• 우선 아래 내용을 인지해야 한다.
    1. IPsec
    2. IKE 프로토콜
  • IPsec
    • OSI 7 계층 중 주소 계층에서 사용되는 Protocol suite이다.
    • 인터넷 통신에 보안 기능을 제공한다.
    • IPsec은 보통 VPN 기능을 구현하기 위해 많이 사용된다.
  • IKE 프로토콜
    • Internet Key Exchange의 준말이다.
    • IKEv1 과 IKEv2가 있다.
    • IKE는 프로토콜이며, IPsec의 Security Association (SA)를 셋업하기 위해 사용된다.
  • IKE 프로토콜의 2단계
    • IKE 단계는 크게 2가지이다.
    • 1단계 : ISAKMP SA를 형성하기 위한 단계
      • Phase Level
        • Phase 1
        • Phase 2
      • Mode kind
        • Main mode
        • Aggresive mode
    • 2단계 : IPsec SA를 형성하기 위한 단계
      • Mode kind
        • 빠른 모드
  • ISAKMP SA Main mode
    • IKE 세션이 Initiator가 Responder에게 제안 또는 제안서 (prosposal)을 보낼 때 시작된다.
    • 첫번째 교환은 Peer간 기본 보안 정책을 설정한다. Initiator는 설정한 Proposal을 Responder에게 전송.
    • 두번째 교환은 공개 키와 기타 데이터를 전달. (Diffie-Hellman 알고리즘으로 Derived된)
    • 세번째 교환은 ISAKMP 세션을 인증한다.
    • IKE SA가 설정되면, IPsec협상이 시작된다.
  • IKE 프로토콜 도식
  • Description
    • Hasing : 해싱 알고리즘을 integrity를 검증하기 위해 사용한다. MD5 or SHA
    • Authentication : 각각의 peer는 자신이 누구인지를 증명해야한다. 두개의 자주 사용되는 옵션은 preshared key 또는 digital cert이다.
    • DH group : DH group은 결정한다. 키의 strengt를. 이 키는 키 교환 처리 과정에서 쓰인다.
    • Lifetime : IKE phase 1 tunnel이 얼마 동안 유지될까에 대한 정보
    • Encrytion : 암호화를 위해 우리가 무슨 알고리즘을 사용할까에 대한 정보. 예시로, DES, 3DES or AES
  • IKE 프로토콜 - Main mode 1
    • Initator는 첫번째 메시지를 보낸다. 이것은 SA를 위한 Proposal이다.
    • 다음과 같은 정보를 확인할 수 있다.
      • Initator IP와 Port, Responder의 IP와 Port
      • Iniator SPI(Security Parameter Index)
      • IKE version, mode
      • dmain of interpretation, proposal num
      • transform payload
  • IKE 프로토콜 - Main mode2
    • Responder가 보낸 첫번째 메시지에 대한 응답 메시지.
    • 이 메시지는 Responder가 Initator로부터 받은 attributes(transform payload에 있던)에 대해 agree했다는 의미이다.
    • Responder의 SPI value도 확인 가능하다.
  • IKE 프로토콜 - Main mode2
    • 우리의 목적은 peer들이 앞으로 사용할 SA에 대해 동의하는 것이다. 이를 위해 initator는 DH key 교환을 시작한다. 사진과 같이 key change와 nonce가 담겨있는 payload를 확인할 수 있다.
  • IKE 프로토콜 - Main mode 4
    • Responder 또한 자신의 DH nonce를 전송한다.
    • 이제 두 peer는 DH shared key를 계산한다.
  • IKE 프로토콜 - Main mode 5
    • 지금부터의 마지막 2개의 메시지는 암호화된다. 그래서 더 이상 컨텐츠를 확인할 수 없다. 이 두 개의 메시지는 식별과 인증을 위해 사용된다. Initiator가 먼저 시작한다.
  • IKE 프로토콜 - Main mode 6
  • 이로써, Main mode는 종료된다.


IKEv[n] 프로토콜.pptx
1.30MB
저작자표시

'컴퓨터 공부 > 네트워크' 카테고리의 다른 글

IPv6와 IPv4 프로토콜의 이해  (0) 2021.12.23

+ Recent posts

티스토리툴바