Hola,
Primero quería felicitar a los creadores, moderadores, mantenedores, etc, del foro, me parece un gran foro y una gran web !!
Ahí va la pregunta, relativa a IPSec en dominio:
Se me ocurre implementar la directiva "solicitar seguridad" (Request) en todos los pc´s del dominio con la autenticación kerberos, mediante una GPO a nivel de dominio .
De esta forma, al sólo solicitar seguridad, si una máquina que no tenga kerberos (que no esté dentro del dominio) quiera establecer comunicación con alguna otra del dominio, podrá hacerlo ya que "solicitamos" seguridad pero no "requerimos" seguridad.
Un portatil intentando escuchar con un sniffer comunicaciones entre la red LAN no verá nada porque todo el tráfico lan está encriptado y no podrá hacer arp spoofing o dhcp spoofing, osea, envenenamiento de tablas arp, suplantación de identidad de un servidor dhcp...
En realida la pregunta es saber si es acertado hacer esto, he escuchado problemas de ralentización de red por implementar IPSec en un entorno real de, digamos, 100 o 200 pc´s haciendo IPSec cada vez que envían un email al servidor de correos de la empresa o al acceder a un recurso compartido, al hacer ping, al... todo el tráfico.
Gracias de antemano !