El protocolo IPSec es un conjunto completo de protocolos para cifrado, autenticación, integridad de datos y tunelización. La seguridad se implementa en la capa de red de referencia OSI (Open System Interconnection), por lo que proporciona una seguridad transparente para cualquier aplicación de red o transmisión.
Los componentes básicos de IPSec incluyen:
IPSec ofrece dos modos de trabajo:
En un modo de transporte, sólo el contenido de un determinado paquete IP suele estar cifrado o autenticado. La información de enrutamiento permanece sin cambios, a menos que la cabecera del paquete IP sea modificada o cifrada. Cuando se utiliza un AH (Authentication Header), las direcciones IP no se pueden traducir, porque el valor hash siempre se pierde. Las capas de transporte y aplicación siempre están protegidas por la función hash, por lo que no pueden modificarse (por ejemplo, cambiando el número de puerto).
En el modo túnel, todo el paquete IP es encriptado o autenticado por ESP (Encapsulating Security Payload). Luego se encapsula en un nuevo paquete IP con un nuevo encabezado utilizando el encabezado de autenticación AH. Este modo se utiliza para crear VPNs para la comunicación entre redes extremo a extremo individuales (por ejemplo, entre routers que enlazan diferentes redes), comunicaciones Host-to-Site (por ejemplo, acceso remoto de usuarios) y comunicaciones Host-to-Host (por ejemplo, chat privado).
El modo túnel soporta NAT (Network Address Translation) y PAT (Port Address Translation).
IPSec no contiene en su cabecera ningún campo para la especificación de un modo de funcionamiento. El modo de funcionamiento se define en función del valor del campo Next Header (el valor"IP" indica el modo de tunelización; los valores"TCP, UDP, ICMP" (u otros) identifican el modo de transporte).
Los beneficios de IPSec incluyen su transparencia, no hay necesidad de modificar protocolos de capa superior, IPsec puede proteger cualquier protocolo IP, protege protocolos "antiguos" que no son seguros y que son ampliamente soportados por HW (Hardware) y SW (Software).
Las desventajas de IPSec incluyen la sobrecarga y la necesidad de instalar el cliente en caso de acceso remoto. No se ocupa de la autenticación de usuarios; NAT y PAT problemáticos (que sólo se pueden utilizar en el modo túnel) y tráfico de multidifusión y difusión.
Protocolo IPSec: