IPSec 터널 연결 및 트래픽 전달 방식 20221004

비대칭키 방식은 man-in-the-middle attack 취약 과
Public Key 의 안정성 공인 필요 로 CA 출현

CA는 인증서에 통신을 원하는 주체의 Public Key 정보를 담고 CA의 private key를 이용하여 
Sign (서명)을 하고 인증서를 배포

통신을 위하는 주체는 상대방의 인증서를 CA로부터 받아 인증서의 적절함을 CA를 통해 확인할 수 있다.
인증서 내용을 통해 상대방의 Public Key를 얻고
CA의 signature를 통해 해당 Public Key가 정상적인 대상이라는 것을 확인
   
IPSec 터널 연결 및 트래픽 전달 방식
IKE isakmp sa : Main mode 6개 양방향 메세지
                    Aggressive mode(3개)
                    UDP500

A-------------------------B  (통신은 UDP를 이용하여 발송만 한다)
1) A가 B에게 인증을 위한 정보 전송 (MD5,DES)
2) B가 A에게 인증을 위한 정보 전송 (어느 hash를 쓰고 어느 암호알고리즘을 사용할지 등)
3) A 가 B에게 키 전송을 위한 정보 전송 
4) B 가 A에게 키 전송을 위한 정보 전송
   - 위의 3,4의 과정을 통해서 상호 사용할 수 있는 share 키가 생성
   * Key를 생성하기위한 과정을 3,4에서 진행(디프헬만알고리즘을 이용한 키전송)
5),6) 통해서 암호화와 인증을 하고 자료를 전송

IPSec sa생성 :  Quick Mode(3개 각 방향 별도)
키를 생성하기위한 디프헬만 을 계속 사용

Quick 모드까지는 UDP500 사용


Interest Traffic(IPSec 터널을 이용하는 실제 사용자 트래픽) 전달(ESP/AH, Tunnel/Transport mode)
Interest Traffic : 관심 트래픽