Im Unterschied zu TLS/SSL und SSH setzt IPSec schon auf der dritten Ebene des OSI Modells (Network Layer) an, um Daten im Transit abzusichern. IPSec kann dabei jeglichen IP basierten Verkehr unabhängig vom verwendeten Anwendungsprotokoll absichern. Im Gegensatz zum ungesicherten Standard IPv4 Protokoll bietet die IPSec Protokollsuite auch
- Nichtabstreitbarkeit durch Signierung,
- Authentifizierung und
- Verschlüsselung von Verkehr.
- Zudem kann durch konfigurierbare Regelsätze der Verkehr zwischen zwei Endpunkten nach bestimmten IP-Adressen, verwendeten Protokollen, Verkehrsrichtung etc. gefiltert werden = Basis-Firewallfunktion auf Protokollebene.
Sinnvolle Einsatzszenarien innerhalb des Unternehmens sind z.B. das End-to-End Absichern des Verkehrs zwischen sicherheitskritischen Servern und Arbeitsstationen. Optional kann IPSec auch als sichere Site-to-Site Tunneling Lösung verwendet werden, falls die beteiligten Endpunkte nicht über ein Standard VPN-Protokoll kompatibel sind. Dies ist allerdings selten der Fall und meist wird nur der Transportmodus für IPSec verwendet. Nichtsdestotrotz gibt es mit L2TP/IPSec ein reines VPN Protokoll auf IPSec-Basis, das weithin Verwendung findet (siehe Kapitel VPN mit Zertifikaten). IPSec profitiert von PKI Diensten, indem für die sichere gegenseitige Authentifizierung der Kommunikationsendpunkte auch die Verwendung von X.509 Zertifikaten ermöglicht wird.
