¿Por qué usar IPSEC AH vs ESP?

AH puede ser inspeccionado fácilmente por firewalls. ESP con NULL es similar pero (AFAIK) el firewall no sabe que es el cifrado NULL y no tiene una manera fácil de saberlo después de que se haya establecido una conexión.

Entonces, si solo quieres autenticación, eso es un punto a favor para AH.

En mi experiencia, y en casos EXTREMADAMENTE raros, he encontrado un proveedor o algún salto entre los puntos finales que bloquea el ESP (protocolo IP 50). Un túnel se establece con éxito, pero el tráfico no pasa. Cuando veo que esto sucede y descarto causas probables estándar, miro hacia AH.

He usado AH para 'probar' eso a los proveedores para que al menos verifiquen su final. Si no se puede corregir, al menos proporciona un mecanismo de transporte en aquellos casos raros en los que la ESP no ha funcionado.

Una razón más por la que podría usar AH y no ESP: el cifrado está prohibido para su aplicación.

Por ejemplo, en Amateur Radio, los enlaces de datos sobre el espectro con licencia están explícitamente prohibidos para cualquier cifrado. Sin embargo, podemos usar AH como un método anti-spoof o para hacer un túnel VPN sin romper la ley.

Otros países pueden tener problemas similares y, a veces, las políticas de red de las empresas prohibirán el cifrado de la mayoría de las personas, ya que eso bloquea su capacidad para inspeccionar los datos.

En resumen, existen casos en los que el cifrado no es deseable o no está permitido, y AH existe para satisfacer esos casos.

El cifrado a través del cable puede no ser un requisito o el hardware es incapaz de cifrar a alta velocidad. En plataformas sin descarga de encriptación, ESP podría gravar fuertemente en el plano de control.