Rechnernetze

Erweiterungsheader

IPsec verwendet für die Übertragungssicherheit - sowohl in IPv6 als auch in IPv4 - zwei Erweiterungsheader.

	Mit dem Authentisierungsheader (*Authentication Header,* ) werden Datenintegrität, Authentisierung und Schutz vor Wiederholung erreicht.
	Mit dem Encapsulating Security Payload-Header (ESP-Header) können Vertraulichkeit durch Verschlüsselung und Verkehrflußvertraulichkeit erreicht werden; außerdem können gleichzeitig Datenintegrität, Authentisierung oder Schutz vor Wiederholung realisiert werden.
	Beide Header werden zum Austausch von kryptographischen Schlüsseln verwendet und dienen somit auch der Zugangskontrolle.

Durch die Kombination entsprechender Verfahren lässt sich den genannten Sicherheitsanforderungen genügen. Alle Verfahren können im Transportmodus als Dienst für Protokolle der höheren Schichten oder im Tunnelmodus als Dienst für getunnelte IP-Datagramme eingesetzt werden.

Der Anwender kann bei IPsec festlegen, ob zwischen zwei Knoten jede einzelne Verbindung verschlüsselt wird oder ob alle Verbindungen über einen gemeinsamen Tunnel laufen. Dazu muss spezifiziert werden,

	welche Dienste werden benutzt und in welcher Kombination werden sie eingesetzt;
	auf welche Verbindungen bzw. Gruppen von Verbindungen (Granularität) werden Sicherheitsdienste eingesetzt;
	welche Algorithmen werden verwendet.

Um kryptographische Schlüssel zu verteilen, können manuelle und automatische Verteilungsverfahren eingesetzt werden. IPsec spezifiziert ein eigenes Public-Key-Verfahren, unterstützt aber auch andere Verfahren zur Schlüsselverteilung wie Kerberos.

Implementiert werden kann IPsec in End- oder Transitgeräten wie Routern oder Firewalls. Beispiele hierfür sind

Integration von IPSec in die IP-Implementierung.
Integration von IPSec im Protokollstapel unterhalb der Vermittlungsschicht (IP).
Integration von IPSec in die Übertragungsleitung (Link), auch als Bump-in-the-wire (BITW) bezeichnet.