Network Security

IPsec Action Type

행복한하루 2011. 1. 11. 22:45
IPSec Action에서는 IPSec 이 쓰이는 동작 타입을 보여주는데, 현재까지 나와있는 타입은 End to End typeVPN type, Road Warrior type 그리고 마지막으로 Nested tunnel type 이렇게 4가지가 나와 있습니다.

이 외에도 다른 여러 가지 구조를 생각 할 수 있겠지만 현재 기본적으로 쓰이는 Type은 이렇게 4가지이고, 이 4가지에 대하여 하나씩 알아보기로 하겠습니다.

End to End security through the network

End to End type 은 두개의 호스트가 서로 IPSec 모듈을 가지고 있어서 직접 협상을 거쳐 다른 장비 도움 없이 IPSec Data을 주고 받습니다.

예전에는 이러한 기능을 하는 모듈을 설치 해주어야 했으나 윈도우즈2000 서버 버젼의 경우 IPSec 모듈이 내장돼 있어 자체적으로 IPSec 협상을 할 수 있으며, 최근에 나온 윈도우즈 XP의 경우도 IPSec 모듈을 내장하고 있어 사용자들이 바로 이용할 수 있게 되어 있습니다.

(물론 리눅스에도 기본적으로 포함되어 있습니다. )

이 방식의 장점으로는 두 Peer 간에 IPSec 모듈이 기본적으로 내장이 되어 있기 때문에 다른 소프트웨어나 하드웨어 장비의 도움 없이 FTP나 Telnet 과 같은 Application을 안전하게 바로 사용할 수 있다는 장점이 있습니다.



A VPN across the Internet



두 번째 Type이 VPN type인데 현재 가장 많이 쓰이는 방식으로, 호스트 입장에서는 자신의 데이터가 암호화가 되는지 안 되는지를 알 수 없습니다.

단지 그냥 일반적으로 쓰듯이 쓰면 되고 실제 데이터에 대한 암호화나 복 호화 부분은 Security Gateway라고 불리 우는 장비가 처리를 하게 되어 있습니다. 

이 방식의 장점은 사용자가 IPSec 관련 정보를 몰라도 된다는 것입니다. 실제 IPSec 처리를 Security Gateway끼리 처리하기 때문에 호스트에 걸리는 부하나 설정 방법등과 같은 문제는 생각 하지 않아도 된다는 장점이 있습니다.

그리고 이 방식은 기업의 지사간 통신 시 많이 이용되는데, 그 이유는 전용선을 빌려 통신을 할 때 보다 IPSec 을 이용한 VPN (Virtual Private Network) 통신이 비용면에서 아주 저렴하고 보안 문제에 있어서도 더 안전하기 때문입니다.

그래서 여러 개의 지사가 있는 경우 각 지사와 본사 사이를 이러한 VPN 서비스를 이용하여 연결 시키는 경우가 많습니다. 그리고 이러한 VPN이용시 IPSec에서 제공하는 SPDB (Security Policy Data Base)을 이용하면 패킷에 대한 정책을 결정할 수 있다는 장점도 있습니다.

The Road Warrior



세 번째 Type은 Road Warrior type으로 이동 중에 있는 사람이 Security Gateway을 통과하여 그 뒤쪽에 있는 서버와 안전하게 통신을 하기 위하여 고안된 방식인데 출장 다니는 직원들이 많은 경우 노트북에 이런 기능을 하는 프로그램을 설치하고 본사의 서버에 접속하여 안전하게 어떤 데이터를 보내거나 받거나 할 때 많이 이용됩니다.

이 방식은 어떤 Peer가 Security Gateway와 협상을 하고 데이터도 암호화 해서 보내면 SG(Security Gateway)가 복호화 하게 되는데 움직이는 이동 노드가 많으면 많을 수록 부하가 많이 걸린다는 단점이 있습니다.

그리고 그에 따른 DB의 크기도 커지기 때문에 Searching time도 많이 걸릴 수 있습니다. 이 방식은 아직까지 보편화된 단계는 아니지만 IP Security remote access working group에서 이런 방식의 효과적인 적용을 위해서 연구하고 있습니다.

(제가 이 글을 쓸때는 보편화 되지 않았었지만, 현재는 많이 보편화 된 것으로 알고 있습니다. ^^)

The Nested Tunnel


마지막으로 Nested tunnel 방식 입니다. 이 방법은 터널을 두개 이용하는 것이 특징입니다.

즉 첫번째 SG (Security Gateway)IPSec을 위한 설정을 하고 다시 두번째 SG (Security Gateway)IPSec을 위한 설정을 한번 더 합니다.
( 두개의 터널을 이용하여 IPSec으로 암호화된 패킷을 한번 더 암호화 하는 방식입니다.)

이 방법은 두개의 SG (Security Gateway)를 둠으로써 두개의 포인트를 가지게 됩니다. 그래서 데이터도 보안과 관련하여 두단계로 나누어 좀 더 중요한 데이터는 안쪽에 놓고 다른 데이터들은 바깥쪽에 놓도록 설계 할 수도 있을 것입니다.

이렇게 단계를 나누어 이용할 수 있는 방식이 Nested Tunnel 방식입니다. 이 방식은 두개의 터널을 이용하기 때문에 하나만 이용할 때보다 프로세싱 파워가 더 들어가지만, 그 만큼 안전하다는 장점도 가지고 있습니다.

이상 IPsec 의 4가지 Action Type 에 관해서 알아 봤습니다.
 

'Network Security' 카테고리의 다른 글

IPsec ESP  (2) 2011.03.08
Network Security  (0) 2011.01.13
ISAKMP Exchange Type  (0) 2010.12.29
ISAKMP payload  (0) 2010.12.17
ISAKMP  (0) 2010.12.16