O que é isolamento de AP?

Em redes de computadores, AP é uma abreviatura de ponto de acesso. Um ponto de acesso, ou ponto de acesso sem fio, é um dispositivo que permite que dispositivos móveis, como laptops e assistentes pessoais digitais, se conectem sem fio a uma rede de computadores com fio. O isolamento de AP é uma técnica para impedir que dispositivos móveis conectados a um AP se comuniquem diretamente entre si.

O isolamento de AP cria efetivamente uma rede "virtual" entre os dispositivos sem fio, em que cada dispositivo é uma entidade separada por direito próprio. O isolamento de AP permite que os administradores de rede separem o tráfego de rede potencialmente malicioso de uma parte acessível ao público de uma rede sem fio da rede de controle principal. Ao fazer isso, evita que a rede de controle principal seja inundada com tráfego de rede não solicitado, que pode incluir vírus, worms e cavalos de Tróia.

Uma aplicação típica de isolamento de AP é um hotspot sem fio, do tipo encontrado em aeroportos, cafés e estações ferroviárias. Um ponto de acesso sem fio normalmente permite que vários usuários convidados se conectem a um AP e criem uma única rede sem fio grande. Sem o isolamento do AP, usuários inescrupulosos poderiam se conectar a dispositivos de rede diferentes do próprio AP com o propósito de hackear ou inundar toda a rede com tráfego, tornando-a inutilizável.

O isolamento de AP pode ser uma arma útil na luta contra ataques maliciosos em redes sem fio, mas certos tipos de ataque, conhecidos como envenenamento ARP ou ataques ARP spoofing, podem ser capazes de contornar o AP completamente. ARP significa Protocolo de Resolução de Endereço e descreve um método para localizar o endereço Ethernet físico de um dispositivo de rede a partir de seu endereço de Protocolo da Internet. Um invasor pode transmitir uma unidade de dados, conhecida como pacote, com um endereço Ethernet falsificado diretamente para um dispositivo de rede, de forma que pareça que o pacote veio do AP. Para se proteger contra esse tipo de ataque, os administradores de rede devem colocar dispositivos Ethernet com fio em uma parte diferente da rede, ou sub-rede, diferente dos dispositivos sem fio.

Quase todos os fornecedores de equipamentos de rede implementam o isolamento de AP de uma forma ou de outra. Um dos principais fornecedores de rede do mundo, a Cisco, implementa o isolamento de AP na forma de uma tecnologia conhecida como Publicly Secure Packet Forwarding. No entanto, o PSPF, em comum com outras técnicas de isolamento de AP, não impede que um invasor envie um ARP "envenenado" pacote para outro cliente, portanto, ainda deve ser usado em conjunto com a sub-rede para fornecer uma defesa eficaz mecanismo.