IPsec 보안 연결 개요

IPSec에서 고려해야 할 또 다른 사항은 구현하려는 SA(보안 연결)의 유형입니다. SA는 IPSec 관계를 설정하는 디바이스 간에 협상되는 IPSec 사양 집합입니다. 이러한 사양에는 IPSec 연결을 설정할 때 사용해야 하는 인증, 암호화 및 IPSec 프로토콜 유형에 대한 기본 설정이 포함됩니다. SA는 네트워크 관리자의 선택에 따라 단방향 또는 양방향이 될 수 있습니다. SA는 SPI(Security Parameter Index), IPv4 또는 IPv6 대상 주소 및 보안 프로토콜(AH 또는 ESP) 식별자로 고유하게 식별됩니다.

사전 설정된 사전 공유된 수동 SA로 IPSec을 구성하거나 IKE(Internet Key Exchange)를 사용하여 동적 SA를 설정할 수 있습니다. 수동 SA를 사용하려면 모든 IPSec 요구 사항을 미리 지정해야 합니다. 반대로, IKE(Internet Key Exchange) 동적 SA는 일반적으로 최고 수준의 인증 및 암호화를 위한 구성 기본값을 포함합니다.

IPSec을 구성할 때 마지막으로 고려해야 할 사항은 네트워크에서 구현하려는 IPSec 모드의 유형입니다. Junos OS는 다음과 같은 IPSec 모드를 지원합니다.

• 터널 모드는 Junos OS에서 AH 및 ESP 모두에 대해 지원되며 라우터에 대한 일반적인 선택입니다. 터널 모드에서는 터널링된 IPv4 또는 IPv6 패킷에 SA 및 관련 프로토콜이 적용됩니다. 터널 모드 SA의 경우 외부 IP 헤더는 IPSec 처리 대상을 지정하고 내부 IP 헤더는 패킷의 최종 대상을 지정합니다. 보안 프로토콜 헤더는 외부 IP 헤더 뒤와 내부 IP 헤더 앞에 나타납니다. 또한 AH 및 ESP를 사용하여 터널 모드를 구현할 때 터널 모드에 약간의 차이가 있습니다.

  • AH의 경우 외부 IP 헤더의 일부와 터널링된 전체 IP 패킷이 보호됩니다.

  • ESP의 경우 외부 헤더가 아닌 터널링된 패킷만 보호됩니다.

  보안 연결의 한 쪽이 보안 게이트웨이(예: 라우터)인 경우 SA는 터널 모드를 사용해야 합니다. 그러나 트래픽(예: SNMP 명령 또는 BGP 세션)이 라우터로 향하는 경우 시스템은 호스트 역할을 합니다. 이 경우 시스템이 보안 게이트웨이 역할을 하지 않고 전송 트래픽을 보내거나 받지 않으므로 전송 모드가 허용됩니다.

• 전송 모드는 두 호스트 간에 보안 연결을 제공합니다. 전송 모드에서 프로토콜은 주로 상위 계층 프로토콜에 대한 보호 기능을 제공합니다. IPv4 및 IPv6 패킷의 경우 전송 모드 보안 프로토콜 헤더는 IP 헤더 및 옵션 바로 뒤, 상위 계층 프로토콜(예: TCP 또는 UDP) 앞에 나타납니다. AH 및 ESP를 사용하여 구현할 때 전송 모드에 약간의 차이가 있습니다.

  • AH의 경우 IP 헤더의 선택된 부분과 확장 헤더의 선택된 부분 및 IPv4 헤더 내의 선택된 옵션이 보호됩니다.

  • ESP의 경우 IP 헤더 또는 ESP 헤더 앞의 확장 헤더가 아닌 상위 계층 프로토콜만 보호됩니다.