IPsec ist keine einzelne Technologie, sondern besteht aus einer Reihe von Protokollen (Regeln) und Prozessen, die eine sichere Netzwerkkommunikation gewährleisten sollen. Hier sind die wichtigsten Elemente der IPsec-Suite:

Authentifizierungs-Header (AH)
Daten werden in Segmenten (Paketen) über ein Netz übertragen. Jedes Paket hat einen „Header“, d. h. Informationen, die beschreiben, was das empfangende Gerät von dem Datenstrom erwarten kann. Der Authentifizierungs-Header (AH) wirkt im Wesentlichen wie ein fälschungssicheres Siegel. Er ermöglicht es dem empfangenden Gerät, die Herkunft des Datenpakets zu überprüfen und sicherzustellen, dass während der Übertragung nicht auf das Paket zugegriffen wurde oder es verändert wurde.

Encapsulating Security Protocol (ESP)
Dieses Protokoll fügt nicht nur eine weitere Authentifizierungsschicht hinzu, sondern ist auch für die Verschlüsselung zuständig und stellt sicher, dass nur autorisierte Geräte die übertragenen Daten lesen können.

Internet Security Association und Schlüsselverwaltungsprotokoll
Bei ESP verwenden die miteinander kommunizierenden Geräte einen gemeinsamen Schlüssel zum Ver- und Entschlüsseln der ausgetauschten Daten. Um dies zu erleichtern, definiert ISAKMP die Attribute der Verbindung, einschließlich der Festlegung des zu verwendenden Verschlüsselungsschlüssels und des kryptografischen Algorithmus.

IPsec arbeitet in einem von zwei Modi: Tunnel oder Transport.

Tunnel-Modus
Im Tunnelmodus wird das gesamte IP-Datenpaket – sowohl die Nutzdaten als auch der Header – während der Übertragung verschlüsselt. IPsec verschlüsselt das Paket, fügt einen neuen IP-Header hinzu und sendet es an den anderen Endpunkt. Dieser Modus ermöglicht eine sichere Datenübertragung, auch wenn mehrere Geräte über unterschiedliche Netze miteinander kommunizieren.

Transport-Modus
Im Transportmodus wird nur die Nutzlast des Datenpakets verschlüsselt und authentifiziert. Am Header werden keine Änderungen vorgenommen. Im Hinblick auf die Bandbreite hat der Transportmodus einen geringeren Overhead als der Tunnelmodus. Er wird häufig für die Geräte- und Netzwerkverwaltung verwendet, z. B. wenn ein Techniker für Wartungsarbeiten auf einen entfernten Server zugreift.

Host-Erkennung
Das System erkennt, dass ein Datenpaket geschützt werden muss. Das Paket wird als „interessanter Verkehr“ behandelt und löst automatisch die entsprechenden IPsec-Sicherheitsrichtlinien aus.

IKE-Phase Eins
Die kommunizierenden Geräte (Peers) werden authentifiziert. Außerdem wird eine Internet Key Exchange (IKE)-Richtlinie zwischen diesen Peers ausgehandelt. Dadurch wird sichergestellt, dass die Parteien denselben Verschlüsselungsschlüssel verwenden. Es wird ein sicherer Tunnel für den Datenaustausch eingerichtet.

IKE-Phase zwei
Die Parameter für den Datenaustausch werden zwischen den Peers unter Verwendung von ISAKMP ausgehandelt.

Datenübertragung
Die Daten werden verschlüsselt und dann durch den IPsec-Tunnel übertragen. Am anderen Ende werden die Pakete entschlüsselt.

Ein virtuelles privates Netzwerk (VPN) verbindet zwei oder mehr Geräte und ermöglicht ihnen den Zugriff auf ein gemeinsames System. Es handelt sich im Wesentlichen um einen sicheren Tunnel, der über ein öffentliches Netz betrieben werden kann.

Für Unternehmen kann ein VPN eine private Verbindung zwischen den Geräten verschiedener Mitarbeiter und den Systemen des Unternehmens herstellen, was ideal für die Einrichtung von Fernarbeit ist. Diese Art von Lösung ist auch für IoT-Initiativen nützlich, da sie es den eingesetzten intelligenten Geräten ermöglicht, mit der Infrastruktur zu kommunizieren, die sie verwaltet oder Daten von ihnen sammelt.