[802.11] WNetwork Security Protocols(3) - Network Layer Secure Protocol[IPSec]
공부/Network 2012. 6. 29. 16:49 |
지난번엔 네트워크 접근 인증 보안 프로토콜에 대해 알아봤는데요
이번에는 망 계층!! 즉, 네트워크 측에서 주고받고하는 메세지들을 보안하는 프로토콜!!
그 중에서 IPSec 이란 녀석에 대해 간단하게!! 알아보도록 하겠습니다 ㅋ_ㅋ
IPSec(IP Security) 프로토콜이란, IP 계층에서의 데이터 변조, 노출 등을 방지하는 역할을 합니다.
쉽게 말하자면 전달되는 데이터가 해커에 의해 스니핑이 된다던가? 넘어서 스푸핑을 할 수도 있는데 이를 방어해준다!! 이겁니다!!
이는 세 가지 형식의 패킷으로 역할을 수행하는데요
AH(Authentication Header)
ESP(Encapsulation Security Payload)
ESP+AH
형식으로 나눠지게 됩니다
먼저 인증 헤더(AH)
AH에는 단방향 알고리즘인 MD5, SHA-1의 해쉬 결과 값이 저장됩니다.
어떤 것에 대한 해쉬 값이냐... IP 계층 보안 프로토콜이니 IP 패킷을 해쉬한 값이겠죠ㅋㅋ
이렇게 AH에 저장하여 보냄으로써 인가된 사용자만을 승인할 수 있도록...즉.. 무결성이 보장되는겁니다.
무결성이 보장되니 자연스레 인증강화도 되겠지요?ㅋ_ㅋ
그리고 캡슐 보안 페이로드(ESP)
AH에서 패킷에 대한 무결성을 제공했다면, ESP에선 패킷에 대한 암호화를 제공한답니다~
해쉬한건 암호화를 한게 아니냐구요? 그건 암호화를 한게 아니라 인증 강화를 위한 하나의 수단이였을 뿐입니다 ㅋ 혼돈 ㄴㄴ요!!
이 두 가지가 합쳐지면 뭐..ㅋ..쩔어주죠..서로의 단점을 보완해주니까 ㅋ_ㅋ
AH+ESP=암호화와 무결성이 보장된 패킷
이런 공식이 성립하게 되는거지욬ㅋㅋㅋㅋ
뭐 여튼.. 이런 방법을 사용하는 IPSecd은 두 가지 보안 방식을 사용할 수가 있습니다.
바로 점대 점 보안(종단간 보안)과
라우터 간 전용 터널링을 이용한 보안으로 나뉩니다.
쉽게 말하자면 연결된 두 컴퓨터 자체를 보안하는 것과
서로서로 인증된 두 라우터 간에 자기들 끼리만의 터널을 파서 그 터널로만 데이터가 다니게 만드는 것이죠..
이들을 각각, 전송모드와 터널모드라고 한답니다 ㅋ_ㅋ
아...어려운 그림 나왔네요..
위의 그림은 전송모드에서의 패킷 형식을 뜻합니다.
전송모드는 기존 IP헤더와 IP데이터 프레임 사이에 AH라던가 ESP를 추가시키는 방식이랍니다. 한마디로 끼워넣기 방식이죠
그럼 그림을 볼까요?
뭐,, 그림,,, 보는 그대로입니다. AH형식은 그자체로 IP패킷 전체를 해쉬해가지고 꾸역꾸역 넣는다고 하지요..
그리고 ESP형식은 데이터를 암호화하는 것..
3번째는 ESP+AH방식으로써 ㅋㅋ 그림 보시는 그대로입니다 ㅋㅋ ESP의 암호화! 그 다음엔 AH의 무결성!
이 역시 그림이 어렵네요 -_-;;
위에선 전송모드했으니..당연히 이 그림은 터널모드에 대한 설명이겠지요?ㅋ_ㅋ
터널모드란 IPSec용 라우터간에 만들어진 IP 터널을 이용해서 사용자들이 주고 받는 IP패킷들을 보안해준답니다.
위의 전송모드와는 달리 이 터널모드는 단말로부터 전달된 일반적인 IP 패킷에다가 AH 또는 ESP같은 헤더를 부착시킵니다.
그리고 뭐 또 다양한걸 붙여줍니다. 또, 얘가 터널로 들어가야하는데 다른 길로 새지말라고 일종의 주소인 터널용 IP를 붙여준답니다 ㅋㅋ
여러모로 친절한(?) 방식의 보안이네요 ㅋㅋ
여튼 이렇게 무슨 모드로든 서로서로 IPSec 보안이 적용되어 있는 연결을 가리켜 SA(Security Association)이라고 부른답니다..
또한, IKE(Internet Key Exchange)에 의해 키가 분배되구요..ㅋㅋ 그렇답니다 ㅜㅜ
이번 강은 사람에 따라 지루했을 지도 모르겠네요..
짧지만 강한타격(?)을 주는 강의였습니다..
IPSec에 대해 더 지루하고 자세하게 알고싶으신 분은
http://white-hacker.wo.tc/60131547292
이 링크를 참조해주세요 ㅋ_ㅋ
----------------------------------------------------------
-이미지 및 포스팅에 도움을 준 출처-
RFC 2409 - The Internet Key Exchange (IKE) (RFC2409)
------------------------------------------------------------
출처 - 옛날 블로그 2011/06/06 04:06
'공부 > Network' 카테고리의 다른 글
[802.11] 802.11i (detailed) (0) | 2012.06.29 |
---|---|
[802.11] 802.1x(detailed v2) (1) | 2012.06.29 |
[802.11] WNetwork Security Protocols(2) - Network Authentication Protocol (1) | 2012.06.29 |
[802.11] WNetwork Security Protocols(1) - What is Security Protocol? (0) | 2012.06.29 |
[802.11] Standard (0) | 2012.06.29 |