IPv6 e IPSec - por que preciso de um daemon externo?

É obrigatório que as implementações suportem IPSec para IPv6, mas não é obrigatório ativá-lo . E até mesmo o obrigatório (DEVE na linguagem IETF) está sendo alterado para uma recomendação muito strong (deve na linguagem IETF, ou seja, implementar a menos que você tenha uma boa razão para não) nas últimas atualizações RFC.

O grande problema com a segurança é que é impossível fazer tudo de forma totalmente automática. Se fosse, então qualquer um poderia participar automaticamente ;-) A configuração de um sistema para gerenciar chaves públicas / privadas, certificados, etc. (PKI: Infra-estrutura de Chave Pública) é sempre o desafio ao se fazer esse tipo de segurança.

PS: que o IPSec é necessário não diz nada sobre onde ele é implementado. O IPSec sendo implementado em um pacote separado ainda significa que o todo está em conformidade com os padrões.

O suporte IPSec é obrigatório no nível do protocolo. Implementação e uso não são.

why do I need an external daemon?

O kernel do Linux oferece suporte ao IPsec, pois ele pode criptografar / descriptografar / remover automaticamente pacotes ESP ou adicionar / verificar cabeçalhos do AD, quando receber as chaves de criptografia.

No entanto, você ainda precisa de um software que administre essas chaves de criptografia - é aqui que entra Racoon ou StrongSwan. Eles cuidam da autenticação e da troca de chaves (IKE, IKEv2, Kerberos); eles mantêm as atribuições de chaves (chave estática para o host X, um certificado X.509 para o host Y); eles dizem ao kernel sobre novas associações de segurança. Fazer todas essas operações no espaço do usuário aumenta a segurança e a confiabilidade, além de permitir novos protocolos de autenticação ou de troca de chaves, sem a necessidade de reconstruir o kernel. Além disso, muitos desses protocolos já possuem implementações bem testadas no espaço do usuário; fazer tudo no kernel exigiria a duplicação de muito código.