Спасибо сделал пока без IPSec (таки что то не работает на одной из машин), просто с SSL/TLS and NTLM. Так как был использован self signed certificate то секьюрити это особой не добавило (а вот помучаться с установкой сертификата пришлось). В итоге remote connections are identified as ones using the 128 bit key and NTLM V2 authentication. На сколько это ок? Интересный документик:lavep писал(а): Video tutor
ччч.blackhat.com/presentations/win-usa-02/urity-winsec02.ppt
и вот вывод:
NTLMv2 challenge/response cracking performance:
16CPU - about 4 million trials/sec
4 numeric & alphabet characters: < 5 seconds
5 numeric & alphabet characters: < 4 minutes
6 numeric & alphabet characters: < 4 hours
7 numeric & alphabet characters: about 10 days
8 numeric & alphabet characters: about 21 months
1CPU - about 0.25 million trials/sec
4 numeric & alphabet characters: < 1 minute
5 numeric & alphabet characters: < 1 hour
6 numeric & alphabet characters: about 63 hours
gcc version 3.0.1 with –O2 option
так что сильный пароль is a must
плюс оказалось что lockout - опасная вещь (особенно что то вроде "после каждой нудачной попытки ждать 1 час), потому как если кто то сканирует порты (а это происходит) то ты и сам не попадешь в систему потому как она будет заблокированна. Локаут можно сбросить но для этого нужен доступ к машине - вот и получился закнутый круг.
