Esistono diverse modalità per IPsec :
-
Intestazione autenticazione : controlli di integrità su pacchetti IP completi, ma senza crittografia.
-
Encapsulating Security Payload : integrità e crittografia sul pacchetto IP contenuto ; ma alcune informazioni di intestazione (in particolare gli indirizzi di origine e destinazione) non sono protetti.
-
ESP in modalità tunnel : vale a dire ESP tra due macchine e il contenuto del pacchetto IP è a sua volta completo pacchetto IP a sé stante.
Queste protezioni sono applicate su base per pacchetto. Spetta alle due macchine coinvolte applicare la protezione in modo coerente; dipende quindi dalla loro configurazione. Una configurazione sensata tra due macchine consiste nell'applicare l'ESP su tutti i pacchetti e rifiutare i pacchetti non protetti dall'altra macchina; in tal caso, tutte le connessioni TCP tra queste due macchine saranno "protette" nel senso che gli hacker non saranno in grado di comprendere i flussi di dati o di iniettare dati falsi. Tuttavia, sarà ancora chiaro agli attaccanti che le due macchine sono coinvolte in alcune connessioni TCP (la crittografia non nasconde la lunghezza, quindi l'iniziale handshake TCP a tre vie e il successivo meccanismo push / ack mostreranno uno schema altamente riconoscibile). / p>
L'ESP con modalità Tunnel è pensato principalmente per router e VPN. In genere, un tunnel viene aperto tra due reti distinte o tra una rete e una macchina esterna. Gli aggressori saranno in grado di vedere che i dati vengono scambiati tra la macchina esterna e la rete, ma gli unici indirizzi IP che vedranno saranno quelli del gateway di rete e della macchina esterna. Gli attuali indirizzi di destinazione rimarranno nascosti.
Gli attaccanti attivi possono sempre interrompere le comunicazioni facendo cadere i pacchetti. Nessuna quantità di IPsec può impedirlo.