IPSec

개요

IP Secure는 말 그대로 IP를 암호화하여 통신 간 데이터 탈취를 막는 프로토콜 및 일련의 기술 세트를 말한다.
VPN 기술로서 활용되며, 흔히 실무에서는 전용 장비를 구비하여 사용한다.
전용 라우터가 암호화된 패킷을 복호화해 내부 네트워크로 전송하는 방식이라 일종의 터널링 기술이기도 하다.

모드

크게 두 가지 모드가 존재한다.

대부분의 IPsec의 활용은 이 터널 모드가 기반이기에 , 앞으로 터널 모드를 기준으로 설명한다.
터널 모드는 전용 장비(IPSec VPN 장비)가 필요한 모드로, 해당 패킷을 받아 복호화한 뒤에 장비가 자신이 속한 LAN으로 트래픽을 라우팅해준다.

공유키를 기반으로 패킷을 암호화한다.
일종의 터널링 기술이기도
실무에선 보통 전용 장비를 필요로 한다.

구조

IPsec에서 활용되는 알고리즘, 프로토콜은 대충 다음의 것이 있다.
image.png
상단의 ESP, AH는 IP 헤더에 들어가는 값으로 이를 통해 패킷을 인증/암호화한다.

Authentication Header

AH는 패킷의 무결성을 인증하는데 사용되는 IP 패킷 헤더이다.
image.png
무결성을 위해 SHA5, HMAC, MD5 등의 해싱 알고리즘이 사용되고 다이제스트가 헤더로 들어간다.

Encapsulating Security Payload

AH는 위변조를 검증하는 역할로 쓰이는 한편 ESP는 아예 패킷 암호화를 담당하는 헤더이다.
image.png
위와 같이 먼저 기존 패킷을 암호화하고, 그 앞에 ESP 헤더와 ESP Auth를 붙이는 방식으로 세팅된다.
각 헤더의 구조를 조금 더 상세하게 들여다보자면..
image.png
먼저 ESP Trailer에는 패딩, 패드 등이 들어간다.
맨 끝의 ICV가 ESP Auth로, 이건 그냥 위변조 검증용 해시이다.
ESP 헤더에는 SPI가 확인된다.
이것은 Security Association, 보안 연관의 식별 번호이다.
SA는 장비 간의 연결에 있어 공유해야 하는 협약을 의미한다.

SA를 생성하고 협의하는 과정은 인터넷 키 교환 매커니즘(IKE)을 따른다.

Internet Key Exchange

인터넷 환경에서 키를 안전하게 교환하는 방법을 정의한 프로토콜로, IPSec에서 쓰인다.
ISAKMP(Internet Security Associaion and Key Management Protocol)을 구조와 형식을 지정하고 실제 키 교환으로 OAKLEY, SKEME 등의 프로토콜을 사용한다.

인증 헤더(AH)
인증 헤더(AH) 프로토콜은 발신자 인증 데이터가 포함된 헤더를 추가하고, 권한이 없는 당사자가 수정하지 못하도록 패킷 콘텐츠를 보호합니다. 수신자에게 원본 데이터 패킷이 조작되었을 가능성을 경고합니다. 데이터 패킷을 수신할 때 컴퓨터는 페이로드의 암호화 해시 계산 결과를 헤더와 비교하여 두 값이 일치하는지 확인합니다. 암호화 해시는 데이터를 고유한 값으로 요약하는 수학 함수입니다.

보안 페이로드 캡슐화(ESP)
선택한 IPSec 모드에 따라, 보안 페이로드 캡슐화(ESP) 프로토콜은 전체 IP 패킷 또는 페이로드에 대해서만 암호화를 수행합니다. ESP는 암호화할 때 데이터 패킷에 헤더와 트레일러를 추가합니다.

Internet Key Exchange(IKE)
Internet Key Exchange(IKE)는 인터넷에서 두 디바이스 간에 보안 연결을 설정하는 프로토콜입니다. 두 디바이스 모두 암호화 키 및 알고리즘을 협상하여 후속 데이터 패킷을 송수신하는 보안 연결(SA)을 설정합니다.

https://www.cisco.com/c/ko_kr/support/docs/security-vpn/ipsec-negotiation-ike-protocols/217432-understand-ipsec-ikev1-protocol.html

하위 문서

이름 is-folder index noteType created
SSH - - knowledge 2024-07-13
SockS - - knowledge 2024-07-13
NFS - - knowledge 2024-10-16
RPC - - knowledge 2024-10-16
TNS false - knowledge 2024-10-31
BGP false - knowledge 2025-01-08
OIDC false - knowledge 2025-01-13
gRPC false - knowledge 2025-04-15
HTTP false - knowledge 2025-04-16
TLS false - knowledge 2025-04-16
OAuth false 11 knowledge 2025-05-09
VXLAN false 12 knowledge 2025-08-09
GENEVE false 13 knowledge 2025-08-09
IPSec false 14 knowledge 2025-09-05

관련 문서

EXPLAIN - 파생 문서

이름0related생성 일자

Dataview: No results to show for table query.

기타 문서

Z0-연관 knowledge, Z1-트러블슈팅 Z2-디자인,설계, Z3-임시, Z5-프로젝트,아카이브, Z8,9-미분류,미완
이름0코드타입생성 일자

Dataview: No results to show for table query.

참고