• 우선 아래 내용을 인지해야 한다.
    1. IPsec
    2. IKE 프로토콜
  • IPsec
    • OSI 7 계층 중 주소 계층에서 사용되는 Protocol suite이다.
    • 인터넷 통신에 보안 기능을 제공한다.
    • IPsec은 보통 VPN 기능을 구현하기 위해 많이 사용된다.
  • IKE 프로토콜
    • Internet Key Exchange의 준말이다.
    • IKEv1 과 IKEv2가 있다.
    • IKE는 프로토콜이며, IPsec의 Security Association (SA)를 셋업하기 위해 사용된다.
  • IKE 프로토콜의 2단계
    • IKE 단계는 크게 2가지이다.
    • 1단계 : ISAKMP SA를 형성하기 위한 단계
      • Phase Level
        • Phase 1
        • Phase 2
      • Mode kind
        • Main mode
        • Aggresive mode
    • 2단계 : IPsec SA를 형성하기 위한 단계
      • Mode kind
        • 빠른 모드
  • ISAKMP SA Main mode
    • IKE 세션이 Initiator가 Responder에게 제안 또는 제안서 (prosposal)을 보낼 때 시작된다.
    • 첫번째 교환은 Peer간 기본 보안 정책을 설정한다. Initiator는 설정한 Proposal을 Responder에게 전송.
    • 두번째 교환은 공개 키와 기타 데이터를 전달. (Diffie-Hellman 알고리즘으로 Derived된)
    • 세번째 교환은 ISAKMP 세션을 인증한다.
    • IKE SA가 설정되면, IPsec협상이 시작된다.
  • IKE 프로토콜 도식
  • Description
    • Hasing : 해싱 알고리즘을 integrity를 검증하기 위해 사용한다. MD5 or SHA
    • Authentication : 각각의 peer는 자신이 누구인지를 증명해야한다. 두개의 자주 사용되는 옵션은 preshared key 또는 digital cert이다.
    • DH group : DH group은 결정한다. 키의 strengt를. 이 키는 키 교환 처리 과정에서 쓰인다.
    • Lifetime : IKE phase 1 tunnel이 얼마 동안 유지될까에 대한 정보
    • Encrytion : 암호화를 위해 우리가 무슨 알고리즘을 사용할까에 대한 정보. 예시로, DES, 3DES or AES
  • IKE 프로토콜 - Main mode 1
    • Initator는 첫번째 메시지를 보낸다. 이것은 SA를 위한 Proposal이다.
    • 다음과 같은 정보를 확인할 수 있다.
      • Initator IP와 Port, Responder의 IP와 Port
      • Iniator SPI(Security Parameter Index)
      • IKE version, mode
      • dmain of interpretation, proposal num
      • transform payload
  • IKE 프로토콜 - Main mode2
    • Responder가 보낸 첫번째 메시지에 대한 응답 메시지.
    • 이 메시지는 Responder가 Initator로부터 받은 attributes(transform payload에 있던)에 대해 agree했다는 의미이다.
    • Responder의 SPI value도 확인 가능하다.
  • IKE 프로토콜 - Main mode2
    • 우리의 목적은 peer들이 앞으로 사용할 SA에 대해 동의하는 것이다. 이를 위해 initator는 DH key 교환을 시작한다. 사진과 같이 key change와 nonce가 담겨있는 payload를 확인할 수 있다.
  • IKE 프로토콜 - Main mode 4
    • Responder 또한 자신의 DH nonce를 전송한다.
    • 이제 두 peer는 DH shared key를 계산한다.
  • IKE 프로토콜 - Main mode 5
    • 지금부터의 마지막 2개의 메시지는 암호화된다. 그래서 더 이상 컨텐츠를 확인할 수 없다. 이 두 개의 메시지는 식별과 인증을 위해 사용된다. Initiator가 먼저 시작한다.
  • IKE 프로토콜 - Main mode 6
  • 이로써, Main mode는 종료된다.


IKEv[n] 프로토콜.pptx
1.30MB
저작자표시 (새창열림)

'컴퓨터 공부 > 네트워크' 카테고리의 다른 글

IPv6와 IPv4 프로토콜의 이해  (0) 2021.12.23

 일반적으로 IPv4와 IPv6하면 그에 따른 주소 체계를 생각하곤 합니다. 하지만 특정 대역대가 예약이 돼있다는것을 최근에 알게 됐습니다. 

 먼저 IPv4를 생각해보겠습니다.

특수 용도 주소

주소 대역용도

0.0.0.0/8 자체 네트워크
10.0.0.0/8 사설 네트워크
127.0.0.0/8 루프백(loopback) 즉, 자기자신
169.254.0.0/16 링크 로컬(link local)
172.16.0.0/12 사설 네트워크
192.0.2.0/24 예제 등 문서에서 사용
192.88.99.0/24 6to4 릴레이 애니캐스트
192.168.0.0/16 사설 네트워크
198.18.0.0/15 네트워크 장비 벤치마킹 테스트
224.0.0.0/4 멀티캐스트
240.0.0.0/4 미래 사용 용도로 예약

출처 : https://ko.wikipedia.org/wiki/IPv4

 

IPv4 - 위키백과, 우리 모두의 백과사전

IPv4는 인터넷 프로토콜의 4번째 판이며, 전 세계적으로 사용된 첫 번째 인터넷 프로토콜이다. 과거에 인터넷에서 사용되는 유일한 프로토콜이였으나 오늘날에는 IPv6이 대중화되었다. IETF RFC 791(1

ko.wikipedia.org

 

그 다음은 IPv6입니다.

특수 주소 공간[편집]

  • ::/128 - 이 주소는 모든 값을 0으로 설정한 특수한 주소이다. 가상적으로만 사용된다. IP 미설정 상태의 발신 주소이다..
  • ::1/128 - 자기 자신의 주소를 가리키는 루프백 주소이다. 프로그램에서 이 주소로 패킷을 전송하면 네트워크는 전송자에게로 패킷을 반송한다. IPv4의 127.0.0.1 주소와 동일하다.
  • ::/96 - IPv4 호환 주소를 위해 사용되는 주소공간이다.
  • ::ffff:0:0/96 - IPv4 매핑 주소를 위해 사용되는 주소공간이다.
  • fc00::/7 - IPv6 유니캐스트를 위한 주소공간이다.
  • fe80::/10 - link-local address를 위한 주소공간이다. IPv4의 자동 설정 IP 주소인 169.254.x.x 에 해당한다.
  • fec0::/10 - site-local address를 위한 주소공간이다. 네트워크 내부에서만 유효한 주소이며, 2004년 10월 RFC3879에서 폐기되어 더 이상 사용되지 않는다.
  • ff00::/8 - IPv6 멀티캐스트를 위한 주소공간이다. IPv4의 브로드캐스트는 더 이상 지원되지 않으며, IPv6에서는 대신 멀티캐스트를 사용해야 한다.

출처 : https://ko.wikipedia.org/wiki/IPv6

 

IPv6 - 위키백과, 우리 모두의 백과사전

IPv6(Internet Protocol version 6)는 인터넷 프로토콜 스택 중 네트워크 계층의 프로토콜로서 버전 6 인터넷 프로토콜(version 6 Internet Protocol)로 제정된 차세대 인터넷 프로토콜을 말한다. 인터넷(Internet)은

ko.wikipedia.org

각각의 대역대는 특정 기능을 위해 존재합니다. 

 

추가로 IPv6에 대한 실제적인 예제는 저의 다른 게시글에서 확인해볼 예정입니다. ST의 stm32wb55보드를 이용해 패킷 내용을 확인할 것입니다. 그리고 특정 기능을 위해 각각의 대역대가 쓰이는것 또한 게시할 생각입니다!

 

IPv4 또한 시간이 날 때 확인할 예정입니다!

저작자표시 (새창열림)

'컴퓨터 공부 > 네트워크' 카테고리의 다른 글

IKEv1 Phase1 - Main mode  (0) 2023.04.30

+ Recent posts

티스토리툴바