[2022년도 국가공무원 9급][네트워크보안] 19번

문19. IPSec의 보안 연관(security association)을 식별하기 위한 매개변수로 옳지 않은 것은?

① 보안 매개변수 색인(security parameters index)

② 발신지 IP 주소

③ 수신지 IP 주소

④ 보안 프로토콜 식별자(security protocol identifier)

[해설]

▣ IPSec SA(Security Association)

ㅇ 데이터의 안전한 전달을 위해, 통신의 쌍방 간에 약속되어지는 사항들

 - 암호 알고리즘, 키 교환 방법, 키 교환 주기 등에 대한 합의

. 이는 통신 연결 이전에 쌍방 간에 합의가 있어야 함

ㅇ 결국, 보안을 만족시키기 위해, 구체적으로 합의되어야 할 요소들의 결합을 말함

 - 1 이상의 보안서비스를 구현하기 위한 보안 속성들의 연결 집합

▣ IPSec SA(Security Association) 식별 - 3가지 매개변수를 사용

ㅇ 보안 매개변수 색인 (SPI, Security Parameter Index)

 - 32 비트 짜리 비트열 

. 보안연관(SA)을 유일하게 식별하는 ID (sequence number counter)

. IPSec에서, 알고리즘, 세션, 파라미터 등의 식별을 위해, AH 또는 ESP 헤더에 넣는 값

. `0` : 내부 구현용 (외부 네트워크로써 사용 안함)

. `1 ~ 255` : 추후 사용 예약    

    * 각 SA가 단 방향성 임

. 양 방향성(inbound,outbound)을 이루려면 SA 쌍으로 구성됨

. 따라서, 각 방향 SA 마다 식별자(ID)가 있게 됨

    * 보안연관이 성립된 연결(세션) 동안에, 모든 패킷에 대해 동일하게 됨

ㅇ 수신지 IP 주소

 - SA 종단인 최종 목적지의 네트워크(라우터,침입탐지시스템 등) 또는 호스트 IP 주소

. 각 목적지 주소 마다 SA가 유일함

ㅇ 보안 프로토콜 식별자 (Security Protocol Identifier)

 - IPSec는 2가지 유형을 갖음 : AH 헤더, ESP 헤더 

. 이중 어느 것과 관련된 SA인지를 나타냄