IPSec, 사이트 투 사이트 VPN

1) 사이트는 지역, 영역을 의미
2) SOHO 가내 집전화망 or 소규모 집전화망
3) IPSec은 IP 프로토콜을 캡슐화하는 프로토콜로 네트워크 계층(3계층)에서 동작함.

10. IPSec은 Transport mode와 tunnel mode로 구분된다.
IP payload에 실리는 것은 똑같다. IPSec payload에서 무엇이 실리는지 구분된다.
1) Transport mode : 전송계층 Payload가 IPSec payload에 실린다. 
L3 헤더를 제외한 상위 계층 정보만 암호화한다. VPN 게이트웨이가 없는 환경에서 많이 사용된다.
즉, 사용자 시스템과 서버 간의 직접 통신에서 사용한다.
2) Tunnel mode : VPN의 GRE 방식과 비슷하게 IP payload와 IP-H가 실린다. 사용자 패킷 전체를 암호화하고
새로운 L3 헤더를 추가하는 방식이다. (new network layer)
고로, 전송 계층인지 네트워크 계층인지로 구분할 수 있다. 

11. IPSec의 세부적인 보안 방법, AH, ESP
라우터 간의 데이터 교환 과정에서 보안을 적용한다.
1) AH(Authentication Header)
: 인증, 무결성을 지원
2) ESP(Encapsulating Security Payload)
: 인증, 무결성, 캡슐화(Encryption)을 지원 - privacy, confidentiality
이후 인증 정보(SA)가 존재하지 않는 패킷은 버려지게 된다.

12.  Encryption 알고리즘
ESP에서만 존재하는 캡슐화와 그 원리에 대한 알고리즘은 다음과 같다.
기본 원리는 캡슐화를 할 때 필요한 암호화 키가 있고 이를 해독하는 복호화 키가 존재한다.
-> DES, RSA 알고리즘

13. 데이터 무결성을 보장하기 위한 방식 , Hash
추가로 해시 정보를 암호화하는데에는 HMAC이 필요하다.
HMAC-MD5, HMAC-SHA-1

14.  DH 키 교환
Diffie-Hellman이 개발한 알고리즘

15. IKE, Internet Key Exchange, 키 정보 교환 과정
SA = 인증 정보
먼저, 키 전달을 위한 보안 터널(ISAKMP SA)을 생성하고
이후, 사용자 트래픽의 암호화를 위한 보안 터널(IPSec SA)을 생성한다.

16. IKE 1단계
1) 메인모드 - 송신자와 수신자 간의 협상
보안 채널 보호를 위한 정책 교환, 키 정보를 공유하기 위한 DH 교환, IPSec 피어간의 인증
2) 어그레시브 모드 - 송신자 우선
보안 세션 연결을 시도하는 IPSec 피어측이 모든 정보를 일괄적으로 시도
단계 없이 정보를 전송하므로 공격 대상이 될 가능성이 내재되어 있지만 속도와 자원 사용량 
측면에서는 유리하다.
이후, 키 정보 관리용 보안 터널인 ISAKMP SA가 생성된다.

17. IKE 2단계, 트래픽 교환 과정
키 정보를 공유하고, 관리하기 위한 보안 터널을 생성한 뒤, IPSec이라는 보안 터널을 통해 사용자 트래픽을 암호화한다.
양방향성인 ISAKMP와는 다르게 단방향 터널로 생성되므로 송수신용 채널이 각각 필요하다.