* Võtmevahetus on keeruline - osapooltel peavad olema eelnevalt kokkulepitud võtmed või tuleb kasutada täiendavaid protokolle võtmevahetuseks (IKE, KINK, IPSECKEY).
* Konfiguratsioon on keeruline. IPsec kasutusele võtmine tasub ära ainult spetsiifilistel juhtudel.
== IPsec protokollid ==
IPsec koosneb peamiselt kahest komponendist<ref>{{cite web |url=http://www.tcpipguide.com/free/t_IPSecGeneralOperationComponentsandProtocols-2.htm |title=IPSec General Operation, Components and Protocols }}</ref>: autentimispäised (AH) ja andmekapseldus (ESP). Nendele lisanduvad veel mitmed võtmevahetusprotokollid ja lahendus algoritmide kooskõlastamiseks ja parameetrite vahetamiseks (security association).
=== ''Authentication Headers'' ===
''Authentication Headers'' (AH) ehk autentimispäised on IPsec komponent, mis vastutab saadetavate andmete terviklikkuse (''integrity'') ja allika tuvastamise (''authentication'') eest. Selleks kasutab ta krüptograafilisi räsisi (hash)(näiteks HMAC-SHA1) ja digitaalseid allkirju. AH on osa Internetiprotokollist (IP), tema protokollinumber on 51 (mitte segi ajada pordinumbriga).
[[Image:Ipsec-ah-tunnel.svg|frame|none|AH tunneling|IPsec tunnelirežiimis IP paketti kaitsmas]]
=== ''Encapsulating Security Payload'' ===
''Encapsulating Security Payload'' (ESP) ehk turvaline andmekapseldus on IPsec komponent, mis vastutab andmete konfidentsiaalsuse eest. Konfidentsiaalsuse tagamiseks krüpteeritakse kogu IP paketi sisu kasutades tugevaid krüptoalgoritme nagu TripleDES ja AES. Täiendalt võib ESP täita ka AH rolli, kaitstes paketi terviklikkust ja kontrollides paketi allikat. Lõplik algoritmide valik sõltub IPsec konfiguratsioonist ehk selle saab valida võrgu administraator. ESP Internetiprotokolli (IP) protokollinumber on 50.
[[Image:Ipsec-esp.svg|frame|none|ESP kapseldamine|IPsec ESP protokoll andmeid kapseldamas]]
