31장 인터넷 보안 프로토콜 31.1 IP 계층 보안 31.2 전송계층 보안 31.3 응용계층 보안 31.4 방화벽

Slides:



Advertisements
Similar presentations
HTTPS Packet Capture Tutorial
Advertisements

Part TCP / IP(계속) 3. IP 주소 4. IP 라우팅 5. 응용 프로토콜.
Chapter 8. 인터넷 연결공유와 개인네트워크 구축
16장 X.25 패킷 교환망 16.1 X.25 계층 구조 16.2 패킷 계층 프로토콜 16.3 요약.
차세대 IPv6와 ICMPv 데이터그램 25.2 단편화 25.3 옵션 25.4 검사합 25.5 IP 설계
3 장 OSI 기본 참조 모델 OSI : Open System Interconnection
암호화 기술 SSL와 IPSec의 개요 및 동작과정
Chapter 18 네트워크층 보안: IPSec
IP 보안 IPSec.
24 장 TCP/IP 24.1 개요 24.2 네트워크층 24.3 주소 지정 24.4 서브넷팅틍
18장. 방화벽 컴퓨터를 만들자.
VoIP (Voice Over Internet Protocol)
9장 데이터 링크층 개요 (Introduction To Data-Link Layer)
제 17 장 TCP : 전송 제어 프로토콜 정보통신연구실.
네트워킹 CHAPTER 13 Section 1 네트워킹의 개요와 java.net 패키지 Section 2 인터넷 주소와 URL
Virtual Private Network
SSL (Secure Sockets Layers Protocol)
제 15 장 점 대 점 프로토콜 15.1 천이상태 15.2 PPP 계층 15.3 링크 제어 프로토콜 15.4 인증
컴퓨터 네트워크 II - 기말고사 토폴로지 발표자료
IPSec (Internet Protocol Security protocol)
15장 X.25 패킷 교환망 15.1 X.25 계층 15.2 X.25와 관련된 기타 프로토콜 15.3 요약.
Chapter 21 Network Layer: ARP, ICMP (IGMP).
SqlParameter 클래스 선문 비트 18기 발표자 : 박성한.
제 19 장 TFTP 19.1 메시지 19.2 연결 19.3 데이터 전송 19.4 UTP 포트 19.5 TFTP 예제
정보화 사회와 컴퓨터 보안.
TCP/IP 응용 프로그램에 적용 가능한 다양한 소켓 옵션을 이해하고 활용한다.
Ch16 – 4. IP 보안 - IP Security -.
10 장 데이터 링크 제어(Data Link Control)
13 장 광역 통신망(WAN) 13.1 점대점 WAN 13.2 교환형 WAN 13.3 ATM LAN 13.4 요약.
IPv 문은영 강유미 권혜숙 조경미.
FTP 프로그램의 활용 FTP 프로그램의 용도 인터넷 공간에 홈페이지 파일을 업로드할 때 필요
GPRS(general Packet Radio System) 설명
17장 X.25 패킷 교환망 17.1 X.25 계층 17.2 X.25와 관련된 기타 프로토콜 17.3 요약.
Chapter 19 솔라리스 네트워크 관리 Solaris1 . TCP/IP 개요
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
Trivial File Transfer Protocol (TFTP)
22 장 전송층(Transport Layer)
2장. TCP/IP, 서브넷팅 2012년 2학기 중부대학교 정보보호학과 이병천 교수.
21 장 전송층(Transport Layer)
9 TCP의 이해 학습 목표 전송 계층 프로토콜이 제공하는 기능을 이해한다.
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
TCP/IP TCP/IP의 이해 TCP UDP IP 한빛미디어(주).
TCP/IP 인터네트워킹 INTERNETWORKING with TCP/IP <vol
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
Network 네트워크 이론 및 실습 TCP / IP 4장.
KERBEROS.
20 장 네트워킹과 인터네트워킹 장치 20.1 리피터(Repeaters) 20.2 브리지(Bridges)
10 장 데이터 링크 제어(Data Link Control)
10 장 데이터 링크 제어(Data Link Control)
2 네트워크 모델 학습 목표 모듈 개념을 알아보고 계층 구조의 필요성을 이해한다.
01. 라우팅 및 원격 액세스의 개요 라우팅은 패킷을 송신지부터 수신지까지 어떠한 경로를 통해 보낼 것인지를 결정하는 방법
통신프로토콜 전산정보학부 모바일인터넷과 권 춘 우
3 네트워크 기술 학습 목표 회선 교환 시스템과 패킷 교환 시스템의 차이와 원리를 이해한다.
SSL, Secure Socket Layer
Chapter 26 IP over ATM.
Chapter 2 네트워크 모델 (Network Models).
모바일인터넷기초 전산정보학부 모바일인터넷과 권 춘 우
Chapter 27 Mobile IP.
라우터의 이해 (보충자료) TCP/IP구성 Ping명령어를 이용한 연결검사 비트와 바이트 10진수/2진수/16진수
통신프로토콜 전산정보학부 모바일인터넷과 권 춘 우
제 13 장 인터넷 그룹 관리 프로토콜 정보통신연구실.
제 6 장 IP 패킷 전달과 라우팅 6.1 연결형 서비스와 비연결형 서비스 6.2 직접 전달과 간접 전달 6.3 라우팅 방법
5.2.3 교환방식의 비교 학습내용 교환방식의 비교.
The OSI Model and TCP/IP Protocol Suite
Chapter 2 네트워크 모델 (Network Models).
Part 05 TCP/IP 1. 네트워크 2. 포트번호.
4. IP 데이터그램과 라우팅 (6장. 인터넷과 IP) IP 데이터그램 : 특정 물리망에 종속되지 않은 가상의 패킷 형식.
통신프로토콜 전산정보학부 모바일인터넷과 권 춘 우
ARP.
Presentation transcript:

31장 인터넷 보안 프로토콜 31.1 IP 계층 보안 31.2 전송계층 보안 31.3 응용계층 보안 31.4 방화벽 31.5 가상 사설 네트워크 31.6 요약

31.1 IP 계층 보안 IP 계층 보안 IP 계층에서 패킷에 대해 보안을 제공하기 위해 IETF(Internet Engineering Task Force)가 설계한 프로토콜 모음 IPSec 특정 암호화나 인증 방법의 사용을 규정하지 않음 프레임워크와 메커니즘 제공 사용자가 해싱과 암호화/인증 방법 선택 가능

IP 계층 보안(계속) IPSec 보안 연관(SA, Security Association) 이라는 시그널링 프로토콜(signaling protocol) 을 사용 보안 적용전 비연결 IP 프로토콜을 연결지향 프로토콜로 변환이 필요 SA 연결은 발신지와 목적지 간의 단방향 연결 SA 연결의 세가지 요소 23비트 보안 매개변수 색인(SPI, security parameter index) 보안에 사용되는 프로토콜 유형(ex. AH, ESP) 발신지 IP 주소

IP 계층 보안(계속) 두가지 모드 전송 모드(transport mode) IPSec 헤더는 IP 헤더와 패킷의 나머지 사이에 추가

IP 계층 보안(계속) 2. 터널 모드 IPSec 헤더는 원래 IP 헤더 앞에 위치 새로운 IP 헤더는 앞쪽에 추가 IPSec 헤더, 보호된 IP 헤더, 패킷의 나머지는 payload처럼 취급

IP 계층 보안(계속) 두가지 보안 프로토콜 인증 헤더(AH, Authentication Header) 프로토콜 해싱 함수와 대칭키를 이용하여 다이제스트 계산 인증 헤더속에 다이제스트 삽입 인증 헤더의 추가 단계 인증 헤더는 0으로 설정된 인증 데이터 필드와 함께 페이로드에 추가 패딩의 추가(전체 길이를 동일하게 하기 위해) 해싱은 전체 패킷을 기초로 함 인증 데이터는 인증 헤더에 삽입 IP 헤더는 프로토콜 필드의 값이 51로 바뀐 후에 추가

IP 계층 보안(계속) AH

IP 계층 보안(계속) 다음 헤더(next header) 페이로드 길이(payload length) 8비트 필드 IP 데이터그램에 의해 전송되는 페이로드(TCP, UDP, ICMP, OSPF)의 유형을 나타냄 페이로드 길이(payload length) 8비트 4바이트 워드 단위의 인증 헤더 길이를 나타냄 보안 매개변수 색인(security parameter index) 32비트 보안 매개변수 색인(SPI) 가상회선 식별자의 역할 보안 연관 연결 동안 모든 패킷을 동일하게 보내는 역할

IP 계층 보안(계속) 순서번호(sequence number) 인증 데이터(authentication data) 32비트 순서번호 데이터그램의 순서에 대한 순서정보를 제공 순서번호는 재전송을 방지 순서 번호가 232이 넘으면 새로운 연결이 확립 인증 데이터(authentication data) 전송 중 변하는 필드(time-to-live)를 제외한 전체 IP 데이터그램에 해시 함수를 적용한 결과

AH 프로토콜은 발신지 인증과 데이터 무결성은 제공하지만 기밀성은 제공하지 않는다. IP 계층 보안(계속) 2. 캡슐화 보안 페이로드 발신지 인증, 무결성, 기밀성을 제공하는 프로토콜 헤더와 트레일러를 추가 계산의 용이를 위해 ESP의 인증 데이터는 패킷의 끝에 추가 AH 프로토콜은 발신지 인증과 데이터 무결성은 제공하지만 기밀성은 제공하지 않는다.

IP 계층 보안(계속) ESP

IP 계층 보안(계속) ESP 과정 ESP 트레일러를 페이로드에 추가 페이로드와 트레일러는 암호화 ESP 헤더 추가

IP 계층 보안(계속) 보안 매개변수 색인 순서번호 패딩(padding) 패드 길이(pad length) 32비트 보안 매개변수 색인 순서번호 32비트 순서번호 패딩(padding) 패딩할 때 쓰기 위한 0의 가변길이 필드(0~255) 패드 길이(pad length) 8비트 패드 길이 패딩 바이트 수를 정의 값은 0~ 255사이

IP 계층 보안(계속) 다음 헤더 인증 데이터 8비트 다음 헤더 필드 데이터그램의 부분에 적용한 인증 스키마의 값 AH에서 IP 헤더의 부분은 인증 데이터의 계산 포함 ESP에서 IP 헤더의 부분은 인증 데이터 계산 포함하지 않음

IP 계층 보안(계속) IPv4 와 IPv6 IPSec은 IPv4와 IPv6 둘 다 지원 IPv6에서 AH와 ESP는 확장 헤더 부분

31.2 전송계층 보안 전송계층 보안(TLS, Transport Layer Security) 전송계층에서 보안을 제공하기 위해 설계 SSL(Secure Socket Layer)이라는 보안 프로토콜에서 시작 TLS의 위치

전송계층 보안(계층) 두개의 프로토콜 핸드셰이크 프로토콜(handshake) 보안을 위한 협상 담당 브라우저에서 서버를 인증 선택적으로 서로 다른 통신 매개변수 정의 브라우저와 서버 간 교환하는 메시지들을 정의

전송계층 보안(계층) Handshake Protocol

전송계층 보안(계층) 데이터 교환 프로토콜(data exchange) 무결성 제공을 위한 메시지 다이제스트의 암호화와 기밀성을 제공하기 위한 데이터 암호화에 비밀키를 사용 알고리즘의 명세와 세부적인 사항은 핸드셰이크 단계에서 협상하여 결정

31.2 응용계층 보안 : PGP 응용계층 보안 : PGP(Pretty Good Provacy) 무결성, 인증, 부인 방지를 제공 전자 서명(해시와 공개키 암호화의 조합) 사용 하나의 해시 함수와 하나의 비밀키, 두개의 개인키와 공개키쌍을 사용

PGP(계속) 송신측의 PGP

PGP(계속) 수신측의 PGP

31.4 방화벽(firewall) 방화벽 조직의 내부 네트워크와 인터넷 사이에 설치되는 장치(일반적으로 라우터 또는 컴퓨터) 패킷들의 선별 필터링

방화벽(계속) 패킷 필터 방화벽 패킷 필터(packet filter) 네트워크계층과 전송계층 헤더의 발신지와 수신지의 IP주소, 포트 번호, 프로토콜 유형(TCP or UDP) 등의 정보를 바탕으로 패킷을 전달 또는 차단 필터링 테이블을 사용하여 패킷의 전달 여부를 결정하는 라우터

방화벽(계속) 패킷 필터 방화벽

방화벽(계속) 방화벽의 필터링 테이블 네트워크 131.43.0.0 으로부터 들어오는 패킷 차단 내부의 TELNET서버(23번포트)로 향하는 입력 패킷 차단 내부 호스트 194.78.20.8로 가는 입력 패킷은 모두 차단 외부의 HTTP서버(80번 포트)로 나가는 패킷들은 차단

방화벽(계속) 프록시 서버 응용 게이트웨이

31.5 가상 사설 네트워크 가상 사설 네트워크(VPN,virtual private network) 기관 내부에서 사용하기 위해 설계 공유된 자원에 접근함과 동시에 기밀성을 제공 인트라넷(intranet) 인터넷 모델에서 사용하는 사설 네트워크(LAN) 네트워크로의 접근은 기관 내부의 사용자들로 제한 엑스트라넷(extranet) 일부 자원들이 네트워크 관리자의 통제 범위 내에, 기관 외부의 특정 사용자 그룹의 접근을 허용

가상 사설 네트워크(계속) 주소 할당 주소 할당의 3가지 방법 네트워크는 인터넷 관리 기관에게 주소 할당을 요청할 수 있고, 인터넷 연결 없이 사용 가능 차후 인터넷에 연결하고자 할때 비교적 쉽게 연결 가능 주소 공간의 낭비 네트워크는 인터넷 관리 기관의 등록을 거치지 않고 임의의 주소를 설정하여 사용 가능 네트워크가 독립적이기 때문에 유일한 주소를 갖지 않음 사용자들이 전역주소로 혼동하여 잘못 사용할 수 있음

가상 사설 네트워크(계속) 3. 첫번째와 두번째와 관련된 문제를 극복하기 위해 세 개의 예약 주소를 설정 Prefix Range Total 10/8 10.0.0.0 to 10.255.255.255 224 172.16/12 172.16.0.0 to 172.31.255.255 220 192.168/16 192.168.0.0 to 192.168.255.255 216

가상 사설 네트워크(계속) 기밀성 획득 사설 네트워크, 하이브리드 네트워크, 가상 사설 네트워크 사설 네트워크, 하이브리드 네트워크, 가상 사설 네트워크 사설 네트워크(private network) 기관 내부의 정보를 전달하기 위하여 사용 기관 내부의 사람이 외부의 사람에게 안전하게 데이터 전송 가능 기관은 모든 클래스 및 네트워크와 호스트 주소를 설정하여 사용 가능 다른 기관에 의한 중복 주소 설정도 가능

가상 사설 네트워크(계속) 하이브리드 네트워크(hybrid network) 한 기관이 자신의 사설 인터넷을 가짐과 동시에 전역 인터넷에 접근 내부 조직의 데이터는 사설 네트워크를 통해 라우팅 외부 기관의 데이터는 전역 인터넷을 통해 라우팅

가상 사설 네트워크(계속) 가상 사설 네트워크(virtual priate network) 가상의 네트워크 생성 기관 내에서의 기밀성을 보장 실제 WAN을 사용하지 않음

가상 사설 네트워크(계속) VPN 기술 터널링(tunneling) 기관의 기밀성과 다른 보안 방법을 보장하기 위해 가상 사설 네트워크는 터널 모드의 IPSec 사용 각 IP 데이터그램은 또 다른 데이터그램으로 캡슐화 터널링 모드에서 IPSec 을 사용하기 위해 두개의 주소 설정이 필요

31.6 요약