Gabarito: B
A) IPSec serve para prover criptografia e Autenticação na camda de Rede.
C) no modo transporte o cabeçalho fica exposto, só os dados que são encriptados
D) no modo Túnel os dados de payload são compostos pelo cabeçalho e dados iniciais ( IP, TCP + Dados), depois que acrescenta um novo cabeçalho.
E) se utilizamos o Modo Tunel junto com o AH (que provê somente a Autenticação) não teremos o IP Original Criptografado.
Esta alternativa estaria correta se falasse que seria em modo Tunel com o ESP.
Obs: Você pode utilizar os Modos de Operação Tunel ou Transporte combinado com os protocolos AH ou ESP.
Peço vênias ao colega @Leonardo Pereira, autor Nakamura diz exatamente o que afirma a questão E.
Tomando a liberdade de transcrevê-lo, apenas para fins didátivos, diz Nakamura, pg. 355, "Tunnel Model: é geralmente utilizado pelos gateways IPSec, que manipuam o tráfego IP gerado por hosts que não aceitam o IPSec, como nas modalidades que podem ser observadas nas figuras 10.3 e 10.8. O gateway encapsula o pacote IP com a criptografia do IPSec, incluindo o cabeçalho do IP original. Ele, então, adiciona um novo cabeçalho IP no pacote de dados (figura 10.18) e o envia por meio da rede pública para o segundo gateway, no qual a informação é decifrada e enviada ao host do destinatário, em sua forma original (figura 10.19)."
Assim, percebe-se que a questão possui duas respostas válidas.
Nakamura, Emilio Tissato, Segurança de rede em ambientes corporativos.