봄수의 연구실

IP 보안 정책 각각의 IP 패킷에 적용 되는 보안 정책의 개념은 IPsec 운용에 핵심적인 부분이다. 주로 2개의 데이터베이스 상호 작용으로 결정을 한다 보안 연관 데이터베이스(SAD: Security Association Database) 보안 정책 데이터베이스(SPD: Security Policy Database) 보안 연관 (SA) 연관이란 그 위에 실어 보내는 트래픽에 보안 서비스를제공하는 송신자와 수신자 사이의 일방향 관계를 의미한다 양방향 보안 교신을 위한 대등 관계가 필요하면 2 개의 보안 연관을 사용한다 AH나 ESP를 사용(2개 동시 사용은 안됨)하기 위해 SA에 보안 서비스를 제공하기도 한다 보안 연관 식별 매개변수 보안 매개변수 색인(SPI: Security Parameters In..

터널 모드 터널 모드는 IP 패킷 전부를 보호한다. AH 또는 ESP 필드를 IP 패킷에 추가하여 전체 패킷과 보안 필드를 합친 새로운 외부 IP 패킷의 페이로드로 간주한다. 원래의 전체 패킷 혹은 내부 패킷은 터널로 이동한다. 경로상 어떤 라우터도 그래서 내부 IP 헤더 검사를 하지 않는다 작동 예제 호스트 A는 다른 네트워크의 호스트 B의 주소를 목적지로 가지는 IP 패킷 생성 호스트 A로부터 A가 속한 네트워크 경계에 있는 IPS나 보안 라우터로 전달 IPS는 밖으로 나가는 모든 패킷에 대해 IPsec 처리가 필요한지 아닌지를 검사 B의 IPS인 라우터로 라우팅 전송 경로 상의 다른 라우터는 오직 외부 IP 헤더만 검사 B의 IPS는 외부 IP 헤더를 벗겨내고, 내부 패킷만 B에게 전송 ESP는 내..

전송 모드 전송 모드는 IP의 페이로드 범위(상위 계층 : TCP, UDP, ICMP 패킷) 까지 보호를 한다. 즉 전송 모드는 IP 패킷의 페이로드 범위까지 보호한다. 호스트 프로토콜 계층의 IP 위에서 직접 동작하는 모드이다. 두 호스트 사이의 종단 대 종단 통신에 전송 모드를 이용한다 ESP IP 페이로드를 암호화하고, 인증은 선택 사항 IP 헤더는 암호화 하지 않음 AH IP 페이로드와 IP 헤더의 선별된 일부만 인증 IPv4 AH나 ESP를 사용하면, 페이로드는 보통 IP 헤더 뒤에 붙는 데이터로 간주한다 IPv6 페이로드는 통상적으로 IP 헤더와 존재하는 모든 IPv6 확장 헤더 뒤에 붙는 데이터로 간주 부족한 점이나 잘못 된 점을 알려주시면 시정하겠습니다 :>