Internet Protocol Security (IPsec) — стек протоколов для безопасного обмена информацией по IP, работающий посредством аутентификации и шифрования каждого пакета сессии.

Мотивация

Несмотря на наличие протоколов прикладного уровня, поддерживающих шифрование (например, HTTPS), они не покрывают всех возможных сценариев использования, и наличие шифрования на сетевом уровне зачастую обеспечивает бóльшую гибкость.

Архитектура

IPSec состоит из следующих протоколов:

Authentification Header (RFC 2402)

Добавляет в IP-пакет заголовок, обеспечивающий целостность путём проверки того, что ни один бит в защищаемой части пакета (весь пакет, за исключением полей вроде TTL и контрольной суммы заголовка) не был изменён во время передачи. Это создаёт проблемы при использовании NAT, так как он меняет содержимое пакета, подменяя обратный адрес на свой. NAT мог бы подменить и контрольную сумму, но при её подсчёте используется Integrity Check Value — секретное значение (ключ), известное на обоих концах до начала передачи. Таким образом, использовать AH за NAT не представляется возможным.

Encapsulating Security Payload (RFC 2406)

Инкапсулирующий протокол безопасности, который обеспечивает и целостность и конфиденциальность. В режиме транспорта ESP заголовок находится между оригинальным IP заголовком и заголовком TCP или UDP. В режиме туннеля заголовок ESP размещается между новым IP заголовком и полностью зашифрованным оригинальным IP пакетом.

Режимы

Transport mode

Tunnel mode

Использование

Источники информации

• Wikipedia — IPsec
• IPSec — протокол защиты сетевого трафика на IP-уровне
• An Illustrated Guide to IPsec
• Security Architecture for the Internet Protocol