▣ 네트워크 보안_IPSec(Internet Protocol Security), AH (Authentication Header), ESP(Encapsulating Security Payload)
| 보안서비스 | AH | ESP |
| 접근제어 (Access Control) |
O | O |
| 비 연결형 무결성 (Connectionless integrity) |
O | O |
| 데이터 근원지 인증 (Data Origin Authentication) |
O | O |
| 재전송 방지 (Anti-Replay) |
O (선택) |
O (선택) |
| 비밀성 (Confidentiality) |
O | |
| 제한적 트래픽 흐름의 비밀성 (Limited Traffic Flow Confidantiality) |
O |
■ 인증에 대해서만 검사하는 인증헤더 프로토콜(AH: Authentication Header Protocol)
| Next Header | AH(Authentication header)뒤에 나타나는 Payload의 type을 나타내는 8bit 값으로서 TCP는 6, UDP의 경우 17, ICMP 1 헤더 다음에 오는 페이로드의 유형을 나타냄 ICMP -> 1, TCP -> 6, UDP -> 17 등등 |
| Payload Length | Payload의 길이를 정의하는 8bit 값 |
| Reserved | 미래에 사용하기 위해 예약된 필드, 16bit 0으로 설정 되고, 사용되지 않음 |
| Security Parameters Index | 데이터그램을 위한 SA(Security Association)를 식별하기 위한 Index값, 32bit |
| Sequence Number | Replay Attack 방지하기 위해 사용 32bit 동일한 SPI를 이용하여 보내진 패킷의 일련번호를 나타냄 |
| Authentication Data | SHA, Keyed MD5, HMAC-MD5-96, HMAC-SHA-1-96등의 인증 data가 포함 IP패킷에 대한 무결성을 조사하기 위한 값(Integrity Check Value)을 포함하는 필드 MD5, SHA-1 등과 같은 해쉬 함수를 사용해 MAC(Message Authentication Code)을 생성하여 포함 |
■ 페이로드 전체를 보호하여 기밀성을 제공하는 보안 페이로드 캡슐화(ESP: Encapsulating Security Payload)
Security Parameter Index(SPI) : 목적지 IP 주소와 ESP 를 조합하여 데이터그램에 대한 SA 를 식별하게 해주는 32비트 값
Sequence Number : UnSigned 32bit 필드로서 일정하게 증가하는 카운트 값
Payload Data : Next Header 필드에 의해 식별된 타입의 데이터를 포함하는 가변 길이 필드
비밀성을 위해 암호화된 데이터로,
전송 모드인 경우 원시 IP 패킷의 몸체 부분이 삽입되고 터널 모드인 경우 원시 IP 패킷 전체가 삽입
Padding : 암호화된 비트가 암호화에 사용된 알고리즘의 블록 사이즈의 배수가 되도록 만들기 위해 사용되는 가별 길이 필드
Pad Length : 패딩에서 사용된 패딩 데이터 길이
Next Header : Payload Data 필드에 포함된 데이터 타입을 식별해 주는 필드
Authentication Data : ICV(Integrity Check Value) 로 구성된 가변 길이 데이터 필드. 무결성 체크 값
■ IPsec 동작 모드는 Transport Mode, Turnel Mode가 있음
Transport Mode : IP Packet에서 Payload만 보호
Turnel mode : IP Packet 전체를 보호
2020년 112번
정답 : 2번
데이터의 기밀성을 제공하는 메커니즘은 ESP이며, AH는 인증서비스만 제공함
2011년 102번
정답 : 3번
AH프로토콜은 인증을 지원하고, ESP 프로토콜은 암호화를 지원함
2013년 107번
정답 : 4번
"VPN 게이트웨이를 사용하면서 최종 목적지(오리지날IP)가 노출되지 않도록"하는 가장 적절한 방법은 ESP 터널모드임
데이터의 무결성을 목적으로 할 것인지 기밀성을 목적으로 할 것인지 여부에 따른 구분과 원래 목적지 주소를 숨길 것인지 아닌지에 대한 구분은 명확하게 이해 필요
인증에 대해서만 검사하는 인증헤더 프로토콜(AH: Authentication Header Protocol)
페이로드 전체를 보호하여 기밀성을 제공하는 보안 페이로드 캡슐화(ESP: Encapsulating Security Payload)
Transport Mode : IP Packet에서 Payload만 보호
Turnel mode : IP Packet 전체를 보호
2014년 104번
정답 : 4번
AH Header에는 Sequence Number필드에 순차적으로 증가하는 숫자를 사용하여 Replay Attack방지를 지원하고 있음
| Next Header | AH(Authentication header)뒤에 나타나는 Payload의 type을 나타내는 8bit 값으로서 TCP는 6, UDP의 경우 17, ICMP 1 헤더 다음에 오는 페이로드의 유형을 나타냄 ICMP -> 1, TCP -> 6, UDP -> 17 등등 |
| Payload Length | Payload의 길이를 정의하는 8bit 값 |
| Reserved | 미래에 사용하기 위해 예약된 필드, 16bit 0으로 설정 되고, 사용되지 않음 |
| Security Parameters Index | 데이터그램을 위한 SA(Security Association)를 식별하기 위한 Index값, 32bit |
| Sequence Number | Replay Attack 방지하기 위해 사용 32bit 동일한 SPI를 이용하여 보내진 패킷의 일련번호를 나타냄 |
| Authentication Data | SHA, Keyed MD5, HMAC-MD5-96, HMAC-SHA-1-96등의 인증 data가 포함 IP패킷에 대한 무결성을 조사하기 위한 값(Integrity Check Value)을 포함하는 필드 MD5, SHA-1 등과 같은 해쉬 함수를 사용해 MAC(Message Authentication Code)을 생성하여 포함 |
'보안' 카테고리의 다른 글
| 네트워크 보안_방화벽 firewall, 침입차단, 스크린드 서브넷, 스크리닝 라우터, 이중 네트워크, 배스천, 단일 홈, 스크린드 호스트 게이트웨이, DPI, DMZ (0) | 2021.10.28 |
|---|---|
| 해킹 및 침해사고_피싱 Phishing, 파밍 Pharming, 스미싱 smishing, 큐싱 qshing, DNSSEC (0) | 2021.10.11 |
| 개인정보 비식별화 조치_가명처리, 총계처리, 데이터 삭제, 데이터 범주화, 데이터 마스킹 (0) | 2021.10.10 |
| 클라우드 책임공유 모델_SaaS, PaaS, IaaS (0) | 2021.10.10 |
| 웹 보안_쿠키, 웹 캐시 (0) | 2021.10.10 |