SA : 보안 연관 묶기
SA(보안 연관)이란 그 위에 실어 보내는 트래픽에 보안 서비스를제공하는 송신자와 수신자 사이의 일방향 관계를 의미한다
양방향 보안 교신을 위한 대등 관계가 필요하면 2 개의 보안 연관을 사용한다
AH나 ESP를 사용(2개 동시 사용은 안됨)하기 위해 SA에 보안 서비스를 제공하기도 한다
동일한 트래픽 흐름에 대해 원하는 IPsec 서비스를 제공하기 위해 여러 SA를 결합할 수 있습니다.
연관 묶음 내 SA 종료는 양쪽 단말에서 수행 할 수 있습니다
연결 바인딩 방법
바인딩 방법은 이러한 SA가 보안 서비스를 제공하기 위해 결합되고 구성되는 방법을 나타냅니다.
전송 인접성 및 반복 터널링의 두 가지 주요 방법이 있습니다.
-
- 중첩 전송
터널링을 사용하지 않고 동일한 IP 패킷에 둘 이상의 보안 프로토콜을 적용하는 것을 포함합니다.
AH와 ESP를 모두 사용하는 경우 한 수준에서만 적용할 수 있습니다.
겹치는 응용 프로그램은 일반적으로 최종 대상에서 IPsec 내에서 처리가 수행되기 때문에 추가 이점을 제공하지 않습니다
- 중첩 전송
-
- 반복 터널링
각 계층이 다른 계층에 영향을 미치는 여러 계층의 보안 프로토콜을 적용하는 것이 포함됩니다.
터널은 경로를 따라 IPsec이 활성화된 모든 위치에서 시작되거나 종료될 수 있으므로 여러 보안 조치가 중복될 수 있습니다.
각 IP 패킷을 다른 IP 패킷 안에 캡슐화하여 내부 패킷의 정보를 숨김으로써 또 다른 보안 계층을 추가합니다
- 반복 터널링
인증과 기밀성
호스트 사이에 기밀성과 인증 2 가지를 모두 제공하는 IP 패킷을 전송하기 위해서 암호화와 인증을 묶을 수 있다.
인증 옵셥을 갖는 ESP
ESP(Encapsulating Security Payload)는 데이터 기밀성을 제공하기 위한 IPsec 내의 프로토콜입니다.
사용자가 데이터에 ESP를 적용하면 데이터 암호화 후 인증 데이터 필드가 추가됩니다.
이는 전송 모드 또는 터널 모드 ESP를 사용하는지 여부에 따라 약간 다릅니다.
Transport Mode ESP
이 경우 IP 페이로드(IP 패킷 내의 데이터)에 인증이 적용되어 패킷의 IP 헤더가 보호되지 않습니다.
이는 인증 및 무결성 검사가 전체 패킷이 아닌 호스트로 전달되는 실제 데이터에 대해서만 수행됨을 의미합니다.
터널 모드 ESP
터널 모드에서는 전체 원본 IP 패킷(헤더 포함)이 보호됩니다.
전체 패킷에 인증을 적용한 다음 외부 IP 대상 주소로 전달합니다.
인증 확인은 해당 대상에서 수행됩니다
두 경우 모두 인증이 일반 텍스트(암호화되지 않은 원본 데이터)가 아닌 암호문(암호화된 데이터)에 적용된다는 점에 유의해야 합니다.
즉, 암호화 후에 데이터 무결성 및 인증 검사가 수행되어 추가 보안 계층을 제공합니다.
중첩 전송
중첩 전송은 두 개의 전송 보안 연관 (SA) 번들을 사용하는 것을 의미합니다.
-
내부 ESP SA
- 이 SA에는 인증 옵션이 포함되어 있지 않으며 IP 페이로드를 암호화하는 데 사용됩니다.
- 결과 패킷은 IP 헤더(그리고 가능한 IPv6 헤더 확장)와 그 뒤를 이어지는 Encapsulating Security Payload (ESP)로 구성됩니다.
-
외부 AH SA
- 이 SA는 ESP와 원래의 IP 헤더에 인증 헤더(AH)를 전송 모드로 적용하며, 가변 필드는 제외합니다.
중첩 전송의 장점은 출발지와 목적지 IP 주소를 포함한 더 많은 필드의 인증을 가능하게 한다는 것입니다.
단점은 하나의 SA 대신 두 개의 SA를 사용하기 때문에 추가 처리가 필요하다는 점입니다.
전송 - 터널 묶음
전송 터널 번들은 인증이 암호화 전에 적용되는 방법입니다.
이 방법은 다음과 같은 이점이 있습니다:
- 암호화로 인증 데이터 보호: 인증 데이터는 암호화 내에 캡슐화되므로 보호됩니다.
- 인증 데이터가 메시지와 함께 저장: 인증 정보를 목적지에서 메시지와 함께 보관하면 차후 참조할 수 있습니다.
- 편리성: 전송-터널 번들링 방법은 인증 정보를 검증하기 위해 메시지를 번거롭게 재암호화할 필요를 피합니다
이 과정은 내부 AH 전송 SA와 외부 터널 SA로 구성된 번들을 사용합니다.
인증은 결합된 IP 페이로드와 IP 헤더에 적용되며, 가변 필드는 제외됩니다.
결과적으로 나온 IP 패킷은 그 후 터널 모드로 ESP에 의해 처리됩니다.
전체 인증된 내부 패킷은 암호화되고, 새로운 외부 IP 헤더(확장 헤더 포함 가능)가 추가됩니다.
이 구조는 결국 전체 IP 패킷에 대한 인증된, 암호화된 보호를 제공합니다
보안 연관 기본 조합
IPsec 구조 문서에서는 IPSec을 준수하는 호스트나 보안 게이트웨이가 지원해야만하는 SA를 조합하는 방법을 제시하고 있다
경우 1
보안은 IPsec을 구현하는 두 엔드포인트 시스템에 의해 제공됩니다.
SA를 통해 통신하는 두 엔드포인트 시스템은 비밀 키를 공유합니다.
가능한 경우:
- 전송 모드 AH
- 전송 모드 ESP
- 전송 모드 ESP 뒤에 이어지는 전송 모드 AH (ESP SA가 AH SA 내부에 있음)
- 터널 모드 AH 또는 터널 모드 ESP의 a, b, c 중 하나
경우 2
보안은 게이트웨이 간에만 설정됩니다. 호스트는 IPsec을 사용하지 않습니다.
간단한 가상 사설망(VPN)을 지원합니다.
오직 하나의 터널 SA만 필요합니다. 이 터널은 AH, ESP 또는 인증 옵션과 함께 ESP를 지원할 수 있습니다.
IPsec 서비스가 전체 내부 패킷에 적용되므로 중첩된 터널은 사용하지 않습니다.
경우 3
경우 2에 끝-끝 보안이 추가됩니다.
경우 1과 경우 2에서 논의된 동일한 조합을 사용합니다.
게이트웨이 간 터널을 통해 두 엔드 시스템 간의 모든 트래픽은 인증 또는 기밀성, 또는 둘 다 제공할 수 있습니다.
게이트웨이 간 터널이 ESP인 경우, 트래픽 기밀성의 제한된 형태도 제공합니다.
개별 호스트는 특정 애플리케이션 또는 주어진 사용자에 의해 필요로 하는 추가 IPsec 서비스를 구현하기 위해 끝-끝 SA를 사용할 수 있습니다.
경우 4
원격 호스트가 인터넷을 통해 조직의 방화벽 시스템에 접속하여 방화벽 시스템의 내부 서버 또는 워크스테이션에 접속하는 것을 지원합니다.
원격 호스트와 방화벽 사이에는 오직 터널 모드만 필요합니다.
경우 1과 같이 원격 호스트와 로컬 호스트 사이에 하나 또는 두 개의 SA를 사용합니다.
부족한 점이나 잘못 된 점을 알려주시면 시정하겠습니다 :>
'DEV > Backend' 카테고리의 다른 글
| 조회 vs Join 무엇이 더 효율적인가 (0) | 2023.06.27 |
|---|---|
| Secondary Index (0) | 2023.06.17 |
| ESP (0) | 2023.06.10 |
| Write Lock과 Read Lock (0) | 2023.06.10 |
| 낙관적 Lock과 비관적 Lock (1) | 2023.06.10 |
