JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Oracle Solaris 관리: IP 서비스     Oracle Solaris 11 Information Library (한국어)
Oracle 기술 네트워크
라이브러리
PDF
인쇄 보기
피드백
search filter icon
search icon

문서 정보

머리말

제1부TCP/IP 관리

1.  네트워크 배치 계획

2.  IPv6 주소 사용 시 고려 사항

3.  IPv4 네트워크 구성

4.  네트워크에서 IPv6 사용

5.  TCP/IP 네트워크 관리

6.  IP 터널 구성

7.  네트워크 문제 해결

8.  IPv4 참조

9.  IPv6 참조

제2부DHCP

10.  DHCP 정보(개요)

11.  ISC DHCP 서비스 관리

12.  DHCP 클라이언트 구성 및 관리

13.  DHCP 명령 및 파일(참조)

제3부IP 보안

14.  IP 보안 아키텍처(개요)

IPsec 소개

IPsec RFC

IPsec 용어

IPsec 패킷 흐름

IPsec 보안 연결

IPsec에서 키 관리

IPsec 보호 방식

AH(Authentication Header)

ESP(Encapsulating Security Payload)

AH 및 ESP를 사용할 때 보안 고려 사항

IPsec의 인증 및 암호화 알고리즘

IPsec의 인증 알고리즘

IPsec의 암호화 알고리즘

IPsec 보호 정책

IPsec의 전송 및 터널 모드

VPN(Virtual Private Networks) 및 IPsec

IPsec 및 NAT 순회

IPsec 및 SCTP

IPsec 및 Oracle Solaris 영역

IPsec 및 논리적 도메인

IPsec 유틸리티 및 파일

15.  IPsec 구성(작업)

16.  IP 보안 아키텍처(참조)

17.  Internet Key Exchange(개요)

18.  IKE 구성(작업)

19.  Internet Key Exchange(참조)

20.  Oracle Solaris의 IP 필터(개요)

21.  IP 필터(작업)

제4부네트워크 성능

22.  통합된 로드 밸런서 개요

23.  통합 로드 밸런서 구성(작업)

24.  Virtual Router Redundancy Protocol(개요)

25.  VRRP 구성(작업)

26.  혼잡 제어 구현

제5부IPQoS(IP Quality of Service)

27.  IPQoS 소개(개요)

28.  IPQoS 사용 네트워크 계획(작업)

29.  IPQoS 구성 파일 만들기(작업)

30.  IPQoS 시작 및 유지 관리(작업)

31.  흐름 계산 및 통계 수집 사용(작업)

32.  IPQoS 세부 정보(참조)

용어집

색인

IPsec 보호 방식

IPsec는 데이터 보호를 위한 두 가지 보안 프로토콜을 제공합니다.

AH는 인증 알고리즘으로 데이터를 보호합니다. ESP는 암호화 알고리즘으로 데이터를 보호합니다. ESP는 인증 방식과 함께 사용할 수 있으며 그렇게 사용해야 합니다. NAT를 통과하지 않는 경우 ESP와 AH를 결합할 수 있습니다. 그렇지 않은 경우 인증 알고리즘 및 암호화 방식을 ESP와 함께 사용할 수 있습니다. 결합된 모드 알고리즘(예: AES-GCM)은 단일 알고리즘 내에서 암호화와 인증을 제공합니다.

AH(Authentication Header)

인증 헤더는 IP 데이터그램에 데이터 인증, 강력한 무결성 및 재생 보호 기능을 제공합니다. AH는 IP 데이터그램의 많은 부분을 보호합니다. 다음 그림에 나온 대로 AH는 IP 헤더와 전송 헤더 사이에 삽입됩니다.

image:그림은 IP 헤더와 TCP 헤더 사이의 AH 헤더를 보여줍니다.

전송 헤더는 TCP, UDP, SCTP 또는 ICMP가 될 수 있습니다. 터널이 사용되는 경우 전송 헤더는 다른 IP 헤더가 될 수 있습니다.

ESP(Encapsulating Security Payload)

ESP(보안 페이로드 캡슐화) 모듈은 ESP가 캡슐화하는 컨텐츠에 대한 기밀성을 제공합니다. 또한 ESP는 AH가 제공하는 서비스도 제공합니다. 하지만 ESP는 ESP가 캡슐화하는 데이터그램의 부분에 대해서만 보호 기능을 제공합니다. ESP는 보호된 패킷의 무결성을 위해 선택적 인증 서비스를 제공합니다. ESP는 암호화 지원 기술을 사용하므로 ESP를 제공하는 시스템은 가져오기 및 내보내기 제어 규칙에 종속될 수 있습니다.

ESP는 데이터를 캡슐화하므로 ESP는 다음 그림에 나온 대로 데이터그램에서 시작 이후의 데이터만 보호합니다.

image:그림은 IP 헤더와 TCP 헤더 사이의 ESP 헤더를 보여줍니다. TCP 헤더는 ESP 헤더로 암호화됩니다.

TCP 패킷에서 ESP는 TCP 헤더 및 해당 데이터만 캡슐화합니다. 패킷이 IP-in-IP 데이터그램인 경우 ESP는 내부 IP 데이터그램을 보호합니다. 소켓별 정책에서는 자체 캡슐화를 허용하므로 ESP에서 필요할 때 ESP가 IP 옵션을 캡슐화할 수 있습니다.

자체 캡슐화가 설정되면 IP 헤더의 복사본이 IP-in-IP 데이터그램을 생성하게 됩니다. 예를 들어, 자체 캡슐화가 TCP 소켓에서 설정되지 않은 경우 데이터그램은 다음 형식으로 보내집니다.

[ IP(a -> b) options + TCP + data ]

자체 캡슐화가 TCP 소켓에서 설정된 경우 데이터그램은 다음 형식으로 보내집니다.

[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]

자세한 내용은 IPsec의 전송 및 터널 모드를 참조하십시오.

AH 및 ESP를 사용할 때 보안 고려 사항

다음 표는 AH 및 ESP에서 제공하는 보호 기능을 비교한 것입니다.

표 14-2 IPsec에서 AH 및 ESP로 제공되는 보호 기능

프로토콜
패킷 범위
보호
공격 방어
AH
IP 헤더에서 전송 헤더까지 패킷을 보호합니다.
강력한 무결성, 데이터 인증을 제공합니다.

  • 발신자가 보낸 컨텐츠를 그대로 수신자가 수신할 수 있도록 합니다.

  • AH에서 재생 보호를 사용으로 설정하지 않을 경우 재생 공격에 취약합니다.
재생, 잘라내기 및 붙여넣기
ESP
데이터그램에서 ESP 시작 이후의 패킷을 보호합니다.
암호화 옵션을 사용하여 IP 페이로드를 암호화합니다. 기밀성을 유지합니다.
도청
인증 옵션을 사용하여 AH와 동일한 페이로드 보호 기능을 제공합니다.
재생, 잘라내기 및 붙여넣기
두 옵션을 모두 사용하면 강력한 무결성, 데이터 인증 및 기밀성을 제공할 수 있습니다.
재생, 잘라내기 및 붙여넣기, 도청

IPsec의 인증 및 암호화 알고리즘

IPsec 보안 프로토콜에서는 인증 및 암호화의 두 가지 알고리즘 유형을 사용합니다. AH 모듈은 인증 알고리즘을 사용합니다. ESP 모듈은 인증 알고리즘과 함께 암호화를 사용할 수 있습니다. 시스템의 알고리즘 및 해당 등록 정보 목록은 ipsecalgs 명령을 사용하여 얻을 수 있습니다. 자세한 내용은 ipsecalgs(1M) 매뉴얼 페이지를 참조하십시오. 또한 getipsecalgbyname(3NSL) 매뉴얼 페이지에 설명된 기능을 사용하여 알고리즘의 등록 정보를 검색할 수 있습니다.

IPsec는 Oracle Solaris의 암호화 프레임워크 기능을 사용하여 알고리즘에 액세스합니다. 암호화 프레임워크는 다른 서비스와 함께 알고리즘에 대한 중앙 저장소를 제공합니다. 프레임워크를 통해 IPsec는 높은 성능의 암호화 하드웨어 가속기를 활용할 수 있습니다.

자세한 내용은 다음을 참조하십시오.

IPsec의 인증 알고리즘

인증 알고리즘은 데이터 및 키를 기반으로 하는 무결성 체크섬 값 또는 다이제스트를 생성합니다. AH 모듈은 인증 알고리즘을 사용합니다. ESP 모듈은 인증 알고리즘도 사용할 수 있습니다.

IPsec의 암호화 알고리즘

암호화 알고리즘은 키로 데이터를 암호화합니다. IPsec의 ESP 모듈은 암호화 알고리즘을 사용합니다. 알고리즘은 블록 크기 단위로 데이터에 작동합니다.

Copyright © 1999, 2012, Oracle and/or its affiliates. All rights reserved. 법적 공지
이전 다음