A melhor arquitetura para a rede sem fio de uma filial

Os usuários remotos poderão se sentir marginalizados, se não

tiverem os mesmos recursos tecnológicos que os funcionários da sede da

companhia dispõem, e eles não vão aceitar a complexidade do design, os custos

do gerenciamento ou os riscos referentes à segurança como uma desculpa. Um

exemplo ideal dessa situação é o de uma filial que julga estar sendo mal

atendido porque “todos os outros escritórios têm recursos de comunicação

sem fios”. Esses funcionários podem simplesmente comprar um access point

que custa US$50, acreditando que estão fazendo um favor ao pessoal de TI

corporativa, resolvendo, eles mesmos, o “problema”.

Naturalmente, uma boa política de segurança fica

comprometida pelo seu elo mais fraco, de modo que um ponto de acesso

inadequado, que custa US$50, pode neutralizar milhares de dólares investidos em

controles de acesso sofisticados. Simplificando, ter um access point aberto conectado

à rede corporativa equivale a instalar um conector de Ethernet em um

estacionamento aberto. Mesmo se o dispositivo estiver configurado com o recurso

de Wired Equivalent Privacy (WEP), ele está vulnerável. Utilizando uma antena

de longo alcance e estando em um local próximo do alvo, um invasor pode inserir

e/ou coletar um agrupamento de dados, no padrão 802.11, e obter chaves e senhas

de criptografia estática com base em WEP, que são utilizadas pelos funcionários

“prestativos”, que tentam manter a segurança de seu dispositivo

não-autorizado.

Para piorar a situação, depois que um invasor consegue

acessar a rede de um escritório remoto e obter um endereço de IP válido, ele

pode parecer, pelo menos conforme a perspectiva da rede, que é um usuário

corporativo autorizado. A menos que você tenha o controle do acesso à rede ou

um sistema de firewall central instalado, o intruso poderá acessar todos os

ativos corporativos locais e também os conectados pela rede remota (WAN), por

meio da conexão da filial.

Com o advento dos sistemas padrão 802.11n de nível

corporativo, a equação da rede remota sem fios (WLAN) se tornou ainda mais complexa.

O aspecto positivo dessa situação é que a especificação 802.11n aumentará muito

a taxa de throughput de cada ponto de acesso, ao mesmo tempo em que irá

aperfeiçoar a capacidade da TI de identificar dispositivos inadequados. O lado

negativo – além do enorme custo adicional que o dispositivo padrão 11n exige – é

que será ainda mais fácil para os usuários de conexões sem fio saturar a

largura de banda WAN disponível.

A melhor resposta para as organizações geograficamente dispersas

pode ser disponibilizar cobertura WLAN de nível corporativo no padrão 802.11

para suas filiais. Embora você possa apenas manter pontos de acesso mais leves

nos escritórios remotos, ao conectá-los ao controlador se seu escritório

principal, os problemas com uma conectividade inferior e com a escassez de largura

de banda demonstrarão que essa é uma opção ruim. A melhor alternativa são os

dispositivos controladores proporcionais à WLAN, fornecidos pela Aruba

Networks, Cisco Systems e Motorola-Symbol, que podem operar com até seis pontos

de acesso, enquanto oferecem muitos dos sofisticados recursos disponíveis nos controladores

capazes de lidar com mais de mil pontos de acesso.

Como outra opção, fabricantes como a Aruba e a Cisco fornecem

sistemas avançados, projetados para ampliar os padrões da WLAN corporativa para

que alcancem as filiais, ao mesmo tempo em que eliminam as restrições de

largura de banda inerentes à conectividade por WANs. Os Remote Access Points da

Aruba, e os Hybrid Remote Edge Access Points da Cisco, utilizam pontos de

acesso leves padrão, que dispõem de firmware especializado, capazes de se

integrar completamente aos controladores de WLAN centralizados, permitindo que

os escritórios de filiais disponham da mesma funcionalidade e segurança

fornecidas às sedes das companhias, sem a necessidade de implementar

controladores de WLAN locais – nem de ter avançados recursos de TI disponíveis

no local, para assegurar sua manutenção.

Nesta quarta-feira (03/09), você confere a segunda parte das quatro reportagens sobre a implantação de redes sem fio em escritórios filiais. O assunto tratado será a definição do design da rede.

Leia anteriores:

– parte 2

– parte 3

– parte 4

* Richard S.

Dreger Jr. (CISSP, CWNE) e Grant P. Moerschel (CISSP, CWSP, CCSP) são

co-fundadores da WaveGard, uma companhia de consultoria de tecnologia

independente. Entre em contato com os autores, pelo e-mail: info@wavegard.com.