중요한 측면

단편화의 가장 중요한 측면 중 다음을 자세히 설명할 수 있습니다.

소스 노드의 조각화

IPv6에서는 나가는 링크의 MTU를 초과하는 패킷이 생성될 때 일반적으로 소스 노드에서 조각화가 수행됩니다. 소스 노드는 패킷을 더 작은 조각으로 분할하고 조각화 확장 헤더를 각 조각에 추가합니다.

각 조각에는 Fragment Offset 및 More Fragments 플래그와 같은 정보가 포함된 자체 조각화 헤더가 있습니다.

전송 중 조각화

라우터가 전송 중에 패킷을 조각화할 수 있는 IPv4와 달리 IPv6에서는 라우터가 패킷을 조각화하는 것이 허용되지 않습니다. 이를 "조각화 없는 라우팅"이라고 합니다. 라우터는 링크의 MTU를 초과하는 IPv6 패킷을 조각화하는 대신 단순히 삭제합니다. 이는 라우터의 처리 부하를 줄이고 네트워크 효율성을 향상시킵니다.

수집 및 재조립

조각 재조립은 대상 노드에서 수행됩니다. 대상 노드는 패킷 ID와 Fragment Offset 필드를 사용하여 관련 조각을 수집하고 원본 패킷을 재조립합니다. More Fragments 플래그는 마지막 조각이 수신되고 재조립이 완료될 수 있는 시기를 결정하는 데 사용됩니다.

다른 링크로 조각화

IPv6 패킷이 다른 MTU가 있는 링크를 통과해야 하는 경우 체인 조각화가 발생할 수 있습니다. 이 경우 소스 노드는 원본 패킷을 경로를 따라 각 링크의 MTU에 맞는 조각으로 조각화합니다. 그런 다음 라우터는 추가 조각화를 수행하지 않고 조각만 전달합니다.

조각화 옵션

IPv6에는 "점보 페이로드 옵션"이라는 조각화 옵션도 포함되어 있습니다. 이 옵션은 대부분의 링크의 MTU에서 허용하는 최대 크기를 초과하는 패킷을 보내는 데 사용됩니다. 점보 페이로드 옵션을 사용하면 최대 4GB 크기의 패킷을 조각화하고 재조립할 수 있습니다.

단편화 및 서비스 품질(QoS)

IPv6의 조각화는 서비스 품질에 영향을 미칠 수 있습니다. 패킷을 조각화할 때 원래 패킷에 있던 서비스 품질 정보 중 일부가 손실될 수 있습니다. 이로 인해 대상 노드에서 재조립하는 동안 조각의 성능 및 우선 순위가 저하될 수 있습니다.

PMTUD(경로 MTU 검색)

IPv6의 조각화를 방지하기 위해 경로 MTU 검색 메커니즘이 사용됩니다. PMTUD를 사용하면 소스 노드가 발견된 가장 낮은 MTU를 사용하여 전달 경로를 따라 패킷 크기를 조정할 수 있습니다. 이는 조각화를 방지하고 패킷 손실 없이 효율적인 전송을 보장합니다.

조각화 문제

IPv6의 조각화로 인해 네트워크에 몇 가지 제한 사항과 문제가 발생할 수 있습니다.

• • 처리 오버헤드: 대상 노드에서 조각을 재조립하려면 추가 처리 및 메모리 리소스가 필요할 수 있습니다.
  • 보안 문제들: 조각화는 서비스 거부(DoS) 공격과 악의적인 트래픽 숨기기 기술에 사용될 수 있습니다. 이러한 위험을 완화하기 위해 일부 장치 및 네트워크에서는 조각을 차단하거나 필터링할 수 있습니다.
  • MTU 검색: IPv6의 라우터는 패킷을 조각화하지 않으므로 소스 노드가 MTU 검색을 수행하여 전달 경로에 따라 적절한 MTU를 결정하는 것이 중요합니다. 이는 조각화를 방지하고 더 나은 패킷 전송 효율성을 보장합니다.

IPv6에서 조각화가 가능하더라도 가능하면 조각화를 피하는 것이 좋습니다. 조각화 없는 라우팅과 MTU 검색의 적절한 사용은 최적의 성능을 보장하고 네트워크의 복잡성을 최소화하는 데 중요합니다.

인증

인증 확장 헤더는 IPv6 패킷의 인증 및 무결성 확인을 위한 메커니즘을 제공합니다. 이 헤더는 IPv6 확장 헤더 뒤와 페이로드 헤더 앞에 배치됩니다. 주요 목적은 전송 중에 패킷의 원본 및/또는 내용이 변경되지 않았는지 확인하는 것입니다.

인증 확장 헤더가 있는 IPv6의 인증 프로세스에는 공유 비밀 키 또는 비대칭 키를 사용하여 디지털 서명 또는 메시지 인증 코드를 생성하는 패킷 소스가 포함됩니다. 패킷 수신자는 동일한 키를 사용하여 패킷의 신뢰성과 무결성을 확인할 수 있습니다.

시나리오

인증 확장 헤더는 높은 수준의 보안 및 인증이 필요한 다양한 시나리오 및 애플리케이션에서 사용할 수 있습니다. 다음은 이 헤더를 사용할 수 있는 몇 가지 경우입니다.

• VPN(가상 사설망): 공용 네트워크를 통해 보안 연결이 설정되는 VPN 환경에서는 VPN을 통해 이동하는 패킷의 신뢰성을 보장하는 데 사용할 수 있습니다. 이렇게 하면 패키지가 신뢰할 수 있는 소스에서 제공되고 전송 중에 수정되지 않았음을 보장할 수 있습니다.
• 기밀 통신: 금융 또는 의료 정보와 같은 기밀 또는 민감한 데이터가 전송되는 경우 해당 데이터가 변경되지 않았으며 예상 소스에서 나온 것인지 확인하는 데 사용됩니다. 이는 추가적인 보안 수준을 제공하고 전송된 데이터의 무결성을 보장합니다.
• 피싱 공격 방지: 피싱 공격을 방지하기 위해 사용됩니다. IPv6 패킷을 인증하면 해당 패킷이 올바른 소스에서 왔는지 확인하고 스푸핑된 패킷이 허용되는 것을 방지할 수 있습니다.
• 중요한 애플리케이션의 무결성 검증: 산업 제어 시스템 또는 중요 인프라와 같이 데이터 무결성이 중요한 환경에서 명령 및 제어 데이터가 전송 중에 수정되지 않았으며 승인된 소스에서 나온 것인지 확인하는 데 도움이 됩니다.

중요한 점은 인증 확장 헤더를 사용하려면 적절한 키 관리 메커니즘과 보안 인프라가 필요하다는 것입니다. 또한 소스와 수신자 모두 필요한 인증 작업을 수행하고 해당 비밀 키 또는 공개 키를 공유할 수 있어야 합니다.

캡슐화 보안 페이로드

확장 헤더 캡슐화 보안 페이로드(ESP) IPv6 패킷에 기밀성, 무결성, 인증 등의 보안 서비스를 제공하는 데 사용됩니다. ESP 헤더는 IPv6 확장 헤더 뒤, 패킷 페이로드 앞에 배치됩니다. 주요 목적은 전송 중 무단 액세스 및 변조로부터 패킷 데이터를 보호하는 것입니다.

ESP 확장 헤더를 사용하면 소스 및 대상 시스템이 통신을 보호하는 데 사용되는 암호화 알고리즘 및 보안 매개변수를 협상할 수 있습니다. 시스템은 대칭 또는 비대칭 암호화 사용에 동의할 수 있을 뿐만 아니라 암호화 해시 기능을 사용하여 메시지를 인증할 수도 있습니다.

ESP 확장 헤더를 사용하면 민감한 통신을 보호하고 데이터 개인 정보를 보호하며 도청 및 변조 공격을 방지할 수 있습니다. 그러나 이를 구현하려면 암호화 및 인증 키 설정 및 관리를 포함한 적절한 구성 및 관리가 필요합니다.

ESP 확장 헤더 기능

이 헤더에는 다음과 같은 특징이 있습니다.

• 다른 보안 서비스와의 통합: ESP 헤더는 다른 보안 서비스와 함께 사용되어 추가적인 보호 수준을 제공할 수 있습니다. 예를 들어, VPN(Virtual Private Network) 사용과 결합하여 네트워크 간 보안 연결을 생성하거나 방화벽 및 침입 탐지 및 방지 시스템과 함께 사용하여 네트워크 보안을 강화할 수 있습니다.
• C성능 고려사항: ESP 확장 헤더를 사용하려면 네트워크 장치에 대한 추가 처리가 필요하며 이는 통신 성능에 영향을 미칠 수 있습니다. 데이터를 암호화하고 인증하는 데 사용되는 암호화 알고리즘에는 특히 트래픽이 많은 환경에서 상당한 계산 리소스가 필요할 수 있습니다. 따라서 ESP 헤더를 구현할 때 보안과 네트워크 성능 간의 균형을 고려하는 것이 중요합니다.
• 키 관리 및 보안 정책: ESP 확장 헤더를 구현하려면 암호화 및 인증에 사용되는 보안 키를 적절하게 관리해야 합니다. 여기에는 키를 생성, 배포 및 안전하게 저장하는 것뿐만 아니라 관리 및 업데이트를 위한 보안 정책을 설정하는 것도 포함됩니다. ESP 헤더로 보호되는 데이터의 기밀성과 무결성을 보장하려면 적절한 키 관리가 필수적입니다.
• 표준 준수: ESP 확장 헤더는 RFC 4303의 IETF(Internet Engineering Task Force)에서 정의한 표준을 따릅니다. ESP 헤더 구현 시 상호 운용성과 보안을 보장하기 위해 표준에서 설정한 요구 사항과 권장 사항을 고려하는 것이 중요합니다.