Kepanjangan iPSK: Ein umfassender Leitfaden für Unternehmen

Willkommen bei der technischen Briefing-Reihe von Purple. Heute befassen wir uns mit iPSK - Identity Pre-Shared Key - was die Abkürzung eigentlich bedeutet, wie es unter der Haube funktioniert und warum es für Immobilienentwickler, Vermieter oder BTR-Betreiber, die WiFi in einem Gebäude mit mehreren Mietern bereitstellen, von Bedeutung ist. [medium pause] Beginnen wir mit den Grundlagen. iPSK steht für Identity Pre-Shared Key. Der vollständige Begriff in indonesisch- und malaiischsprachigen Märkten lautet "kepanjangan iPSK" - was einfach "iPSK-Abkürzung" oder "wofür iPSK steht" bedeutet. Wenn Sie auf diesem Leitfaden gelandet sind, weil Sie nach dieser Phrase gesucht haben, sind Sie hier genau richtig. Wir werden das gesamte Spektrum abdecken - die Technologie, die Architektur und die praktischen Bereitstellungsentscheidungen, die Sie in diesem Quartal treffen müssen. [medium pause] Also. Was ist iPSK und warum gibt es das? Herkömmliche WiFi-Netzwerke verwenden einen einzigen vorab freigegebenen Schlüssel - ein Passwort für alle auf derselben SSID. In einem Zuhause funktioniert das gut. Es bricht jedoch in dem Moment zusammen, in dem sich Hunderte von Haushalten dieselbe Infrastruktur teilen. Wenn ein Bewohner das Passwort mit jemandem teilt, der es nicht haben sollte, müssen Sie das Passwort für jeden einzelnen Bewohner im Gebäude zurücksetzen. Das ist operativ mühsam und unterbricht gleichzeitig die Verbindung jedes Smart-Geräts, jedes Chromecast und jedes Smart-Speakers im Gebäude. iPSK löst dieses Problem, indem es jedem Bewohner - oder jedem Haushalt - ein eindeutiges WiFi-Passwort zuweist, während alle auf einer einzigen SSID bleiben. Der Access Point fängt den Verbindungsversuch ab, sendet die MAC-Adresse des Geräts an einen RADIUS-Server, und der RADIUS-Server antwortet mit dem korrekten Passphrase für dieses spezifische Gerät. Der Access Point verwendet dann dieses Passphrase, um den WPA2-Handshake abzuschließen. Aus der Perspektive des Bewohners haben sie lediglich ihr WiFi-Passwort eingegeben. Aus der Perspektive des Netzwerks wurden sie authentifiziert, isoliert und ihrem eigenen privaten Netzwerksegment zugewiesen. [medium pause] Lassen Sie uns über die Terminologie der Anbieter sprechen, da dies oft zu Verwirrung führt. Cisco Meraki nennt es WPN - Wi-Fi Personal Network. HPE Aruba nennt es PPSK - Private Pre-Shared Key. Ruckus verwendet den Begriff DPSK - Dynamic Pre-Shared Key. Juniper Mist unterstützt dies nativ. Das zugrunde liegende Konzept ist auf allen vier Plattformen identisch. Das Multi-Tenant WiFi von Purple läuft als Cloud-Overlay auf allen Plattformen - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Sie müssen Ihre Hardware nicht ersetzen, um iPSK bereitzustellen. [medium pause] Kommen wir nun zur Architektur. Eine iPSK-Bereitstellung besteht aus drei Komponenten. Erstens, die Access Points - das ist Ihre physische Hardware, was auch immer Sie installiert haben. Zweitens, ein RADIUS-Server - dies ist die Authentifizierungs-Engine, die die Zuordnung zwischen MAC-Adressen und Passphrasen speichert. Drittens, eine Verwaltungsebene - eine Lösung, die Schlüssel beim Einzug bereitstellt, sie beim Auszug widerruft und den Self-Service für Bewohner übernimmt, die ein neues Gerät hinzufügen müssen. Purple stellt die zweite und dritte Komponente als Cloud-Service bereit. Wir agieren als RADIUS-as-a-Service-Ebene und stellen das portal für Bewohner zur Schlüsselverwaltung bereit. Sie bringen die Access Points mit. [medium pause] Wenn ein Bewohner ein neues Gerät verbindet, läuft Folgendes nacheinander ab: Das Gerät sendet eine Zuordnungsanfrage an die SSID. Der Access Point leitet die MAC-Adresse des Geräts an den Purple RADIUS-Server weiter. Purple schaut nach der MAC-Adresse, findet die dem Bewohner zugewiesene Passphrase und gibt sie als Cisco AV-Pair in der RADIUS Access-Accept-Antwort zurück. Der Access Point verwendet diese Passphrase, um den WPA2-Four-Way-Handshake abzuschließen. Das Gerät ist verbunden. Der gesamte Vorgang dauert weniger als zweihundert Millisekunden. Wenn die MAC-Adresse des Geräts nicht im System vorhanden ist - zum Beispiel bei einem neuen Gerät, das der Bewohner noch nicht registriert hat - gibt der RADIUS-Server ein Access-Reject zurück. Das Gerät kann sich erst verbinden, wenn der Bewohner es über das Self-Service-Portal registriert. [medium pause] Dies bringt uns zur VLAN-Zuweisung. Eine der leistungsstärksten Funktionen von iPSK mit RADIUS ist das dynamische VLAN-Tagging. Der RADIUS-Server gibt nicht nur die Passphrase zurück - er kann in derselben Antwort auch eine VLAN ID zurückgeben. Dies bedeutet, dass der Datenverkehr jedes Bewohners automatisch im eigenen VLAN landet, ohne manuelle Switch-Konfiguration. Der Datenverkehr von Bewohner A geht an VLAN 101. Der Datenverkehr von Bewohner B geht an VLAN 102. Das Gebäudemanagement-Netzwerk befindet sich auf VLAN 10. IoT-Geräte - intelligente Schlösser, Thermostate, Sensoren - können in einem dedizierten IoT-VLAN mit eingeschränktem Internetzugang und ohne Querbewegung zu den Bewohnersegmenten platziert werden. Dies ist die Architektur, die iPSK wirklich für Großunternehmen tauglich macht und nicht nur zu einer Komfortfunktion. Lassen Sie uns ein reales Bereitstellungsszenario betrachten: Ein Build-to-Rent-Projekt mit 200 Einheiten in Manchester. Der Entwickler spezifizierte Cisco Meraki Access Points - einen pro Wohnung plus Flureinheiten für Roaming. Purple wurde als RADIUS- und Verwaltungsebene implementiert. Beim Einzug erhält jeder Bewohner einen QR-Code per E-Mail. Sie scannen ihn und alle ihre Geräte verbinden sich automatisch. Kein Anruf beim IT-Helpdesk. Kein Passwortzettel. Der Schlüssel des Bewohners ist mit seinem Mietdatensatz im Immobilienverwaltungssystem verknüpft. Wenn sie ausziehen, wird der Schlüssel im Dashboard von Purple widerrufen. Ihre Geräte verbinden sich nicht mehr. Kein anderer Bewohner ist davon betroffen. Das Ergebnis: Die Support-Tickets im Zusammenhang mit WiFi sanken im Vergleich zum vorherigen vom Entwickler verwalteten Gebäude, das ein Modell mit gemeinsam genutztem Passwort nutzte, um über 60%. Die WiFi-Aktivierung am Einzugstag verkürzte sich von einem zweistündigen Prozess auf unter fünf Minuten pro Bewohner. [medium pause] Zweites Szenario: Ein eigens errichtetes Studentenwohnheim mit 450 Betten. Die Herausforderung hier ist die Dichte - fünfzehn bis fünfundzwanzig Geräte pro Zimmer und eine Einzugswoche im September, in der dreihundert Studenten gleichzeitig ankommen. Bei einem herkömmlichen Modell mit gemeinsam genutzten Passwörtern ist der Support-Desk überlastet. Mit iPSK erhält jeder Student seinen Schlüssel während des Onboarding-Prozesses vor der Ankunft. Sie kommen an, scannen den QR-Code und sind verbunden. Der RADIUS-Server verarbeitet die Authentifizierungslast automatisch. Die Infrastruktur von Purple läuft mit einer Betriebszeit von 99,999% - das ist das SLA, das wir veröffentlichen und garantieren. [medium pause] Nun zu den Fallstricken bei der Implementierung. Es gibt drei, die immer wieder auftreten. Erstens: Randomisierung von MAC-Adressen. Moderne iOS- und Android-Geräte randomisieren standardmäßig ihre MAC-Adresse, wenn sie nach Netzwerken suchen. Dies unterbricht MAC-basierte RADIUS-Abfragen, da das Gerät bei jedem Suchvorgang eine andere MAC-Adresse präsentiert. Die Lösung besteht darin, netzwerkspezifische, stabile MAC-Adressen zu verwenden - sowohl iOS 14 als auch Android 10 unterstützen dies. Sie müssen dies den Bewohnern während des Onboardings mitteilen. Das Bewohnerportal von Purple unterstützt dies mit klaren Anweisungen. Zweitens: Onboarding von IoT-Geräten. Smart-Home-Geräte - Thermostate, intelligente Schlösser, Zigbee-Hubs - können oft keinen QR-Code anzeigen oder eine Passphrase über einen Standardprozess eingeben. Die Lösung ist eine dedizierte IoT-SSID mit einem separaten iPSK-Pool oder ein Bereitstellungsprozess, bei dem der Bewohner die MAC-Adresse des Geräts vor dem Verbinden über das Portal registriert. Purple unterstützt beide Ansätze. Drittens: Verfügbarkeit des RADIUS-Servers. Wenn Ihr RADIUS-Server ausfällt, schlagen neue Geräteverbindungen fehl. Bereits verbundene Geräte bleiben verbunden, da die WPA2-Sitzung bereits etabliert ist, aber neue Zuordnungen werden nicht abgeschlossen. Aus diesem Grund läuft der RADIUS-as-a-Service von Purple auf einer redundanten Infrastruktur mit dieser 99,999%igen Verfügbarkeitsgarantie. Betreiben Sie iPSK nicht auf einem einzelnen RADIUS-Server vor Ort ohne ein Failover. [medium pause] Lassen Sie uns mit dem Business Case schließen, denn das ist es, was für einen Projektentwickler oder Vermieter letztendlich zählt. WiFi als Serviceleistung bringt im BTR-Sektor (Build-to-Rent) einen messbaren Mietaufschlag. Untersuchungen der British Property Federation beziffern diesen auf fünfzehn bis dreißig Pfund pro Wohneinheit und Monat. Bei einem Gebäude mit 200 Einheiten entspricht dies einem zusätzlichen Jahresumsatz zwischen sechsunddreißigtausend und zweiundsiebzigtausend Pfund. Leerstandszeiten sind kürzer, wenn das WiFi am ersten Tag des Einzugs bereitsteht - laut Branchen-Benchmarks typischerweise fünf bis zehn Tage kürzer pro Leerstand. Und die Kosten für die Bereitstellung von iPSK als Software-Overlay auf bestehender Hardware sind erheblich niedriger als Breitbandverträge pro Wohneinheit, bei denen der Wert in der Regel für den ISP und nicht für den Betreiber abgeschöpft wird. Der betriebliche Nutzen ist ebenso überzeugend. Ein Schlüssel pro Bewohner bedeutet eine einzige Deaktivierung beim Auszug. Keine gebäudeweiten Passwort-Resets mehr. Keine Support-Tickets von Bewohnern, deren Chromecast nicht mehr funktioniert, weil sich das Gerät eines anderen Nutzers im selben Subnetz befindet. Das Netzwerk verhält sich für jeden Bewohner wie ein privates Heimnetzwerk, während der Betreiber alles über ein einziges Cloud-Dashboard verwaltet. [medium pause] Einige kurze Fragen, bevor wir zum Ende kommen. Funktioniert iPSK mit WPA3? In der Standardimplementierung noch nicht - WPA3 verwendet SAE, was den Handshake-Mechanismus ändert. Die meisten Hersteller arbeiten an WPA3-kompatiblen iPSK-Lösungen, aber bis Mitte 2025 bleibt WPA2 der produktionsbereite Standard für iPSK-Bereitstellungen. Kann ich iPSK ohne einen RADIUS-Server betreiben? Cisco Meraki unterstützt bis zu 5.000 iPSKs ohne RADIUS in der Firmware MR 30.1 und höher. Für kleinere Installationen ist das eine Option. Für alles mit mehr als hundert Einheiten bietet RADIUS die Automatisierung, die VLAN-Zuweisung und das Lifecycle-Management, das Sie benötigen. Wie viele Schlüssel kann eine RADIUS-basierte iPSK-Bereitstellung unterstützen? Praktisch unbegrenzt - das Limit liegt in der Datenbank Ihres RADIUS-Servers, nicht im Protokoll. Purple hat iPSK bereits in Gebäuden mit über tausend Einheiten ohne Performance-Probleme implementiert. [medium pause] Zusammenfassend lässt sich sagen: iPSK - Identity Pre-Shared Key - gibt jedem Bewohner ein einzigartiges WiFi-Zugangsdaten-Set auf einer gemeinsamen SSID. Der RADIUS-Server übernimmt die Authentifizierung, die Verteilung der Passphrasen und die VLAN-Zuweisung in einem einzigen Durchlauf. Purple stellt die RADIUS-as-a-Service-Ebene und das Portal zur Bewohnerverwaltung bereit und läuft auf Hardware von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks und Fortinet. Wenn Sie ein BTR-Projekt, ein Studentenwohnheim oder eine MDU-Bereitstellung planen und sehen möchten, wie iPSK in Ihr spezifisches Gebäude passt, sprechen Sie mit dem Purple-Team. Wir haben dies bereits an über 80.000 Standorten und für 350 Millionen einzigartige Nutzer implementiert. Wir wissen, was funktioniert. Vielen Dank fürs Zuhören.