terça-feira, 9 de setembro de 2008

A melhor arquitetura para a rede sem fio de uma filial - Parte 2

Um ponto de acesso inadequado em um local remoto pode criar um enorme problema de segurança; mas qual arquitetura escolher? Sabia aqui

A arquitetura de WLAN dominante assegura o acesso sem fio utilizando um controlador com alta capacidade e pontos de acesso leves gerenciados. Esta abordagem centralizada facilita a criação de perfis de WLAN, a fim de oferecer acesso sem fio sob medida para diversos grupos. Para as companhias que utilizam vários controladores, adicionar um sistema de gerenciamento de redes sem fio pode reunir todos os componentes da infra-estrutura da WLAN em uma única interface de gerenciamento.

Existem algumas importantes exigências quanto ao design que devem ser consideradas ao se desenvolver qualquer serviço sem fio padrão 802.11:

  • As implementações de segurança devem ser consistentes e interoperáveis com a configuração da matriz da companhia, e a autenticação dos usuários deve ser uniforme. Se seu escritório principal utilizar autenticação Extensible Autehntication Protocol-Tunneled Transport Layer Security (EAP-TTLS), os escritórios remotos deverão utilizar o mesmo sistema. A criptografia também deverá ser consistente;
  • Os sistemas de prevenção contra intrusão sem fio deverão ser utilizados para assegurar umas política que não permita "pontos de acesso falsos' (rogue access points). Esse controle de segurança evita a conexão intencional - e imperceptível - de pontos de acesso que não foram sancionados. Um sistema bem projetado consegue desabilitar pontos falsos ao desativar suas portas de cobre dos comutadores de LANs, capturando (tar-pitting) temporariamente seus recursos de freqüência e ajudando a TI a localizar o dispositivo;
  • O acesso a convidados com base em portal da Web deverá ser disponibilizado aos visitantes. Funções cativas do portal, como essas, sempre deverão utilizar protocolos de autenticação seguros, como HTTPS;
  • Criar controles de acesso com limite de consumo de banda baseado em perfis de grupos, ou de usuários quando disponível.

Sendo assim, por que não implantar, nos escritórios das filiais, os mesmos pontos de acesso leves que são utilizados na sede da companhia e gerenciá-los com os controladores centrais? A resposta é curta: por causa do modo como funciona o modelo WLAN centralizada, em particular, os fluxos de tráfego e de dados. Quando um ponto de acesso leve é ativado, ele obtém um endereço de IP e informações sobre o controlador com o qual ele precisa se comunicar. Uma vez que o ponto remoto tenha essas informações, ele cria um túnel - utilizando o formato GRE (da Aruba), o LWAPP (da Cisco), ou outro formato - sobre a WAN e retornando ao controlador, a fim de obter informações, firmware e especificações atualizados sobre a configuração da WLAN.

Esta é uma configuração viável, mas como o hardware não foi otimizado para se comunicar por meio de um link WAN, pontos de ineficiências e falhas prejudicam muito o aspecto atrativo desta opção. Por exemplo, se a conectividade com o controlador for perdida, como no caso de uma falha da WAN, o ponto de acesso não pode, por si mesmo, processar o tráfego da WLAN e começará a procurar por um controlador alternativo. Quando isso ocorre, os clientes utilizando conexões sem fio perdem a conexão e não conseguem acessar nem recursos remotos, nem recursos locais. Observe que alguns fabricantes de WLANs, incluindo a Colubris e a Trapeze Networks, incluem a resiliência em seus pontos de acesso básicos, recorrendo a um modelo de design denominado "encaminhamento distribuído", para fazer retornar mais inteligência de comutação para o ponto. No entanto, essa abordagem tem seus prós e contras específicos.

Além disso, os pontos de acesso leves mais básicos são configurados para canalizar todo o tráfego de volta para seus controladores. Desse modo, o tráfego destinado a qualquer dispositivo na rede - mesmo aqueles que estejam no mesmo local que o ponto de acesso - deve, primeiramente, atravessar a WAN, a fim de atingir seu destino. No caso de tráfego que se origina e termina no local remoto, não existe opção de comutação local, por isso, os dados devem cruzar a WAN duas vezes. Simplificando, os PAs leves básicos não são suficientemente inteligentes para encaminhar o tráfego seletivamente, tendo como base as informações sobre origem e destino.

Claramente, embora o modelo básico de arquitetura de PA possa ter sido projetado para funcionar, ele não representa uma solução devidamente aperfeiçoada para o problema da WLAN de escritórios remotos. Opções melhores são: instalar um dispositivo controlador de menor escala no local da filial ou, então, um produto, como os Remote Access Points (RAP), da Aruba, ou os Hybrid Remote Edge Access Points (H-REAP), da Cisco, que estendem o gerenciamento central da WLAN até os locais remotos. Tanto a opção de um dispositivo controlador como a de um PA remoto proporcionam consistência de implementação da WLAN; recursos diretos para a solução de problemas, recursos prevenção contra intrusão da rede sem fio, e o conhecimento de que os padrões de segurança das WLAN corporativas estão sendo expandidos para todos os locais dentro da organização.


por Richard S. Dreger Jr. e Grant P. Moersche

0 comentários: