31장 인터넷 보안 프로토콜 31.1 IP 계층 보안 31.2 전송계층 보안 31.3 응용계층 보안 31.4 방화벽

Presentation on theme: "31장 인터넷 보안 프로토콜 31.1 IP 계층 보안 31.2 전송계층 보안 31.3 응용계층 보안 31.4 방화벽"— Presentation transcript:

1 31장 인터넷 보안 프로토콜 31.1 IP 계층 보안 31.2 전송계층 보안 31.3 응용계층 보안 31.4 방화벽
31.5 가상 사설 네트워크 31.6 요약

2 31.1 IP 계층 보안 IP 계층 보안 IP 계층에서 패킷에 대해 보안을 제공하기 위해 IETF(Internet Engineering Task Force)가 설계한 프로토콜 모음 IPSec 특정 암호화나 인증 방법의 사용을 규정하지 않음 프레임워크와 메커니즘 제공 사용자가 해싱과 암호화/인증 방법 선택 가능

3 IP 계층 보안(계속) IPSec 보안 연관(SA, Security Association) 이라는 시그널링 프로토콜(signaling protocol) 을 사용 보안 적용전 비연결 IP 프로토콜을 연결지향 프로토콜로 변환이 필요 SA 연결은 발신지와 목적지 간의 단방향 연결 SA 연결의 세가지 요소 23비트 보안 매개변수 색인(SPI, security parameter index) 보안에 사용되는 프로토콜 유형(ex. AH, ESP) 발신지 IP 주소

4 IP 계층 보안(계속) 두가지 모드 전송 모드(transport mode)
IPSec 헤더는 IP 헤더와 패킷의 나머지 사이에 추가

5 IP 계층 보안(계속) 2. 터널 모드 IPSec 헤더는 원래 IP 헤더 앞에 위치 새로운 IP 헤더는 앞쪽에 추가
IPSec 헤더, 보호된 IP 헤더, 패킷의 나머지는 payload처럼 취급

6 IP 계층 보안(계속) 두가지 보안 프로토콜 인증 헤더(AH, Authentication Header) 프로토콜
해싱 함수와 대칭키를 이용하여 다이제스트 계산 인증 헤더속에 다이제스트 삽입 인증 헤더의 추가 단계 인증 헤더는 0으로 설정된 인증 데이터 필드와 함께 페이로드에 추가 패딩의 추가(전체 길이를 동일하게 하기 위해) 해싱은 전체 패킷을 기초로 함 인증 데이터는 인증 헤더에 삽입 IP 헤더는 프로토콜 필드의 값이 51로 바뀐 후에 추가

7 IP 계층 보안(계속) AH

8 IP 계층 보안(계속) 다음 헤더(next header) 페이로드 길이(payload length)
8비트 필드 IP 데이터그램에 의해 전송되는 페이로드(TCP, UDP, ICMP, OSPF)의 유형을 나타냄 페이로드 길이(payload length) 8비트 4바이트 워드 단위의 인증 헤더 길이를 나타냄 보안 매개변수 색인(security parameter index) 32비트 보안 매개변수 색인(SPI) 가상회선 식별자의 역할 보안 연관 연결 동안 모든 패킷을 동일하게 보내는 역할

9 IP 계층 보안(계속) 순서번호(sequence number) 인증 데이터(authentication data)
32비트 순서번호 데이터그램의 순서에 대한 순서정보를 제공 순서번호는 재전송을 방지 순서 번호가 232이 넘으면 새로운 연결이 확립 인증 데이터(authentication data) 전송 중 변하는 필드(time-to-live)를 제외한 전체 IP 데이터그램에 해시 함수를 적용한 결과

10 AH 프로토콜은 발신지 인증과 데이터 무결성은 제공하지만 기밀성은 제공하지 않는다.
IP 계층 보안(계속) 2. 캡슐화 보안 페이로드 발신지 인증, 무결성, 기밀성을 제공하는 프로토콜 헤더와 트레일러를 추가 계산의 용이를 위해 ESP의 인증 데이터는 패킷의 끝에 추가 AH 프로토콜은 발신지 인증과 데이터 무결성은 제공하지만 기밀성은 제공하지 않는다.

11 IP 계층 보안(계속) ESP

12 IP 계층 보안(계속) ESP 과정 ESP 트레일러를 페이로드에 추가 페이로드와 트레일러는 암호화 ESP 헤더 추가

13 IP 계층 보안(계속) 보안 매개변수 색인 순서번호 패딩(padding) 패드 길이(pad length)
32비트 보안 매개변수 색인 순서번호 32비트 순서번호 패딩(padding) 패딩할 때 쓰기 위한 0의 가변길이 필드(0~255) 패드 길이(pad length) 8비트 패드 길이 패딩 바이트 수를 정의 값은 0~ 255사이

14 IP 계층 보안(계속) 다음 헤더 인증 데이터 8비트 다음 헤더 필드
데이터그램의 부분에 적용한 인증 스키마의 값 AH에서 IP 헤더의 부분은 인증 데이터의 계산 포함 ESP에서 IP 헤더의 부분은 인증 데이터 계산 포함하지 않음

15 IP 계층 보안(계속) IPv4 와 IPv6 IPSec은 IPv4와 IPv6 둘 다 지원
IPv6에서 AH와 ESP는 확장 헤더 부분

16 31.2 전송계층 보안 전송계층 보안(TLS, Transport Layer Security)
전송계층에서 보안을 제공하기 위해 설계 SSL(Secure Socket Layer)이라는 보안 프로토콜에서 시작 TLS의 위치

17 전송계층 보안(계층) 두개의 프로토콜 핸드셰이크 프로토콜(handshake) 보안을 위한 협상 담당 브라우저에서 서버를 인증
선택적으로 서로 다른 통신 매개변수 정의 브라우저와 서버 간 교환하는 메시지들을 정의

18 전송계층 보안(계층) Handshake Protocol

19 전송계층 보안(계층) 데이터 교환 프로토콜(data exchange)
무결성 제공을 위한 메시지 다이제스트의 암호화와 기밀성을 제공하기 위한 데이터 암호화에 비밀키를 사용 알고리즘의 명세와 세부적인 사항은 핸드셰이크 단계에서 협상하여 결정

20 31.2 응용계층 보안 : PGP 응용계층 보안 : PGP(Pretty Good Provacy)
무결성, 인증, 부인 방지를 제공 전자 서명(해시와 공개키 암호화의 조합) 사용 하나의 해시 함수와 하나의 비밀키, 두개의 개인키와 공개키쌍을 사용

21 PGP(계속) 송신측의 PGP

22 PGP(계속) 수신측의 PGP

23 31.4 방화벽(firewall) 방화벽 조직의 내부 네트워크와 인터넷 사이에 설치되는 장치(일반적으로 라우터 또는 컴퓨터)
패킷들의 선별 필터링

24 방화벽(계속) 패킷 필터 방화벽 패킷 필터(packet filter)
네트워크계층과 전송계층 헤더의 발신지와 수신지의 IP주소, 포트 번호, 프로토콜 유형(TCP or UDP) 등의 정보를 바탕으로 패킷을 전달 또는 차단 필터링 테이블을 사용하여 패킷의 전달 여부를 결정하는 라우터

25 방화벽(계속) 패킷 필터 방화벽

26 방화벽(계속) 방화벽의 필터링 테이블 네트워크 131.43.0.0 으로부터 들어오는 패킷 차단
내부의 TELNET서버(23번포트)로 향하는 입력 패킷 차단 내부 호스트 로 가는 입력 패킷은 모두 차단 외부의 HTTP서버(80번 포트)로 나가는 패킷들은 차단

27 방화벽(계속) 프록시 서버 응용 게이트웨이

28 31.5 가상 사설 네트워크 가상 사설 네트워크(VPN,virtual private network)
기관 내부에서 사용하기 위해 설계 공유된 자원에 접근함과 동시에 기밀성을 제공 인트라넷(intranet) 인터넷 모델에서 사용하는 사설 네트워크(LAN) 네트워크로의 접근은 기관 내부의 사용자들로 제한 엑스트라넷(extranet) 일부 자원들이 네트워크 관리자의 통제 범위 내에, 기관 외부의 특정 사용자 그룹의 접근을 허용

29 가상 사설 네트워크(계속) 주소 할당 주소 할당의 3가지 방법
네트워크는 인터넷 관리 기관에게 주소 할당을 요청할 수 있고, 인터넷 연결 없이 사용 가능 차후 인터넷에 연결하고자 할때 비교적 쉽게 연결 가능 주소 공간의 낭비 네트워크는 인터넷 관리 기관의 등록을 거치지 않고 임의의 주소를 설정하여 사용 가능 네트워크가 독립적이기 때문에 유일한 주소를 갖지 않음 사용자들이 전역주소로 혼동하여 잘못 사용할 수 있음

30 가상 사설 네트워크(계속) 3. 첫번째와 두번째와 관련된 문제를 극복하기 위해 세 개의 예약 주소를 설정 Prefix
Range Total 10/8 to 224 172.16/12 to 220 /16 to 216

31 가상 사설 네트워크(계속) 기밀성 획득 사설 네트워크, 하이브리드 네트워크, 가상 사설 네트워크
사설 네트워크, 하이브리드 네트워크, 가상 사설 네트워크 사설 네트워크(private network) 기관 내부의 정보를 전달하기 위하여 사용 기관 내부의 사람이 외부의 사람에게 안전하게 데이터 전송 가능 기관은 모든 클래스 및 네트워크와 호스트 주소를 설정하여 사용 가능 다른 기관에 의한 중복 주소 설정도 가능

32 가상 사설 네트워크(계속) 하이브리드 네트워크(hybrid network)
한 기관이 자신의 사설 인터넷을 가짐과 동시에 전역 인터넷에 접근 내부 조직의 데이터는 사설 네트워크를 통해 라우팅 외부 기관의 데이터는 전역 인터넷을 통해 라우팅

33 가상 사설 네트워크(계속) 가상 사설 네트워크(virtual priate network) 가상의 네트워크 생성
기관 내에서의 기밀성을 보장 실제 WAN을 사용하지 않음

34 가상 사설 네트워크(계속) VPN 기술 터널링(tunneling)
기관의 기밀성과 다른 보안 방법을 보장하기 위해 가상 사설 네트워크는 터널 모드의 IPSec 사용 각 IP 데이터그램은 또 다른 데이터그램으로 캡슐화 터널링 모드에서 IPSec 을 사용하기 위해 두개의 주소 설정이 필요

35 31.6 요약