IPSec - IPSec 프로토콜 / IPSec VPN / IPSec 운영모드

▶   IPSec 란

• 네트워크 계층의 암호화 프로토콜로 3계층의 암호화 프로토콜이다.
• 네트워크에서의 안전한 연결을 설정하기 위한 통신규칙 또는 프로토콜 세트이다.
• IP(인터넷 프로토콜)는 데이터가 인터넷에서 전송되는 방식을 결정하는 공통 표준이다. IPSec는 암호화와 인증을 추가하여 프로토콜을 더욱 안전하게 만든다. 
• IP 스푸핑이나 스니핑 공격에 대한 대응 방안이 될 수 있다.
• 주요 기능은 AH(Authentication Header)를 이용한 인증, ESP(Encapsulation Security Payload)를 이용한 기밀성, IKE(Internet Key Exchange)를 이용한 비밀키 교환이 있다.

 

 

▶ IPSec 프로토콜 

AH(Authentication Header)

• 전송 도중에 데이터가 변조되었는지 확인할 수 있도록 데이터의 무결성을 검사한다.
• 데이터를 스니핑한 뒤 해당 데이터를 다시 보내는 재생 공격(Replay Attack)을 막을 수 있다.

 

ESP(Encapsulation Security Payload)

• 메시지의 암호화를 제공한다.
• ESP에서 사용하는 암호화 알고리즘으로는 DESCBC, 3DES, RC5, IDEA, 3IDEA, CAST, blowfish가 있다.

 

IKE(Internet Key Exchange)

• ISAKMP(Internet Security Association and Key Management Protocol), SKEME, Oakley 알 고리즘의 조합으로, 두 컴퓨터 간의 보안 연결(SA: Seucrity Association)을 설정한다.
• IPSec에서는 IKE를 이용하여 연결이 성공하면 8시간 동안 SA를 유지하므로, 8시간이 넘으면 SA를 다시 설정해야 한다.

 

 

▶ IPSec VPN

VPN은 사용자가 익명으로 안전하게 인터넷 검색을 할 수 있도록 하는 네트워킹 소프트웨어이다. 

IPSec VPN은 IPSec 프로토콜을 사용하여 인터넷에 암호화된 터널을 생성하는 VPN 소프트웨어이며, End to End 암호화를 제공한다. 

 

 

 

▶ IPSec의 운영 모드

전송 모드 (Transport Mode)

• IPSec Header 필드가 IP와 TCP header 사이에 위치한다.
• IP 헤더를 제외한 IP 패킷 페이로드만을 보호한다.
• 종단 대 종단 전송 모드
• 종단에 IPSec 에이전트(프로토콜 해석기)가 설치되어야 동작하므로, Peer to Peer를 원하는 경우에 유용하다.

 

터널 모드 (Tunnel Mode)

• IP 패킷 전체(IP 헤더 + IP 페이로드)를 보호한다.
• 새로운 IPSec 헤더가 IP 패킷 전체(IP 헤더 + IP 페이로드) 앞에 추가 된다.
• 라우터에서 IPSec 헤더를 판단한 후 제거하여 기존 패킷을 그대로 하위 단말에 전달하는 구조이다.
• IPSec 해석기가 단말에 설치되지 않고 라우터에 설치되어 있음
• 모든 Original IP 패킷 전체가 암호화되어 보호된다.