보호를 위해 사용한다.
