IPsec은 암호화를 사용하여 IP 패킷의 내용을 보호하고 패킷 내용을 인증하여 무결성 검사를 제공합니다. IPsec은 네트워크 계층에서 수행되므로, 네트워크 응용 프로그램에서 IPsec을 사용하도록 자체적으로 구성하지 않아도 IPsec을 활용할 수 있습니다. 제대로 사용되면 IPsec는 네트워크 트래픽을 보호하는 효과적인 도구가 될 수 있습니다.
보안 프로토콜 – IP 패킷에 적용되는 보호입니다. authentication header(인증 헤더)(AH)는 IP 헤더를 포함하는 전체 패킷의 해시인 ICV(Integrity Check Vector)를 추가하여 IP 패킷을 보호합니다. 수신자는 패킷이 수정되지 않았다고 확신할 수 있습니다. 암호화를 통한 기밀성은 제공하지 않습니다.
ESP(보안 페이로드 캡슐화)는 IP 패킷의 페이로드를 보호합니다. 패킷의 페이로드는 암호화되어 기밀성을 제공할 수 있으며 ICV를 사용하여 데이터 무결성을 보장할 수 있습니다.
SA(보안 연관) – 암호화 매개변수, 키, IP 보안 프로토콜, IP 주소, IP 프로토콜, 포트 번호 및 기타 매개변수로, 특정 SA를 특정 트래픽 플로우와 일치시키는 데 사용됩니다.
SADB(보안 연관 데이터베이스) – 보안 연관을 저장하는 데이터베이스입니다. SA는 SPI(보안 매개변수 색인), 보안 프로토콜 및 대상 IP 주소에서 참조합니다. 이러한 세 가지 요소는 IPsec SA를 고유하게 식별합니다. 시스템에서 IPsec 헤더(ESP 또는 AH)가 있는 IP 패킷을 수신하는 경우 시스템은 SADB를 검색하여 일치하는 SA를 찾습니다. 일치하는 SA를 찾으면 이 SA를 사용하여 IPsec에서 패킷을 해독하고 확인할 수 있습니다. 검증에 실패하거나 일치하는 SA가 없으면 패킷이 무시됩니다.
키 관리 – 암호화 알고리즘에서 사용되는 키를 안전하게 생성 및 배포하고 키를 저장하는 데 사용되는 SA를 생성하는 작업입니다.
SPD(보안 정책 데이터베이스) – IP 트래픽에 적용되는 보호 정책을 지정하는 데이터베이스입니다. SPD는 트래픽을 필터링하여 패킷이 어떻게 처리되어야 하는지 결정합니다. 패킷은 무시되거나 투명하게 전달될 수 있습니다. 또는 패킷이 IPsec으로 보호될 수 있습니다(즉, 보안 정책이 적용됨).
아웃바운드 패킷의 경우 IPsec 정책에 따 IPsec이 IP 패킷에 적용될지 여부가 결정됩니다. IPsec이 적용되는 경우 IP 모듈에서는 SADB를 검색하여 일치하는 SA를 찾고 이 SA를 사용하여 정책을 적용합니다.
인바운드 패킷의 경우 IPsec 정책에서는 수신된 패킷의 보호 레벨이 적절한지 확인합니다. 정책에서 특정 IP 주소의 패킷을 IPsec으로 보호해야 하는 경우 보호되지 않는 패킷은 모두 무시됩니다. 인바운드 패킷이 IPsec으로 보호되는 경우 IP 모듈에서는 SADB를 검색하여 일치하는 SA를 찾고 SA를 패킷에 적용합니다.
응용 프로그램에서는 IPsec을 호출하여 소켓별 레벨에서도 IP 패킷에 보안 방식을 적용할 수 있습니다. 포트의 소켓이 연결되고 나중에 해당 포트에 IPsec 정책이 적용될 경우 해당 소켓을 사용하는 트래픽은 IPsec으로 보호되지 않습니다. 물론, IPsec 정책이 포트에 적용된 이후 포트에서 열린 소켓은 IPsec 정책으로 보호됩니다.