1 / 22

IPsec

IPsec . 012426 석진선. 개 요. 기본지식 IPsec? Architecture Mode Protocol Security Association SA Data base 키 관리 프로트콜 IKE (Internet Key Exchange protocol). 기본지식. IPv4 현재 인터넷의 인터넷 프로토콜 (IP) 현재 32 bit IPv4 주소의 할당 공간 주소 부족 매년 인터넷 접속 호스트 수가 기하 급수적으로 증가 IPv4 헤더 영역의 비효율적 사용

sorcha
Download Presentation

IPsec

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IPsec 012426 석진선

  2. 개 요 • 기본지식 • IPsec? • Architecture • Mode • Protocol • Security Association • SA • Data base • 키 관리 프로트콜 • IKE (Internet Key Exchange protocol)

  3. 기본지식 • IPv4 • 현재 인터넷의 인터넷 프로토콜(IP) • 현재 32 bit IPv4 주소의 할당 공간 주소 부족 • 매년 인터넷 접속 호스트 수가 기하 급수적으로 증가 • IPv4 헤더 영역의 비효율적 사용 • IPv4 헤더내의 fragment 관련영역

  4. 기본지식 • IPv6의 특징 • 128bit의 주소할당 공간 부족 문제 해소 • 효율적인 헤더공간의 사용 • 간략화된 헤더 포맷 • 확장 헤더 사용 • 보안/인증 확장 헤더를 이용한 인터넷 계층의 보안기능 제공

  5. 기본지식 • IPv4 vs IPv6 IPv4 Basic Header 20byte, 복잡 Total Length Type of Service IHL Version Identification Flags Fragment Offset Protocol Time to Live Header Checksum Source Address(32bits) Version (4) Traffic Class (8) Destination Address(32bits) Flow Label (20) Padding Options Next Header (8) Hop Limit (8) Payload Length (16) Source Address (128bits) IPv6 Basic Header 40byte, 단순 Destination Address (128bits)

  6. IPsec? • Internet Protocol Security • IP 계층에서 기밀성과 인증을 제공하는 보안 프로토콜 • IPv6 네트워크,MIP4, MIP6

  7. IPsec? • IPsec이 하는일 • IP 주소 위장 방지 • IP 데이터 그램의 변경 및 재전송 방지 • IP 데이터 그램을 위한 기밀성 및 보안 서비스 제공 • 보안성 ->암호프로토콜(AH) + 보안메커니즘(ESP) • 보안 프로토콜 선택 • 암호 알고리즘 선택 • 암호키 생성, 분배

  8. Architecture • IPsec의 주요 구성요소 • 프로토콜 • 인증 프로토콜 (AH) • 암호화 프로토콜 (ESP) • 데이터 베이스 • 보안 연계 데이터베이스 (SAD) • 보안 정책 데이터베이스 (SPD) • 키 관리 메커니즘 (IKE : Internet Key Exchange protocol)

  9. Architecture • mode • 터널모드 • 트랜스포트 모드 • 제공하는 보안성 • 터널 모드 AH • 트랜스포트 모드 AH • 터널 모드 ESP • 트랜스포트 모드 ESP

  10. Architecture • Tunnel mode TCP header Data IP header 터널의 끝을 가리키는 IP header New IP HDR IPSEC HDR TCP HDR IP HDR Data Encrypted 보안 프로토콜 header

  11. Architecture • Transport mode TCP header Data IP header IP header IPsec header TCP header Data Encrypted

  12. Architecture • AH ( Authentication header ) Protocol • 무결성(integrity), 인증,재전송 공격방지 • 데이터 형식 Next header Payload length Reserved Sequrity Parameters Index (SPI) Sequence number Authentication data

  13. Architecture • AH – Tunnel mode TCP header Data IP header New IP HDR AH IP HDR TCP HDR Data • Authenticated Encrypted

  14. Architecture • AH – Transport mode TCP header Data IP header IP header AH TCP header Data • Authenticated Encrypted

  15. Architecture • ESP(Encapsulating Security Protocol) • security service, confidentiality, originauthentication, data integrity • 데이터 형식 Security Parameters Index ( SPI ) Sequence Number Field IV Payload Data (variable) Padding ( 0 ~ 255 bytes ) Pad Length Next Header Authentication Data (variable)

  16. Architecture • ESP – Tunnel mode TCP header Data IP header New IP HDR ESP header IP HDR TCP HDR Data ESP trailer ESP Authentication Encrypted Authenticated

  17. Architecture • ESP – Transport mode TCP header Data IP header IP HDR ESP header TCP HDR Data ESP trailer ESP Authentication Encrypted Authenticated

  18. Security Association • SA • Security Association • 포함내용 • AH parameter • ESP parameter • Mode • destinaton IP addr, IPSec protocol (AH or ESP), SPI • Lifetime

  19. Security Association • Data base • SAD Security Association Database) • 양단간의 비밀 데이터 교환을 위해 미리 설정되어야 할 보안 요소들에 대한 데이터베이스 • SPD (Security Policy Database) • 패킷들에 대한 보안 정책을 적용하는 데이터베이스 • 사용 될 security 서비스 정의

  20. 키 관리 프로토콜 • SA를 협상 • ESP, AH에서 사용하게 될 키를 관리하기 위한 프로토콜 • IETF Working group에서 IKE를 키 관리 프로토콜의 표준으로 지정

  21. 키 관리 프로토콜 • IKE( Internet Key Exchange ) • 기능 • 협상 • 사용할 프로토콜과 알고리즘과 키에 동의하고 협상한다. • 인증 • 통신하고 있는 상대방이 실제 내가 통신하고 있다고 생각하는 상대방인지를 보증한다. • 키 관리 • 사용할 키가 합의로 결정된 후 안전하게 교환될 수 있도록 관리한다.

  22. Reference • 한국전산원 IPv6 http://www.ngix.ne.kr • 인터넷 보안 기술 포럼 http://www.istf.or.kr • http://database.sarang.net/study/ipv6 • http://elec.sch.ac.kr/hyyoum • IP 계층에서의 VPN 보안 기술 표준 • 삼성 s/w http://kjssa.co.kr

More Related