설명/참조:
이것은 올바르지 않습니다. 양방향 통신에는 한 쌍의 SA(보안 연결)가 필요하고 하나의 SA만 필요한 것이 아닙니다. 발신자와 수신자는 모두 인바운드 및 아웃바운드 연결에 대해 SA를 협상합니다.
IPSec의 두 가지 주요 개념은 SA(보안 연결)와 터널링입니다. SA(보안 연결)는 두 IPSec 시스템 간의 단순 논리적 연결입니다. 두 IPSec 시스템 간에 양방향 통신을 설정하려면 각 방향에 하나씩 두 개의 별도 보안 연결을 정의해야 합니다.
보안 프로토콜은 AH 또는 ESP가 될 수 있습니다.
클레멘트의 참고 사항:
아래의 설명은 시험에 대해 알아야 할 것보다 조금 더 철저합니다. 그러나 그들은 항상 그림이 천 단어의 가치가 있다고 말합니다. IPSEC를 설명하고 내부 작동에 관해서는 그것이 매우 사실이라고 생각합니다. 이 주제를 다루는 CISCO PRESS 및 DLINK의 훌륭한 기사를 찾았습니다. 아래 참조를 참조하십시오.
터널 및 운송 모드
IPSec은 터널 모드 또는 전송 모드에서 실행할 수 있습니다. 이러한 각 모드에는 고유한 용도가 있으며 솔루션에 대해 올바른 모드가 선택되도록 주의해야 합니다.
터널 모드는 게이트웨이 사이 또는 게이트웨이에 대한 종단 스테이션에서 가장 일반적으로 사용되며 게이트웨이 뒤에 있는 호스트의 프록시 역할을 합니다.
전송 모드는 게이트웨이가 호스트로 취급되는 경우 엔드 스테이션 사이 또는 엔드 스테이션과 게이트웨이 사이에서 사용됩니다(예: 라우터가 실제 대상인 워크스테이션에서 라우터까지의 암호화된 Telnet 세션). .
아래 그림 1 그래픽에서 볼 수 있듯이 기본적으로 종단 간 세션에는 전송 모드를 사용해야 하고 다른 모든 세션에는 터널 모드를 사용해야 합니다.
그림: 1
IPSEC 전송 모드 대 터널 모드
IPSec의 터널 및 전송 모드.
위의 그림 1은 터널과 전송 모드를 사용하는 경우의 몇 가지 예를 보여줍니다.
터널 모드는 Cisco 라우터와 PIX 방화벽 사이와 같은 보안 IPSec 게이트웨이 간의 트래픽을 암호화하는 데 가장 일반적으로 사용됩니다(그림 1의 예 A 참조). IPSec 게이트웨이는 그림 1의 Alice의 PC 및 HR 서버와 같이 뒤에 있는 장치에 대해 IPSec을 프록시합니다. 예 A에서 Alice는 게이트웨이 사이에 설정된 IPSec 터널을 통해 HR 서버에 안전하게 연결합니다.
터널 모드는 예 B와 같이 Cisco Secure VPN Client와 같은 IPSec 소프트웨어를 실행하는 엔드 스테이션을 IPSec 게이트웨이에 연결하는 데에도 사용됩니다.
예 C에서 터널 모드는 Cisco 라우터와 IPSec 소프트웨어를 실행하는 서버 사이에 IPSec 터널을 설정하는 데 사용됩니다. Cisco IOS 소프트웨어 및 PIX 방화벽은 터널 모드를 기본 IPSec 모드로 설정합니다.
전송 모드는 IPSec을 지원하는 종단 스테이션 간에 사용되거나 게이트웨이가 호스트로 취급되는 경우 종단 스테이션과 게이트웨이 간에 사용됩니다. 예 D에서 전송 모드는 PIX 방화벽에서 종료되도록 Cisco Secure VPN Client 소프트웨어를 실행하는 Alice의 PC에서 암호화된 Telnet 세션을 설정하는 데 사용되어 Alice가 원격으로 PIX 방화벽을 안전하게 구성할 수 있도록 합니다.
그림: 2
IPSEC AH 터널 및 전송 모드
AH 터널 대 운송 모드
위의 그림 2는 IPSec 모드가 AH에 대해 만드는 차이점을 보여줍니다. 전송 모드에서 AH 서비스는 데이터 페이로드와 함께 외부 IP 헤더를 보호합니다. AH 서비스는 전송에서 변경되지 않는 헤더의 모든 필드를 보호합니다. 헤더는 IP 헤더 뒤, ESP 헤더(있는 경우) 및 기타 상위 계층 프로토콜 앞에 옵니다.
위의 그림 2에서 볼 수 있듯이 터널 모드에서는 전체 원본 헤더가 인증되고 새 IP 헤더가 빌드되며 새 IP 헤더는 전송 모드의 IP 헤더와 동일한 방식으로 보호됩니다.
NAT가 소스 IP 주소를 변경하기 때문에 AH는 NAT(Network Address Translation)와 호환되지 않습니다. 그 이유는 NAT가 AH 헤더를 깨뜨리고 IPSec 피어에서 패킷을 거부하도록 하기 때문입니다.
그림: 3
IPSEC ESP 터널 대 전송 모드
ESP 터널 대 전송 모드
위의 그림 3은 IPSec 모드가 ESP에 미치는 차이점을 보여줍니다. 전송 모드에서 IP 페이로드는 암호화되고 원래 헤더는 그대로 유지됩니다. ESP 헤더는 IP 헤더 뒤와 상위 계층 프로토콜 헤더 앞에 삽입됩니다. 상위 계층 프로토콜은 ESP 헤더와 함께 암호화되고 인증됩니다. ESP는 IP 헤더 자체를 인증하지 않습니다.
참고: 상위 계층 정보는 암호화된 페이로드의 일부이기 때문에 사용할 수 없습니다.
ESP가 터널 모드에서 사용되면 전체 원본 IP 데이터그램이 암호화되기 때문에 원본 IP 헤더가 잘 보호됩니다. ESP 인증 메커니즘을 사용하면 원본 IP 데이터그램과 ESP 헤더가 포함됩니다. 그러나 새 IP 헤더는 인증에 포함되지 않습니다.
인증과 암호화를 모두 선택하면 인증 전에 암호화가 먼저 수행됩니다.
이러한 처리 순서의 한 가지 이유는 수신 노드에서 재생되거나 가짜 패킷을 빠르게 감지하고 거부하기 때문입니다. 패킷을 해독하기 전에 수신기는 문제를 감지하고 서비스 거부 공격의 영향을 잠재적으로 줄일 수 있습니다.
ESP는 또한 인증을 위한 선택적 필드와 함께 패킷 인증을 제공할 수 있습니다. Cisco IOS 소프트웨어 및 PIX 방화벽은 이 서비스를 ESP 해시 메시지 인증 코드(HMAC)라고 합니다.
인증은 암호화가 완료된 후 계산됩니다. 현재 IPSec 표준은 필수 HMAC 알고리즘으로 지원되어야 하는 해싱 알고리즘을 지정합니다.
ESP와 AH가 제공하는 인증의 주요 차이점은 적용 범위입니다.
특히 ESP는 해당 필드가 ESP(터널 모드)에 의해 캡슐화되지 않는 한 IP 헤더 필드를 보호하지 않습니다.
다음은 이 질문에 대한 오답이었습니다.
IP 데이터그램에 대한 무결성 및 인증은 AH에서 제공합니다. 이것은 정확합니다. AH는 무결성 및 인증을 제공하고 ESP는 무결성, 인증 및 암호화를 제공합니다.
ESP는 IP 데이터그램에 대한 무결성, 인증 및 암호화를 제공합니다. ESP는 데이터 변조로부터 보호하고 가장 중요한 메시지 콘텐츠 보호를 제공하는 인증, 무결성 및 기밀성을 제공합니다.
전송 모드에서 ESP는 각 패킷의 데이터 페이로드만 암호화합니다. ESP는 터널 모드(원래 패킷이 새 패킷으로 캡슐화됨) 또는 전송 모드(각 패킷의 데이터 페이로드만 암호화되고 헤더는 그대로 유지됨)에서 작동할 수 있습니다.
이 질문에 사용된 참조:
에르난데스 CISSP, 스티븐 (2012-12-21). 공식(ISC)2 CISSP CBK 가이드, 제3판((ISC)2 Press)(Kindle Locations 6986-6989). Acerbic 간행물. 킨들 에디션.
그리고
http://www.ciscopress.com/articles/article.asp?p=25477
그리고
http://documentation.netgear.com/reference/sve/vpn/VPNBasics-3-05.html
