Perché utilizzare IPSEC AH vs ESP?

AH può essere facilmente ispezionato dai firewall. L'ESP con NULL è simile ma (AFAIK) il firewall non sa che è il codice NULL e non ha un modo semplice per dirlo dopo aver stabilito una connessione.

Quindi, se vuoi solo l'autenticazione, allora è un vantaggio per AH.

Nella mia esperienza, e in casi estremamente rari, ho trovato un provider o un salto tra endpoint che blocca ESP (protocollo IP 50). Un tunnel stabilisce con successo, ma nessun traffico attraversa. Quando vedo accadere questo e escludere cause probabili standard, guardo ad AH.

Ho usato AH per "dimostrare" ai fornitori di farli almeno controllare la loro fine. Se non può essere corretto, fornisce almeno un meccanismo di trasporto in quei rari casi in cui l'ESP non ha funzionato.

Un altro motivo per cui potresti voler utilizzare AH e non ESP: la crittografia è vietata per la tua applicazione.

Ad esempio, in Amateur Radio, i collegamenti dati sullo spettro della licenza sono esplicitamente vietati da qualsiasi crittografia. Possiamo usare AH, però, come un anti-spoof o per fare un vero tunneling VPN senza infrangere la legge.

Altri paesi potrebbero avere problemi simili e, a volte, le policy di rete delle aziende proibiscono la maggior parte delle persone dalla crittografia, in quanto ciò impedisce la loro capacità di ispezionare i dati.

Quindi, in breve, esistono casi in cui la crittografia non è desiderabile o consentita e AH esiste per soddisfare tali casi.

La crittografia su cavo potrebbe non essere un requisito o l'hardware non è in grado di crittografare ad alta velocità. Sulle piattaforme prive di crittografia, l'ESP potrebbe gravare pesantemente sul piano di controllo.