AH Header, ESP Header   AH 헤더, ESP 헤더

(2022-02-19)

IPSec AH, Authentication Header, IPSec ESP, Encapsulating Security Payload


1. AH 헤더 및 ESP 헤더IPSec에서, IP 패킷보안성(인증,암호화 등)을 제공하기 위해, 유형별로 2개 헤더를 정의
     - AH 헤더 : `무결성`,`인증`
     - ESP 헤더 : `무결성`,`인증`,`암호화(기밀성)`


2. AH 헤더IP 패킷의 `무결성`,`인증`에 만 사용되는 헤더 (제한적 역할)
     - (무결성 : 데이터 무결성, 인증 : 발신지 인증)

    

  ㅇ 관련 필드
     - IP 헤더 내의 프로토콜 필드 값 
        . 51로 셋팅됨 (51 : AH 헤더 임을 나타냄)
     - AH 헤더의 위치
        . IPSec 운용 모드(IPSec 터널모드,IPSec 수송모드)에 따라 적절한 위치에 삽입됨 

  ㅇ AH 헤더 내 필드
     - 다음 계층 프로토콜 헤더 (Next Header) (8 비트)
        . 원래의 IP 패킷프로토콜 필드 값이 이곳에 복사됨
        . 즉, 페이로드 유형(TCP,UDP,ICMP,OSPF 등)을 나타냄
     - 페이로드 길이 (Payload Length) (8 비트)
        . 인증 헤더(처음 4 바이트 제외)의 길이를 4 바이트 배수로 나타냄
     - 보안 매개변수 색인 (SPI) (32 비트)
        . 보안연관(SA)의 지역적 식별 
     - 순서 번호 (Sequence Number) (32 비트)
        . 재생공격 방지를 위한 순서번호
     - 인증 데이터 (가변 길이) : 메세지 다이제스트
        . 해시 함수대칭키를 이용하여 만들어짐
           .. 전송 도중에 변경되는 TTL 필드를 제외하고, 전체 IP 패킷해쉬 함수를 적용한 결과 값
        . 해쉬 알고리즘
           .. 메세지 다이제스트를 만들기 위해,
           .. 해쉬 알고리즘HMAC, MD5, SHA-1 을 사용
        . 해쉬 함수 : HMAC-SHA-96, HMAC-MD5-96 등

  ㅇ 관련 표준 : RFC 4302


3. ESP 헤더

  ㅇ 위 AH에서 제공하는 보안서비스 외에도 기밀성 등 추가 제공
     - IP 패킷의 `무결성`,`인증`,`암호화(기밀성)` 모두를 제공
        . 즉, 선택적 비밀의 조합, 무결성, 발신지 인증, IP 데이터그램에 대한 재전송 공격 방지
     * 따라서, 충분한 보안성 확보, 유연성 등으로 AH 보다 널리 사용
        . 굳이, AH 헤더의 사용 불필요

  ㅇ 기밀성을 위한 암호화 알고리즘
     - DES, 3DES, RC5, IDEA, Three-key IDEA, CAST, Blowfish, AES 등 사용

  ㅇ 수신측에는 IKE(Internet Key Exchange)로 미리 교환한 Key 값을 이용하여,
     - 데이터복호화 하는 기능을 수행하게 됨

       

  ㅇ 세부 필드
     - IP 헤더 내의 프로토콜 필드 값 
        . 50 (ESP 헤더를 나타냄)으로 셋팅됨
     - SPI (Security Parameter Index) (32 비트)
        . 임의 32 비트 값으로, 보안연관의 식별용
     - Sequence Number (32 비트)
        . 재전송공격 방지
        . 1부터 1씩 증가하다가 232까지 가능
        . 232 이후, SA가 재설정되어야 함 
     - Payload (가변 비트)
        . Next Header 필드에 의해 식별되는 종류(타입)의 데이터를 포함
        . 기밀성을 위해 암호화데이터
        . IPSec 수송모드이면, 원시 IP 패킷의 몸체 부분 만 삽입되고,
        . IPSec 터널모드이면, 원시 IP 패킷 전체가 삽입됨
     - Next Header (8 비트)
        . Payload 필드에 포함된 데이터 종류(타입)을 식별해 주는 필드

  ㅇ 관련 표준 : RFC 4303

IP 레벨 보안
   1. IPSec   2. AH 헤더,ESP 헤더   3. IPSec 운용모드   4. 보안 연관   5. IKE   6. ISAKMP  


Copyrightⓒ written by 차재복 (Cha Jae Bok)               기술용어해설 후원
"본 웹사이트 내 모든 저작물은 원출처를 밝히는 한 자유롭게 사용(상업화포함) 가능합니다"