Bestandteil der Grundinstallation von TCP/IP sind die sicheren IP-Verbindungen. Dies wurde durch das zunehmende Wachstum des Internets und das umfangreiche Wissen der Benutzerbasis nötig. Noch vor zehn Jahren hätte ein Administrator keine Gedanken daran verschwendet, dass ein Benutzer die Netzwerkleitungen abhören und die Kennwörter anderer Benutzer ausspionieren könnte. Heutzutage kann jeder Benutzer Netzwerküberwachungsprogramme aus dem Internet herunterladen, mit denen er das Netzwerk abhören kann. Die Benutzer haben aber nicht nur einen Zugriff auf das Internet, sondern auch umgekehrt. Deshalb wurde IP Security (IPSec) eingeführt. Und weil es sich um ein offenes Protokoll handelt, das nicht Microsoft gehört, bietet es Interoperabilität mit anderen Systemen.

IPSec kann in zwei Protokolltypen unterteilt werden: IP-Protokoll 50 und IP-Protokoll 51. Das IP-Protokoll 50, auch als ESP-Format (Encapsulating Security Payload) bezeichnet, realisiert Privatsphäre, Authentifizierung und Datenintegrität. IP-Protokoll 51, das AH-Format (Authentication Header), bietet nur Integrität und Authentifizierung, aber keine Privatsphäre. IPSec wird in zwei Modi genutzt: Transportmodus und Tunnelmodus.

Der Transportmodus bietet Sicherheit für den IP-Verkehr von der Quelle zum Ziel zwischen zwei Systemen. Dieser Modus unterstützt Verschlüsselung zwischen den Verbindungsenden, aber keine wirkliche Tunnelingfunktion. Das Paket wird eingekapselt, verschlüsselt und an sein Ziel gesendet. Was passiert, wenn Sie dieses Paket durch ein komplexeres Netzwerk leiten wollen? Das Paket ist verschlüsselt und damit auch ein Teil der erforderlichen Routinginformation. Hier nun kommt der Tunnelmodus ins Spiel.

Der Tunnelmodus von IPSec legt ein existierendes IP-Paket innerhalb eines neuen Pakets ab, das zum Tunnelende geschickt wird. Der Tunnelmodus wird hauptsächlich für Zwischenknoten im Netzwerk bereitgestellt, beispielsweise Router, Gateways und Firewalls. Mit Hilfe von IPSec können diese Geräte einen Teil des IP-Pakets entschlüsseln, so dass die Routinginformation gelesen und das Paket sicher an sein Ziel geschickt werden kann. IPSec ist eigentlich nicht für den VPN-Zugriff von Remote-Usern vorgesehen, vielmehr soll es die Punkt-zu-Punkt-Sicherheit oder erzwungene Tunnel unterstützen. L2TP ist besser geeignet für eine Situation, wo ein einzelner Benutzer einen freiwilligen Tunnel zu einem Tunnel-Server über ein öffentliches Netzwerk anlegt.

Informationen zur Einrichtung von IP-Sec mit MS gibts hier