IPSec이란 무엇입니까?

IPSec(인터넷 프로토콜 보안)은 인터넷 프로토콜(IP) 네트워크를 통해 데이터 트래픽을 보호하는 암호화 프로토콜 세트입니다.

World Wide Web을 포함한 IP 네트워크에는 암호화 및 개인정보 보호 기능이 부족합니다. IPSec VPN은 웹에서 암호화된 개인 통신을 위한 프레임워크를 제공하여 이러한 약점을 해결합니다.

다음은 IPSec에 대해 자세히 살펴보고 이것이 VPN 터널 과 함께 작동하여 보안되지 않은 네트워크에서 데이터를 보호하는 방법입니다.

IPSec의 간략한 역사

80년대 초반 인터넷 프로토콜이 개발되었을 당시에는 보안이 최우선 순위가 아니었습니다. 그러나 인터넷 사용자 수가 계속 증가함에 따라 높은 수준의 보안에 대한 요구도 높아지고 있습니다.

이러한 요구를 해결하기 위해 국가 안보국(National Security Agency)은 80년대 중반 보안 데이터 네트워크 시스템(Secure Data Network Systems) 프로그램에 따라 보안 프로토콜 개발을 후원했습니다. 이는 레이어 3 보안 프로토콜과 결국 네트워크 레이어 보안 프로토콜의 개발로 이어졌습니다. 90년대 내내 많은 엔지니어들이 이 프로젝트에 참여했으며 IPSec은 이러한 노력을 통해 성장했습니다. IPSec는 이제 오픈 소스 표준이며 IPv4의 일부입니다.

IPSec 작동 방식

IPSec는 VPN 터널과 함께 작동하여 장치 간 비공개 양방향 연결을 설정합니다.

두 컴퓨터가 VPN 연결을 설정하면 보안 프로토콜 및 암호화 알고리즘 세트에 동의해야 하며 암호화된 데이터를 잠금 해제하고 보려면 암호화 키를 교환해야 합니다.

이것이 IPSec이 작동하는 곳입니다. IPSec는 VPN 터널과 함께 작동하여 장치 간에 비공개 양방향 연결을 설정합니다. IPSec는 단일 프로토콜이 아닙니다. 대신 VPN 터널을 통과하는 인터넷 데이터 패킷의 기밀성, 무결성 및 신뢰성을 보장하기 위해 함께 작동하는 완전한 프로토콜 및 표준 세트입니다.

IPSec이 보안 VPN 터널을 생성하는 방법은 다음과 같습니다.

• IPSec는 전송 중에 패킷 무결성을 보장하기 위해 데이터를 인증합니다.
• IPSec는 데이터를 볼 수 없도록 VPN 터널을 통해 인터넷 트래픽을 암호화합니다.
• IPSec는 무단 로그인으로 이어질 수 있는 재생 공격으로부터 데이터를 보호합니다.
• IPSec을 사용하면 컴퓨터 간에 안전한 암호화 키 교환이 가능합니다.
• IPSec는 터널과 전송이라는 두 가지 보안 모드를 제공합니다.

IPSec VPN은 호스트에서 호스트로, 네트워크에서 네트워크로, 호스트에서 네트워크로, 게이트웨이에서 게이트웨이로 전송되는 데이터를 보호합니다(전체 IP 패킷이 암호화되고 인증되는 경우 터널 모드라고 함).

IPSec 프로토콜 및 지원 구성요소

IPSec 표준은 여러 핵심 프로토콜과 지원 구성 요소로 구분됩니다.

핵심 IPSec 프로토콜

- IPSec 인증 헤더(AH) : 이 프로토콜은 데이터 교환 프로세스에 참여하는 컴퓨터의 IP 주소를 보호하여 프로세스 중에 데이터 비트가 손실, 변경 또는 손상되지 않도록 전송합니다. 또한 AH는 데이터를 보낸 사람이 실제로 데이터를 보냈는지 확인하여 무단 사용자의 침입으로부터 터널을 보호합니다.

- ESP(보안 페이로드 캡슐화) : ESP 프로토콜은 IPSec의 암호화 부분을 제공하여 장치 간 데이터 트래픽의 보안을 보장합니다. ESP는 데이터 패킷/페이로드를 암호화하고 IPSec 프로토콜 제품군 내에서 페이로드와 해당 출처를 인증합니다. 이 프로토콜은 인터넷 트래픽을 효과적으로 뒤섞기 때문에 터널을 들여다보는 사람은 누구나 터널 안의 어떤 것도 볼 수 없습니다.

ESP는 데이터를 암호화하고 인증하는 반면 AH는 데이터만 인증합니다.

IPSec를 지원하는 구성 요소

- 보안 협회(SA) : 보안 협회 및 정책은 거래소에서 사용되는 다양한 보안 계약을 설정합니다. 이러한 계약에 따라 사용할 암호화 유형과 해시 알고리즘이 결정될 수 있습니다. 이러한 정책은 유연성이 있어 장치가 작업 처리 방법을 결정할 수 있는 경우가 많습니다.

- 인터넷 키 교환(IKE) : 암호화가 작동하려면 개인 통신 교환에 참여하는 컴퓨터가 암호화 키를 공유해야 합니다. IKE를 사용하면 VPN 연결을 설정할 때 두 대의 컴퓨터가 암호화 키를 안전하게 교환하고 공유할 수 있습니다.

- 암호화 및 해싱 알고리즘 : 암호화 키는 해시 알고리즘을 사용하여 생성된 해시 값을 사용하여 작동합니다. AH와 ESP는 매우 일반적이므로 특정 인코딩 유형을 지정하지 않습니다. 그러나 IPsec은 암호화를 위해 메시지 다이제스트 5 또는 보안 해시 알고리즘 1을 사용하는 경우가 많습니다.

- 재생 공격으로부터 보호 : IPSec에는 성공적인 로그인 프로세스의 일부인 데이터 패킷의 재생을 방지하는 표준도 포함되어 있습니다. 이 표준은 해커가 재생된 정보를 사용하여 로그인 정보를 직접 복사하는 것을 방지합니다.

IPSec는 완전한 VPN 프로토콜 솔루션이며 L2TP 및 IKEv2에서 암호화 프로토콜 역할도 할 수 있습니다.

터널링 모드: 터널 및 전송

IPSec는 터널 또는 전송 모드를 사용하여 데이터를 보냅니다.

IPSec는 터널 또는 전송 모드를 사용하여 데이터를 보냅니다. 이러한 모드는 사용되는 프로토콜 유형(AH 또는 ESP)과 밀접한 관련이 있습니다.

- 터널 모드 : 터널 모드에서는 패킷 전체를 보호합니다. IPSec는 데이터 패킷을 새 패킷으로 래핑하고 암호화한 후 새 IP 헤더를 추가합니다. 일반적으로 사이트 간 VPN 설정에 사용됩니다.

- 전송 모드 : 전송 모드에서는 원래 IP 헤더가 그대로 유지되며 암호화되지 않습니다. 페이로드와 ESP 트레일러만 암호화됩니다. 전송 모드는 일반적으로 클라이언트-사이트 VPN 설정에 사용됩니다.

VPN의 경우 가장 일반적인 IPSec 구성은 터널 모드에서 인증을 사용하는 ESP입니다. 이 구조는 인터넷 트래픽이 보안되지 않은 네트워크를 통해 VPN 터널 내부에서 익명으로 안전하게 이동하는 데 도움이 됩니다.

그렇다면 IPsec에서 터널 모드와 전송 모드의 차이점은 무엇입니까?

IPsec의 터널 모드는 두 개의 전용 라우터 사이에서 사용되며, 각 라우터는 공용 네트워크를 통해 가상 "터널"의 한쪽 끝 역할을 합니다. 터널 모드에서는 초기 IP 헤더에 패킷 페이로드와 함께 암호화된 패킷의 최종 대상이 포함됩니다. 중간 라우터가 패킷을 전달할 위치를 알 수 있도록 IPsec은 새 IP 헤더를 추가합니다. 터널의 각 끝에서 라우터는 IP 헤더를 디코딩하여 패킷을 대상으로 전달합니다.

전송 모드에서는 각 패킷의 페이로드가 암호화되지만 초기 IP 헤더는 암호화되지 않습니다. 따라서 별도의 터널 프로토콜(예: GRE)을 사용하지 않는 한 중간 라우터는 각 패킷의 최종 대상을 볼 수 있습니다.

IPsec은 어떤 포트를 사용합니까?

네트워크 포트는 컴퓨터 내에서 데이터가 이동하는 가상 위치입니다. 포트는 컴퓨터가 다양한 프로세스와 연결을 추적하는 방법입니다. 데이터가 특정 포트로 이동하면 컴퓨터 운영 체제는 해당 데이터가 어느 프로세스에 속하는지 알 수 있습니다. IPsec은 일반적으로 포트 500을 사용합니다.

IPsec은 MSS 및 MTU에 어떤 영향을 미칩니까?

MSS와 MTU는 패킷 크기를 측정하는 두 가지 방법입니다. 패킷은 컴퓨터, 라우터 및 스위치가 패킷을 처리할 수 없게 되기 전에 특정 크기(바이트)에 도달할 수 있습니다. MSS는 각 패킷의 페이로드 크기를 측정하는 반면 MTU는 헤더를 포함한 전체 패킷을 측정합니다. 네트워크 MTU를 초과하는 패킷은 조각화될 수 있습니다. 즉, 더 작은 패킷으로 분할된 다음 재조립될 수 있습니다. MSS를 초과하는 패킷은 간단히 삭제됩니다.

IPsec 프로토콜은 패킷에 여러 개의 헤더와 트레일러를 추가하며 모두 몇 바이트를 차지합니다. IPsec을 사용하는 네트워크의 경우 MSS 및 MTU를 적절하게 조정해야 합니다. 그렇지 않으면 패킷이 조각화되고 약간 지연됩니다. 일반적으로 네트워크의 MTU는 1,500바이트입니다. 일반 IP 헤더의 길이는 20바이트이고 TCP 헤더의 길이도 20바이트입니다. 즉, 각 패킷에는 1,460바이트의 페이로드가 포함될 수 있습니다. 그러나 IPsec은 인증 헤더, ESP 헤더 및 관련 트레일러를 추가합니다. 패킷에 50~60바이트 이상을 추가합니다.