IPsec 관련문제

Q. 기관의 보안담당자는 예산이 없는 관계로 구버전의 VPN 장비를 사용하기로 하였다. 하지만 배치 후 다음과 같은 문제가 발생하였다. 

- 사내 네트워크는 NAT를 통해 사설IP가 사용되고 있었음

- IPsec의 ESP 모드를 사용할 때는 문제가 없었으나 AH 모드 사용시에는 연결에 문제가 발생하였음

- IPsec 모듈을 버전보다 상위버전으로 업그레이드 한 뒤에는 문제가 없었음

 

(1) 문제점은?

- ESP와 모드와 달리 AH 모드에서는 IP 헤더정보까지 포함해서 인증을 수행하게 된다. 

사내 네트워크가 NAT 환경이라 송신시점의 IP정보가 NAT가 되어 수신시점에서는 변경된 IP정보를 가지고 있고

이 IP 헤더를 검증하게 된다. 따라서 송신시점과 수신시점의 인증값이 달려져서 연결에 문제가 발생하게 된것이다. 

구 버전의 IPsec 모듈의 경우 이러한 헤더의 변경되는 필드에 대한 인증값 예외 처리가 정상적으로 이루어지지 않아서 문제가 발생한 것이며 버전 업그레이드 이후에는 이러한 부분에 대해 적절한 처리가 이루어져 문제가 발생하지 않았다.

 

(2) 이 상황에서 Pre_shared_key를 사용하여 다른 장비와 연결하고자 한다. 이 기술에 대한 장점과 단점을 기술하시오.

Pre_Shared_key는 상대방을 인증하기 위하여 사전에 공유하는 비밀키이다. 

양쪽 당사자 간에 동일한 키를 가지고 인증을 함으로써 간단하게 상호인증을 수행할 수 있다는 장점이 있지만, 통신의 대상이 많을 경우 키 관리의 어려움이 존재하고 악의적인 공격자가 키 파일을 가로채면 보안상 심각한 문제가 발생할 수 있다는 단점이 있다.