it-swarm-korea.com

IPsec (인터넷 프로토콜 보안) 사실

IPsec (Internet Protocol Security)은 ISO 표준 NLSP (Network Layer Security Protocol)의 후속 제품입니다. 프로토콜에 관한 장점, 단점, 기타 흥미로운 사실은 무엇입니까?

24
Eric Warriner

IPsec은 실제로는 프로토콜 군으로, 사용되거나 사용되지 않을 수있는 여러 개의 하위 프로토콜이 있으며 전반적인 보안은 각각의 프로토콜과 구성 방식에 따라 달라집니다.

  • 프로토콜 협상 및 키 관리를위한 IKE
  • 인증, 무결성에 대한 AH 및 프로토콜 보호를 생각합니다
  • 암호화를위한 ESP와 일부.

장점 :

  • 응용 프로그램 및 사용자에게 투명합니다 (대부분의 시나리오에서). 강조하기 위해 이것은 쉬운 일이 아닙니다. 예를 들어 고객에게 권장 사항으로 채널을 암호화하는 것이 좋습니다. SSL을 사용하면 소스 코드에 액세스 할 수 없거나 공급 업체가 SSL을 지원하지 않는 등 IPsec은 기본적으로 드롭 인 암호화 (앱에 관한 한)이며 완전히 앱을 볼 수 없습니다.
  • 올바르게 구현 된 경우 매우 안전
  • 사용자의 실수가 덜 발생 함 (SSL)
  • 어쨌든 대부분의 트래픽을 암호화하는 경우 SSL보다 효율적

단점 :

  • 네트워크 및 요구 사항에 따라 배포가 복잡 할 수 있음
  • 인터넷을 통해 또는 알 수없는 클라이언트와 함께 사용할 수 없습니다 (정확하게 정확하지는 않지만 대부분의 의도와 목적을 유지함).
  • 잘못 배포 된 경우 네트워크 관리자에게 잘못된 보안 감각을 제공 할 수 있습니다 (예 : ESP가 없지만 IPsec이 있습니다).
  • 예를 들어보다 훨씬 덜 효율적입니다. SSL, 모든 트래픽을 암호화 할 필요가없는 경우 (그러나 IPsec은 암호화).
18
AviD

IPsec은 두 가지 모드를 제공합니다.

  • Authentication Header : 각 패킷에는 메시지 인증 코드 가 첨부되어 있으며 무결성을 보장합니다. 여기에는 (공격자가 이전에 교환 한 패킷의 사본을 보낼 때) 재생 공격에 대한 보호 기능도 포함됩니다.

  • Encapsulated Security Payload : 각 패킷은 암호화되며 MAC도 있습니다. 암호화는 패킷 데이터뿐만 아니라 대부분의 헤더를 포함한다. 새로운 헤더가 추가됩니다. 패킷을 해독 호스트로 전송 한 다음 최종 목적지로 라우팅 할 수 있습니다 (공격자가 패킷의 실제 위치를 알 수 없음).

암호화는 SSL 또는 SSH와 같은 다른 프로토콜과 동일한 고통스러운 지정 공격 수정주기를 거쳤기 때문에 건전합니다.

SSL과의 주요 차이점은 IPsec이 시스템 수준에서 실행된다는 것입니다. 즉, 하나의 machine에서 다른 것으로 데이터를 보호하지만 SSL은 applications 사이에 있습니다 (예 : 웹). 브라우저 및 웹 서버). 대부분의 상황에서 (모두는 아님), 이것은 아무런 차이가 없지만 여전히 기억하는 것이 좋습니다.

가장 큰 실질적인 차이점은 Average Joe의 PC가 완전히 구성된 SSL 가능 엔진이라는 점입니다. 그러나 Joe가 구성을 약간 조정해야하므로 IPsec을 시도하면 실패 할 수 있습니다 (대부분의 운영 체제는 Windows를 포함하여 IPsec을 구현 함) Windows 2000부터는 구현에 문제가 없습니다-configuration is).

IPsec은 IPv6 의 필수 구성 요소이므로 IPv6가 널리 보급되면 2007 년에 예정된 이벤트 인 IPsec이 널리 퍼질 것입니다 ...

8
Thomas Pornin

IPsec은 보안을 향상 시키도록 설계되었지만 다시이 프로토콜은 이상적인 솔루션에 가깝지 않습니다. 염두에 두어야 할 장점 중 하나는 보안입니다. 상황에 따라 다음과 같은 단점이있을 수 있습니다.

  • 암호화/복호화는 일부 CPU 리소스를 사용합니다.
  • 복잡한 네트워크에 대한 트래픽 정책을 관리하는 것은 복잡 할 수 있습니다.
  • iPsec이 전송 모드에서 사용되면 약속 된 보안에 문제가 있습니다.
3
anonymous

클라우드 기반 네트워크의 요구에 맞게 운영/확장되지 않으므로 관련성이 없거나 곧 제공 될 예정입니다.

1
atdre