Perché abbiamo bisogno di IPSec quando possiamo crittografare i dati a livello di applicazione?

TLS è stato progettato per proteggere solo i dati del livello applicazione. Puoi utilizzare TLS per creare un tunnel VPN, ma non è così spesso.

IPSec / ISAKMP è stato progettato per proteggere i dati IP, TCP e Application Layer. Quando si utilizza IPSec, gli IP sono incapsulati con un livello aggiuntivo dei due endpoint per il tunnel IPSec (VPN) e tutto ciò che è presente sul Transport Layer e sopra è crittografato.

A causa del modo in cui IPSec incapsula e protegge i dati, è ideale per i router di grandi dimensioni. È possibile instradare il traffico di rete specifico per utilizzare il tunnel IPSec su più sottoreti, se lo si desidera. Inoltre, non richiede conoscenze particolari o uno scambio di chiavi poiché la decisione di crittografare il traffico viene effettuata a livello IP dello stack. Richiede che la rete abbia già stabilito un tunnel IPSec per raggiungere i servizi nella rete remota. Questo è l'ideale per collegare reti di diversi campus aziendali attraverso singoli punti di accesso.

È più semplice configurare IPsec una volta tra gli host che tra ogni servizio sui tuoi host

Su un host ragionevolmente sicuro dovresti eseguire diversi servizi amministrativi, come spedire i tuoi syslog a un server centrale per l'analisi, le stesse e-mail di sistema locale, l'agente di backup, HIDS, NTP, SNMP, SSH

È più semplice configurare UN sistema di crittografia / autenticazione per macchina o SEVEN?

È anche più sicuro perché le nuove connessioni che crei saranno protette per impostazione predefinita , quindi quando il nuovo webdev Node.js arriva e si connette al tuo database, non deve preoccuparsi di SSL

Alcuni protocolli hanno una sicurezza debole e saranno più sicuri se su IPsec, come NIS / YP, SNMP, SMTP, NFS

Ecco la mia guida sulla configurazione di IPSec tra gli host con OpenBSD:

link