1. AH 헤더 및 ESP 헤더
ㅇ IPSec에서, IP 패킷의 보안성(인증,암호화 등)을 제공하기 위해, 유형별로 2개 헤더를 정의
- AH 헤더 : `무결성`,`인증`
- ESP 헤더 : `무결성`,`인증`,`암호화(기밀성)`
2. AH 헤더
ㅇ IP 패킷의 `무결성`,`인증`에 만 사용되는 헤더 (제한적 역할)
- (무결성 : 데이터 무결성, 인증 : 발신지 인증)
ㅇ 관련 필드
- IP 헤더 내의 프로토콜 필드 값
. 51로 셋팅됨 (51 : AH 헤더 임을 나타냄)
- AH 헤더의 위치
. IPSec 운용 모드(IPSec 터널모드,IPSec 수송모드)에 따라 적절한 위치에 삽입됨
ㅇ AH 헤더 내 필드
- 다음 계층 프로토콜 헤더 (Next Header) (8 비트)
. 원래의 IP 패킷의 프로토콜 필드 값이 이곳에 복사됨
. 즉, 페이로드 유형(TCP,UDP,ICMP,OSPF 등)을 나타냄
- 페이로드 길이 (Payload Length) (8 비트)
. 인증 헤더(처음 4 바이트 제외)의 길이를 4 바이트 배수로 나타냄
- 보안 매개변수 색인 (SPI) (32 비트)
. 보안연관(SA)의 지역적 식별
- 순서 번호 (Sequence Number) (32 비트)
. 재생공격 방지를 위한 순서번호
- 인증 데이터 (가변 길이) : 메세지 다이제스트
. 해시 함수와 대칭키를 이용하여 만들어짐
.. 전송 도중에 변경되는 TTL 필드를 제외하고, 전체 IP 패킷에 해쉬 함수를 적용한 결과 값
. 해쉬 알고리즘
.. 메세지 다이제스트를 만들기 위해,
.. 해쉬 알고리즘인 HMAC, MD5, SHA-1 을 사용
. 해쉬 함수 : HMAC-SHA-96, HMAC-MD5-96 등
ㅇ 관련 표준 : RFC 4302
3. ESP 헤더
ㅇ 위 AH에서 제공하는 보안서비스 외에도 기밀성 등 추가 제공
- IP 패킷의 `무결성`,`인증`,`암호화(기밀성)` 모두를 제공
. 즉, 선택적 비밀의 조합, 무결성, 발신지 인증, IP 데이터그램에 대한 재전송 공격 방지
* 따라서, 충분한 보안성 확보, 유연성 등으로 AH 보다 널리 사용
. 굳이, AH 헤더의 사용 불필요
ㅇ 기밀성을 위한 암호화 알고리즘
- DES, 3DES, RC5, IDEA, Three-key IDEA, CAST, Blowfish, AES 등 사용
ㅇ 수신측에는 IKE(Internet Key Exchange)로 미리 교환한 Key 값을 이용하여,
- 데이터를 복호화 하는 기능을 수행하게 됨
ㅇ 세부 필드
- IP 헤더 내의 프로토콜 필드 값
. 50 (ESP 헤더를 나타냄)으로 셋팅됨
- SPI (Security Parameter Index) (32 비트)
. 임의 32 비트 값으로, 보안연관의 식별용
- Sequence Number (32 비트)
. 재전송공격 방지
. 1부터 1씩 증가하다가 232까지 가능
. 232 이후, SA가 재설정되어야 함
- Payload (가변 비트)
. Next Header 필드에 의해 식별되는 종류(타입)의 데이터를 포함
. 기밀성을 위해 암호화된 데이터
. IPSec 수송모드이면, 원시 IP 패킷의 몸체 부분 만 삽입되고,
. IPSec 터널모드이면, 원시 IP 패킷 전체가 삽입됨
- Next Header (8 비트)
. Payload 필드에 포함된 데이터 종류(타입)을 식별해 주는 필드
ㅇ 관련 표준 : RFC 4303
1.
2.
3.
4.
5.
6.