diff --git a/cheatsheet.tex b/cheatsheet.tex
index 2d09e3e..cd0e86c 100644
--- a/cheatsheet.tex
+++ b/cheatsheet.tex
@@ -205,5 +205,36 @@
                 \item welches wird über Type-Feld signalisiert
                 \end{itemize}
             \end{itemize}
+    \subsection{IPsec}
+        \begin{itemize}
+            \item IP verbindungslos, IPsec verbindet Endknoten
+            \item häufig in VPNs
+            \item tunneling (ganzes IP Paket als payload) und transport (nur IP payload als payload) mode
+            \item AH (Authentication Header) Authentication, integrity (auch IP hdr), keine Confidentiality
+            \item ESP (Encapsulating Security Payload) auch Confidentiality, integrity nicht für IP hdr
+            \item tunneling mit ESP am häufigsten
+            \item Security Association (= IPSec Verbindung)
+            \begin{itemize}
+                \item nur unidirektional
+                \item Verbindungsaufbau durch sendende Einheit
+                \item connection-oriented
+            \end{itemize}
+            \item new IPhdr - ESP hdr - orig IP hdr - orig IP payload - ESP trailer - ESP auth
+            \item ESP hdr enthält sequence number
+            \item window um Dopplungen zu erkennen
+            \item ESP auth ist MAC mit shared secret
+            \item Kombination von AH und ESP möglich
+            \item Security Policy Database (SPD)
+            \begin{itemize}
+                \item Sender oder Weiterleitung
+                \item kann Filtern
+                \item ``was passiert mit dem ankommenden Paket''
+            \end{itemize}
+            \item Security Association database (SAD)
+            \begin{itemize}
+                \item Hält Status für alle SAs
+                \item lookup während IPSec
+            \end{itemize}
+        \end{itemize}
 \end{multicols*}
 \end{document}