IPsec.
보안에 취약한 구조를 가진 IP의 보안을 위하여 국제 인터넷 기술 위원회=IETF에서 설계한 표준=REC2401
IPv4에서는 보안이 필요한 경우에만 선택적으로 사용했었지만 IPv6부터는 기본 스펙에 포함된다.
#SA.
IPSec를 사용하는 협약.
주요 요소.
1.Sequence Number Counter => 패킷의 일련번호 카운터.
2.Anti-Replay Window => 재전송 공격을 방어하기 위한 윈도우 값.
3.AH/ESP => 프로토콜 정보.
4.Lifetime => 세션 만료 기간.
5.Mode => 동작 모드.
6.Path MTU => 경로의 MTU 값.
#SP.
일종의 패킷 필터링 정책.
==> Incoming Traffic과 Outgoing Traffic으로 구분하여 정책을 지정한다.
==> IP Packet의 허용 or 우회=Bypass, 폐기,보호 등을 지원한다.
주요 요소.
1.Source/Destination IP Address.
2.Source/Destination Port.
3.Name => DNS 식별자, X500 이름 등의 식별자를 적는다.
4.Transport Layer Protocol => TCP or UDP.
#2+1 프로토콜.
AH (Authentication Header)는 IP Extension Header로서 IP Packet에 대한 인증을 제공한다.
==>메세지 인증 코드(MAC)를 이용하며 무결성과 인증 기능 제공.
==>암호화는 제공되지 않는다.
구성.
1.Next Header(8bit) : Payload의 Data Type 으로 TCP는 6, UDP는 17.
2.Payload Length(8bit) : Payload의 length.
3.SPI(Security Parameters Index) : SA를 구분하기 위한 Index 값.
4.Authentication Data : SHA, Keyed MD5, HMAC-MD5-96, HMAC-SHA-1-96등의 인증 정보.
#ESP.
새로운 데이터 IP Packet을 만들고 기존 IP Packet을 Data Payload에 넣어 감싸는 방식.
==>AH가 가진 무결성과, 인증도 제공하고 추가적으로 대칭키 암호화를 통해 기밀성(Confidentiality) 제공.
구성.
1.SPI(Security Parameters Index) : SA를 구분하기 위한 Index 값.
2.IV(Initialization Vector) : CBC Encryption에 사용되는 초기 벡터.
3.Padding : Payload Data 와 Authentication Data를 구분하기 위한 패딩.
4.Pad Length : Padding의 Length.
5.Next Header(8bit) : Payload의 Data Type 으로 TCP는 6, UDP는 17.
6.Authentication Data : authentication value. AH와는 달리 authentication service가 선택되었을 경우에만 존재한다.
#IKE.
PSec에서 키 교환에 사용되는 프로토콜이고 UDP 500 포트를 사용한다.
종류.
Manual Key Exchange : 관리자가 수동으로 각 종단에 키를 설치해둠.
Simple Key Interchange : Sun Microsystems에서 제안. 표준으로 채택되지 않아 많이 사용하지 않음. 쉬운 구현이 장점.
Internet Security Association : 표준 채택.
Related Link => http://itwiki.kr/w/IPSec
'#Security' 카테고리의 다른 글
| 홈페이지 취약점 진단 제거 가이드. (0) | 2020.03.07 |
|---|---|
| Stack Clash. (0) | 2018.06.11 |
| #OWASP-Top 10 History Table. (0) | 2018.05.31 |
| #OWASP-2004. (0) | 2018.05.31 |
| CVE. (0) | 2018.05.31 |
