Supponiamo che abbia un server che possiede socket UDP. Quindi, per alcuni client, questo server si aspetta di ricevere questo traffico UDP incapsulato su IPsec. Mentre per alcuni altri client (impostazione predefinita), consente loro di contattare lo stesso server in testo normale senza utilizzare alcun IPsec.
Per me sembra qualcosa di simile a "autenticazione opportunistica", perché i client che non richiedono l'autenticazione possono ancora raggiungere il socket UDP del server in modo semplice e potrebbero anche provare a spoofare il traffico in alcune circostanze in modo che sembrerebbe come se fosse venuto da un host che avrebbe dovuto comunicare su IPsec.
Quali esperti di sicurezza dicono di tali progetti di sicurezza? Esistono certificazioni (FIPS, ecc.) Che vietano tali progetti perché in realtà significa che il server sta permettendo a un utente malintenzionato di ignorare l'autenticazione IPsec e Application Layer dovrebbe decidere se il traffico è stato contraffatto o meno.