El módulo Encapsulating Security Payload (ESP) ofrece confidencialidad para los elementos que encapsula ESP. ESP también proporciona los servicios que proporciona AH. Sin embargo, ESP sólo proporciona sus protecciones de la parte del datagrama que encapsula ESP. ESP proporciona servicios de autenticación opcional para asegurar la integridad de los paquetes protegidos. Debido a que ESP utiliza tecnología de habilitación de cifrado, un sistema que proporcione ESP puede estar sujeto a leyes de control de importación y exportación.
ESP encapsula sus datos, de modo que ESP sólo protege los datos que siguen a su inicio en el datagrama, como se muestra en la ilustración siguiente.
En un paquete TCP, ESP encapsula únicamente el encabezado TCP y sus datos. Si el paquete se encuentra en un datagrama de IP en IP, ESP protege el datagrama IP interior. La directiva por socket permite la autoencapsulación, de modo que ESP puede encapsular las opciones de IP cuando lo necesita.
Si está activada la autoencapsulación, se realiza una copia del encabezado IP para construir un datagrama de IP en IP. Por ejemplo, cuando la autoencapsulación no está activada en un socket TCP, el datagrama se envía con el siguiente formato:
[ IP(a -> b) options + TCP + data ] |
Cuando la autoencapsulación está activa en ese socket TCP, el datagrama se envía con el siguiente formato:
[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ] |
Para más información, consulte Modos de transporte y túnel en IPsec.
La tabla siguiente compara las protecciones que proporcionan AH y ESP.
Tabla 19–2 Protecciones que proporcionan AH y ESP en IPsec