Modos de funcionamiento

IPSec tiene dos modos de funcionamiento básicos dependiendo de qué es lo que encapsulemos dentro de los paquetes IPSec. Estos modos son:

• Modo transporte, en el cual la cabecera IPSec se inserta después de la cabecera IP del paquete original, conteniendo ésta un identificador de Asociación de Seguridad, un número de secuencia y un posible resumen del campo de datos.
• Modo túnel, en el cual se encapsula el paquete IP original en otro paquete IPSec.

Relacionemos ahora estos dos modos de funcionamiento con los dos posibles protocolos de seguridad:

• En el caso de ESP, una asociación de seguridad en modo transporte ofrecerá servicios de seguridad a las capas más altas, no a la cabecera IP que precede a la de ESP.
• En el caso de AH, una asociación de seguridad en modo transporte se extiende hasta cubrir las partes invariantes de la cabecera IP (aquellas que no son susceptibles de cambiar al pasar entre los distintos encaminadores entre el origen y el destino).

Si se emplea una asociación de seguridad en modo túnel tendremos que si aplicamos ESP se ofrecerán servicios de seguridad al paquete que viaja encapsulado (y sin modificar). Si utilizamos AH, podremos además proteger la cabecera del paquete exterior (las partes invariantes).

Lo anteriormente dicho no es completamente cierto. Si bien cuando se diseñaron las primeras versiones de IPSec el protocolo ESP sólo ofrecía servicios de cifrado, en la actualidad se ha extendido para ofrecer también servicios de autenticación. Podemos decir que AH queda realmente relegado a casos en los que sólo necesitamos autenticación. Aunque el resultado sería el mismo que escogiendo el algoritmo de cifrado Null en el protocolo ESP.