Espero que esta pregunta se ajuste a este intercambio de pila:
Por lo que entiendo, IPSec se encarga de cifrar todo lo que esté por encima de la capa IP (transporte, aplicación). ¿Eso significa que si abro un socket entre dos aplicaciones para, digamos, un chat, que mi chat es "seguro"? (en el sentido de que nadie puede alterar los datos enviados por MITM / hacerse pasar por el otro lado).
Hay varios modos para IPsec :
Estas protecciones se aplican por paquete. Depende de las dos máquinas involucradas aplicar la protección de manera consistente; así depende de su configuración. Una configuración sensata entre dos máquinas es aplicar ESP en todos los paquetes y rechazar los paquetes no protegidos de la otra máquina; en ese caso, todas las conexiones TCP entre estas dos máquinas estarán "protegidas" en el sentido de que los atacantes no podrán comprender los flujos de datos o inyectar datos falsos. Sin embargo, aún será evidente para los atacantes que las dos máquinas están involucradas en algunas conexiones TCP (el cifrado no oculta la longitud, por lo que el protocolo de enlace de tres vías TCP inicial y el mecanismo push / ack posterior exhibirán un patrón altamente reconocible). / p>
ESP con modo de túnel está diseñado principalmente para enrutadores y VPN. Normalmente, un túnel se abre entre dos redes distintas o entre una red y una máquina externa. Los atacantes podrán ver que los datos se intercambian entre la máquina externa y la red, pero las únicas direcciones IP que verán serán las de la puerta de enlace de la red y la máquina externa. Las direcciones de destino reales permanecerán ocultas.
Los atacantes activos siempre pueden interrumpir las comunicaciones al eliminar paquetes. Ninguna cantidad de IPsec puede evitar eso.
Lea otras preguntas en las etiquetas encryption ipsec