컴퓨터 네트워크 컴퓨터 네트워크 암호화 기술 SSL , IPSEC 의 개요 및 동작과정 20021704 박성욱 20051489 노형주 20081684 이은지 20081610 변혜지
목 차 SSL 이란 무엇인가 정보암호화 - 비밀키 암호화 - 공개키 암호화 - 하이브리드 암호화 SSL 의 동작과정 목 차 SSL 이란 무엇인가 정보암호화 - 비밀키 암호화 - 공개키 암호화 - 하이브리드 암호화 SSL 의 동작과정 IPSEC 개요 및 SSL 과 비교 기여도 시 연
SSL(Secure Socket Layer) 이란 무엇인가? 전자서명 기술 기반 암호화 프로토콜 SSL-what? SSL(Secure Socket Layer) 이란 무엇인가? 전자서명 기술 기반 암호화 프로토콜 웹 서버 와 사용자PC 간의 주고받는 데이터를 암호화 하는 글로벌 표준 암호화 알고리즘
SSL-what? 응용계층과 전송계층 사이위치 상호 인증, 무결성 을 위한 전자 서명의 사용, 프라이버시 등을 위한 암호화 를 이용하여 클라이언트와 서버간의 안전한 통신을 제공
? + 보안요청 송수신 과정이 없는 경우 SSL-what? G마켓으로 알고 접속 사용자 G마켓 임미다.com 진짜 G마켓 신용카드정보 누출!! 보안요청 송수신 과정이 없는 경우
SSL-what? 보안연결 활성 사용자와 서버간의 보안요청 단계
소유자가 퍼블릭 키를 사용할 수 있도록 하기 위함 SSL-what? SSL 에서 중요한 역할을 하는 디지털 인증서 소유자의 신원 확인 위함 소유자가 퍼블릭 키를 사용할 수 있도록 하기 위함
디지털 인증서가 포함하고 있는 내용들 SSL-what? 소유자의 이름 소유자의 퍼블릭 키 디지털 인증서가 발행 되었던 날짜 디지털 인증서가 종료 하는 날짜 발행기구의 이름 CA의 기구명 발행기구의 디지털 서명 디지털 인증서가 포함하고 있는 내용들
정보 암호화 비밀키 암호화 공개키 암호화
정보 암호화-비밀키 암호화 미리 암호키 를 동의하는 방법이 문제!
정보 암호화-공개키 암호화 비밀키 암호화에서의 키 동의 의 문제를 해결
정보 암호화-하이브리드 암호화 비밀키 공개키 암호화를 혼합
사용자PC와 웹서버 간의 SSL을 통한 보안 연결 SSL-how.. SSL 동작과정 공개키 , 개인키 암호화 사용자 PC 웹서버 상호간 인증 사용자PC와 웹서버 간의 SSL을 통한 보안 연결
IPsec
IPSec(Internet Protocol Security) 개요 인터넷 IP 프로토콜은 패킷 교환 망에서 단순히 Ipsec-what? IPSec(Internet Protocol Security) 개요 인터넷 IP 프로토콜은 패킷 교환 망에서 단순히 데이터의 신뢰성 있는 전송만을 염두에 두고 개발한 것이기 때문에 보안은 고려되지 않았음 IP Spoofing, IP Sniffing 과 같은 보안 허점이 생겨나고 이를 악용하는 사례가 빈번하게 발생 이러한 문제점을 해결하기 위한 방안으로 IP계층에서 보안서버를 제공할수 있는 IPSec이 등장
Ipsec-what? 인증 무결성 기밀성 접근제어 재전송 공격 에 대한 보호 IPSec의 보안서비스
Ipsec-what?
장점 단점 방화벽 및 라우터에서 모든 트래픽에 대한 보안 제공 방화벽의 IPSec은 모든 트래픽의 IP통과를 제어 Ipsec -what? 장점 방화벽 및 라우터에서 모든 트래픽에 대한 보안 제공 방화벽의 IPSec은 모든 트래픽의 IP통과를 제어 전송계층 아래의 IPSec은 응용프로그램/최종사용자에 투명 필요한 개별 사용자에게 보안 제공 가능 단점 개인적으로 사용하기에는 매우 복잡함 추가적인 Header사용으로 Packet Fragmentation증가, Throughput저하
SSL와 IPsec의 비교 Ipsec-compare 비슷한 방식의 암호화 알고리즘을 사용 RSA 사용 비대칭 알고리즘의 구성도 같은점 송신자 수신자 공개키 (public key) 비밀키 (private key) 원본 메시지 원본 메시지 암호화된 메시지 암호화 복호화
Ipsec-compare SSL IPSec 인증 ● 단방향 또는 양방향 인증 ● X.509기반의 인증서 ● 양방향 인증 암호화 ● 단방향 또는 양방향 인증 ● X.509기반의 인증서 ● 양방향 인증 암호화 ● 강력한 암호화(3DES, AES 등) ● 표준화된 웹 브라우져 기반 ● Client 프로그램 기반 전반적인 보안성 ● End to End 보안 ● 사용자 환경에 따른 보안성 제어 ● Client to Gateway 보안 접근성 ● 언제 어디서든 접근 가능 ● 정의된 사용자 기반 접근 비용 ● 저렴 ● 클라이언트 소프트웨어 불필요(서버입장) ● 높음 ● 클라이언트 소프트웨어 구입 및 유지비용 소요(서버입장) 설치 ● 플러그 앤 플레이 설치 ● 클라이언트 소프트웨어 또는 하드웨어 설치 불필요 ● 기술적인 설치 지원 필요 ● 클라이언트 측 소프트웨어 또는 하드웨어 필요 사용자 편의성 ● 웹 기반의 편리한 사용자 인터페이스 제공 ● 사용자 교육 불필요 ● 기술적 마인드가 부족한 사용자에게는 불편함 ● 사용자 기술 교육 필요 어플리케이션 지원 ● 모든 IP 기반 어플리케이션 사용자 ● 내부 사용자, 고객, 파트너, 원격접속자 등 ● 내부 사용자 확장성 ● 유연한 확장성 ● 서버 쪽에서만 확장성을 지니고 있으며, 사용자 측면의 확장성은 기대하기 어려움
Ipsec-demonstration SSL / IPSec 설치 및 사용
Ipsec-demonstration SSL 기반의 xecureWeb 설치후 트레이창 아이콘
Ipsec-demonstration 1. 보안정책생성 2. 적용할 필터들을 선택(여러가지를 선택할수 있음)하거나 생성 3. 필터세부사항 결정(네트웍, IP, 포트, 터널링여부 규정) 4. 필터동작선택(허용, 거부, 보안협상)
Ipsec-demonstration 오른쪽 마우스로 새로운 정책을 만들면 마법사가 실행됩니다 정책이름은 “터미널연결제한 정책”이라 입력합니다.
Ipsec-demonstration 위 기본응답규칙활성화는 IPSec 로 보안설정된 서버가 요청하면 IPSec 로 응답한다는 것을 의미합니다 단지 기본응답규칙만 있는 것이 그림1 에 클라이언트(응답만)”정책입니다. 필요없으므로 체크를 지우고 정책을 생성한 후 모든 네트웍에서 TCP 3389 포트로 접근을 거부하는 필터를 만들어 봅시다
Ipsec-demonstration 네트웍크 종류를 선택한다 인증방법으로는 컴퓨터 간 트러스트를 연결하는 세 가지 IETF 표준 기반의 인증 방법이 제공됩니다 Windows 2000 기본값 : Windows 2000 기반의 도메인 인프라에서 제공되는 것으로서, 하나의 도메인 내 또는 트러스트된 도메인 전반의 컴퓨터 간에 보안 통신을 구축하는 데 사용됩니다.
Ipsec-demonstration 현재 기본적으로 있는 필터는 위와 같다 tcp 3389 포트에 관련된 것이 없으므로 만들어줍니다. 추가 버튼을 누르고 필터목록은 “tcp3389” 라고 적어줍니다.
Ipsec-demonstration 필터마법사에서 원본주소는 “내IP주소” 대상주소는 모든 네트웍에서의 터미널연결을 거부할것이므로 모든”IP주소” 프로토콜은 tcp 3389 를 선택합니다.
Ipsec-demonstration 포트를 밑에 적어줘야 될 것 같지만 서버쪽이 위쪽이다 이제 어떤 동작을 할것 인지를 정해주면 된다 “닫기” 를 누르면 이전 두개 밖에 없던 필터목록에 “TCP3389” 이 추가로 있다 그것을 선택한다
Ipsec-demonstration 거부하는 동작이 없으므로 또 다시 추가를 눌러서 필터동작이 거부하는 것을 만들어 준다
Ipsec-demonstration 또는 보안필요를 선택해도 비슷한 결과를 얻을 수 있습니다. “보안필요” 를 선택하게되면 도메인멤버만이 접속을 할수 있기 때문입니다. 이제 같은 방법으로 사무실 IP 에서의 접속만 허용하는 필터를 만들어 준 다음 정책을 할당하기만 하면 됩니다. 참고로 위에 방법은 패킷은 암호화 하진 않는다 다만 IPSec 를 사용하여 접근을 제한한것에 불과합니다.
Ipsec-demonstration 또는 보안필요를 선택해도 비슷한 결과를 얻을 수 있습니다. “보안필요” 를 선택하게되면 도메인멤버만이 접속을 할수 있기 때문입니다. 이제 같은 방법으로 사무실 IP 에서의 접속만 허용하는 필터를 만들어 준 다음 정책을 할당하기만 하면 됩니다. 참고로 위에 방법은 패킷은 암호화 하진 않는다 다만 IPSec 를 사용하여 접근을 제한한것에 불과합니다.
Ipsec-level of contribution