1. Tryb transportowy
  2. Tryb tunelowy
  3. AH (Authentication Header)
    1. realizuje kontrol? integralno?ci i autentyczno?ci datagramu IP oraz umo?liwia uwierzytelnianie
    2. przenosi warto?? jednokierunkowej funkcji skrótu tre?ci datagramu oraz sta?ych pól nag?ówka (zarówno w trybie transportowym jak i tunelowym)
    3. wykorzystuje funkcje HMAC (keyed-Hash Authentication Code)
      1. MD5
      2. SHA-1
      3. RIPEMD-160
      4. inne (negocjowane)
    4. fragmentacja datagramu jest dokonywana wcze?niej (podpisywany jest ka?dy fragment oddzielnie)
    5. niezaprzeczalno?? osi?gana jest poprzez silne algorytmy kryptograficzne, np. RSA
  4. ESP (Encapsulating Security Payload)
    1. zapewnia integralno?? i poufno?? tre?ci datagramu
    2. podpisywanie datagramu
    3. zaszyfrowanie datagramu - szyfry blokowe w trybie CBC (Cipher Block Chaining)
      1. DES
      2. 3DES
      3. Blowfish
      4. CAST-128
      5. Rijandel/AES
      6. 3-IDEA
    4. nag?ówek ESP musi by? umieszczony bezpo?rednio przed zaszyfrowaniem danych
    5. format i d?ugo?? zaszyfrowanych danych zale?y od metody szyfracji podanej w SPI (Security Parameters Index)
  5. Tryby pracy
    1. Tryb transportowy/bezpo?redni (transport mode)
      1. do datagarmu dodawany jest nag?ówek AH / ESP i dane datagramu (ramka TCP, UDP, ICMP, ...) zostaj? zabezpieczone (podpisane / zaszyfrowane) bezpo?rednio za nim
    2. Tryb tunelowy (tunnel mode)
      1. oryginalny datagram IP zostanie zabezpieczony (podpisany / zaszyfrowany) w ca?o?ci z nag?ówkiem PDU protoko?u IPSec (ramk? AH / ESP), a nast?pnie umieszczony w niezabezpieczonym datagramie IP jako jego dane
  6. Schemat dzia?ania
    1. Wys?anie pakietu
      1. Sprawdzenie czy i w jaki sposób wychodz?cy pakiet ma by? zabezpieczony
        1. sprawdzenie polityki bezpiecze?stwa w SPD (Security Policy Database)
        2. je?li polityka bezpiecze?stwa ka?e odrzuci? pakiet to pakiet jest odrzucany
        3. je?li pakiet nie musi by? zabezpiwczany to jest wysy?any
      2. Ustalenie, które SA (Security Association) powinno by? zastosowane do pakietu
        1. odszukanie istniej?cego SA w bazie SAD (SA Database)
        2. nawi?zanie odpowiedniego SA je?li nie jest jeszcze nawi?zane
      3. Wykonanie zabezpiecze? wykorzystuj?c algorytmy, parametry i klucze zawarte w SA
        1. wynikiem jest stworzenie nag?ówka AH lub ESP
        2. dodatkowo mo?e zosta? równie? utworzony nowy nag?ówek IP (w trybie tunelowym)
      4. Wys?anie powsta?ego pakietu IP
    2. Odebranie pakietu
      1. Sprawdzenie nag?ówka IPSec
        1. odszukanie odpowiedniego SA w SAD na podstawie SPI zawartego w nag?ówku
        2. post?powanie zgodnie z informacjami zawartymi w SA
        3. je?li SA wskazany przez SPI nie istnieje, to pakiet jest odrzucany
      2. Sprawdzenie czy i jak pakiet powinien by? zabezpieczony
        1. sprawdzenie polityki bezpiecze?stwa w SPD
        2. je?li polityka bezpiecze?stwa ka?e odrzuci? pakiet to pakiet jest odrzucany
        3. je?li zabezpieczenia pakietu nie odpowiadaj? polityce bezpiecze?stwa to pakiet jest odrzucany
        4. je?li pakiet by? zabezpieczony prawid?owo to przekazywany jest wy?ej
  7. IKE (Internet Key Echange)
    1. Protokó? do dystrybucji klucza i uwierzytelniania stron
      1. uwierzytelnienie obu stron komunikacji wobec siebie za pomoc? jednej z metod
        1. has?o znane obu stronom
        2. podpisy RSA
        3. certyfikaty X.509
      2. nawi?zanie bezpiecznego kana?u dla potrzeb IKE nazywanego ISKAMP SA
      3. bezpieczne uzgodnienie kluczy keyptograficznych oraz parametrów tuneli IPSec
      4. ewentualna ich renegocjacja co okre?lony czas
  8. SPI (Security Parameters Index)
    1. na tej podstawie definiowany jest odpowiedni tunel i protoko?y szyfrowania
    2. licznik sewencyjny mówi o kolejno?ci pakietów 2^32 pakietów (po tym tworzony jest nowy tunel)