탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: IP 서비스 Oracle Solaris 10 1/13 Information Library (한국어) |
1. Oracle Solaris TCP/IP 프로토콜 제품군(개요)
5. TCP/IP 네트워크 서비스 구성 및 IPv4 주소 지정(작업)
10. TCP/IP 및 IPv4에 대한 자세한 정보(참조)
ESP(Encapsulating Security Payload)
VPN(Virtual Private Networks) 및 IPsec
Oracle Solaris 10 릴리스의 IPsec 변경 사항
IPsec는 패킷을 인증하거나 패킷을 암호화하거나 둘 다 수행하여 IP 패킷을 보호합니다. IPsec는 IP 모듈 내에서 수행됩니다. 따라서 인터넷 응용 프로그램에서는 IPsec를 사용하도록 구성할 필요 없이 IPsec를 활용할 수 있습니다. 제대로 사용되면 IPsec는 네트워크 트래픽을 보호하는 효과적인 도구가 될 수 있습니다.
IPsec 보호에는 다음 주요 구성 요소가 관련됩니다.
보안 프로토콜 – IP 데이터그램 보호 방식입니다. AH(인증 헤더)는 IP 패킷의 해시를 포함하고 무결성을 보장합니다. 데이터그램의 컨텐츠는 암호화되지 않지만, 수신자에게 패킷 컨텐츠가 변경되지 않았음을 보장합니다. 또한 패킷이 발신자에 의해 보내졌음을 수신자에게 보장합니다. ESP(보안 페이로드 캡슐화)는 IP 데이터를 암호화하므로 패킷 전송 중 컨텐츠를 숨깁니다. 또한 ESP는 인증 알고리즘 옵션을 통해 데이터 무결성을 보장할 수 있습니다.
SA(보안 연관) – 네트워크 트래픽의 특정 플로우에 적용되는 암호화 매개변수 및 IP 보안 프로토콜입니다. 각 SA는 SPI(Security Parameters Index)라는 고유한 참조를 가집니다.
SADB(보안 연결 데이터베이스) – 보안 프로토콜과 IP 대상 주소 및 색인화 번호를 연결하는 데이터베이스입니다. 색인화 번호는 SPI(보안 매개변수 색인)라고 합니다. 이러한 세 가지 요소(보안 프로토콜, 대상 주소 및 SPI)는 적법한 IPsec 패킷을 고유하게 식별합니다. 데이터베이스는 패킷 대상에 도달하는 보호된 패킷을 수신자가 인식할 수 있도록 합니다. 또한 수신자는 데이터베이스의 정보를 사용하여 통신을 해독하고, 패킷이 변경되지 않았음을 확인하며, 패킷을 재어셈블하고, 패킷을 최종 대상에 전달합니다.
키 관리 – 암호화 알고리즘 및 SPI에 대한 키 생성 및 배포입니다.
SPD(보안 정책 데이터베이스) – 패킷에 적용되는 보호 레벨을 지정하는 데이터베이스입니다. SPD는 IP 트래픽을 필터링하여 패킷이 어떻게 처리되어야 하는지 결정합니다. 패킷은 폐기할 수 있습니다. 패킷은 투명하게 전달할 수 있습니다. 또는 패킷은 IPsec로 보호할 수 있습니다. 아웃바운드 패킷에 대해 SPD 및 SADB는 적용할 보호 레벨을 결정합니다. 인바운드 패킷에 대해 SPD는 패킷에 대한 보호 레벨이 합당한지 여부를 결정하는 데 도움을 줍니다. 패킷이 IPsec로 보호되는 경우 패킷을 해독하고 확인한 후 SPD를 참조합니다.
IPsec는 IP 대상 주소로 이동하는 IP 데이터그램에 보안 방식을 적용합니다. 수신자는 SADB의 정보를 사용하여 도달한 패킷이 적법한지 확인하고 해독합니다. 응용 프로그램에서는 IPsec를 호출하여 소켓별 레벨에서도 IP 데이터그램에 보안 방식을 적용할 수 있습니다.
포트의 소켓이 연결되고 나중에 해당 포트에 IPsec 정책이 적용될 경우 해당 소켓을 사용하는 트래픽은 IPsec로 보호되지 않습니다. 물론, IPsec 정책이 포트에 적용된 이후 포트에서 열린 소켓은 IPsec 정책으로 보호됩니다.
IETF(Internet Engineering Task Force)는 IP 계층에 대한 보안 아키텍처를 설명하는 여러 RFC(Requests for Comment)를 게시했습니다. 모든 RFC는 Internet Society에 의해 암호화됩니다. RFC에 대한 링크는 http://www.ietf.org/를 참조하십시오. 다음 RFC 목록은 일반적인 IP 보안 참조를 다룹니다.
RFC 2411, “IP Security Document Roadmap,” 1998년 11월
RFC 2401, “Security Architecture for the Internet Protocol,” 1998년 11월
RFC 2402, “IP Authentication Header,” 1998년 11월
RFC 2406, “IP Encapsulating Security Payload (ESP),” 1998년 11월
RFC 2408, “Internet Security Association and Key Management Protocol (ISAKMP),” 1998년 11월
RFC 2407, “The Internet IP Security Domain of Interpretation for ISAKMP,” 1998년 11월
RFC 2409, “The Internet Key Exchange (IKE),” 1998년 11월
RFC 3554, “On the Use of Stream Control Transmission Protocol (SCTP) with IPsec,” 2003년 7월 [Oracle Solaris 10 릴리스에 구현되지 않음]
IPsec RFC는 시스템에서 IPsec를 구현할 때 알아두면 유용한 많은 용어를 정의합니다. 다음 표에서는 IPsec 용어 및 일반적으로 사용되는 약어를 나열하고 각 용어를 정의합니다. 키 협상에서 사용되는 용어 목록은 표 22-1을 참조하십시오.
표 19-1 IPsec 용어, 약어 및 사용
|