12. 보안 프로토콜과 보안 솔루션

IPSec

ipv4의 취약점을 보완하기 위해 개발된 솔루션으로, 인증 서비스를 패킷 단위로 제공하여 ip가 안전하게 동작하도록 지원한다.

동작

한 조직이 여러곳에 있는 lan을 사용 할때 ipsec을 통해 전송된다.
이 과정은 모두 투명하게 진행된다.

전송 모드와 터널 모드

전송 모드에서는 ip헤더는 변하지 않고 데이터 그램만 암호화 된다.
터널 모드에서는 전체 데이터 그램이 암호화 되고 ip패킷의 페이로드로서 전송된다.

보안 연관 (SA)

ipsec을 이용하여 안전한 통신을 하기 위해서는 두 통신 개체가 사용할 암호가 필요하다.
고유 번호인 spi를 통해 sa들이 식별된다.

ipsec에서의 통신 단계

• 1단계 : 자신의 sa 디바이스를 검색하여 sa를 찾는다
• 2단계 : 서로 암호 알고리즘을 파악하고 spi를 삽입하여 전송한다.
• 3단계 : ip 데이터그램을 수신한 시스템은 spi와 발신지 주소를 이용하여 sa를 검색한다.
• 4단계 : 해당 sa 정보로부터 암호 알고리즘을 파악하고 데이터그램을 복호화한다.

SSL

안전한 TCP를 사용하기 위해 설계된 보안체계이다.
가장 널리 사용되는 응용은 HTTPS이다.

SSL 연결

서비스를 제공하는 전송을 말하며, 대등한 관계에서 일시적으로 연결되어야 한다.

SSL 세션

세션이란 한 서버와 클라이언트의 관계를 말한다.
각 연결마다 필요한 새 보안 매개변수 작업을 피하기 위하여 사용한다.

SSL 구조

SSL은 핸드쉐이크. 암호 명세 변경, 레코드, 경고로 4가지 프로토콜로 구성되어 있다.

• 핸드쉐이크
  서버와 클라이언트의 상호 인증 수행
• 레코드
  기밀성과 무결성 서비스 제공
• 암호 명세 변경
  암호에 정의된 인증이 적용됨을 상대에게 알림
• 경고
  SSL 수행 과정에서 경고 전달

무선랜 보안

데이터 전파가 무선으로 브로드캐스트 되므로 모두 노출되는 특징이 있다.
물리적 접근 제어가 불가능하여 보안 위협을 야기할 수 있다.

IEEE 802.11i

사용자 인증. 키 교환 및 무선구간 암호 알고리즘을 정의하고 있다.
현재는 4-핸드쉐이크와 CCMP를 통해 표준화를 진행중이다.

IEEE 802.11i 동작

• 탐색
  AP가 보안 정책을 방송하는 것을 이용하여 통신을 원하는 디바이스는 자신이 원하는 무선랜의 AP를 찾아 SA를 생성한다.
• 인증
  STA는 인증서버인 AS와 상호 인증을 수행한다.
• 키 생성 및 분배
  AS는 APㅇ게 키 분배 프로그램을 통해 암호키를 전달한다.
• 데이터 전송
  AP를 통해 프레임을 안전하게 교환한다.
• 해제
  AP 와 STA간 메시지교환을 통해 원래 연결로 돌아간다.