Um ponto de acesso inadequado em um local remoto pode criar um enorme problema de segurança; mas qual arquitetura escolher? Sabia aqui
As tecnologias RAP, da Aruba, e H-REAP, da Cisco, apenas
para escolher duas como exemplo, reintroduzem inteligência ao modelo de PAs
leves “burros”, e são projetadas para reduzir as idas e vindas ao
controlador trocando pacotes localmente se eles são destinados a dispositivos
locais. O processo de configuração de um ponto de acesso com a tecnologia RAP ou
a H-REAP exige somente que seja configurado o dispositivo para que ele reconheça
a LAN, de modo que a comutação local possa ser realizada quando for possível.
Imagine uma situação na qual Maria e Roberto estão no mesmo
escritório, e o PC de Maria precisa se conectar ao PC de Roberto. Se os pontos
de acesso locais estiverem conectados ao controlador da sede por meio da WAN de
um modo convencional (ou seja, sem nenhum recurso de inteligência de comutação
local), o volume de transações na WAN será enorme. Utilizando a funcionalidade
da tecnologia RAP ou da H-REAP e acrescentando alguma inteligência a suas
decisões sobre a comutação, os fluxos de dados podem ser otimizados.
Assim como acontece com as outras opções de design, existem
algumas considerações que se deve ter em mente. Primeiramente,
os PAs com tecnologias RAP/H-REAP não são projetados para trabalhar com VoIP
sem fio ou outros aplicativos sensíveis à latência. Além disso, embora RAP e H-REAP
permitam alguma solidez quanto à autenticação local, geralmente, se o acesso ao
controlador for perdido, novos usuários não conseguirão fazer a autenticação
utilizando mecanismos comuns de 802.1X/EAP. Dependendo de qual seja o seu
método de autenticação, alguma configuração pode ser realizada nos próprios PAS para oferecer alguma autenticação
local de usuários para ajudar a eliminar as interrupções quando os recursos da WAN
não estiverem disponíveis. O suporte técnico dos fabricantes quanto à
autenticação local e aos tipos de Extensible
Authentication Protocol (EAP) varia, portanto, assegure-se de sua compatibilidade
antes da implementação.
Uma grande vantagem está nos escritórios remotos flexíveis: quando
um PA está no modo RAP/H-REAP, ele pode fornecer aos usuários remotos, acesso
seguro aos recursos corporativos. Esta abordagem pode ser estendida para os
profissionais que trabalham viajando, que podem conectar um ponto de acesso
previamente configurado diretamente na rede de um cliente. Nesse sentido, os
dispositivos com a tecnologia RAP, da Aruba, têm uma vantagem, porque utilizam
protocolos IPsec VPN padrão para proteger a conexão entre o PA e o controlador,
e permitir o acesso, com ou sem fio, diretamente ao PA, para a canalização de
volta ao controlador. O sistema da Aruba também apresenta outros benefícios, como
a capacidade de atravessar portais remotos cativos, como aqueles comumente
encontrados em hotéis. Por
outro lado, o H-REAP, da Cisco, utiliza o Light Weight Access Point Protocol (LWAPP), que autentica os
componentes de WLAN com certificados públicos e criptografa as comunicações com
o Advanced Encryption Standard.
Em termos gerais, a arquitetura RAP/H-REAP é ideal para
expandir as WLANs corporativas para locais remotos, exigindo até três PAs. A TI
ganha recursos e opções de design que facilitam a consistência, ampliam o
gerenciamento centralizado e proporcionam a visibilidade da WLAN nos
escritórios remotos. Mas mesmo com essas vantagens, existem usos para os quais
não existe um substituto para o controlador local dedicado.
Nesta sexta-feira (05/09), você confere a última parte das quatro
reportagens sobre a implantação de redes sem fio em escritórios
filiais. Enfim, qual a melhor estrutura a escolher?
Leia anteriores:
– parte 1
– parte 2
– parte 4 (a partir de 05/09)
* Richard S.
Dreger Jr. (CISSP, CWNE) e Grant P. Moerschel (CISSP, CWSP, CCSP) são
co-fundadores da WaveGard, uma companhia de consultoria de tecnologia
independente. Entre em contato com os autores, pelo e-mail: info@wavegard.com.
