El objetivo de IPSec es ofrecer distintos servicios de seguridad a la capa IP, tanto para los protocolos IPv4 como IPv6. El conjunto de servicios que ofrece es: control de acceso, integridad no orientada a conexión, autenticación del origen de datos, protección contra ataques de repetición, confidencialidad total sobre los datos y limitada sobre el flujo del tráfico. Que estos servicios se ofrezcan a la capa IP implica que se podrán beneficiar de ellos tanto la propia capa como sus superiores.
Dos protocolos se utilizarán para cubrir todos estos servicios: la Cabecera de Autenticación (AH o Authentication Header) y la Carga Encapsulada (ESP o Encapsulating Security Payload); además del uso de protocolos criptográficos y procedimientos de gestión de llaves. Qué parte o partes de los servicios que ofrece IPSec se utilizarán será una decisión de los usuarios, aplicaciones u organizaciones.
La serie de mecanismos utilizados por IPSec han sido diseñados con la idea de ser independientes de los algoritmos criptográficos. Sin embargo, la especificación ofrece una serie de algoritmos estándar para facilitar la interoperabilidad en Internet. Esto significa que la seguridad que obtendremos vendrá dada por el algoritmo que utilicemos y la calidad de su implementación.
Una implementación de IPSec correrá en un host o puerta de enlace de
seguridad, garantizando protección al tráfico
IP. Esta protección estará basada en los requerimientos definidos en
la Base de Datos de Políticas de Seguridad (SPD o Security Police
Database) por un usuario o administrador. IPSec se puede utilizar para
asegurar una o más rutas entre un par de hosts, un par de puertas de
enlace de seguridad o un host y una puerta de enlace de seguridad.