Presentation is loading. Please wait.

Presentation is loading. Please wait.

Chapter 18 네트워크층 보안: IPSec

Similar presentations


Presentation on theme: "Chapter 18 네트워크층 보안: IPSec"— Presentation transcript:

1 Chapter 18 네트워크층 보안: IPSec
Copyright © The McGraw-Hill Companies, Inc. Permission required for reproduction or display.

2 Chapter 18 학습 목표 ❏ IPSec의 구조를 이해하기 위하여 ❏ 전송과 터널 모드에서 IPSec의 응용을 살펴보기 위하여 ❏ IPSec 이 인증만을 제공하기 위하여 어떻게 사용하는지 살펴보기 위하여 ❏ IPSec이 기밀성과 인증을 제공하기 위하여 어떻게 사용되는지 살펴보기 위하여 ❏ 보안 연관을 규정하고 IPSec에서 어떻게 구현되었는지 설명하기 위하여 ❏ 인터넷 키 교환을 규정하고 IPSec에서 어떻게 사용되는지 살펴보기 위하여.

3 Chapter 18 (Continued) 그림 TCP/IP 프로토콜 그룹과 IPSec

4 두 가지 모드 IPSec은 두 가지 모드 중에서 한가지로 운영한다: transport mode 또는 tunnel mode. 이 절에서 논의된 주제: 전송 모드 터널 모드 비교

5 전송 모드에서 IPSec은 IP 헤더를 보호하지 않는다; 전송층으로부터 오는 정보만 보호한다.
전송 모드 전송 모드에서, IPSec은 전송층에서 네트워크층으로 전공되는 것들을 보호한다. Note 전송 모드에서 IPSec은 IP 헤더를 보호하지 않는다; 전송층으로부터 오는 정보만 보호한다.

6 (Continued) 그림 전송 모드에서 IPSec

7 (Continued) 그림 실제 전송 모드 동작

8 터널 모드에서 IPSec은 원래의 IP 헤더를 보호한다.
터널 모드 터널 모드에서, IPSec은 전체 IP 패킷을 보호한다. 헤더를 포함한 IP 패킷을 취해서, 전체 패킷에다 IPSec 보안 방법을 적용한 다음 새로운 IP 헤더를 추가한다. Note 터널 모드에서 IPSec은 원래의 IP 헤더를 보호한다.

9 (Continued) 그림 터널 모드에서 IPSec

10 (Continued) 그림 실제 터널 모드 동작

11 비교 그림 전송 모드 대 터널 모드

12 18-2 두 가지 보안 프로토콜 IPSec은 IP 레벨에서 패킷에 대한 인증 그리고/또는 암호화를 제공하기 위하여 두 가지 프로토콜인 AH(Authentication Header) 프로토콜과 RSP(Encapsulating Security Payload) 프로토콜을 규정하였다. 이 절에서 논의된 주제: Authentication Header (AH) Encapsulating Security Payload (ESP) IPv4 그리고 IPv6 AH 대 ESP IPSec에서 제공되는 서비스

13 AH 프로토콜은 발신지 인증과 데이터 무결성을 제공하지만 프라이버시는 제공하지 않는다.
Authentication Header (AH) Note AH 프로토콜은 발신지 인증과 데이터 무결성을 제공하지만 프라이버시는 제공하지 않는다.

14 (Continued) 그림 Authentication Header (AH) 프로토콜

15 ESP는 발신지 인증, 데이터 무결성, 프라이버시를 제공한다.
Encapsulating Security Payload (ESP) Note ESP는 발신지 인증, 데이터 무결성, 프라이버시를 제공한다.

16 (Continued) 그림 ESP

17 IPv4 과 IPv6 IPSec은 IPv4과 IPv6를 지원한다. 그렇지만 IPv6에서, AH 와 ESP는 확장 헤더의 한 부분이다.

18 AH 대 ESP ESP 프로토콜은 AH 프로토콜을 이미 사용한 후에 설계되었다. ESP 는 AH가 하는 모든 기능에 추가적인 기능(privacy)을 갖게 한 것이다.

19 IPSec에 의해 제공되는 서비스 표 IPSec 서비스

20 (Continued) 그림 재전송 창

21 보안 연관 보안 연관은 IPSec의 매우 중요한 부분이다. IPSec 두 호스트간에 보안 연관(SA; Security Association)이라는 논리적인 관계가 요구된다. 이 절은 먼저 개념을 설명하고 IPSec에서 어떻게 사용되는지 살펴본다. 이 절에서 논의된 주제: 보안 연관의 개념 SAD(Security Association Database)

22 보안 연관의 개념 그림 단순 SA

23 18.3.2 Security Association Database (SAD)

24 (Continued) 표 대표적인 SA 파라메터 Parameters Description

25 보안 정책 IPSec의 또 다른 중요한 면은 보내거나 도착할 때 패킷에 적용하는 보안의 유형을 규정하는 보안 정책(SP; Security Policy)이다. 앞 절에서 논의된 SAD를 이용하기 전에, 호스트는 패킷에 대해 미리 규정된 정책을 결정해야 한다. 이 절에서 논의된 주제: Security Policy Database

26 (Continued) 그림 연결 식별자

27 (Continued) 그림 Outbound processing

28 (Continued) 그림 Inbound processing

29 인터넷 키 교환(IKE) 인터넷 키 교환(IKE; Internet Key Exchange)는 inbound와 outbound 보안 연관을 생성하기 위하여 설계된 프로토콜이다. 이 절에서 논의된 주제: 개선된 Diffie-Hellman 키 교환 IKE 단계 단계와 모드 Phase I: Main Mode Phase I: Aggressive Mode Phase II: Quick Mode SA 알고리즘

30 18.5 (Continued) Note IKE는 IPSec을 위한 SA를 생성한다.

31 18.5 (Continued) 그림 IKE 구성요소

32 개선된 Diffie-Hellman 그림 Diffie-Hellman 키 교환

33 (Continued) 그림 쿠키를 이용한 Diffie-Hellman

34 18.5.1 Continued Note Note Note clogging 공격을 보호하기 위하여, IKE는 쿠키를 사용한다.

35 IKE 단계 Note IKE는 두 개의 단계로 나뉜다: phase I과 phase II. Phase I 는 phase II를 위한 SA를 생성하고; phase II는 IPSec과 같은 데이터 교환 프로토콜을 위한 SA를 생성한다.

36 단계와 모드 그림 IKE 단계

37 (Continued) 그림 Main-mode 또는 aggressive-mode 방법

38 Phase I: Main Mode 그림 Main mode, 사전공유된 비밀-키 방법

39 (Continued) 그림 Main mode, 원래의 공개-키 방법

40 (Continued) 그림 Main mode, 개정된 공개-키 방법

41 (Continued) 그림 Main mode, 디지털 서명 방법

42 18.5.5 Phase I: Aggressive Mode

43 (Continued) 그림 Aggressive mode, 원래의 공개-키 방법

44 (Continued) 그림 Aggressive mode, 개정된 공개-키 방법

45 (Continued) 그림 Aggressive mode, 디지털 서명 방법

46 Phase II: Quick Mode 그림 Quick mode

47 SA Algorithms 표 Diffie-Hellman 그룹

48 Continued 표 해쉬 알고리즘

49 Continued 표 암호 알고리즘

50 18-6 ISKAMP ISAKMP 프로토콜은 IKE 교환을 위한 메시지를 전달하기 위하여 설계된 프로토콜이다.
이 절에서 논의된 주제: 일반 헤더(General Header) 페이로드(Payload)

51 일반 헤더 그림 ISAKMP 일반 헤더

52 페이로드 표 페이로드

53 18.6.2 (Continued) 그림 18.30 일반 페이로드 헤더 Figure 18.31 SA payload
그림 일반 페이로드 헤더 Figure SA payload Figure Proposal payload

54 (Continued) 그림 변환된 페이로드

55 18.6.2 (Continued) 그림 18.34 키-교환 페이로드
그림 키-교환 페이로드 Figure Identification payload Figure Certification payload

56 Continued 표 Certification 유형

57 18.6.2 (Continued) 그림 18.37 Certification 요구 페이로드
Figure Hash payload Figure Signature payload

58 (Continued) 그림 비표 페이로드 Figure Notification payload

59 Continued 표 통지 유형

60 Continued 표 통지 유형 (Continued)

61 Continued 표 태 통지 값

62 Continued 그림 삭제 페이로드 Figure Vendor payload


Download ppt "Chapter 18 네트워크층 보안: IPSec"

Similar presentations


Ads by Google