Протокол АН (Authentication Header - заголовок аутентификации) действует как цифровая подпись и гарантирует, что данные в пакете IP не будут несанкционированно изменены. AH можно назвать параноидальным, редко используется, несет дополнительную нагрузку на шифрование.
Протокол ESP (Encapsulating Security Payload – безопасная инкапсуляция полезной нагрузки) занимается шифрованием данных.
Протокол IKE (Internet Key Exchange protocol – протокол обмена ключами) используется для формирования IPSec SA (Security Association), проще говоря, согласования работы участников защищенного соединения. Используя этот протокол, участники договариваются, какой алгоритм шифрования будет использоваться, по какому алгоритму будет производиться (и будет ли вообще) проверка целостности, как аутентифицировать друг друга.
SA (Security Association - ассоциация защиты) в общем смысле представляет собой набор параметров защищенного соединения (например, алгоритм шифрования, ключ шифрования), который может использоваться обеими сторонами соединения. Каждой SA ассоциации защиты IPSec присваивается индекс SPI (Security Parameter Index - индекс параметров защиты) - число, используемое для идентификации ассоциации защиты IPSec.
Как создается защищенное соединение в IPSec.
Сначала на интерфейс приходит криптотрафик. Участникам надо договорится, какие алгоритмы/механизмы защиты они будут использовать для своего защищенного соединения, поэтому начинает работу протокол IKE. Процесс состоит из двух фаз:
