Hola,
Muchas gracias de nuevo por tu tiempo,
Cuando dices "Puedes tener la autenticación windows encriptada a nivel alto con Kerberos"... ¿Porque dices, a alto nivel?. Me explico: Yo tengo un dominio 2003 nativizado, y, hasta donde sé, los clientes se autentican contra los controladores con kerberos v5, el cual cifra las credenciales, me imagino te refieres a eso ?. En este escenario tengo Windows 2000, XP, Vista y 2003, con lo que creo todos se autentican con kerberos.
En cuanto a SSL/TLS, yo procuro ponerlo todo así, el servidor web está con https, el ftp por ftps, el correo electrónico lo tengo con SMTPS e IMAPS.
Ahora que lo estoy pensando, un ataque ARP Spoofing o de suplantación de identidad , tendría éxito porque la máquina maliciosa (pongamos un portatil que no está en el dominio) envenenará la tabla ARP de la víctima y se hará pasar por el router o por el pc que queramos, y no usará IPSec ya que esta máquina atacante, al no estar en el dominio, no usará kerberos con IPSec pereo habrá comunicación no segura ya que la regla o condición IPSec era "Soliticar seguridad" no "Requerir seguridad". La máquina víctima al comunicarse con la maliciosa le solicitará IPSec, el atacante no podrá por IPSec, pero aún así se comunicarán.
No sé si me estoy saltando u obviando algún paso, pero el ataque podría tener lugar perfectamente. Investigaré sobre ello !
Muchas gracias !!