Es más simple configurar IPsec una vez entre hosts que entre todos los servicios en tus hosts
En un host razonablemente seguro, debería estar ejecutando varios servicios administrativos, como enviar sus syslogs a un servidor central para su análisis, mensajes de correo electrónico del sistema local, agente de respaldo, HIDS, NTP, SNMP, SSH
¿Es más sencillo configurar UN sistema de encriptación / autenticación por máquina, o SIETE?
También es más seguro porque las nuevas conexiones que realice serán seguras por defecto , por lo que cuando entra el nuevo Node.js webdev y se conecta a su base de datos, no tiene que preocuparse por SSL
Algunos protocolos tienen una seguridad débil y serán más seguros si sobre IPsec, como NIS / YP, SNMP, SMTP, NFS
Aquí está mi guía sobre la configuración de IPSec entre hosts con OpenBSD:
enlace