¿Por qué necesitamos IPSec cuando podemos cifrar los datos en la capa de aplicación?

TLS fue diseñado para proteger solo los datos de la capa de aplicación. Puedes usar TLS para crear un túnel VPN, pero no es así con tanta frecuencia.

IPSec / ISAKMP fue diseñado para proteger los datos de IP, TCP y Capa de aplicación. Cuando se utiliza IPSec, las direcciones IP se encapsulan con una capa adicional de los dos puntos finales para el túnel IPSec (VPN), y todo lo que se encuentra en la capa de transporte y más arriba se cifra.

Debido a la forma en que IPSec encapsula y protege los datos, es ideal para enrutadores grandes. Puede enrutar el tráfico de red específico para usar el túnel IPSec a través de múltiples subredes si así lo desea. Tampoco se requieren conocimientos especiales o un intercambio de claves, ya que la decisión de cifrar el tráfico se realiza en el nivel de IP de la pila. Requiere que su red ya haya establecido un túnel IPSec para llegar a los servicios en la red remota. Esto es ideal para conectar diferentes redes de campus de empresas a través de puntos de acceso únicos.

Es más simple configurar IPsec una vez entre hosts que entre todos los servicios en tus hosts

En un host razonablemente seguro, debería estar ejecutando varios servicios administrativos, como enviar sus syslogs a un servidor central para su análisis, mensajes de correo electrónico del sistema local, agente de respaldo, HIDS, NTP, SNMP, SSH

¿Es más sencillo configurar UN sistema de encriptación / autenticación por máquina, o SIETE?

También es más seguro porque las nuevas conexiones que realice serán seguras por defecto , por lo que cuando entra el nuevo Node.js webdev y se conecta a su base de datos, no tiene que preocuparse por SSL

Algunos protocolos tienen una seguridad débil y serán más seguros si sobre IPsec, como NIS / YP, SNMP, SMTP, NFS

Aquí está mi guía sobre la configuración de IPSec entre hosts con OpenBSD:

enlace