terça-feira, 9 de setembro de 2008

A melhor arquitetura para a rede sem fio de uma filial - parte 1

Um ponto de acesso inadequado em um local remoto pode criar um enorme problema de segurança; mas qual arquitetura escolher? Sabia aqui

Os usuários remotos poderão se sentir marginalizados, se não tiverem os mesmos recursos tecnológicos que os funcionários da sede da companhia dispõem, e eles não vão aceitar a complexidade do design, os custos do gerenciamento ou os riscos referentes à segurança como uma desculpa. Um exemplo ideal dessa situação é o de uma filial que julga estar sendo mal atendido porque "todos os outros escritórios têm recursos de comunicação sem fios". Esses funcionários podem simplesmente comprar um access point que custa US$50, acreditando que estão fazendo um favor ao pessoal de TI corporativa, resolvendo, eles mesmos, o "problema".

Naturalmente, uma boa política de segurança fica comprometida pelo seu elo mais fraco, de modo que um ponto de acesso inadequado, que custa US$50, pode neutralizar milhares de dólares investidos em controles de acesso sofisticados. Simplificando, ter um access point aberto conectado à rede corporativa equivale a instalar um conector de Ethernet em um estacionamento aberto. Mesmo se o dispositivo estiver configurado com o recurso de Wired Equivalent Privacy (WEP), ele está vulnerável. Utilizando uma antena de longo alcance e estando em um local próximo do alvo, um invasor pode inserir e/ou coletar um agrupamento de dados, no padrão 802.11, e obter chaves e senhas de criptografia estática com base em WEP, que são utilizadas pelos funcionários "prestativos", que tentam manter a segurança de seu dispositivo não-autorizado.

Para piorar a situação, depois que um invasor consegue acessar a rede de um escritório remoto e obter um endereço de IP válido, ele pode parecer, pelo menos conforme a perspectiva da rede, que é um usuário corporativo autorizado. A menos que você tenha o controle do acesso à rede ou um sistema de firewall central instalado, o intruso poderá acessar todos os ativos corporativos locais e também os conectados pela rede remota (WAN), por meio da conexão da filial.

Com o advento dos sistemas padrão 802.11n de nível corporativo, a equação da rede remota sem fios (WLAN) se tornou ainda mais complexa. O aspecto positivo dessa situação é que a especificação 802.11n aumentará muito a taxa de throughput de cada ponto de acesso, ao mesmo tempo em que irá aperfeiçoar a capacidade da TI de identificar dispositivos inadequados. O lado negativo - além do enorme custo adicional que o dispositivo padrão 11n exige - é que será ainda mais fácil para os usuários de conexões sem fio saturar a largura de banda WAN disponível.

A melhor resposta para as organizações geograficamente dispersas pode ser disponibilizar cobertura WLAN de nível corporativo no padrão 802.11 para suas filiais. Embora você possa apenas manter pontos de acesso mais leves nos escritórios remotos, ao conectá-los ao controlador se seu escritório principal, os problemas com uma conectividade inferior e com a escassez de largura de banda demonstrarão que essa é uma opção ruim. A melhor alternativa são os dispositivos controladores proporcionais à WLAN, fornecidos pela Aruba Networks, Cisco Systems e Motorola-Symbol, que podem operar com até seis pontos de acesso, enquanto oferecem muitos dos sofisticados recursos disponíveis nos controladores capazes de lidar com mais de mil pontos de acesso.

Como outra opção, fabricantes como a Aruba e a Cisco fornecem sistemas avançados, projetados para ampliar os padrões da WLAN corporativa para que alcancem as filiais, ao mesmo tempo em que eliminam as restrições de largura de banda inerentes à conectividade por WANs. Os Remote Access Points da Aruba, e os Hybrid Remote Edge Access Points da Cisco, utilizam pontos de acesso leves padrão, que dispõem de firmware especializado, capazes de se integrar completamente aos controladores de WLAN centralizados, permitindo que os escritórios de filiais disponham da mesma funcionalidade e segurança fornecidas às sedes das companhias, sem a necessidade de implementar controladores de WLAN locais - nem de ter avançados recursos de TI disponíveis no local, para assegurar sua manutenção.


por Richard S. Dreger Jr. e Grant P. Moerschel*

Reações:

0 comentários: