IPSec AH 프로토콜 ESP 프로토콜 이란?

AH(Authentication Header) 프로토콜과 ESP(Encapsulation Security Payoad) 프로토콜은 IPsec을 구성하는 프로토콜 중 하나이다. IPsec을 구성하는 핵심 프로토콜이기 때문에 매우 중요하다. 하지만 굳이 두 가지가 존재하는 이유가 무엇일까? 당연한 예기지만 두개의 프로토콜은 다르기 때문에 존재할 것이다.. 그렇다면 이 두개의 프로토콜의 차이점은 무엇인지 알아보자.

 

 

AH 프로토콜 & 구조

 

- MAC(메시지 인증 코드)를 이용하여 인증 및 무결성 제공

- 인증하는 범위는 변경 가능한 필드(Mutable field)를 제외한 패킷 전체 인증

- 구조 및 각 부분 설명

AH Protocol

 

 

- Next Header(8 bit) : 다음 헤더. IPsec 다음에 오는 헤더에 대한 정보

- Payload Length(8 bit) : AH 헤더의 길이 

- Reserved(16 bit) : 예약

- Security Parameter Index(32 bit) : 보안 설정 정보 식별자(Security Association, SA)

- Sequence Number(32 bit) : 재전송 공격 방지 필드(패킷 전송시 일련번호 1씩 증가)

- Authentication Data(32 bit) : 변경되는 값이 있는 필드(TTL 등)를 제외한 IP 패킷 전체 해시값(Digest), 가변 길이

 

 

 

ESP 프로토콜 & 구조

 

- AH 기능(인증, 무결성) + 기밀성

- MAC(메시지 인증 코드)를 이용하여 인증 및 무결성 제공 및 암호화를 이용하여 기밀성 제공

- 인증만 별도 적용도 가능

- 구조 및 각 부분 설명

ESP Protocol

 

 

ESP Header

- Security Parameter Index(32 bit) : 보안 설정 정보 식별자(Security Association, SA)

- Sequence Number(32 bit) : 재전송 공격 방지 필드(패킷 전송 시 일련번호 1씩 증가)

 

ESP Trailer

- Padding(가변 길이) : Padding 값

- Pad Length(8 bit) : Padding 값의 길이

- Next Header(8 bit) : 다음 헤더. IPsec 다음에 오는 헤더에 대한 정보

 

 

 

두 개의 프로토콜의 차이점은 암호화를 통한 기밀성 제공 유무이다.

AH 프로토콜은 암호화 X(기밀성 제공 X) , ESP 프로토콜은 암호화 O(기밀성 제공 O)

 

각 프로토콜은 각각 VPN 연결 시 두 가지 전송 모드인 전송 모드(Transport Mode) 와 터널 모드(Tunnel Mode) 지원

그리고 각각의 모드를 사용할 때 IPsec 프로토콜의 구조가 조금 다르다. 

AH 프로토콜의 전송 모드 / 터널 모드시 구조와 ESP 프로토콜의 전송모드 / 터널모드시 구조를 알아보자.

 

 

AH 전송 모드

- 변경 가능한 필드(Mutable field) 제외한 나머지 패킷 전체를 인증

- IP Header의 경우 NAT가 적용되면 Header 값이 변경될 수 있기 때문에 제외

AH Transport Mode

 

 

AH 터널 모드

- 터널 모드는 앞선 포스팅에서 설명했듯이 NEW IP Header를 붙여 패킷 전체를 보호한다.

- 이 경우 변경되는 값인 NEW IP Header를 제외한 전체 패킷을 인증

AH Tunnel Mode

 

 

 

 

ESP 전송 모드

- 암호화 구간 : IP Payload / ESP Trailer

- 인증 구간 : ESP Header / IP Payoad / ESP Trailer

- 즉, ESP Header와 암호화 구간(IP Payload + ESP Trailer)을 인증

ESP Transport Mode

 

 

ESP 터널 모드

- 암호화 구간 : IP Header / IP Payload / ESP Trailer

- 인증 구간 : ESP Header / IP Header / IP Payload / ESP Trailer

- 즉, ESP Header와 암호화 구간(IP Header + IP Payload + ESP Trailer)을 인증

 

ESP Tunnel Mode

 

 

복잡해 보이지만 다시 요약 정리 해보면,

- IPsec의 내부에 AH와 ESP라는 중요 프로토콜이 있다.

- AH는 인증 + 무결성 , ESP는 인증 + 무결성 + 기밀성 제공

- VPN의 두 가지 구성 모드(Transport / Tunnel)에 따라 구성 방식의 차이가 있다.

- AH와 ESP 모두 전송 모드는 Payload 값만 보호 , 터널 모드는 IP 패킷 전체 보호