p> IP , тому він встановлює TCP / IP -з'єднання з віддаленим шлюзом. За допомогою цього з'єднання шлюз передає весь IP -трафік хоста-ініціатора всередині цього з'єднання, замість того щоб просувати його.
IPSec реалізує і IP / IP , і IPSec / IP . IP / IP забезпечує незашифрований віртуальний тунель між двома кінцевими системами a IPSec / IP застосовує ESP для шифрування вкладених даних несучого IP , таким чином зашіфровивая весь інкапсульованний IP -пакет
Internet Key Exchange . IPSec використовує криптографію відкритого ключа для шифрування даних між кінцевими системами. Для того щоб встановити IPSec -з'єднання з хостом-одержувачем, що передає хост повинен знати відкритий ключ цього хоста. Технічно відправник може просто запросити у хоста відкритий ключ, але це е забезпечить аутентифікації - будь-який хост може запросити ключ і отримати його. Таким чином працює SSL , справжність комп'ютер; не має значення, і SSL покладається на який-небудь інший протокол для аутентифікації користувача після установки тунелю.
IPSec використовує концепцію Security Association (безпечна асоціація, SA ) для створення іменованих комбінацій ключів і політики, використовуваних для захисту інформації для певної функції. Політика може вказувати певного користувача, IP -адреса хоста або мережеву адресу, аутентифікація яких повинна бути проведена, або задавати маршрут, де можна було б отримати таку інформацію.
Internet Key Exchange ( IKE ) усуває необхідність вручну вводити ключі в системи. IKE використовує безпеку з секретним ключем для підтвердження своїх повноважень для створення IPSec -з'єднання і для секретного обміну відкритими ключами. Протокол IKE також здатний погоджувати сумісний набір протоколів шифрування з чужим хостом, так що адміністраторам не потрібно знати, які саме протоколи шифрування підтримуються на хості іншого боку. Після обміну відкритими ключами і узгодження протоколів шифрування безпечні асоціації автоматично створюються на обох хостах і може бути встановлено звичайне IPSec -взаємодія. З використанням
