IPsec

IPsec

IPsec(인터넷 프로토콜 보안)는 네트워크 통신에서 보안을 제공하기 위한 프로토콜 스위트다. IPsec는 인증, 기밀성, 무결성을 제공하여 인터넷 트래픽을 안전하게 전송하는 데 사용된다.

 

 

IPsec 주요 기능

1. 인증 (Authentication)
   • 데이터 패킷의 출처를 확인하고 패킷이 변경되지 않았음을 검증한다. 이를 통해 통신의 신뢰성을 보장한다.
2. 기밀성 (Confidentiality)
   • 데이터 패킷을 암호화하여 외부의 눈에 노출되지 않도록 보호한다. 암호화된 패킷은 안전하게 전송된다.
3. 무결성 (Integrity)
   • 데이터 패킷이 중간에서 변경되지 않았음을 확인하여 데이터의 무결성을 유지한다. 패킷의 변경 여부를 검증하고 손상된 패킷을 거부한다.

IPsec은 두 가지 주요 프로토콜인 AH(Authentication Header)와 ESP(Encapsulating Security Payload)를 사용한다. AH는 패킷의 무결성과 출처 인증을 제공하고, ESP는 데이터의 기밀성과 무결성을 보장한다.

IPsec은 다양한 보안 서비스와 함께 사용될 수 있다. 가장 일반적인 사용 사례는 다음과 같다.

• VPN (Virtual Private Network): 원격 지역 간의 안전한 연결을 구축하여 안전한 데이터 전송을 보장한다.
• 보안 게이트웨이: 네트워크 간의 통신을 보호하고 외부와 내부 네트워크 간의 보안 벽을 형성한다.
• 인터넷 통신 보안: 보안을 강화하기 위해 인터넷 트래픽을 안전하게 보호한다.

IPsec은 네트워크 보안을 강화하는 데 중요한 역할을 하며, 데이터의 안전한 전송을 보장하여 중요한 정보가 안전하게 전송될 수 있도록 도와준다.

 

 

모드

IPsec에서 터널링 모드(Tunnel Mode)와 트랜스포트 모드(Transport Mode)는 두 가지 주요한 보안 연결 방식이다. 이 두 모드는 IPsec를 사용하여 통신하는 시스템 간에 데이터를 안전하게 전송하는 데 사용된다.

1. 터널링 모드 (Tunnel Mode)
   • 터널링 모드는 전체 IP 패킷을 캡슐화하고 새로운 IP 헤더를 추가하여 보호하는 방식이다.
   • 원본 IP 패킷은 새로운 IP 패킷의 데이터 부분으로 삽입된다. 이로써 데이터는 암호화되고 인증되며, 새로운 헤더를 통해 캡슐화되어 전송된다.
   • 주로 VPN 구축 시에 사용되며, 두 지점 간의 네트워크 연결을 안전하게 설정하는 데 활용된다.
2. 트랜스포트 모드 (Transport Mode)
   • 트랜스포트 모드는 오리지널 IP 패킷의 내용만을 보호합니다.
   • IP 헤더는 변경되지 않고, 페이로드만이 암호화되고 인증된다. 따라서 페이로드만이 보호되며, IP 헤더는 변경되지 않은 채로 전송된다.
   • 주로 호스트 간 통신에서 사용되며, 단일 호스트나 두 호스트 간의 통신을 보호하는 데 활용된다.

주요 차이점은 다음과 같다.

• 헤더 변경 여부
  • 터널링 모드: 새로운 IP 헤더를 추가하여 캡슐화하고, 원본 IP 패킷을 포함한다.
  • 트랜스포트 모드: 원본 IP 헤더를 그대로 유지하고, 페이로드만을 보호한다.
• 적용 범위
  • 터널링 모드: 네트워크 간의 연결, VPN 등에서 사용된다.
  • 트랜스포트 모드: 호스트 간 통신에서 사용되며, 보호해야 할 개별 장치나 호스트에 적합하다.

IPsec에서는 이러한 모드를 선택하여 보안 요구 사항에 맞게 구성할 수 있으며, 특정한 사용 사례나 보안 요구에 따라서 선택된다.

 

 

AH와 ESP

VPN(Virtual Private Network)에서 AH(Authentication Header)와 ESP(Encapsulating Security Payload)는 둘 다 IPsec(Internet Protocol Security) 프로토콜의 일부로 사용되는 보안 프로토콜이다.

1. Authentication Header (AH)
   • AH는 IP 패킷의 무결성과 인증을 보장하는 데 사용된다. 이것은 패킷의 내용이 변경되지 않았음을 확인하고 패킷의 출처가 신뢰할 수 있는지 확인하는 데 사용된다.
   • AH는 데이터 무결성을 위해 헤더와 데이터의 값을 해싱하여 생성된 MAC(Message Authentication Code)을 추가한다.
   • 그러나 AH는 패킷의 일부가 네트워크 주소 변환(NAT - Network Address Translation)을 거치면 안 되므로 NAT와 호환되지 않는다는 한계가 있다.
2. Encapsulating Security Payload (ESP)
   • ESP는 데이터의 기밀성, 무결성 및 인증을 제공하는 데 사용된다.
   • ESP는 패킷을 암호화하여 데이터를 안전하게 전송합니다. 또한 인증을 위해 MAC을 사용하여 패킷의 무결성을 보장한다.
   • AH와는 달리 ESP는 NAT와 더 잘 호환되며, 데이터를 암호화하여 외부의 눈에 보이지 않도록 보호한다.

일반적으로, AH는 인증 목적으로 사용되며, ESP는 기밀성과 무결성을 제공하는 데 더 많이 사용된다. 또한 보안 요구 사항에 따라 AH와 ESP를 함께 사용하여 강력한 보안 계층을 형성하기도 한다. VPN에서는 AH와 ESP 중 하나 또는 둘 다를 선택하여 보안 및 네트워크 요구 사항에 맞게 구성할 수 있다.

 

 

IKE

IKE (Internet Key Exchange)는 IPsec(Virtual Private Network)에서 사용되는 프로토콜 중 하나다. IKE는 보안 협상 및 키 교환을 위해 사용되며, VPN 연결에서 보안 매개변수를 설정하고 관리하는 데 중요한 역할을 gks다.

일반적으로 IKE는 다음과 같은 목적으로 사용된다.

1. 보안 협상 (Security Negotiation)
   • IKE는 양측 간에 보안 매개변수를 협상하여 IPsec 터널을 설정한다. 이는 어떤 암호화 알고리즘을 사용할지, 키 교환 방법 및 다른 보안 매개변수를 결정하는 데 도움이 된다.
2. 키 교환 (Key Exchange)
   • IKE는 보안 매개변수를 교환하고 이러한 매개변수에 사용될 키를 안전하게 교환하는 데 사용된다. 이 키는 나중에 IPsec 연결의 보안에 사용된다.
3. 인증 (Authentication)
   • IKE는 인증을 수행하여 통신하는 디바이스가 신뢰할 수 있는지 확인한. 이를 통해 서로 다른 디바이스 간에 안전한 통신을 보장한다.

IKE는 일반적으로 두 단계로 이루어진다.

• Phase 1 (IKEv1 및 IKEv2)
  • 보안 매개변수 교환을 위해 사용된다. 인증 방법, 암호화 알고리즘 및 키 교환 방법 등이 협상된다. 이 단계에서 키 교환을 위한 안전한 채널을 설정한다.
• Phase 2 (IKEv1에서는 Quick Mode, IKEv2에서는 Child SA 생성)
  • 실제로 데이터의 안전한 전송을 위한 IPsec SA(Security Association)를 설정한다. 데이터의 기밀성과 무결성을 위한 키가 교환되고 보안 매개변수가 결정된다.

IKE는 IKEv1과 IKEv2 두 가지 버전이 있으며, 각각의 프로토콜은 다른 방식으로 보안 협상을 수행한다. IKEv2는 보안 및 성능 면에서 향상되었으며, 모바일 기기와의 연결에도 더 효율적으로 사용될 수 있다.

IKE는 VPN 구축 과정에서 중요한 역할을 하며, IPsec 연결의 보안성과 안정성을 확보하는 데 큰 역할을 한다.