IPsec ist eine Protokollfamilie, deren Architektur von der Internet Engineering Task Force (IETF) als Standard vorgeschlagen wurde. Die IETF ist eine Organisation, die sich mit der technischen Weiterentwicklung des Internets beschäftigt. IPsec wurde für die neueste Version des Internetprotokolls (IPv6) und nachträglich auch für IPv4 entwickelt und kann im Wesentlichen in die drei folgenden Funktionsgruppen unterteilt werden:
- Übertragungsprotokolle: Authentication Header (AH), Encapsulating Security Payload (ESP)
- Schlüsselmanagement: Internet Security Association and Key Management Protocol (ISAKMP), Internet Key Exchange (IKE)
- Datenbanken: Security Association Database (SAD), Security Policy Database (SPD)
Mithilfe der beiden Übertragungsprotokolle AH und ESP garantiert IPsec die Authentizität und Integrität der verschickten Daten, stellt also sicher, dass ihr Inhalt vom angegebenen Sender stammt und unverändert beim Empfänger ankommt. AH bietet zu diesem Zweck durch Erweiterung des Paket-Headers einerseits eine Authentifizierung der Datenquelle, um deren Echtheit zu bestätigen, und andererseits einen Schutz gegen die Veränderung der Pakete auf dem Transportweg. Außerdem fügt das AH-Protokoll dem Header eine Sequenznummer hinzu, wodurch das wiederholte Senden von Paketen verhindert wird.
Das ESP-Protokoll gewährt neben der Identitäts- und Integritätsprüfung auch eine Verschlüsselung der versendeten Daten. Allerdings unterscheidet sich die ESP-Authentifizierung insofern von der des AH-Protokolls, dass sie den äußeren IP-Header nicht berücksichtigt und somit nicht vollständig ist. Mithilfe einer zusätzlichen Verkapselung können die ESP-Inhalte dadurch jedoch in Netzwerken mit Adressübersetzung (NAT), wie sie etwa bei privaten DSL-Zugängen üblich sind, richtig zugestellt werden.
Für die Verwaltung der ESP-Verschlüsselung ist hauptsächlich das IKE-Protokoll verantwortlich. Es handelt die Sicherheitsvereinbarungen (Security Associations) zwischen Sender und Empfänger aus, nutzt das Diffie-Hellman-Verfahren für den sicheren Schlüsselaustausch und setzt dadurch die Definitionen des ISAKMP-Frameworks technisch um.
Die notwendigen Informationen für den Paketversand auf Basis von IPsec sind in den zwei lokalen Datenbanken SPD und SAD hinterlegt. Die Einträge in der Security Policy Database bestimmen beispielsweise, welche Übertragungsprotokolle – AH, ESP oder beide – für die sichere Verbindung verwendet werden sollen. Die SAD verwaltet die spezifischen Security-Association-Einträge, die vom IKE-Protokoll angelegt werden, und gibt damit dem Sender Verschlüsselungsverfahren inklusive Schlüssel und dem Empfänger das entsprechende Entschlüsselungsverfahren vor.