Используйте IPSec для защиты соединения между двумя компьютерами, но не применяйте его бездумно для всех сетевых подключений, просто потому что есть такая возможность. Определите необходимость в IPSec, оценивая следующие показатели:
насколько сеть уязвима для атак снаружи — если она не подключена к Интернету или другим внешним сетям, ее уязвимость будет низкой;
насколько уязвима сеть для атак изнутри — в большинстве случаев этот показатель сводится к тому, содержит ли сеть важные данные, которые нужно защитить от остальных сотрудников компании; к примеру, бывает нужно защитить финансовую информацию или информацию о патентах от обычных пользователей сети; но если такая информация уже заблокирована системой безопасности, то не нужно использовать для ее защиты IPSec;
нужно ли защитить трафик в локальной сети или лишь данные, передаваемые при подключениях удаленного доступа;
будут ли политики IPSec работать для всех компьютеров, которым нужен доступ к данным — иногда потребуется модернизация некоторых компьютеров, чтобы эффективно использовать IPSec.
Если вы все же решили, что IPSec нужен, учтите следующие тонкости.
1. Если сеть использует структуру домена, то лучше управлять политиками IPSec на уровне домена. В других случаях требуется разрешить администраторам сервера применять политики IPSec по необходимости. Лишь изредка удастся удачно применить политики IPSec на уровне локального компьютера в домене.
2. Шифрование IPSec — как и любое другое сильное шифрование — сильно нагружает процессор. Теперь, когда гигагерцовые чипсеты получили широкое распространение, это не представляет большую проблему; но даже в этом случае не используйте IPSec без необходимости, поскольку он замедлит компьютер. На устаревшем компьютере, который еле-еле «тянет» ХР Professional, IPSec еще сильнее замедлит производительность. Проверьте, может ли сетевой адаптер брать на себя задачи шифрования, если да, то перенесите их на него.
3. Поскольку ненастроенные политики IPSec затрудняют соединение между важными компьютерами, вместо того чтобы защитить его, тщательно проверьте политики IPSec на тестовых компьютерах и серверах/ прежде чем применять их.