IP(Internet Protocol)의 결점은 보안을 확보하기 위한 방법이 없는 것입니다.
그래서 만들어진 기술이 IP Sec(IP Security)입니다. IP Sec(IP Security)는 네트워크 계층 상태에서 IP 패킷 단위로 인증 및 암호화를 하는 기술입니다.
개별 사용자 컴퓨터의 변경 없이도 보안을 처리 할 수 있으며 TCP 계층 하위에서 구현되기 때문에 응용계층에 영향을 주지 않습니다.
1. 프로토콜
IP Sec는 인증헤더(AH, Authentication Header)와 캡슐보안페이로드(ESP, Encapsulation Security Payload) 2개의 프로토콜로 구성됩니다.
1) AH 프로토콜
- 송신자를 확인(데이터 기원 인증)
- 무결성 보장
- 별도의 암호화 기능 없음
2) ESP 프로토콜
- AH 모든 기능 포함
- IP 페이로드 암호화(기밀성 제공)
2. IP Sec 모드 종류
1) 전송모드(호스트 ∼ 호스트)
- 종단장비 사이 통신일 경우 사용
- IP 페이로드를 암호화 하여 IP 헤더로 캡슐화
- 에이전트 프로그램이 설치되어 있어야 IP Sec 해석 가능
(1) AH 전송모드
IP헤더
|
AH헤더
|
IP페이로드
|
(2) ESP 전송모드
IP헤더
|
ESP헤더
|
IP페이로드
|
ESP페이로드
|
ESP인증
|
2) 터널모드(종단 라우터 ∼ 종단 라우터)
- 라우터 간 보안전송
- 헤더를 포함한 IP 전체 패킷에 IP Sec 보안 적용 후 새로운 IP 헤더 추가함(새로운 IP 헤더는 라우터 IP 임)
- 단말의 에이전트 프로그램 불필요
- 2개의 헤더 추가되어 부하가 커지고, 단편화 현상으로 네트워크 지연 발생
(1) AH 터널모드
New IP헤더
|
AH헤더
|
IP헤더
|
IP 페이로드
|
2) ESP 터널모드
New IP헤더
|
ESP헤더
|
IP헤더
|
IP페이로드
|
ESP트레일러
|
ESP인증
|
3. 비 교
구분
|
전송모드
|
터널모드
|
AH
|
∘ IP헤더와 IP페이로드 사이에 삽입하여 전송
∘ 데이터 원본인증 : MD5/SHA 이용
∘ 무결성 : MD5/SHA 이용
|
∘ IP헤더와 IP페이로드 사이에 새로운 IP헤더, AH헤더로 캡슐화
∘ 전체 IP패킷에 대한 인증
∘ 새로운 IP헤더 오버헤드
|
∘ 데이터의 원본인증, 패킷단위의 무결성, 재생공격 방지
| ||
ESP
|
∘ IP페이로드를 ESP헤더와 트레일러로 캡슐화
|
∘ 원본 패킷 자체 모두 암호화
|
댓글 없음:
댓글 쓰기