Network Security Essentials 9 단원 문제

🚨 컴퓨터 네트워크 보안 9 문제

• AH
• ESP
• IKE(Internet Key Management)
• SA
• 전송 모드
• 터널 모드
• ESP

복습 문제

IPsec의 응용 예시

• VPN
• VOIP
• NAT Traversal

IPsec에서 제공 되는 서비스는 무엇인가

• 접근 제어
• 비연결 무결성
• 데이터 발신처 인증
• 재전송 패킷 거부
• 기밀성 암호화
• 제한된 트래픽 플로우 기밀성

무슨 매개변수가 SA를 식별하고, 무슨 매개 변수가 특정 SA 특성을 나타내나

• SPI (Security Parameter Index)

  • SA를 식별하기 위해 사용

• 보안 프로토콜 (security protocol identifier)

• IP 목적지 주소

• SA 특성

  • 순서 번호
  • Anti-Replay Window
  • AH - Information
  • ESP - Information

전송 모드와 터널 모드의 차이

Transport mode provides protection primarily for upper-layer protocols.
That is, transport mode protection extends to the payload of an IP packet.

Tunnel mode provides protection to the entire IP packet.

재전송 공격은 무엇인가

재전송 공격은 공격자가 인증된 패킷의 복사본을 얻고 이후에 그것을 목적지에 전송하는 공격입니다.

중복된 인증된 IP 패킷의 수신은 서비스에 일부 방해를 초래하거나 다른 원치 않는 결과를 가져올 수 있습니다.

ESP는 왜 패딩 필드를 포함하고 있나

ESP (Encapsulating Security Payload)가 패딩을 가지는 이유는 다음과 같습니다:

1. 만약 암호화 알고리즘이 평문이 바이트 수의 배수를 요구할 경우

   • (예: 블록 암호에 대한 단일 블록의 배수), 패딩 필드는 평문 (페이로드 데이터, 패딩, 패딩 길이, 다음 헤더 필드로 구성됨)을 필요한 길이로 확장하는 데 사용됩니다.

2. ESP 형식은 패딩 길이와 다음 헤더 필드가 32비트 단어 내에서 오른쪽 정렬되어야 합니다.

   • 동일하게, 암호문은 32비트의 정수 배수여야 합니다.
   • 패딩 필드는 이러한 정렬을 보장하는 데 사용됩니다.

3. 추가 패딩은 트래픽 흐름의 부분적인 기밀성을 제공하여 페이로드의 실제 길이를 숨기는 데 추가될 수 있습니다

SA를 묶는 기본적인 방법이 무엇인가

SA

• 중첩 전송
  • 터널링을 사용하지 않고, 동일한 IP 패킷에 둘 이상 프로토콜을 적용하는 것
  • AH와 ESP를 모두 사용하는 경우 한 수준에서만 적용 가능(더 이상은 이점 X)
• 반복 터널링
  • IP 터널링을 통해 여러 계층 보안 프로토콜 적용
  • 각 터널이 다른 Ipsec이 활성화된 모든 위치에서 시작 및 종료 될 수 있어 여러 중첩이 가능하다

IPsec에서, Oakley 키 결정 프로토콜과 ISAKMP의 역할이 무엇인가

IPsec의 기본적인 자동 키 관리 프로토콜로써 구성요소는 아래와 같습니다

Oakley 키 결정 프로토콜

• Diffie-hellman 알고리즘을 기반으로 추가적인 보안을 제공하는 프로토콜입니다
• Oakley는 특정 형식을 강제하지 않습니다
• IPsec SA의 암호화 인증에 사용할 공유 비밀키 설정하는 키 계약 프로토콜

인터넷 보안 연관 및 키 관리 프로토콜 (ISAKMP)

• ISAKMP는 키 교환을 포함하여 SA 협상 및 관리를 위한 프레임워크를 제공합니다. 그러나 키 자체는 처리하지 않습니다
• ISAKMP는 인터넷 키 관리를 위한 아키텍처를 지원합니다.
• 보안 속성 협상을 위한 구체적인 프로토콜 지원을 제공합니다.

ISAKMP는 특정 키 교환 알고리즘을 강제하지 않습니다.
다양한 키 교환 알고리즘을 사용할 수 있도록 메시지 타입의 세트로 구성됩니다.

연습 문제

AH 터널 모드와 전송 모드 패킷 그림 그리기 : ESP 그림도 알 것

• AH 적용 전
  • 
• 전송 모드
  • 
• 터널 모드
  • 

AH와 ESP가 제공하는 주요 서비스

• AH
  • 접근 제어
  • 비연결 무결성
  • 데이터 발신처 인증
  • 재전송 패킷 거부
• ESP
  • AH+기밀성 + 제한된 트래픽 플로우 기밀성

AH 처리에 대한 논의에서 IP 헤더 안의 모든 필드가 MAC 계산에 사용 되는 것은 아니다

• a. IPv4 헤더의 각 필드는 불변/변경 가능한가? 예측 가능한가? 이것은 변화하는 필드인가?

  • 불변
    • 버전, 인터넷 헤더 길이, 총 길이, 식별, 프로토콜 (이것은 AH에 대한 값이어야 합니다.), 출발지 주소, 목적지 주소 (느슨하거나 엄격한 소스 라우팅 없음).
  • 변경 가능하지만 예측 가능
    • 목적지 주소 (느슨하거나 엄격한 소스 라우팅과 함께).
    • 소스 라우팅 목록에 지정된 각 중간 라우터에서, 목적지 주소 필드는 다음 지정된 주소를 나타내도록 변경됩니다.
    • 그러나, 소스 라우팅 필드는 MAC 계산을 위해 필요한 정보를 포함합니다.
  • 변경 가능 (ICV 계산 전에 제로화)
    • 서비스 유형 (TOS), 플래그, 단편 오프셋, 생존 시간 (TTL), 헤더 체크섬. TOS
    • 플래그와 단편 오프셋은 라우터가 단편화를 수행하는 경우 변경됩니다.
    • TTL은 각 라우터에서 감소합니다. 이러한 다른 필드 중 하나가 변경되면 헤더 체크섬이 변경됩니다.

• b. IPv6 헤더에 대해 동일한 구분을 해보세요.

  • 불변
    • 버전, 페이로드 길이, 다음 헤더 (이것은 AH에 대한 값이어야 합니다.), 출발지 주소, 목적지 주소 (라우팅 확장 헤더 없음)
  • 변경 가능하지만 예측 가능
    • 목적지 주소 (라우팅 확장 헤더와 함께)
  • 변경 가능 (ICV 계산 전에 제로화)
    • 클래스, 플로우 라벨, 홉 제한

• c. IPv6 확장 헤더에 대해 동일한 구분을 해보세요.

  • 불변
    • IPv6 옵션 : Hop-by-Hop 및 목적지 확장 헤더에 있음
  • 변경 가능하지만 예측 가능
    • 라우팅
  • 적용 불가
    • 단편화는 아웃바운드 IPSec 처리 이후에 발생하고 재조립은 인바운드 IPSec 처리 이전에 발생하므로, 단편화 확장 헤더가 존재하는 경우, IPSec에 의해 볼 수 없습니다.

현재 재전송 윈도우가 120에서 530으로 확장되었다고 가정하자

a. 다음으로 들어오는 인증 패킷이 시퀀스 번호 105인 경우, 수신자는 이 패킷을 어떻게 처리하고, 다음 창의 매개변수는 무엇인가?

• 받은 패킷은 창의 왼쪽에 있으므로, 패킷은 버려집니다
  • 창 매개변수는 변경되지 않습니다.

b. 다음으로 들어오는 인증 패킷이 시퀀스 번호 440인 경우, 수신자는 이 패킷을 어떻게 처리하고, 다음 창의 매개변수는 무엇인가?

• 받은 패킷은 창 내에 있습니다. 새로운 경우, MAC이 확인됩니다.
  • 패킷이 인증되면, 창의 해당 슬롯이 표시됩니다.
  • 인증 되지 않았다면 폐기합니다
  • 어느 경우든, 창 매개변수는 변경되지 않습니다.

c. 다음으로 들어오는 인증 패킷이 시퀀스 번호 540인 경우, 수신자는 이 패킷을 어떻게 처리하고, 다음 창의 매개변수는 무엇인가?

• 받은 패킷은 창의 오른쪽에 있고 새로운 것이므로, MAC이 확인됩니다.
  • 패킷이 인증되면, 이 시퀀스 번호가 창의 오른쪽 가장자리가 되도록 창이 앞으로 이동하고, 창의 해당 슬롯이 표시됩니다
  • 이 경우, 창은 이제 120에서 540까지 범위를 가집니다.

어느 외부 값이, 내부 값으로부터 구해지는지 나타내고, 어느 것이 내부 값과는 독립적으로 구성 되는지 말하라

• 터널 모드가 사용 될 때 새로운 외부 IP 헤더가 구성 된다.
  • IPv4와 IPv6에 대해, 외부 패킷 안의 각 외부 IP 헤더 피드와 각 확장 헤더가 내부 IP 패킷의 대응하는 필드 혹은 외장 헤더와 어떤 식으로 관계가 있는지 나타내라
    IPv4
• 버전, 인터넷 헤더 길이 및 프로토콜
  • 이 필드는 내부 패킷과 독립적으로 IP 프로토콜에 따라 직접 설정됩니다.
• 총 길이, 식별, 플래그 및 조각 오프셋
  • 이들은 캡슐화된 패킷의 길이와 조각화의 필요성에 따라 파생됩니다.
• TTL(Time to Live)
  • 캡슐화 시스템의 정책에 따라 설정되며 내부 패킷의 TTL과 독립적입니다.
• 소스 및 대상 주소
  • 터널 끝점의 주소로 설정되며 내부 패킷의 주소에 의존하지 않습니다.

IPv6

• 버전, 트래픽 클래스, 흐름 레이블, 페이로드 길이 및 다음 헤더
  • IPv4와 마찬가지로 이러한 필드는 외부 패킷 자체를 기반으로 직접 설정되거나 계산됩니다.
• 홉 제한
  • IPv4의 TTL과 유사하게 캡슐화 시스템의 정책에 따라 설정합니다.
• 소스 및 대상 주소
  • 내부 패킷의 주소와 관계없이 터널 끝점으로 설정합니다.

IPv6 확장 헤더

• 외부 IP 헤더의 IPv6 확장 헤더는 외부 패킷의 필요에 따라 구성됩니다.
  • 내부 패킷의 확장 헤더와 직접적인 관계가 없습니다.
  • 외부 패킷의 각 확장 헤더는 캡슐화 패킷의 요구 사항을 충족하며 내부 패킷의 헤더에 의존하지 않습니다.

두 호스트 사이에는 종단-대 종단 인증과 암호화가 바람직하다

아 이거,, 터널과 전송 그리고 암호화 방식 차이 등을 알고 그림으로 그릴 줄 알아야 함
- 이야 보안 연관 묶이의 이유는 : AH와 ESP가 모두 필요한 경우 때문임

• 인증을 하기 전에 암호화를 먼저 적용하는 중첩 전송 : AH 전송

  • 

• 인증 전에 암호화를 먼저 적용하는 터널 SA 안에서 묶이는 전송 : AH 터널

  • 이거 그림이 좀 다르다? 유동적으로 적는건가
  • 

• 암호화 전에 인증을 먼저 적용하는 터널 SA 안에 묶이는 SA : ESP 터널

  • 

왜 AH 수행하기 이전에 ESP 프로토콜을 수행하냐? 왜 암호화 이전에 인증을 하는 것보다 이 방법이 권장되는가?

이러한 처리 순서는 수신자가 패킷을 복호화하기 전에 재전송 또는 가짜 패킷을 빠르게 감지하고 거부하는 것을 용이하게 하므로 서비스 거부 공격의 영향을 잠재적으로 줄일 수 있습니다.

IKE 키 교환에서, 각 메시지 안의 어떤 파라미터가 ISAKMP 페이로드 유형에 속하는가

• The Initial Exchanges and the CREATE_CHILD_SA Exchange

부족한 점이나 잘못 된 점을 알려주시면 시정하겠습니다 :>