Um ponto de acesso inadequado em um local remoto pode criar um enorme problema de segurança; mas qual arquitetura escolher? Sabia aqui
Os usuários remotos poderão se sentir marginalizados, se não
tiverem os mesmos recursos tecnológicos que os funcionários da sede da
companhia dispõem, e eles não vão aceitar a complexidade do design, os custos
do gerenciamento ou os riscos referentes à segurança como uma desculpa. Um
exemplo ideal dessa situação é o de uma filial que julga estar sendo mal
atendido porque “todos os outros escritórios têm recursos de comunicação
sem fios”. Esses funcionários podem simplesmente comprar um access point
que custa US$50, acreditando que estão fazendo um favor ao pessoal de TI
corporativa, resolvendo, eles mesmos, o “problema”.
Naturalmente, uma boa política de segurança fica
comprometida pelo seu elo mais fraco, de modo que um ponto de acesso
inadequado, que custa US$50, pode neutralizar milhares de dólares investidos em
controles de acesso sofisticados. Simplificando, ter um access point aberto conectado
à rede corporativa equivale a instalar um conector de Ethernet em um
estacionamento aberto. Mesmo se o dispositivo estiver configurado com o recurso
de Wired Equivalent Privacy (WEP), ele está vulnerável. Utilizando uma antena
de longo alcance e estando em um local próximo do alvo, um invasor pode inserir
e/ou coletar um agrupamento de dados, no padrão 802.11, e obter chaves e senhas
de criptografia estática com base em WEP, que são utilizadas pelos funcionários
“prestativos”, que tentam manter a segurança de seu dispositivo
não-autorizado.
Para piorar a situação, depois que um invasor consegue
acessar a rede de um escritório remoto e obter um endereço de IP válido, ele
pode parecer, pelo menos conforme a perspectiva da rede, que é um usuário
corporativo autorizado. A menos que você tenha o controle do acesso à rede ou
um sistema de firewall central instalado, o intruso poderá acessar todos os
ativos corporativos locais e também os conectados pela rede remota (WAN), por
meio da conexão da filial.
Com o advento dos sistemas padrão 802.11n de nível
corporativo, a equação da rede remota sem fios (WLAN) se tornou ainda mais complexa.
O aspecto positivo dessa situação é que a especificação 802.11n aumentará muito
a taxa de throughput de cada ponto de acesso, ao mesmo tempo em que irá
aperfeiçoar a capacidade da TI de identificar dispositivos inadequados. O lado
negativo – além do enorme custo adicional que o dispositivo padrão 11n exige – é
que será ainda mais fácil para os usuários de conexões sem fio saturar a
largura de banda WAN disponível.
A melhor resposta para as organizações geograficamente dispersas
pode ser disponibilizar cobertura WLAN de nível corporativo no padrão 802.11
para suas filiais. Embora você possa apenas manter pontos de acesso mais leves
nos escritórios remotos, ao conectá-los ao controlador se seu escritório
principal, os problemas com uma conectividade inferior e com a escassez de largura
de banda demonstrarão que essa é uma opção ruim. A melhor alternativa são os
dispositivos controladores proporcionais à WLAN, fornecidos pela Aruba
Networks, Cisco Systems e Motorola-Symbol, que podem operar com até seis pontos
de acesso, enquanto oferecem muitos dos sofisticados recursos disponíveis nos controladores
capazes de lidar com mais de mil pontos de acesso.
Como outra opção, fabricantes como a Aruba e a Cisco fornecem
sistemas avançados, projetados para ampliar os padrões da WLAN corporativa para
que alcancem as filiais, ao mesmo tempo em que eliminam as restrições de
largura de banda inerentes à conectividade por WANs. Os Remote Access Points da
Aruba, e os Hybrid Remote Edge Access Points da Cisco, utilizam pontos de
acesso leves padrão, que dispõem de firmware especializado, capazes de se
integrar completamente aos controladores de WLAN centralizados, permitindo que
os escritórios de filiais disponham da mesma funcionalidade e segurança
fornecidas às sedes das companhias, sem a necessidade de implementar
controladores de WLAN locais – nem de ter avançados recursos de TI disponíveis
no local, para assegurar sua manutenção.
Nesta quarta-feira (03/09), você confere a segunda parte das quatro reportagens sobre a implantação de redes sem fio em escritórios filiais. O assunto tratado será a definição do design da rede.
Leia anteriores:
– parte 2
– parte 3
– parte 4
* Richard S.
Dreger Jr. (CISSP, CWNE) e Grant P. Moerschel (CISSP, CWSP, CCSP) são
co-fundadores da WaveGard, uma companhia de consultoria de tecnologia
independente. Entre em contato com os autores, pelo e-mail: info@wavegard.com.
