logo

TechCodeview

IP 보안(IPSec)

전제 조건: 인터넷 프로토콜의 유형

IP Sec(인터넷 프로토콜 보안)는 데이터 인증, 무결성 및 기밀성을 제공하는 IP 네트워크의 두 통신 지점 간의 IETF(Internet Engineering Task Force) 표준 프로토콜 제품군입니다. 또한 암호화, 암호 해독 및 인증된 패킷을 정의합니다. 보안 키 교환 및 키 관리에 필요한 프로토콜이 정의되어 있습니다.



IP 보안의 사용

IPsec을 사용하여 다음 작업을 수행할 수 있습니다.

  • 애플리케이션 계층 데이터를 암호화합니다.
  • 공용 인터넷을 통해 라우팅 데이터를 보내는 라우터에 보안을 제공합니다.
  • 암호화 없이 인증을 제공하려면 데이터가 알려진 발신자로부터 전송되었는지 인증하는 것과 같습니다.
  • VPN(가상 사설망) 연결과 마찬가지로 두 끝점 간에 전송되는 모든 데이터가 암호화되는 IPsec 터널링을 사용하여 회로를 설정하여 네트워크 데이터를 보호합니다.

IP 보안의 구성요소

여기에는 다음과 같은 구성 요소가 있습니다.

  1. ESP(보안 페이로드 캡슐화)
  2. 인증 헤더(AH)
  3. 인터넷 키 교환(IKE)

1. ESP(보안 페이로드 캡슐화): 데이터 무결성, 암호화, 인증 및 재생 방지 기능을 제공합니다. 또한 페이로드에 대한 인증도 제공합니다.



2. 인증 헤더(AH): 또한 데이터 무결성, 인증 및 재생 방지 기능을 제공하지만 암호화는 제공하지 않습니다. 재생 방지 보호는 무단 패킷 전송을 방지합니다. 데이터 기밀성을 보호하지 않습니다.

IP 헤더

IP 헤더

3. 인터넷 키 교환(IKE): 암호화 키를 동적으로 교환하고 두 장치 간의 SA(보안 연결)를 통해 방법을 찾도록 설계된 네트워크 보안 프로토콜입니다. SA(보안 협회)는 보안 통신을 지원하기 위해 2개의 네트워크 엔터티 간에 공유 보안 속성을 설정합니다. ISAKMP(키 관리 프로토콜) 및 인터넷 보안 협회는 인증 및 키 교환을 위한 프레임워크를 제공합니다. ISAKMP는 SA(보안 연결) 설정 방법과 두 호스트 간의 직접 연결이 IPsec을 사용하는 방법을 알려줍니다. IKE(인터넷 키 교환)는 메시지 콘텐츠 보호는 물론 SHA 및 MD5와 같은 표준 알고리즘을 구현하기 위한 개방형 프레임도 제공합니다. 알고리즘의 IP sec 사용자는 각 패킷에 대한 고유 식별자를 생성합니다. 그런 다음 이 식별자를 통해 장치는 패킷이 올바른지 여부를 확인할 수 있습니다. 승인되지 않은 패킷은 폐기되고 수신자에게 제공되지 않습니다.



인터넷 프로토콜의 패킷

인터넷 프로토콜의 패킷

IP 보안 아키텍처

IPSec(IP 보안) 아키텍처는 두 가지 프로토콜을 사용하여 트래픽이나 데이터 흐름을 보호합니다. 이러한 프로토콜은 ESP(Encapsulation Security Payload) 및 AH(Authentication Header)입니다. IPSec 아키텍처에는 프로토콜, 알고리즘, DOI 및 키 관리가 포함됩니다. 이러한 모든 구성 요소는 세 가지 주요 서비스를 제공하는 데 매우 중요합니다.

  • 기밀성
  • 확실성
  • 진실성
IP 보안 아키텍처

IP 보안 아키텍처

IP 보안 작업

  • 호스트는 패킷이 IPsec을 사용하여 전송되어야 하는지 여부를 확인합니다. 이 패킷 트래픽은 자체적으로 보안 정책을 트리거합니다. 이는 패킷을 보내는 시스템이 적절한 암호화를 적용할 때 수행됩니다. 들어오는 패킷은 호스트에서 적절하게 암호화되었는지 여부도 확인합니다.
  • 그런 다음 2개의 호스트(IPsec 사용)가 서로 인증하여 보안 채널을 시작하는 IKE 1단계가 시작됩니다. 2가지 모드가 있습니다. 기본 모드는 더 높은 보안을 제공하고 호스트가 IPsec 회로를 더 빠르게 설정할 수 있도록 하는 공격적 모드를 제공합니다.
  • 마지막 단계에서 생성된 채널은 IP 회로가 IP 회로 전체에서 데이터를 암호화하는 방식을 안전하게 협상하는 데 사용됩니다.
  • 이제 IKE 2단계는 두 호스트가 세션에서 사용할 암호화 알고리즘 유형을 협상하고 해당 알고리즘에 사용할 비밀 키 자료에 동의하는 보안 채널을 통해 수행됩니다.
  • 그런 다음 새로 생성된 IPsec 암호화 터널을 통해 데이터가 교환됩니다. 이러한 패킷은 IPsec SA를 사용하는 호스트에 의해 암호화되고 해독됩니다.
  • 호스트 간의 통신이 완료되거나 세션 시간이 초과되면 두 호스트 모두에서 키를 삭제하여 IPsec 터널이 종료됩니다.

IPSec의 특징

  1. 입증: IPSec는 디지털 서명이나 공유 비밀을 사용하여 IP 패킷 인증을 제공합니다. 이는 패킷이 변조되거나 위조되지 않도록 하는 데 도움이 됩니다.
  2. 기밀성: IPSec는 IP 패킷을 암호화하여 기밀성을 제공하고 네트워크 트래픽을 도청하는 것을 방지합니다.
  3. 진실성: IPSec는 IP 패킷이 전송 중에 수정되거나 손상되지 않았는지 확인하여 무결성을 제공합니다.
  4. 핵심 관리: IPSec은 암호화 키가 안전하게 관리되도록 키 교환 및 키 취소를 포함한 키 관리 서비스를 제공합니다.
  5. 터널링: IPSec는 터널링을 지원하므로 IP 패킷이 GRE(Generic Routing Encapsulation) 또는 L2TP(Layer 2 Tunneling Protocol)와 같은 다른 프로토콜 내에서 캡슐화될 수 있습니다.
  6. 유연성: 지점 간, 사이트 간 및 원격 액세스 연결을 포함하여 광범위한 네트워크 토폴로지에 보안을 제공하도록 IPSec를 구성할 수 있습니다.
  7. 상호 운용성: IPSec는 개방형 표준 프로토콜입니다. 즉, 다양한 공급업체에서 지원하고 이기종 환경에서 사용할 수 있습니다.

IPSec의 장점

  1. 강력한 보안: IPSec는 중요한 데이터를 보호하고 네트워크 개인 정보 보호 및 무결성을 보장하는 강력한 암호화 보안 서비스를 제공합니다.
  2. 폭넓은 호환성: IPSec는 공급업체에서 널리 지원하고 이기종 환경에서 사용할 수 있는 개방형 표준 프로토콜입니다.
  3. 유연성: 지점 간, 사이트 간 및 원격 액세스 연결을 포함하여 광범위한 네트워크 토폴로지에 보안을 제공하도록 IPSec를 구성할 수 있습니다.
  4. 확장성: IPSec는 대규모 네트워크를 보호하는 데 사용할 수 있으며 필요에 따라 확장하거나 축소할 수 있습니다.
  5. 향상된 네트워크 성능: IPSec는 네트워크 정체를 줄이고 네트워크 효율성을 향상시켜 네트워크 성능을 향상시키는 데 도움을 줄 수 있습니다.

IPSec의 단점

  1. 구성 복잡성: IPSec는 구성이 복잡할 수 있으며 전문적인 지식과 기술이 필요합니다.
  2. 호환성 문제: IPSec에는 일부 네트워크 장치 및 응용 프로그램과의 호환성 문제가 있어 상호 운용성 문제가 발생할 수 있습니다.
  3. 성능 영향: IPSec는 IP 패킷의 암호화 및 암호 해독 오버헤드로 인해 네트워크 성능에 영향을 미칠 수 있습니다.
  4. 핵심 관리: IPSec에는 암호화 및 인증에 사용되는 암호화 키의 보안을 보장하기 위한 효과적인 키 관리가 필요합니다.
  5. 제한된 보호: IPSec는 IP 트래픽에 대한 보호만 제공하며 ICMP, DNS 및 라우팅 프로토콜과 같은 기타 프로토콜은 여전히 ​​공격에 취약할 수 있습니다.