В беспроводных сетях, где переносящие кадры радиоволны могут распространяться намного дальше, чем это необходимо, вопрос безопасности стоит особенно остро. Был такой интересный эксперимент. Автор в течение полутора лет ездил по Сан-Франциско с лэптопом и сетевой картой 802.11 и искал беспроводные сети, «видимые» за пределами офисных зданий.

Для успешного развертывания протокола IPsec необходимы масштабируемые и автоматизированные схемы управления ключом и установления SA-соединения. Для этого было определено несколько протоколов.
□ Протокол IKE (Internet Key Exchange — обмен ключей по Интернету), описанный в RFC 2409, является протоколом управления ключами для IPsec по умолчанию.

Протокол ESP обеспечивает конфиденциальность на сетевом уровне, а также аутентификацию хоста-отправителя и целостность данных. Работа протокола также начинается с установки SA-соединения с хостом-получателем. Затем хост-отправитель может посылать хосту-получателю безопасные дейтаграммы. Как видно на рис.34, безопасная дейтаграмма создается из оригинальной IP-дейтаграммы добавлением к ее полю данных заголовка и концевика.

Протокол АН обеспечивает аутентификацию хоста-источника и целостность данных, но не конфиденциальность. Когда один хост-источник хочет отправить одну или несколько дейтаграмм определенному получателю, он сначала устанавливает с получателем безопасное соединение (SA-соединение). Установив SA-соединение, источник может посылать хосту-получателю безопасные дейтаграммы. Каждая безопасная дейтаграмма содержит АН-заголовок, включаемый между исходными данными IP-дейтаграммы (например, TCP- или UDP-сегментом) и IP-заголовком, как показано на рис.33. Таким образом, поле АН расширяет оригинальное поле данных, после чего расширенное поле данных помещается в стандартную IP-дейтаграмму. При этом в поле протокола IP-заголовка помещается значение 51.