탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1의 네트워크 보안 Oracle Solaris 11.1 Information Library (한국어) |
3. 웹 서버 및 Secure Sockets Layer 프로토콜
IPsec는 데이터 보호를 위한 두 가지 보안 프로토콜을 제공합니다.
AH(Authentication Header)
ESP(Encapsulating Security Payload)
AH는 인증 알고리즘으로 데이터를 보호합니다. ESP는 암호화 알고리즘으로 데이터를 보호합니다. ESP는 인증 방식과 함께 사용할 수 있으며 그렇게 사용해야 합니다. NAT를 통과하지 않는 경우 ESP와 AH를 결합할 수 있습니다. 그렇지 않은 경우 인증 알고리즘 및 암호화 방식을 ESP와 함께 사용할 수 있습니다. 결합된 모드 알고리즘(예: AES-GCM)은 단일 알고리즘 내에서 암호화와 인증을 제공합니다.
인증 헤더는 IP 데이터그램에 데이터 인증, 강력한 무결성 및 재생 보호 기능을 제공합니다. AH는 IP 데이터그램의 많은 부분을 보호합니다. 다음 그림에 나온 대로 AH는 IP 헤더와 전송 헤더 사이에 삽입됩니다.
전송 헤더는 TCP, UDP, SCTP 또는 ICMP가 될 수 있습니다. 터널이 사용되는 경우 전송 헤더는 다른 IP 헤더가 될 수 있습니다.
ESP(보안 페이로드 캡슐화) 모듈은 ESP가 캡슐화하는 컨텐츠에 대한 기밀성을 제공합니다. 또한 ESP는 AH가 제공하는 서비스도 제공합니다. 하지만 ESP는 ESP가 캡슐화하는 데이터그램의 부분에 대해서만 보호 기능을 제공합니다. ESP는 보호된 패킷의 무결성을 위해 선택적 인증 서비스를 제공합니다. ESP는 암호화 지원 기술을 사용하므로 ESP를 제공하는 시스템은 가져오기 및 내보내기 제어 규칙에 종속될 수 있습니다.
ESP는 데이터를 캡슐화하므로 ESP는 다음 그림에 나온 대로 데이터그램에서 시작 이후의 데이터만 보호합니다.
TCP 패킷에서 ESP는 TCP 헤더 및 해당 데이터만 캡슐화합니다. 패킷이 IP-in-IP 데이터그램인 경우 ESP는 내부 IP 데이터그램을 보호합니다. 소켓별 정책에서는 자체 캡슐화를 허용하므로 ESP에서 필요할 때 ESP가 IP 옵션을 캡슐화할 수 있습니다.
자체 캡슐화가 설정되면 IP 헤더의 복사본이 IP-in-IP 데이터그램을 생성하게 됩니다. 예를 들어, 자체 캡슐화가 TCP 소켓에서 설정되지 않은 경우 데이터그램은 다음 형식으로 보내집니다.
[ IP(a -> b) options + TCP + data ]
자체 캡슐화가 TCP 소켓에서 설정된 경우 데이터그램은 다음 형식으로 보내집니다.
[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]
자세한 내용은 IPsec의 전송 및 터널 모드를 참조하십시오.
다음 표는 AH 및 ESP에서 제공하는 보호 기능을 비교한 것입니다.
표 6-2 IPsec에서 AH 및 ESP로 제공되는 보호 기능
|
IPsec 보안 프로토콜에서는 인증 및 암호화의 두 가지 알고리즘 유형을 사용합니다. AH 모듈은 인증 알고리즘을 사용합니다. ESP 모듈은 인증 알고리즘과 함께 암호화를 사용할 수 있습니다. 시스템의 알고리즘 및 해당 등록 정보 목록은 ipsecalgs 명령을 사용하여 얻을 수 있습니다. 자세한 내용은 ipsecalgs(1M) 매뉴얼 페이지를 참조하십시오. 또한 getipsecalgbyname(3NSL) 매뉴얼 페이지에 설명된 기능을 사용하여 알고리즘의 등록 정보를 검색할 수 있습니다.
IPsec는 암호화 프레임워크를 사용하여 알고리즘에 액세스합니다. 암호화 프레임워크는 다른 서비스와 함께 알고리즘에 대한 중앙 저장소를 제공합니다. 프레임워크를 통해 IPsec는 높은 성능의 암호화 하드웨어 가속기를 활용할 수 있습니다.
자세한 내용은 다음을 참조하십시오.
인증 알고리즘은 데이터 및 키를 기반으로 하는 무결성 체크섬 값 또는 다이제스트를 생성합니다. AH 모듈은 인증 알고리즘을 사용합니다. ESP 모듈은 인증 알고리즘도 사용할 수 있습니다.
암호화 알고리즘은 키로 데이터를 암호화합니다. IPsec의 ESP 모듈은 암호화 알고리즘을 사용합니다. 알고리즘은 블록 크기 단위로 데이터에 작동합니다.