IPsec (IP Security Protocol) vznikl jako iniciativa IETF (The Internet Engineering Task Force - http://www.ietf.org/). Byl zařazen jako povinná součást protokolu IPv6, ale lze ho provozovat i v protokolu IPv4.
IPsec (IP Security Protocol) definuje přidání bezpečnostního mechanismu do standardní IP vrstvy. Těmito mechanismy jsou:
Podle toho, jaký mechanismus byl zvolen, se rozhodne, jaký typ hlavičky se bude do paketu přidávat (hlavička se do paketu přidává mezi hlavičku IP a TCP). Při potřebě autentizace se přidává Authentification Header (AH). Je-li potřeba šifrování, přidá se hlavička Encapsulating Security Paylod (ESP).
IPsec přitom nepředepisuje, pomocí jakých algoritmů musí daná komunikace probíhat, pouze definuje mechanismy výměny informací a minimální množinu podporovaných algoritmů, které by aplikace měly znát, ale které používat nemusí. Těmi jsou pro MD5 a SHA-1 pro kontrolní součty a DES pro kryptování.
Způsob, jakým bude komunikace probíhat se nazývá security association (SA) a obsahuje zvolené kryptografické algoritmy, dobu platnosti klíče, druh zapouzdření, kompresi. Tyto atributy mohou být nastavený ručně, nebo se mohou za běhu dojednávat pomocí protokolu Internet Key Exchange (IKE). Ověřování může probíhat buď pomocí sdíleného klíče, který je na obou stranách spojení, nebo mechanismem veřejných a privátních klíčů. Jestliže jsou dohodnuty parametry relace, jedna strana vygeneruje symetrický klíč, kterým jsou data během relace šifrována.
Pomocí IPsec mohou být propojeny dvě sítě (reprezentované routerem nebo firewallem), koncovou stanici a síť, nebo dvě koncové stanice. Přitom je možno používat dva módy přenosu dat:
Při transportní módu se zabezpečují data, ale nijak se nemění IP hlavička (obr. 3 s AH a obr. 4 s ESP). Naopak při tunelovém módu se celý paket zabalí, připojí se hlavička IPsecu a nakonec se přidá nová IP hlavička(obr. 5 s AH a obr. 6 s ESP). Tunelový mód se může uplatnit například při propojení sítě s neveřejnými IP adresami.
Zhodnocení:
