정보보안기사 네트워크보안(2)

<네트워크보안(2)>
1. IPsec (네트워크 계층 보안)
: IP보안을 위하여 개방형 구조로 설계한 표준으로 네트워크 계층 보안에 대해 안정적
: 종단 노드 구간 또는 보안/터널 게이트웨이 구간에 IP 패킷 보안 서비스를 제공해주는 프로토콜
: ipv6에서 IPsec을 기본적으로 포함
: IP 계층에서 직접 보안 서비스를 제공함에 따라 상위 계층 프로그램의 변경이 필요하지 않음

1) 제공 서비스
ㄱ. 무결성 : 대칭 암호화를 통해 기밀성 보장
ㄴ. 비연결형 무결성 : MAC을 통해 각 IP 패킷별로 무결성 보장
송신측에서 인증 데이터/MAC 값을 계산하여 전송하고 수신측에서 검증
ㄷ. 데이터 원천 인증/송신처 인증 : MAC 통해
ㄹ. 재전송 공격 방지 : IP 패킷별로 순서번호를 전송하여 수신측 SA에 순서번호를 유지하고 검증
ㅁ. 접근 제어 : 송수신 IP 패킷에 대한 시스템 접근을 제어
ㅂ. 제한된 트래픽 흐름의 기밀성

2) 동작 모드

ㄱ. 전송모드
: IP 패킷의 페이로드를 보호하는 모드, IP 헤더는 그대로 유지하므로 네트워크 상 패킷 전송에 문제가 발생하지 않는다.
: 헤더를 보호하지 않기 때문에 트래픽 흐름이 분석될 수 있다.
* IP 페이로드: IP의 상위 프로토콜 데이터

ㄴ. 터널모드
: IP 패킷 전체를 보호하는 모드, IP 패킷 전체를 IPsec으로 캡슐화하여 IP 헤더를 식별할 수 없기 때문에 네트워크상 패킷 전송이 불가능하다.
따라서, 전송구간 주소 정보를 담은 New IP 헤더를 추가한다.

 

* 동작 모드의 차이점?
 : IP 패킷이 네트워크 상에서 전달(라우팅)되기 위해서는 IP헤더(출발지, 목적지 등의 주소정보, 제어정보 포함)가 필요
 터널 모드는 IP 패킷 전체(IP Header+IP Payload)를 보호하기 위해 IPsec 헤더가 IP 패킷 전체를 캡슐화 한다. 또, IPsec 헤더에는 전송에 필요한 정보가 없기 때문에 새로운 IP 헤더가 필요하게 된다.

 

3) 세부 프로토콜
ㄱ. AH : MAC 이용하여 인증(무결성과 송신처 인증)을 해주는 프로토콜
- AH 전송모드 : 전송 중 변경 가능한 IP Header 필드를 제외한 IP 패킷 전체를 '인증'
- AH 터널모드 : 전송 중 변경 가능한 New IP 헤더 필드를 제외한 New IP 패킷 전체를 '인증'

ㄴ. ESP : 인증과 기밀성을 제공, 인증과 암호화를 선택적 적용 가능, ESP는 IP 헤더를 인증X
- ESP 전송모드 : <IP 페이로드, ESP 트레일러 '암호화'>, <ESP 헤더, 암호화된 데이터오리지널 '인증'>
- ESP 터널모드 : <오리지널 IP 패킷 전체, ESP 트레일러 '암호화'>, <ESP 헤더, 암호화된 데이터 '인증'>

 

4) IKE(Internet Key Exchange)
: 보안 관련 설정들을 생성, 협상 및 관리하는 프로토콜
: IPsec에서 양 당사자 간의 논리적인 연결정보 및 보안설정들을 SA라고 함

 

2. SA(Security Association와 SP(Security Policy)
1) SA : 논리적인 연결 상태를 유지하는 동안 적용할 보안 설정 정보
: 단방향성/일방향성을 갖기 때문에 대상 호스트와 송수신을 하려면 2개의 SA가 필요
: 주요 항목으로는 SPI, 순서번호, Anti-Replay Window, AH/ESP, Lifetime, Mode, Path MTU

2) SP : 패킷을 송신하거나 수신 했을 때 적용할 보안의 종류를 적용하는 것

 

2. SSL/TLS (전송 계층 보안)
: C/S 환경에서 TCP 기반의 Application에 대한 종단간 보안서비스를 제공한 프로토콜
: 전송 계층과 어플리케이션 계층 사이에서 동작, 다양한 TCP 기반의 어플리케이션 프로토콜에 보안서비스를 제공

1) 제공 서비스
ㄱ. 기밀성 : 대칭 암호를 이용
ㄴ. 무결성 : MAC를 통해 위,변조 여부를 확인
ㄷ. 인증(Authentication) : 공개키 인증서를 이용한 C/S 간의 상호 인증을 수행

2) SSL/TLS 프로토콜 구조
ㄱ. 상위 계층: Handshake(협상), Change Cipher Spec(협상의 적용/변경 알림), Alert(오류 통보), Application Data(데이터 전달) 프로토콜
ㄴ. 하위 계층: Record 프로토콜 => 보안 파라미터를 이용 실제 암/복호화, 무결성, 압축/해제 등을 하여 송수신하는 기능을 제공

3) HandShake 프로토콜 (완전 협상 과정)
* {(Cilent Random, Server Random, Premaster Secret 조합으로 Master Secret)} 조합 Key Block
ㄱ. (C->S) Client Hello -> 지원 가능한 SSL/TLS 버전, chiper suites, 압축 방식 등 전달, 클라이언트 랜덤, 빈 세션값
ㄴ. (S->C) Server Hello -> 사용할 SSL/TSL 버전, chiper suites, 압축 방식 등, 서버 랜덤, 세션ID
ㄷ. (S->C) Certificate/Server Hello Done -> Cretificate 메시지를 통해 서버 측 인증서 목록 전달
ㄹ. (C->S) Cilent Key Exchange/Change Chiper Spec/Finished -> 협상된 암호 명세 적용 알림
ㅁ. (S->C) Change Chiper Spec/Finished 협상된 암호 명세 적용 알림