आईपीसेक

कम्प्यूटिंग में, इंटरनेट प्रोटोकॉल सिक्योरिटी (IPsec) एक सुरक्षित नेटवर्क प्रोटोकॉल सुइट है जो इंटरनेट प्रोटोकॉल नेटवर्क पर दो कंप्यूटरों के बीच सुरक्षित एन्क्रिप्टेड संचार प्रदान करने के लिए डेटा का प्रमाणीकरण और कूटलेखन पैकेट (सूचना प्रौद्योगिकी) है। इसका उपयोग वर्चुअल प्राइवेट नेटवर्क (वीपीएन) में किया जाता है।

IPsec में सत्र (कंप्यूटर विज्ञान) की शुरुआत में एजेंटों के बीच आपसी प्रमाणीकरण स्थापित करने और सत्र के दौरान उपयोग करने के लिए कुंजी (क्रिप्टोग्राफी) की बातचीत के लिए प्रोटोकॉल शामिल हैं। IPsec मेजबानों की एक जोड़ी (होस्ट-टू-होस्ट), सुरक्षा गेटवे (नेटवर्क-टू-नेटवर्क) की एक जोड़ी के बीच, या एक सुरक्षा गेटवे और एक होस्ट (') के बीच डेटा प्रवाह की रक्षा कर सकता है। 'नेटवर्क-टू-होस्ट')। IPsec इंटरनेट प्रोटोकॉल (IP) नेटवर्क पर संचार की सुरक्षा के लिए क्रिप्टोग्राफ़िक सुरक्षा सेवाओं का उपयोग करता है। यह नेटवर्क-स्तरीय सहकर्मी प्रमाणीकरण, डेटा उत्पत्ति प्रमाणीकरण, डेटा अखंडता, डेटा गोपनीयता (एन्क्रिप्शन), और रीप्ले सुरक्षा (रीप्ले हमलों से सुरक्षा) का समर्थन करता है।

आरंभिक IPv4 सुइट को कुछ सुरक्षा प्रावधानों के साथ विकसित किया गया था। IPv4 एन्हांसमेंट के एक भाग के रूप में, IPsec एक परत 3 OSI मॉडल या इंटरनेट लेयर एंड-टू-एंड सुरक्षा योजना है। इसके विपरीत, व्यापक उपयोग में आने वाली कुछ अन्य इंटरनेट सुरक्षा प्रणालियाँ नेटवर्क परत के ऊपर संचालित होती हैं, जैसे परिवहन परत सुरक्षा (TLS) जो ट्रांसपोर्ट परत के ऊपर संचालित होती है और सुरक्षित खोल (SSH) जो अनुप्रयोग परत पर संचालित होती है, IPsec स्वचालित रूप से अनुप्रयोगों को सुरक्षित कर सकता है। इंटरनेट परत पर।

इतिहास
1970 के दशक की शुरुआत में, DARPA ने प्रायोगिक ARPANET एन्क्रिप्शन उपकरणों की एक श्रृंखला को प्रायोजित किया, पहले देशी ARPANET पैकेट एन्क्रिप्शन के लिए और बाद में TCP/IP पैकेट एन्क्रिप्शन के लिए; इनमें से कुछ प्रमाणित और क्षेत्रबद्ध थे। 1986 से 1991 तक, NSA ने अपने सिक्योर डेटा नेटवर्क सिस्टम्स (SDNS) प्रोग्राम के तहत इंटरनेट के लिए सुरक्षा प्रोटोकॉल के विकास को प्रायोजित किया। इसने मोटोरोला सहित विभिन्न विक्रेताओं को एक साथ लाया, जिन्होंने 1988 में एक नेटवर्क एन्क्रिप्शन डिवाइस का उत्पादन किया था। यह कार्य राष्ट्रीय मानक और प्रौद्योगिकी संस्थान द्वारा लगभग 1988 से खुले तौर पर प्रकाशित किया गया था और इनमें से लेयर 3 (SP3) पर सुरक्षा प्रोटोकॉल अंततः ISO में बदल जाएगा। मानक नेटवर्क परत सुरक्षा प्रोटोकॉल (NLSP)। 1992 से 1995 तक, विभिन्न समूहों ने आईपी-परत एन्क्रिप्शन में अनुसंधान किया।
 * 1. 1992 में, यूएस नौसेना अनुसंधान प्रयोगशाला (NRL) ने IP एन्क्रिप्शन पर शोध करने और उसे लागू करने के लिए सरल इंटरनेट प्रोटोकॉल प्लस (SIPP) प्रोजेक्ट शुरू किया।
 * 2. 1993 में, कोलंबिया विश्वविद्यालय और एटी एंड टी बेल लैब्स में, जॉन आयोनिडिस और अन्य ने SunOS पर सॉफ्टवेयर प्रायोगिक स्वाइप (प्रोटोकॉल) (स्वाइप) पर शोध किया।
 * 3. 1993 में, व्हाइटहाउस इंटरनेट सेवा परियोजना द्वारा प्रायोजित, विश्वसनीय सूचना प्रणाली (टीआईएस) में वेई जू ने सॉफ्टवेयर आईपी सुरक्षा प्रोटोकॉल पर और शोध किया और ट्रिपल डेस के लिए हार्डवेयर समर्थन विकसित किया, जिसे बर्कले सॉफ्टवेयर वितरण 4.1 कर्नेल में कोडित किया गया था और x86 और SUNOS आर्किटेक्चर दोनों का समर्थन किया था। दिसंबर 1994 तक, TIS ने डिजिटल सिग्नल 1 गति पर एकीकृत ट्रिपल DES हार्डवेयर एन्क्रिप्शन के साथ अपना DARPA-प्रायोजित खुला स्त्रोत | ओपन-सोर्स गौंटलेट फ़ायरवॉल उत्पाद जारी किया। यह पहली बार राज्यों के पूर्वी और पश्चिमी तट के बीच IPSec VPN कनेक्शन का उपयोग कर रहा था, जिसे पहले वाणिज्यिक IPSec VPN उत्पाद के रूप में जाना जाता है।
 * 4. एनआरएल के डीएआरपीए-वित्तपोषित अनुसंधान प्रयास के तहत, एनआरएल ने आईपीएसईसी के लिए आईईटीएफ मानक-ट्रैक विनिर्देशों (आरएफसी 1825 से आरएफसी 1827 तक) को विकसित किया, जिसे बीएसडी 4.4 कर्नेल में कोडित किया गया था और x86 और स्पार्क सीपीयू आर्किटेक्चर दोनों का समर्थन किया था। 1996 के USENIX सम्मेलन की कार्यवाही में उनके पेपर में NRL के IPsec कार्यान्वयन का वर्णन किया गया था। NRL का ओपन-सोर्स IPsec कार्यान्वयन MIT द्वारा ऑनलाइन उपलब्ध कराया गया था और अधिकांश प्रारंभिक व्यावसायिक कार्यान्वयनों का आधार बन गया।

इंटरनेट इंजीनियरिंग टास्क फोर्स (IETF) ने 1992 में IP सुरक्षा कार्य समूह का गठन किया IP के लिए खुले तौर पर निर्दिष्ट सुरक्षा एक्सटेंशन को मानकीकृत करने के लिए, जिसे IPsec कहा जाता है। 1995 में, कार्यकारी समूह ने पांच कंपनियों (टीआईएस, सिस्को, एफटीपी, चेकप्वाइंट, आदि) के सदस्यों के साथ कुछ कार्यशालाओं का आयोजन किया। IPSec कार्यशालाओं के दौरान, NRL के मानकों और Cisco और TIS के सॉफ़्टवेयर को सार्वजनिक संदर्भ के रूप में मानकीकृत किया जाता है, RFC-1825 के माध्यम से RFC-1827 के रूप में प्रकाशित किया जाता है।

सुरक्षा संरचना
IPsec, IPv4 सूट के एक भाग के रूप में एक खुला मानक है। IPsec विभिन्न कार्यों को करने के लिए निम्नलिखित प्रोटोकॉल (कंप्यूटिंग) का उपयोग करता है:
 * #Authentication Header|Authentication Headers (AH) IP डेटाग्राम के लिए कनेक्शन रहित डेटा अखंडता और डेटा मूल प्रमाणीकरण प्रदान करता है और रीप्ले हमलों से सुरक्षा प्रदान करता है।
 * #Encapsulating Security Payload|Encapsulating Security Payloads (ESP) गोपनीयता, कनेक्शन रहित डेटा अखंडता, डेटा मूल प्रमाणीकरण, एक एंटी-रीप्ले सेवा (आंशिक अनुक्रम अखंडता का एक रूप), और सीमित ट्रैफ़िक-प्रवाह गोपनीयता प्रदान करता है।
 * इंटरनेट सुरक्षा संघ और कुंजी प्रबंधन प्रोटोकॉल (आईएसएकेएमपी) प्रमाणीकरण और कुंजी विनिमय के लिए एक ढांचा प्रदान करता है, वास्तविक प्रमाणित कुंजीयन सामग्री के साथ या तो पूर्व-साझा कुंजियों के साथ मैन्युअल कॉन्फ़िगरेशन द्वारा प्रदान किया जाता है, इंटरनेट कुंजी एक्सचेंज (IKE और IKEv2), कुंजी के कर्बरीकृत इंटरनेट नेगोशिएशन (KINK) ), या DNS रिकॉर्ड प्रकारों की IPSECKEY सूची। रेफरी नाम = rfc2409 >  इसका उद्देश्य AH और/या ESP संचालन के लिए आवश्यक एल्गोरिदम और पैरामीटर के बंडल के साथ #Security Association|सिक्योरिटी एसोसिएशन (SA) उत्पन्न करना है।

प्रमाणीकरण हैडर
सिक्योरिटी ऑथेंटिकेशन हैडर (एएच) को 1990 के दशक की शुरुआत में अमेरिकी नौसेना अनुसंधान प्रयोगशाला में विकसित किया गया था और साधारण नेटवर्क प्रबंधन प्रोटोकॉल (एसएनएमपी) संस्करण 2 के प्रमाणीकरण के लिए पिछले आईईटीएफ मानकों के काम से लिया गया है। ऑथेंटिकेशन हेडर (एएच) है IPsec प्रोटोकॉल सूट का एक सदस्य। एएच एल्गोरिदम में हैश फंकशन और एक गुप्त साझा कुंजी का उपयोग करके एएच कनेक्शन रहित डेटा अखंडता सुनिश्चित करता है। AH भी IP पैकेट (सूचना प्रौद्योगिकी) को प्रमाणित करके डेटा उत्पत्ति की गारंटी देता है। वैकल्पिक रूप से एक अनुक्रम संख्या IPsec पैकेट की सामग्री को रीप्ले हमलों से बचा सकती है, फिसलने वाली खिडकी तकनीक का उपयोग करना और पुराने पैकेटों को हटाना।

निम्नलिखित एएच पैकेट आरेख दिखाता है कि एएच पैकेट कैसे बनाया और व्याख्या किया जाता है:
 * IPv4 में, AH ऑप्शन-इंसर्शन अटैक को रोकता है। IPv6 में, AH हेडर इंसर्शन अटैक और ऑप्शन इंसर्शन अटैक दोनों से बचाता है।
 * IPv4 में, AH, IP पेलोड और आईपी ​​​​डेटाग्राम के सभी हेडर फ़ील्ड्स की सुरक्षा करता है सिवाय परिवर्तनशील फ़ील्ड्स (अर्थात जिन्हें ट्रांज़िट में बदला जा सकता है), और IP विकल्पों जैसे IP सुरक्षा विकल्प (RFC 1108) को भी। परिवर्तनीय (और इसलिए अप्रमाणित) IPv4 हेडर फ़ील्ड विभेदित सेवा कोड बिंदु/सेवा का प्रकार, स्पष्ट भीड़ अधिसूचना, झंडे, IP विखंडन ऑफ़सेट (कंप्यूटर विज्ञान), रहने का समय और IPv4 हेडर चेकसम हैं। * IPv6 में, AH अधिकांश IPv6 बेस हेडर, AH स्वयं, AH के बाद नॉन-म्यूटेबल एक्सटेंशन हेडर और IP पेलोड की सुरक्षा करता है। IPv6 हेडर के लिए सुरक्षा में परिवर्तनशील क्षेत्र शामिल नहीं हैं: विभेदित सेवा कोड बिंदु, स्पष्ट भीड़ अधिसूचना, प्रवाह लेबल और हॉप सीमा। एएच आईपी प्रोटोकॉल नंबरों की सूची का उपयोग करके सीधे आईपी के शीर्ष पर काम करता है।
 * नेक्स्ट हैडर (8 बिट) : नेक्स्ट हेडर का प्रकार, यह दर्शाता है कि किस अपर-लेयर प्रोटोकॉल को सुरक्षित किया गया था। मान IP प्रोटोकॉल नंबरों की सूची से लिया गया है।
 * पेलोड लेन (8 बिट्स) : 4-ऑक्टेट इकाइयों में इस प्रमाणीकरण हैडर की लंबाई, माइनस 2। उदाहरण के लिए, 4 का एएच मान 3×(32-बिट निश्चित-लम्बाई एएच फ़ील्ड्स) + 3×(32-बिट) के बराबर होता है। ICV फ़ील्ड) - 2 और इस प्रकार 4 के AH मान का अर्थ 24 ऑक्टेट है। हालांकि आकार को 4-ऑक्टेट इकाइयों में मापा जाता है, अगर IPv6 पैकेट में ले जाया जाता है तो इस हेडर की लंबाई 8 ऑक्टेट की एक बहु होनी चाहिए। यह प्रतिबंध IPv4 पैकेट में रखे गए प्रमाणीकरण शीर्षलेख पर लागू नहीं होता है।
 * आरक्षित (16 बिट्स): भविष्य में उपयोग के लिए आरक्षित (तब तक सभी शून्य)।
 * सुरक्षा पैरामीटर्स इंडेक्स (32 बिट्स): मनमाना मूल्य जिसका उपयोग (गंतव्य आईपी पते के साथ) प्राप्त करने वाले पक्ष के सुरक्षा संघ की पहचान करने के लिए किया जाता है।
 * अनुक्रम संख्या (32 बिट्स): एक मोनोटोनिक सख्ती से बढ़ती अनुक्रम संख्या (भेजे गए प्रत्येक पैकेट के लिए 1 की वृद्धि) फिर से हमलों को रोकने के लिए। जब रीप्ले डिटेक्शन को सक्षम किया जाता है, तो अनुक्रम संख्या का पुन: उपयोग नहीं किया जाता है, क्योंकि अनुक्रम संख्या को उसके अधिकतम मूल्य से आगे बढ़ाने के प्रयास से पहले एक नए सुरक्षा संघ पर फिर से विचार किया जाना चाहिए। ; इंटिग्रिटी चेक वैल्यू (32 बिट्स के मल्टीपल): वेरिएबल लेंथ चेक वैल्यू। इसमें फ़ील्ड को IPv6 के लिए 8-ऑक्टेट सीमा, या IPv4 के लिए 4-ऑक्टेट सीमा में संरेखित करने के लिए पैडिंग हो सकती है।

सुरक्षा पेलोड को एनकैप्सुलेट करना
आईपी ​​एनकैप्सुलेटिंग सुरक्षा पेलोड (ESP) 1992 में एक DARPA-प्रायोजित अनुसंधान परियोजना के हिस्से के रूप में नौसेना अनुसंधान प्रयोगशाला में विकसित किया गया था, और IETF SIPP द्वारा खुले तौर पर प्रकाशित किया गया था SIPP के लिए सुरक्षा विस्तार के रूप में दिसंबर 1993 में वर्किंग ग्रुप का मसौदा तैयार किया गया। यह #Encapsulating सुरक्षा पेलोड मूल रूप से ISO नेटवर्क-लेयर सुरक्षा प्रोटोकॉल (NLSP) से प्राप्त होने के बजाय, अमेरिकी रक्षा विभाग SP3D प्रोटोकॉल से प्राप्त किया गया था। SP3D प्रोटोकॉल विनिर्देश NIST द्वारा 1980 के दशक के अंत में प्रकाशित किया गया था, लेकिन अमेरिकी रक्षा विभाग के सिक्योर डेटा नेटवर्क सिस्टम प्रोजेक्ट द्वारा डिज़ाइन किया गया था। एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ESP) IPsec प्रोटोकॉल सूट का एक सदस्य है। यह मूल सूचना सुरक्षा प्रदान करता है # स्रोत प्रमाणीकरण के माध्यम से प्रामाणिकता, हैश कार्यों के माध्यम से डेटा अखंडता और आईपी पैकेट (सूचना प्रौद्योगिकी) के लिए एन्क्रिप्शन सुरक्षा के माध्यम से गोपनीयता। ESP केवल-एन्क्रिप्शन और केवल-प्रमाणीकरण कॉन्फ़िगरेशन का भी समर्थन करता है, लेकिन प्रमाणीकरण के बिना एन्क्रिप्शन का उपयोग करने को दृढ़ता से हतोत्साहित किया जाता है क्योंकि यह असुरक्षित है। प्रमाणीकरण शीर्षलेख | ऑथेंटिकेशन हैडर (एएच) के विपरीत, परिवहन मोड में ईएसपी संपूर्ण आईपी ​​​​पैकेट (बहुविकल्पी)डिसएम्बिगेशन) के लिए अखंडता और प्रमाणीकरण प्रदान नहीं करता है। हालाँकि, टनलिंग प्रोटोकॉल में, जहाँ संपूर्ण मूल IP पैकेट एक नए पैकेट हेडर के साथ सूचना छिपा रहा है, ESP सुरक्षा पूरे आंतरिक IP पैकेट (आंतरिक हेडर सहित) को प्रदान की जाती है, जबकि बाहरी हेडर (किसी भी बाहरी IPv4 विकल्प या IPv6 सहित) एक्सटेंशन हेडर) असुरक्षित रहता है।

ESP, IP प्रोटोकॉल नंबर 50 का उपयोग करके सीधे IP के शीर्ष पर कार्य करता है।

निम्नलिखित ईएसपी पैकेट आरेख दिखाता है कि ईएसपी पैकेट का निर्माण और व्याख्या कैसे की जाती है:
 * सुरक्षा पैरामीटर इंडेक्स (32 बिट्स): प्राप्त करने वाले पक्ष के सुरक्षा संघ की पहचान करने के लिए मनमाने ढंग से मूल्य (गंतव्य आईपी पते के साथ) का उपयोग किया जाता है।
 * अनुक्रम संख्या (32 बिट्स): पुनरावृत्ति हमलों से बचाने के लिए एक मोनोटोनिक रूप से बढ़ती क्रम संख्या (भेजे गए प्रत्येक पैकेट के लिए 1 की वृद्धि)। हर सुरक्षा संघ के लिए अलग काउंटर रखा गया है।
 * पेलोड डेटा (परिवर्तनीय): मूल आईपी पैकेट की संरक्षित सामग्री, सामग्री की सुरक्षा के लिए उपयोग किए जाने वाले किसी भी डेटा सहित (उदाहरण के लिए क्रिप्टोग्राफ़िक एल्गोरिदम के लिए प्रारंभिक वेक्टर)। जिस प्रकार की सामग्री को सुरक्षित किया गया था, उसे अगले हेडर फ़ील्ड द्वारा इंगित किया गया है।
 * पैडिंग (0-255 ऑक्टेट): एन्क्रिप्शन के लिए पैडिंग, पेलोड डेटा को उस आकार तक विस्तारित करने के लिए जो एन्क्रिप्शन के ब्लॉक सिफर ब्लॉक आकार (क्रिप्टोग्राफी) में फिट बैठता है, और अगले फ़ील्ड को संरेखित करने के लिए।
 * पैड की लंबाई (8 बिट) : पैडिंग का आकार (अष्टक में)।
 * नेक्स्ट हैडर (8 बिट) : अगले हैडर का प्रकार। मान IP प्रोटोकॉल नंबरों की सूची से लिया गया है।
 * इंटिग्रिटी चेक वैल्यू (32 बिट्स के मल्टीपल): वेरिएबल लेंथ चेक वैल्यू। इसमें फ़ील्ड को IPv6 के लिए 8-ऑक्टेट सीमा, या IPv4 के लिए 4-ऑक्टेट सीमा में संरेखित करने के लिए पैडिंग हो सकती है।

सुरक्षा संघ
IPsec प्रोटोकॉल एक सुरक्षा संघ का उपयोग करते हैं, जहाँ संचार करने वाले पक्ष एल्गोरिदम और कुंजियों जैसी साझा सुरक्षा विशेषताएँ स्थापित करते हैं। इस प्रकार, IPsec विकल्पों की एक श्रृंखला प्रदान करता है जब यह निर्धारित किया जाता है कि AH या ESP का उपयोग किया जाता है या नहीं। डेटा का आदान-प्रदान करने से पहले, दो होस्ट इस बात पर सहमत होते हैं कि IP पैकेट को एन्क्रिप्ट करने के लिए सममित-कुंजी एल्गोरिथ्म का उपयोग किया जाता है, उदाहरण के लिए उन्नत एन्क्रिप्शन मानक या ChaCha20, और किस हैश फ़ंक्शन का उपयोग डेटा की अखंडता को सुनिश्चित करने के लिए किया जाता है, जैसे BLAKE2 या SHA- 2. ये पैरामीटर विशेष सत्र के लिए सहमत हैं, जिसके लिए आजीवन सहमत होना चाहिए और एक सत्र कुंजी। डेटा ट्रांसफर होने से पहले प्रमाणीकरण के लिए एल्गोरिथ्म भी सहमत है और IPsec कई तरीकों का समर्थन करता है। पूर्व-साझा कुंजी के माध्यम से प्रमाणीकरण संभव है, जहां एक सममित कुंजी पहले से ही दोनों मेजबानों के कब्जे में है, और मेजबान साझा कुंजी के एक दूसरे को हैश भेजते हैं ताकि यह साबित हो सके कि वे एक ही कुंजी के कब्जे में हैं। IPsec सार्वजनिक कुंजी एन्क्रिप्शन का भी समर्थन करता है, जहाँ प्रत्येक होस्ट के पास एक सार्वजनिक और एक निजी कुंजी होती है, वे अपनी सार्वजनिक कुंजियों का आदान-प्रदान करते हैं और प्रत्येक होस्ट दूसरे होस्ट की सार्वजनिक कुंजी के साथ एन्क्रिप्टेड एक क्रिप्टोग्राफ़िक अस्थायी भेजता है। वैकल्पिक रूप से यदि दोनों होस्ट के पास प्रमाणपत्र प्राधिकारी से सार्वजनिक कुंजी प्रमाणपत्र है, तो इसका उपयोग IPsec प्रमाणीकरण के लिए किया जा सकता है। IPsec के सुरक्षा संघ इंटरनेट सुरक्षा संघ और कुंजी प्रबंधन प्रोटोकॉल (ISAKMP) का उपयोग करके स्थापित किए गए हैं। ISAKMP को पूर्व-साझा रहस्यों, इंटरनेट कुंजी एक्सचेंज (IKE और IKEv2), Kerberized Internet Negotiation of Keys (KINK) और DNS रिकॉर्ड प्रकारों की IPSECKEY सूची के उपयोग के साथ मैन्युअल कॉन्फ़िगरेशन द्वारा कार्यान्वित किया जाता है। RFC 5386 बेटर-दैन-नथिंग सिक्योरिटी (BTNS) को विस्तारित IKE प्रोटोकॉल का उपयोग करके IPsec के एक अप्रमाणित मोड के रूप में परिभाषित करता है। सी. मीडोज, सी. क्रेमर्स, और अन्य ने IKEv1 और IKEv2 में मौजूद विभिन्न विसंगतियों की पहचान करने के लिए औपचारिक तरीकों का उपयोग किया है। एक आउटगोइंग पैकेट के लिए कौन सी सुरक्षा प्रदान की जानी है, यह तय करने के लिए, IPsec सुरक्षा पैरामीटर सूचकांक (SPI) का उपयोग करता है, जो सुरक्षा एसोसिएशन डेटाबेस (SADB) के लिए एक इंडेक्स है, साथ ही एक पैकेट हेडर में गंतव्य का पता होता है, जो एक साथ विशिष्ट पहचान करता है। उस पैकेट के लिए एक सुरक्षा संघ। आने वाले पैकेट के लिए एक समान प्रक्रिया की जाती है, जहां IPsec सुरक्षा संघ डेटाबेस से डिक्रिप्शन और सत्यापन कुंजी एकत्र करता है।

आईपी ​​​​मल्टीकास्ट के लिए समूह के लिए एक सुरक्षा संघ प्रदान किया जाता है, और समूह के सभी अधिकृत रिसीवरों में डुप्लिकेट किया जाता है। विभिन्न एसपीआई का उपयोग करते हुए एक समूह के लिए एक से अधिक सुरक्षा संघ हो सकते हैं, जिससे एक समूह के भीतर कई स्तरों और सुरक्षा के सेट की अनुमति मिलती है। वास्तव में, प्रत्येक प्रेषक के पास कई सुरक्षा संघ हो सकते हैं, प्रमाणीकरण की अनुमति देते हैं, क्योंकि एक रिसीवर केवल यह जान सकता है कि कुंजी जानने वाले ने डेटा भेजा है। ध्यान दें कि प्रासंगिक मानक यह वर्णन नहीं करता है कि कैसे संघ को चुना जाता है और पूरे समूह में डुप्लिकेट किया जाता है; यह माना जाता है कि एक जिम्मेदार पार्टी ने चुनाव किया होगा।

ऑपरेशन के मोड
IPsec प्रोटोकॉल AH और ESP को होस्ट-टू-होस्ट ट्रांसपोर्ट मोड के साथ-साथ नेटवर्क टनलिंग मोड में भी लागू किया जा सकता है।

परिवहन मोड
परिवहन मोड में, केवल आईपी पैकेट का पेलोड आमतौर पर कूट रूप दिया गया या प्रमाणित होता है। रूटिंग बरकरार है, क्योंकि आईपी हेडर न तो संशोधित है और न ही एन्क्रिप्ट किया गया है; हालाँकि, जब प्रमाणीकरण हैडर का उपयोग किया जाता है, तो IP पते को नेवोर्क पता अनुवादन द्वारा संशोधित नहीं किया जा सकता है, क्योंकि यह हमेशा हैश मान को अमान्य करता है। ट्रांसपोर्ट लेयर और एप्लिकेशन लेयर हमेशा एक हैश द्वारा सुरक्षित होते हैं, इसलिए उन्हें किसी भी तरह से संशोधित नहीं किया जा सकता है, उदाहरण के लिए बंदरगाह पता अनुवाद द्वारा टीसीपी और यूडीपी पोर्ट नंबर।

एनएटी ट्रैवर्सल के लिए IPsec संदेशों को एनकैप्सुलेट करने का एक साधन NAT-T तंत्र का वर्णन करने वाले टिप्पणियों के लिए अनुरोध दस्तावेज़ द्वारा परिभाषित किया गया है।

सुरंग मोड
टनल मोड में, पूरे आईपी पैकेट को एन्क्रिप्ट और प्रमाणित किया जाता है। इसके बाद इसे एक नए IP हेडर के साथ एक नए IP पैकेट में एनकैप्सुलेट किया जाता है। टनल मोड का उपयोग नेटवर्क-टू-नेटवर्क संचार (जैसे राउटर से लिंक साइटों के बीच), होस्ट-टू-नेटवर्क संचार (जैसे दूरस्थ उपयोगकर्ता पहुंच) और होस्ट-टू-होस्ट संचार (जैसे निजी चैट) के लिए वर्चुअल प्राइवेट नेटवर्क बनाने के लिए किया जाता है। टनल मोड NAT ट्रैवर्सल को सपोर्ट करता है।

सममित एन्क्रिप्शन एल्गोरिदम
IPsec के साथ उपयोग के लिए परिभाषित क्रिप्टोग्राफ़िक एल्गोरिदम में शामिल हैं:
 * HMAC-SHA1/SHA2 अखंडता संरक्षण और प्रामाणिकता के लिए।
 * गोपनीयता के लिए ट्रिपलडेस-सिफर ब्लॉक चेनिंग
 * गोपनीयता के लिए एईएस-सिफर ब्लॉक चेनिंग और एईएस सीटीआर।
 * उन्नत एन्क्रिप्शन स्टैंडर्ड-गैलोइस/काउंटर मोड और ChaCha20-Poly1305 एक साथ कुशलतापूर्वक गोपनीयता और प्रमाणीकरण प्रदान करते हैं।

विवरण के लिए आरएफसी 8221 का संदर्भ लें।

कुंजी विनिमय एल्गोरिदम

 * डिफी-हेलमैन की एक्सचेंज|डिफी-हेलमैन (आरएफसी 3526)
 * अण्डाकार-वक्र डिफी-हेलमैन (RFC 4753)

प्रमाणीकरण एल्गोरिदम

 * आरएसए (क्रिप्टोसिस्टम)
 * ईसीडीएसए (आरएफसी 4754)
 * पूर्व-साझा कुंजी (RFC 6617)

कार्यान्वयन
IPsec को ऑपरेटिंग सिस्टम के IP स्टैक में लागू किया जा सकता है। कार्यान्वयन का यह तरीका मेजबानों और सुरक्षा द्वारों के लिए किया जाता है। एचपी या आईबीएम जैसी कंपनियों से विभिन्न आईपीसेक सक्षम आईपी ढेर उपलब्ध हैं। एक विकल्प तथाकथित ढेर में टक्कर (बीआईटीएस) कार्यान्वयन है, जहां ऑपरेटिंग सिस्टम स्रोत कोड को संशोधित करने की आवश्यकता नहीं होती है। यहाँ IPsec IP स्टैक और नेटवर्क डिवाइस ड्राइवर के बीच स्थापित है। इस प्रकार IPsec के साथ ऑपरेटिंग सिस्टम को रेट्रोफिट किया जा सकता है। कार्यान्वयन की इस पद्धति का उपयोग होस्ट और गेटवे दोनों के लिए भी किया जाता है। हालाँकि, IPsec को रेट्रोफिट करते समय IP पैकेटों का एनकैप्सुलेशन स्वचालित पथ एमटीयू खोज के लिए समस्याएँ पैदा कर सकता है, जहाँ दो IP होस्ट के बीच नेटवर्क पथ पर अधिकतम संचरण इकाई (MTU) आकार स्थापित होता है। यदि किसी होस्ट या गेटवे के पास एक अलग kriptoprocessor है, जो सेना में आम है और वाणिज्यिक प्रणालियों में भी पाया जा सकता है, तो IPsec का एक तथाकथित टक्कर में तार (BITW) कार्यान्वयन संभव है। जब IPsec को कर्नेल (ऑपरेटिंग सिस्टम) में लागू किया जाता है, तो कुंजी प्रबंधन और ISAKMP/इंटरनेट कुंजी विनिमय बातचीत उपयोगकर्ता स्थान से की जाती है। एनआरएल-विकसित और खुले तौर पर निर्दिष्ट PF_KEY कुंजी प्रबंधन एपीआई, संस्करण 2 का उपयोग अक्सर कर्नेल-स्पेस IPsec कार्यान्वयन के भीतर संग्रहीत IPsec सुरक्षा संघों को अद्यतन करने के लिए एप्लिकेशन-स्पेस कुंजी प्रबंधन एप्लिकेशन को सक्षम करने के लिए किया जाता है। मौजूदा IPsec कार्यान्वयन में आमतौर पर ESP, AH, और IKE संस्करण 2 शामिल होते हैं। यूनिक्स जैसे ऑपरेटिंग सिस्टम पर मौजूदा IPsec कार्यान्वयन, उदाहरण के लिए, Oracle Solaris या Linux, में आमतौर पर PF_KEY संस्करण 2 शामिल होता है।

अंतः स्थापित प्रणाली IPsec का उपयोग एक छोटे से ओवरहेड के साथ विवश संसाधन प्रणालियों पर चल रहे अनुप्रयोगों के बीच सुरक्षित संचार सुनिश्चित करने के लिए किया जा सकता है।

मानक स्थिति
IPsec को IPv6 के संयोजन में विकसित किया गया था और मूल रूप से RFC 6434 द्वारा इसे केवल एक सिफारिश करने से पहले IPv6 के सभी मानकों-अनुपालन कार्यान्वयन द्वारा समर्थित होने की आवश्यकता थी। IPv4 कार्यान्वयन के लिए IPsec भी वैकल्पिक है। IPsec का उपयोग आमतौर पर IPv4 ट्रैफ़िक को सुरक्षित करने के लिए किया जाता है। IPsec प्रोटोकॉल मूल रूप से RFC 1825 में RFC 1829 के माध्यम से परिभाषित किए गए थे, जो 1995 में प्रकाशित हुए थे। 1998 में, इन दस्तावेजों को RFC 2401 और RFC 2412 द्वारा कुछ असंगत इंजीनियरिंग विवरणों के साथ अधिक्रमित किया गया था, हालांकि वे वैचारिक रूप से समान थे। इसके अलावा, सुरक्षा संघों को बनाने और प्रबंधित करने के लिए एक पारस्परिक प्रमाणीकरण और कुंजी विनिमय प्रोटोकॉल इंटरनेट की एक्सचेंज (IKE) को परिभाषित किया गया था। दिसंबर 2005 में, RFC 4301 और RFC 4309 में नए मानकों को परिभाषित किया गया था, जो इंटरनेट की एक्सचेंज मानक IKEv2 के दूसरे संस्करण के साथ पिछले संस्करणों का एक सुपरसेट है। इन तीसरी पीढ़ी के दस्तावेज़ों ने IPsec के संक्षिप्त नाम को अपरकेस "IP" और लोअरकेस "सेकंड" में मानकीकृत किया। "ईएसपी" आम तौर पर आरएफसी 4303 को संदर्भित करता है, जो विनिर्देश का नवीनतम संस्करण है।

2008 के मध्य से, एक IPsec अनुरक्षण और विस्तार (ipsecme) कार्यकारी समूह IETF में सक्रिय है।

कथित एनएसए हस्तक्षेप
2013 में, 2013 के बड़े पैमाने पर निगरानी के खुलासे के हिस्से के रूप में, यह पता चला था कि अमेरिकी राष्ट्रीय सुरक्षा एजेंसी सक्रिय रूप से व्यावसायिक एन्क्रिप्शन सिस्टम, आईटी सिस्टम, नेटवर्क और एंडपॉइंट संचार उपकरणों में कमजोरियों को शामिल करने के लिए काम कर रही थी, जो कि बुलरुन (कोड नाम) नाम) कार्यक्रम। ऐसे आरोप हैं कि IPsec एक लक्षित एन्क्रिप्शन प्रणाली थी। यह स्नोडेन लीक से पहले प्रकाशित हुआ था।

लॉगजैम (कंप्यूटर सुरक्षा) के लेखकों द्वारा प्रस्तुत एक वैकल्पिक स्पष्टीकरण से पता चलता है कि एनएसए ने आईपीसीईसी वीपीएन से समझौता किया है, जो कि मुख्य एक्सचेंज में उपयोग किए जाने वाले Diffie-Hellman एल्गोरिथम को कमजोर कर रहा है। उनके पेपर में, रेफ नाम = कमजोर > उनका आरोप है कि NSA ने विशेष रूप से RFC 2409 में परिभाषित दूसरे ओकले समूह के लिए विशिष्ट प्राइम्स और जेनरेटर के लिए गुणक उपसमूहों की पूर्व-गणना करने के लिए एक कंप्यूटिंग क्लस्टर बनाया। मई 2015 तक, 90% एड्रेसेबल IPsec VPN ने दूसरे ओकले का समर्थन किया। आईकेई के हिस्से के रूप में समूह। यदि कोई संगठन इस समूह की पूर्व-गणना करता है, तो वे बिना किसी सॉफ़्टवेयर को सम्मिलित किए बिना एक्सचेंज की जा रही कुंजियों को प्राप्त कर सकते हैं और ट्रैफ़िक को डिक्रिप्ट कर सकते हैं।

एक दूसरा वैकल्पिक स्पष्टीकरण जो सामने रखा गया था वह यह था कि समीकरण समूह ने कई निर्माताओं के वीपीएन उपकरणों के खिलाफ जीरो-डे (कंप्यूटिंग) | जीरो-डे एक्सप्लॉइट्स का उपयोग किया था, जिसे कास्परस्की लैब द्वारा इक्वेशन ग्रुप से बंधे होने के रूप में मान्य किया गया था। रेफरी> और उन निर्माताओं द्वारा वास्तविक शोषण के रूप में मान्य किया गया, जिनमें से कुछ उनके प्रदर्शन के समय शून्य-दिन के शोषण थे। रेफरी> सिस्को PIX#सुरक्षा भेद्यता फायरवॉल में भेद्यताएं थीं जिनका उपयोग NSA द्वारा वायरटैपिंग के लिए किया गया था.

इसके अलावा, आक्रामक मोड सेटिंग का उपयोग करने वाले IPsec VPN स्पष्ट रूप से PSK का हैश भेजते हैं। यह ऑफ़लाइन शब्दकोश हमलों का उपयोग करके एनएसए द्वारा स्पष्ट रूप से लक्षित किया जा सकता है और लक्षित किया जा सकता है।

मानक ट्रैक

 * : ईएसपी डेस-सीबीसी रूपांतरण
 * : ESP और AH के भीतर HMAC-MD5-96 का उपयोग
 * : ESP और AH के भीतर HMAC-SHA-1-96 का उपयोग
 * : स्पष्ट IV के साथ ESP DES-CBC सिफर एल्गोरिथम
 * : पूर्ण एन्क्रिप्शन एल्गोरिथम और IPsec के साथ इसका उपयोग
 * : ईएसपी सीबीसी-मोड सिफर एल्गोरिदम
 * : ESP और AH के भीतर HMAC-RIPEMD-160-96 का उपयोग
 * : अधिक मॉड्यूलर एक्सपोनेंशियल (MODP) डिफी-हेलमैन कुंजी एक्सचेंज | इंटरनेट कुंजी एक्सचेंज (IKE) के लिए डिफी-हेलमैन समूह
 * : एईएस सीबीसी सिफर एल्गोरिदम और आईपीसेक के साथ इसका उपयोग
 * : IPsec एनकैप्सुलेटिंग सुरक्षा पेलोड (ESP) के साथ उन्नत एन्क्रिप्शन मानक (AES) काउंटर मोड का उपयोग करना
 * : आईकेई में एनएटी-ट्रैवर्सल की बातचीत
 * : IPsec ESP पैकेट का UDP एनकैप्सुलेशन
 * : IPsec एनकैप्सुलेटिंग सुरक्षा पेलोड (ESP) में Galois/Counter Mode (GCM) का उपयोग
 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना
 * : आईपी प्रमाणीकरण हैडर
 * : आईपी एनकैप्सुलेटिंग सुरक्षा पेलोड
 * : इंटरनेट सुरक्षा एसोसिएशन और कुंजी प्रबंधन प्रोटोकॉल (ISAKMP) के लिए IPsec डोमेन ऑफ़ इंटरप्रिटेशन (DOI) के लिए विस्तारित अनुक्रम संख्या (ESN) परिशिष्ट
 * : इंटरनेट कुंजी एक्सचेंज संस्करण 2 (IKEv2) में उपयोग के लिए क्रिप्टोग्राफ़िक एल्गोरिदम
 * : IPsec के लिए क्रिप्टोग्राफ़िक सूट
 * : IPsec एनकैप्सुलेटिंग सुरक्षा पेलोड (ESP) के साथ उन्नत एन्क्रिप्शन मानक (AES) CCM मोड का उपयोग करना
 * : IPsec ESP और AH में Galois संदेश प्रमाणीकरण कोड (GMAC) का उपयोग
 * : IKEv2 मोबिलिटी और मल्टीहोमिंग प्रोटोकॉल (MOBIKE)
 * : IKEv2 के लिए ऑनलाइन सर्टिफिकेट स्टेटस प्रोटोकॉल (OCSP) एक्सटेंशन
 * : IPsec के साथ HMAC-SHA-256, HMAC-SHA-384 और HMAC-SHA-512 का उपयोग करना
 * : IKEv1/ISAKMP, IKEv2, और PKIX की इंटरनेट IP सुरक्षा PKI प्रोफ़ाइल
 * : इंटरनेट X.509 पब्लिक की इन्फ्रास्ट्रक्चर सर्टिफिकेट और सर्टिफिकेट रिवोकेशन लिस्ट (CRL) प्रोफाइल
 * : इंटरनेट कुंजी एक्सचेंज संस्करण 2 (IKEv2) प्रोटोकॉल के एन्क्रिप्टेड पेलोड के साथ प्रमाणित एन्क्रिप्शन एल्गोरिदम का उपयोग करना
 * : बेटर-देन-नथिंग सिक्योरिटी: आईपीसेक का एक अप्रामाणित मोड
 * : IPsec के साथ उपयोग के लिए कमीलया (सिफर) के संचालन के तरीके
 * : इंटरनेट कुंजी एक्सचेंज प्रोटोकॉल संस्करण 2 (IKEv2) के लिए पुनर्निर्देशन तंत्र
 * : इंटरनेट की एक्सचेंज प्रोटोकॉल संस्करण 2 (IKEv2) सत्र की बहाली
 * : IKEv2 एक्सटेंशन IPsec पर मजबूत हैडर संपीड़न का समर्थन करने के लिए
 * : IPsec एक्सटेंशन IPsec पर मजबूत हैडर संपीड़न का समर्थन करने के लिए
 * : इंटरनेट की एक्सचेंज प्रोटोकॉल संस्करण 2 (IKEv2)
 * : सुरक्षा पेलोड (ESP) और प्रमाणीकरण शीर्षलेख (AH) को एनकैप्सुलेट करने के लिए क्रिप्टोग्राफ़िक एल्गोरिथम कार्यान्वयन आवश्यकताएँ और उपयोग मार्गदर्शन
 * : इंटरनेट कुंजी एक्सचेंज प्रोटोकॉल संस्करण 2 (IKEv2) संदेश विखंडन
 * : इंटरनेट कुंजी एक्सचेंज संस्करण 2 (IKEv2) में हस्ताक्षर प्रमाणीकरण
 * : ChaCha20, Poly1305, और इंटरनेट की एक्सचेंज प्रोटोकॉल (IKE) और IPsec में उनका उपयोग

प्रायोगिक RFCs

 * : इंटरनेट की एक्सचेंज (IKEv2) प्रोटोकॉल में बार-बार प्रमाणीकरण

सूचनात्मक आरएफसी

 * : PF_KEY इंटरफ़ेस
 * : ओकली कुंजी निर्धारण प्रोटोकॉल
 * : डेड इंटरनेट की एक्सचेंज (IKE) पीयर का पता लगाने की एक ट्रैफिक-आधारित विधि
 * : IPsec-नेटवर्क एड्रेस ट्रांसलेशन (NAT) संगतता आवश्यकताएँ
 * : IKEv2 मोबिलिटी और मल्टीहोमिंग (MOBIKE) प्रोटोकॉल का डिज़ाइन
 * : IPsec प्रमाणपत्र प्रबंधन प्रोफ़ाइल के लिए आवश्यकताएँ
 * : कुछ नहीं से बेहतर सुरक्षा के लिए समस्या और प्रयोज्यता कथन (BTNS)
 * : IPsec सुरक्षा संघों पर मजबूत हैडर संपीड़न का एकीकरण
 * : इंटरनेट कुंजी एक्सचेंज संस्करण 02 (IKEv2) प्रोटोकॉल के साथ उन्नत एन्क्रिप्शन मानक काउंटर मोड (AES-CTR) का उपयोग करना
 * : IPsec क्लस्टर समस्या कथन
 * : IPsec और IKE दस्तावेज़ रोडमैप
 * : IPsec के लिए सुइट B क्रिप्टोग्राफ़िक सूट
 * : सुइट बी प्रोफाइल फॉर इंटरनेट प्रोटोकॉल सिक्योरिटी (आईपीसीईसी)
 * : इंटरनेट की एक्सचेंज संस्करण 2 (IKEv2) के लिए सुरक्षित पासवर्ड फ्रेमवर्क

सर्वश्रेष्ठ वर्तमान अभ्यास RFCs

 * : IPsec संस्करण 2 के उपयोग को निर्दिष्ट करने के लिए दिशानिर्देश

अप्रचलित/ऐतिहासिक आरएफसी

 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना (RFC 2401 द्वारा अप्रचलित)
 * : आईपी प्रमाणीकरण शीर्षलेख (आरएफसी 2402 द्वारा अप्रचलित)
 * : IP एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ESP) (RFC 2406 द्वारा अप्रचलित)
 * : कुंजीयुक्त MD5 (ऐतिहासिक) का उपयोग करके IP प्रमाणीकरण
 * : इंटरनेट प्रोटोकॉल के लिए सुरक्षा संरचना (IPsec ओवरव्यू) (RFC 4301 द्वारा अप्रचलित)
 * : IP एनकैप्सुलेटिंग सिक्योरिटी पेलोड (ESP) (RFC 4303 और RFC 4305 द्वारा अप्रचलित)
 * : ISAKMP के लिए व्याख्या का इंटरनेट IP सुरक्षा डोमेन (RFC 4306 द्वारा अप्रचलित)
 * : इंटरनेट की एक्सचेंज (RFC 4306 द्वारा अप्रचलित)
 * : सुरक्षा पेलोड (ESP) और प्रमाणीकरण शीर्षलेख (AH) को एनकैप्सुलेट करने के लिए क्रिप्टोग्राफ़िक एल्गोरिथम कार्यान्वयन आवश्यकताएँ (RFC 4835 द्वारा अप्रचलित)
 * : इंटरनेट की एक्सचेंज (IKEv2) प्रोटोकॉल (RFC 5996 द्वारा अप्रचलित)
 * : IKEv2 स्पष्टीकरण और कार्यान्वयन दिशानिर्देश (RFC 7296 द्वारा अप्रचलित)
 * : सुरक्षा पेलोड (ESP) और प्रमाणीकरण शीर्षलेख (AH) को एनकैप्सुलेट करने के लिए क्रिप्टोग्राफ़िक एल्गोरिथम कार्यान्वयन आवश्यकताएँ (RFC 7321 द्वारा अप्रचलित)
 * : इंटरनेट की एक्सचेंज प्रोटोकॉल वर्जन 2 (IKEv2) (RFC 7296 द्वारा अप्रचलित)

यह भी देखें

 * डायनामिक मल्टीपॉइंट वर्चुअल प्राइवेट नेटवर्क
 * सूचना सुरक्षा
 * एनएटी ट्रैवर्सल
 * अवसरवादी एन्क्रिप्शन
 * टीसीपीक्रिप्ट

इस पेज में लापता आंतरिक लिंक की सूची

 * पारस्परिक प्रमाणीकरण
 * फिर से खेलना हमला
 * डेटा मूल प्रमाणीकरण
 * ओ एस आई मॉडल
 * ARPANET एन्क्रिप्शन डिवाइस
 * मानक और प्रौद्योगिकी का राष्ट्रीय संस्थान
 * कोलम्बिया विश्वविद्यालय
 * यूसेनिक्स सम्मेलन
 * DNS रिकॉर्ड प्रकारों की सूची
 * गुप्त कुंजी
 * केर्बरीकृत इंटरनेट चाबियों की बातचीत
 * जीने के लिए समय
 * आईपी ​​​​विखंडन
 * ऑफसेट (कंप्यूटर विज्ञान)
 * आईपी ​​​​प्रोटोकॉल नंबरों की सूची
 * जानकारी छुपाना
 * एसएचए-2
 * उच्च एन्क्रिप्शन मानक
 * प्रमाणपत्र, प्राधिकारी
 * औपचारिक तरीके
 * यूनिक्स जैसा ऑपरेटिंग सिस्टम
 * 2013 जन निगरानी खुलासे
 * लोगजाम (कंप्यूटर सुरक्षा)
 * शून्य-दिन (कंप्यूटिंग)
 * शब्दकोश हमला
 * सीसीएम मोड
 * सुइट बी
 * tcpcrypt

बाहरी संबंध

 * All IETF active security WGs
 * IETF ipsecme WG ("IP Security Maintenance and Extensions" Working Group)
 * IETF btns WG ("Better-Than-Nothing Security" Working Group) (chartered to work on unauthenticated IPsec, IPsec APIs, connection latching)]
 * Securing Data in Transit with IPsec WindowsSecurity.com article by Deb Shinder
 * IPsec on Microsoft TechNet
 * Microsoft IPsec Diagnostic Tool on Microsoft Download Center
 * An Illustrated Guide to IPsec by Steve Friedl
 * Security Architecture for IP (IPsec) Data Communication Lectures by Manfred Lindner Part IPsec
 * Creating VPNs with IPsec and SSL/TLS Linux Journal article by Rami Rosen
 * Creating VPNs with IPsec and SSL/TLS Linux Journal article by Rami Rosen