Aviso de segurança de 5 minutos – Integrando WLANs a LANs com fio

  • Artigo

As WLANs (Wireless LANs, LANs sem fio) podem ser usadas para inúmeras finalidades; as minhas favoritas incluem seu uso nosterminais de aeroportos,Starbucks, e em outros locais públicos. No entanto, há uma grande diferença entre instalar uma WLAN autônoma e integrar WLANs à LAN existente. Seja para incluir recursos sem fio na sua LAN doméstica ou implantar um sistema sem fio em uma das empresas da Fortune 500, há diversos fatores que você precisa analisar antes de conectar os APs (access points - pontos de acesso) e começar a navegar sem fio.

Qual a diferença das WLANs?

É realmente tentador imaginar a WLAN como uma LAN sem cabos, mas essa idéia não é exata. Certamente, as WLANs usam o mesmo protocolo CSMA/CD básico das redes Ethernet cabeadas, e você pode executar TCP/IP nelas sem se preocupar com o meio de transporte físico. No entanto, há algumas diferenças fundamentais entre WLANs e LANs que você precisa considerar:

  • Em geral, as WLANs são mais lentas que as LANs. O padrão 802.11b oferece conectividade de até 11Mb/s, enquanto 802.11a e 802.11g oferecem até 54Mb/s. Compare essa velocidade com os 100Mb/s de um hardware de LAN comum ou com os 1000Mb/s de uma Gigabit Ethernet e ele parecerá bem fraquinho, especialmente quando você se lembrar de que a velocidade de uma conexão WLAN pode ser reduzida (até 2Mb/s) devido à interferência no sinal.
  • As WLANs têm aspectos diferentes. As LANs com fio dependem da topologia estrela comum: cada porta é conectada a um hub ou um switch, e esses dispositivos são conectados a outros. As WLANs ampliam essa topologia, mas devido à força do sinal e às limitações de faixa, para fornecer uma cobertura completa em um edifício (ou em vários, como no campus da Microsoft) podem ser necessários muitos APs, provavelmente com antenas adicionais.
  • As WLANs exigem configuração. Com switches e hubs da LAN, basta conectá-los e você estará pronto para seguir em frente. Por outro lado, os APs da WLAN precisam ser configurados. Embora a configuração dos pontos de acesso não seja difícil, não significa que você não precise prestar atenção nela, nas senhas atribuídas a eles e nas alterações feitas na rede que exigirão uma mudança na configuração em algum momento.

Preparando-se para implantar a WLAN

Antes de realmente implantar a WLAN, existem algumas etapas preparatórias que você deve seguir. Nem todas precisam ser concluídas antes de você começar a usar o primeiro AP, mas todas elas precisarão ser concluídas em algum momento.

  1. Escolha um fornecedor de hardware tendo em mente a segurança. Cisco, Agere e outros fornecedores oferecem suporte a 802.1x, reatribuição de chaves WEP (Wired Equivalent Privacy) e WEP de 128 bits em seu hardware, mas pode ser que nem todos os fornecedores ofereçam o mesmo. Antes de começar a instalar qualquer coisa, verifique se o hardware comprado possui os recursos de segurança desejados.
  2. Decida qual tipo de criptografia e autenticação você quer usar. Se possível, use 802.1x.
  3. Decida se a WLAN será estritamente integrada à LAN ou não. As duas redes compartilharão um espaço de endereço comum? Pense em como atribuir endereços IP aos clientes: cada AP terá sua própria faixa DHCP ou seria melhor centralizar em um servidor DHCP?
  4. Faça um levantamento do local. Esse levantamento pode ser complexo e demorado (por exemplo, se você estiver fornecendo acesso por WLAN a um campus corporativo inteiro ou a uma área da cidade) ou simples (por exemplo, configurar um AP e depois verificar qual tipo de sinal é captado nas proximidades). Não se esqueça de verificar as estruturas externas do local onde você está fornecendo acesso para garantir que o sinal não se disperse para muito longe.
  5. Decida para quantos usuários simultâneos você deseja oferecer suporte. Se forem apenas alguns usuários, não haverá problema; se forem mais de 25 usuários, poderão ser necessários vários APs mesmo em um local relativamente pequeno. A vantagem das WLANs é que você sempre pode adicionar mais APs, conforme a necessidade, para dimensionar a rede.
  6. Configure um único AP e verifique se as configurações de autenticação e criptografia funcionam corretamente. Essa etapa é muito importante, pois WLANs configuradas incorretamente permitem que pessoas de fora acessem e usem um endereço de sua rede, provavelmente com más intenções.

Integrando WLANs e LANs

Outros artigos desta série(site em inglês) citaram rapidamente a idéia de colocar os APs da WLAN fora do firewall da rede ou, pelo menos, no perímetro da rede ou em uma DMZ. A localização física dos APs é importante para os clientes porque determina a faixa e a acessibilidade, mas a localização da rede é mais importante do ponto de vista de segurança e desempenho.

Em princípio, colocar os APs dentro do firewall significa que qualquer usuário que possa autenticar-se por eles poderá acessar qualquer sistema da rede interna. Você provavelmente possui controles de acesso na maior parte dos sistemas confidenciais (e se não possui, qual o motivo?), mas é melhor manter o tráfego indesejado bem longe do perímetro da rede. Colocar os APs dentro do firewall apenas força os usuários da WLAN a entrar na VPN, o que é reconhecidamente menos conveniente para eles que usar uma conexão comum. Há outra desvantagem nessa abordagem: o tráfego pesado gerado na WLAN pode sobrecarregar o firewall ou o servidor de VPN. Uma abordagem comum é dividir a diferença e colocar um AP fora do firewall e os demais dentro. O AP “externo” pode ser usado por convidados ou usuários não confiáveis (mas os usuários confiáveis podem acessar a rede interna pela VPN), enquanto os APs “internos” podem ser usados para autenticar usuários. Naturalmente, essa configuração é recomendada apenas se você estiver usando uma autenticação segura (por exemplo, 802.1x) nos APs “internos”.