IPsec (IP security) je skup protokola koji je razvila organizacija IETF (Internet Engineering Task Force) kako bi zaštitila razmjenu podataka preko IP sloja u mrežnom protokolu koji se koristi na Internetu. IPsec se koristi kod implementacije virtualne privatne mreže (virtual private network). Dakle osnovna namjena IPsec protokola je mogućnost uspostave sigurne komunikacije između dva računala preko nesigurnog medija kao što je Internet ili lokalna mreža.
IPsec ima dva osnovna načina rada:
- Transportni način (transport mode)
U ovom načinu rada enkriptira se samo teret( payload ) koji nosi paket, ne i njegovo zaglavlje( header ). - Tunelski način (tunnel mode)
U ovom načinu rada enkriptira se i teret i zaglavlje paketa. Smatra se sigurnijim od transportnog načina.
Također postoje i dva protokola koji se koriste u IPsec-u:
- AH (Authentification header) - koristi se samo za autentifikaciju svakog pojedinog paketa.
- ESP (Encapsulating Security Payload) - pruža usluge autentifikacije i enkripcije svakog pojedinog paketa.
Dakle iz prethodno nabrojenog može se vidjeti da korisnik koji želi autentificirati primljeni paket ima sveukupno četiri različita načina na raspolaganju:
- Transportni način/AH
- Tunelski način/AH
- Transportni način/ESP ukoliko se ne koristi enkripcija
- Tunelski način/ESP ukoliko se ne koristi enkripcija
Međusobna razlika je minorna tako da je praktično svejedno koji će se način koristiti. No to donosi sa sobom i pitanje zašto su nam onda potrebna dva protokola koji se koriste. Misao vodilja kreatora IPsec-a je bila da se AH koristi kada je potrebna autentifikacija, a ESP kada je uz autentifikaciju potrebno i pakete zaštititi enkripcijom. No na prvi pogled se vidi kako je transportni način rada ustvari dio tunelskog načina rada, gledajući iz perspektive mreže. Jedina prednost korištenja transportnog načina rada je u nešto manjem opterećenju mreže, no to i to se dade popraviti ukoliko se u tunelskom modu primjene neke metode kompresije zaglavlja paketa. Dakle nameće se zaključak kako se transportni način rada može izbaciti iz protokola i može se, bez ikakvih posljedica, koristiti samo tunelski način rada.
U transportnom načinu rada bolje je koristiti AH protokol jer on autentificira i zaglavlje paketa. U tunelskom načinu rada najčešće se koristi ESP protokol.
AH protokol ima i neke nedostatke. Najveći nedostatak to da on autentificira zaglavlja i nižih mrežnih slojeva što je izravno kršenje načela modularnosti u izradi mrežnih protokola. Zbog toga AH protokol mora poznavati sve tipove podataka koji se koriste u zaglavljima nižih mrežnih slojeva. Ukoliko se dogode izmjene u standardu koji opisuje neki od nižih mrežnih protokola to će dovesti do problema sa AH protokolom u IPsec-u. Tunelski način rada u kombinaciji sa ESP-om otklanja navedeni problem ali on je i zahtjevniji na širinu pojasa( bandwidth ).
