IPsec
※ IPsec(Internet Protocol Security)
IPsec이란?
프라이버시 보호를 위한 사용자의 데이터를 암호화 진행 하는 것.
즉, 메시지 무결성을 인증하여 데이터가 중간에 변조되지 않았음을 보장해 주고
재생공격과 같은 특정 종류의 공격으로부터 사용자의 데이터를 보호.
데이터 통신 안전하게 하기 위해서 사용함.
IPsec의 등장 배경
IP의 약점으로는 전송되는 데이터가 암호화 되지 않아 보호되지 않는다는 점.
IPsec의 경우 처음에는 IPv4의 고갈 문제로 인해 IPv6개발시 IP의 단점인 보안 문제를 해결하기 위해
처음 등장한 프로토콜.
현재는 이것을 발전시켜 IPv4에도 적용하여 사용한다.
IPsec의 경우 IP계층에서 동작하기 때문에 상위 게층의 프로토콜도 보호 할 수 있다.
IPsec은 주로 VPN과 같이 사용.
IP/IPSec : AH, ESP Header 추가
=> 무결성 및 기밀성 제공
=> L4 ~ L7 전부 다 암호화 됨
=> 보안에 짱!
IPv4 vs. IPv6
IPv4 | IPv6
보안 IPsec 프로토콜 별도 설치 | IPsec 자체 지원
IPsec에서 사용하는 알고리즘
1. 암호화 알고리즘 : DES, << 3DES
2. 무결성 알고리즘 : HMAC-SHA1, HMAC-MD5 // hash값 만듦
3. 보안 파라미터 협상 프로토콜 : IKE(Internet Key Exchange)
4. 공유 비밀 키 분배 프로토콜 : Diffe-Hellman 키 교환 방식
IPsec의 모드
- 전송 모드
둘다 가능 뭐가???
- 터널 모드
IPsec지원 게이트웨이 사용해야만 가능!
한쪽만 가능
가상 터널 뚫음 (VPN)
게이트웨이 장비들.
보내는 쪽 평문 전송, 자기가 IPsec 제공?
받는 쪽 게이트웨이 장비가 복호화 진행.
IPsec Protocol(AH & ESP)
1. AH(Authentication Header) : 무결성, 인증
2. ESP(encapsulation Security Payload): 기밀성 제공
ESP + AH : ESP 패킷에 AH 헤더를 추가 시킴으로써 기밀성과 무결성을 제공
IPsec Protocol 협상 과정
L7(응용)
IKE 1단계 : ISAKPM 보안 연결
IKE 2단계 : IPSEC 보안 연결
L3(네트워크)
AH/ESP <----> AH/ESP
IPSEC
* 적용 방법 => 실습할 거~!
IPsec 통신 - IP 보안 정책.txt
IPsec 통신 - AD.txt // kerberos
IPsec 통신 - CA.txt
1> IPsec 통신 - IP 보안 정책
* 참고 파일 :
IPsec 통신 - IP 보안 정책.txt
[테스트]
wireshark 실행
filter : isakmp or esp or icmp
ping > main mode, quick mode, esp 확인
>ping 10.12.0.110
을 해주면 esp 패킷이 날라댕김
필터 목록, 필터 동작 잘못 만들었을 경우
로컬 보안 정책 (secpol.msc) >
IP 필터 목록 및 필터 동작 관리 >
IP 필터 목록 > 항목 편집 or 모두 삭제
필터 동작 관리 > 항목 편집 or 모두 삭제
2> IPsec 통신 - AD.txt // kerberos
* 참고 파일 :
오류 발생!!!
cli12 : 그룹 정책 업뎃하는데 오류 발생함
!해결책!
1> cli12를 workgroup으로 snapshot 돌리고 AD srv12에 멤버로 다시 가입 시키기!
2> 다시 업뎃!
=> 안됨 ..,
걍 스냅샷 전부 다 돌리고 처음부터 함 -.,
[테스트]
wireshark 실행
filter : isakmp or esp or icmp
memx1 >
ping 10.0.x1.110 > 암호화 되지 않으며 ping
clix1 >
ping 10.0.x1.110 > 암호화 되며 ping 나감 (srvx1 wireshark에서 main mode > quick mode > esp 확인)
=> clix1은 ping이 안됨 -.,
srv ip 관련 설정이 잘못된듯..,
ping 테스트를 했을 때, memx1의 경우에는 icmp 패킷이 날라가야 하며 (wireshark에서)
clix1의 경우에는 esp 패킷이 날라가야 함!!!
3> IPsec 통신 - CA.txt
* 참고 파일 :
[테스트]
wireshark 실행
filter : isakmp or esp or icmp
ping > main mode, quick mode, esp 확인
>ping 10.12.0.110
을 해주면 esp 패킷이 날라댕김 // 다른 애들은 패킷이 안날라가야 성공임!!!
'BigData_Off1 > 윈도우2' 카테고리의 다른 글
| 트러스트 (0) | 2018.04.09 |
|---|---|
| VPN (0) | 2018.04.05 |
| SSL2 (0) | 2018.04.03 |
| 암호화, SSL (0) | 2018.04.02 |
| DNS+Hmail+DHCP+NAT+WWW (0) | 2018.03.30 |