본 내용은 한양대학교 이석복 교수님의 강의를 참고하여 정리하였습니다. 교재는 Pearson/Addison Wesley에서 출판한 Computer networking : a top-down approach입니다.
IP security protocol
- 두 컴퓨터 사이에 암호화된 통신을 제공하기 위해서 packet을 암호화하고 인증하는 프로토콜
- mode 종류
* Transport mode
+ Packet의 payload만 보호
+ 종단 노드 간의 IP packet 보호
* Tunnel mode
+ Packet 전체를 보호
+ Packet 전체를 암호화하기 때문에 새로운 IP 해더를 추가
+ 터널 구간 또는 터널과 종단 구간 사이의 packet 보호
종류
1. AH (Authentication Header) protocol
- MAC을 이용하여 인증 기능 제공
- 암호화 하지 않아 기밀성 기능 없음
- Transport와 tunnel에서 모두 사용하나 ESP보다 덜 사용
2. ESP (Encapsulation Security Protocol)
- MAC을 이용하여 인증 기능 제공
- 암호화 하지 않아 기밀성 기능 제공
- 제3자는 원본 msg, source IP, dest IP, port number 등을 볼 수 없다.
- Tunnel을 더 많이 사용
- Format
* New IP header : 원본 IP header는 암호화되기 때문에 새로운 IP 헤더 생성
* ESP header
+ 도착지점에서 key를 찾을 수 있도록 참조하는 index
+ 중간에 누가 가로채서 재사용하는 것을 방지하기 위한 sequence
* ESP authentication data : MAC의 일종으로 인증 기능 역할
- 동작
* 상황 : Router 1에서 Router 2로 터널을 지나가는 상황
1. R1에서 새로운 packet을 만든다.
2. 여러 router들을 거쳐서 R2에 도착한다.
3. R2는 New IP header를 보고 자신이 목적지라는 것을 알고 ESP Authentication data의 정보와 비교하여 정보를 인증한다.
4. ESP header에서 index를 보고 자신에게 저장되어 있던 key를 가져온다. key를 가지고 복호화하여 종단 컴퓨터로 보내준다.
VPN (Vertual Private Network)
- 흔히 우회하기 위한 용도로 사용되는 VPN는 IP security protocol의 종류이다. VPN는 실제 IP를 암호화해서 가려준다. 이렇게 실제 IP를 가려주기 때문에 어디로 가는지 모르고 결국 우회가 가능하다.
- Dest IP를 암호화하고 VPN server IP를 목적지로 한다. 내용은 암호화되고 목적지가 VPN server이기 때문에 어디로 가는지 모른다.
- Proxy server
* Proxy server도 VPN과 같이 우회하는데 사용된다. 목적지는 proxy server로 하고, 그 다음에 proxy server에서 진짜 목적지로 보내주면 된다.
* Proxy server를 보안에 사용하지 않는 이유는, 내용물이 다 보이기 때문이다. 암호화가 되어 있지 않기 때문에 관리자는 packet들이 어디로 가는지 알 수 있다.
참고
- VPN
'Software Courses > Network' 카테고리의 다른 글
| Network security : Firewall (0) | 2021.01.14 |
|---|---|
| Network security : Securing TCP connection, SSL (0) | 2021.01.13 |
| Network security : securing e-mail (0) | 2021.01.13 |
| Network security : Authentication, Integrity (0) | 2021.01.12 |
| Network security : cryptography (0) | 2021.01.12 |