IP 보안 정책
각각의 IP 패킷에 적용 되는 보안 정책의 개념은 IPsec 운용에 핵심적인 부분이다.
주로 2개의 데이터베이스 상호 작용으로 결정을 한다
- 보안 연관 데이터베이스(SAD: Security Association Database)
- 보안 정책 데이터베이스(SPD: Security Policy Database)
보안 연관 (SA)
연관이란 그 위에 실어 보내는 트래픽에 보안 서비스를제공하는 송신자와 수신자 사이의 일방향 관계를 의미한다
양방향 보안 교신을 위한 대등 관계가 필요하면 2 개의 보안 연관을 사용한다
AH나 ESP를 사용(2개 동시 사용은 안됨)하기 위해 SA에 보안 서비스를 제공하기도 한다
보안 연관 식별 매개변수
보안 매개변수 색인(SPI: Security Parameters Index)
SA에 할당된 비트열이고, 지역적으로만 의미가 있다.
수신 시스템이 수신한 패킷을 처리하기 위해 필요한 SA를 선택 할 수 있도록 송신 측은 AH와 ESP에 SPI를 넣어 보낸다
IP 목적지 주소(IP Destination Address)
현재는 오직 유니 캐스트 주소만이 허용 되는데, 이 것은 SA의 종단인 최종 목적지 주소이다.
최종 목적지란 종단 사용자 시스템일수도 있고, 라우터나 침입 차단 시스템 같은 네트워크 시스템일수도 있다.
보안 프로토콜 식별자(Security Protocol Identifier) SPI가 2개네
IPv4나 IPv6 헤더 안의 목적지 주소와 그 안에 포함된 확장헤더(AH나 ESP) 속의 SPI를 가지고 유일하게 식별한다
보안 연관 데이터베이스 (SAD : Security Association Database)
IPsec의 구현에서 각각의 SA에 연관된 매개 변수를 정의한 명목상의 보안 연관 데이터베이스가 있다.
보통 보안 연관은 SAD 엔트리에서 다음과 같은 매개변수로 정의 된다.
- 보안 매개변수 색인(SPI: Security Parameter Index):
- 순서 번호 카운터(Sequence Number Counter):
- 순서 계수기 오버플로우(Sequence Counter Overflow):
- 재전송 방지 윈도우(Anti-Replay Window):
- AH 정보(AH Information):
- ESP 정보(ESP Information):
- 보안 연관의 사용주기(Lifetime of this Security Association):
- IPsec 프로토콜 모드(IPsec Protocol Mode):
- 경로 MTU(Path MTU)
키 분배에 사용되는 키 관리 메커니즘은 SPI를 통해서만 인증과 프라이버시 메커니즘에 연결된다.
그러므로 인증과 프라이버시는 특정 키 관리 메커니즘과는 독립적으로 규정 된다.
보안 정책 데이터베이스(SPD : Security Policy Database)
IP 트래픽을 특정 SA에 연관시키는 방법이 명목상의 보안 정책 데이터베이스이다((단 IPsec을 우회하는 것이 허용된 트래픽의 경우에는 SA가 없음)
간단한 형식 SPD
- IP 트래픽의 서브셋을 정의하는 각 엔트리와 트래픽을 위한 SA에 대해 포인트를 포함
복잡한 환경의 SPD
- 단일 SA에 관련된 다중 엔트리 또는 단일 SPD 엔트리와 연관된 다중 SA가 존재
Selector : 각 SPD 엔트리
IP와 집합으로 정의되는 상위 계층의 프로토콜 필드 값으로 각 SPD 엔트리를 결정하는 것을 의미한다
실제로 아웃바운드 트래픽을 특정 SA에 대응시키기 위한 selector는 트래픽 필터링에 사용하기도 한다.
아래의 Selector는 SPD 엔트리를 결정한다.
- 원격 IP 주소(Remote IP Address):
- 로컬 IP 주소(Local IP Address):
- 다음 계층 프로토콜(Next Layer Protocol):
- 이름(Name):
- 로컬과 원격 포트(Local and Remote Ports):
부족한 점이나 잘못 된 점을 알려주시면 시정하겠습니다 :>
'Computer Science > Security' 카테고리의 다른 글
| Network Security Essentials 6 단원 문제 (0) | 2023.06.20 |
|---|---|
| TKIP (0) | 2023.06.19 |
| 전송 모드 (0) | 2023.06.16 |
| IEEE 802 프로토콜 구조 (0) | 2023.06.14 |
| PRF (0) | 2023.06.14 |
