PPSK adalah: comparing features and deployment models

Sprechen Sie in britischem Englisch mit einem selbstbewussten, autoritären und konversationellen Ton - wie ein leitender Netzwerkberater, der einen Kunden in einem Besprechungsraum briefte. Gemessenes Tempo, klare Artikulation, warm, aber direkt. Kein Vortrag, kein Verkaufsgespräch - ein Experten-Briefing unter Kollegen: Willkommen zur technischen Briefing-Reihe von Purple. Heute befassen wir uns mit PPSK - Private Pre-Shared Key - was es ist, wie es im Vergleich zu Ihren anderen Authentifizierungsoptionen abschneidet und, was ganz entscheidend ist, wann Sie es tatsächlich einsetzen sollten. [kurze Pause] Lassen Sie mich die Situation beschreiben. Sie sind für das WiFi in einem Portfolio von Immobilien verantwortlich. Das könnte eine Build to Rent-Siedlung, eine Hotelgruppe, ein Einzelhandelsbereich oder ein gemischt genutzter Campus sein. Sie haben Hunderte oder Tausende von Nutzern, eine wachsende Anzahl von IoT-Geräten und benötigen eine Netzwerktrennung zwischen verschiedenen Nutzergruppen - ohne den betrieblichen Aufwand einer vollständigen 802.1X Enterprise-Bereitstellung. Genau dieses Problem soll PPSK lösen. [mittlere Pause] Was also ist PPSK? Der Begriff steht für Private Pre-Shared Key. Man nennt es auch iPSK - Identity Pre-Shared Key - was die Terminologie von Cisco ist, oder ePSK von Cambium und Juniper Mist. Aruba nennt es PPSK. Das Konzept ist unabhängig vom Herstellernamen identisch: Jeder Nutzer oder jedes Gerät erhält sein eigenes, eindeutiges WiFi-Passwort auf einer einzigen SSID. Vergleichen Sie das mit dem standardmäßigen WPA2 Personal, bei dem jedes Gerät im Netzwerk ein einziges Passwort teilt. Wenn dieses Passwort durchsickert, sind alle gefährdet. Wenn jemand aus Ihrem Gebäude auszieht, müssen Sie entweder das Passwort für alle ändern oder akzeptieren, dass die Person weiterhin Zugriff hat. Keine der beiden Optionen ist im großen Stil akzeptabel. PPSK beseitigt dieses Problem. Jeder Bewohner, jedes Mitglied, jedes Gerät erhält eine eindeutige Zugangsdaten. Wenn jemand geht, widerrufen Sie dessen Schlüssel. Niemand sonst ist betroffen. Die entsprechenden Geräte können sich nicht mehr verbinden. Erledigt. [kurze Pause] Die naheliegende Frage ist nun - warum nicht einfach 802.1X verwenden? Es ist der IEEE-Standard für portbasierte Netzwerk-Zugriffskontrolle. Er verwendet einen RADIUS-Server, um jeden Nutzer einzeln zu authentifizieren, er unterstützt EAP-TLS mit digitalen Zertifikaten und er integriert sich mit Microsoft Entra ID, Okta, Google Workspace. Es ist der Goldstandard für Netzwerke von Unternehmensmitarbeitern. Die Antwort lautet: 802.1X is die richtige Wahl für verwaltete Unternehmensgeräte, bei denen Sie den Endpunkt kontrollieren. Es ist nicht die richtige Wahl für IoT-Geräte, für BYOD-Szenarien in Wohngebäuden oder für Veranstaltungsorte, an denen Sie Hunderte von Bewohnern an Bord holen müssen, die keine IT-Kenntnisse haben. IoT-Geräte - intelligente Lautsprecher, Thermostate, Zutrittskontrollpanels, CCTV-Kameras - unterstützen häufig überhaupt keine 802.1X Supplicants. PPSK funktioniert mit jedem Gerät, das WPA2 Personal unterstützt, was im Grunde auf alles zutrifft. [mittlere Pause] Lassen Sie mich Ihnen die technische Architektur erläutern. Bei einer PPSK-Bereitstellung haben Sie eine einzige SSID, die über Ihre Access Points übertragen wird. Wenn sich ein Gerät verbindet, erfasst der Access Point die MAC-Adresse und den Pre-Shared Key, den das Gerät verwendet. Er sendet diese Informationen an einen RADIUS-Server - oder bei einigen Herstellerimplementierungen an eine lokale Schlüsseldatenbank auf dem Controller. Der Server gleicht den Schlüssel mit einem Benutzerdatensatz ab und gibt eine VLAN-Zuweisung sowie alle zusätzlichen Richtlinienattribute zurück. Diese VLAN-Zuweisung ist der entscheidende Punkt. Sie sorgt dafür, dass jeder Bewohner oder Benutzer automatisch in sein eigenes, isoliertes Netzwerksegment eingeordnet wird. Die Geräte von Bewohner A landen im VLAN 10. Die Geräte von Bewohner B landen im VLAN 20. Sie nutzen dieselben physischen Access Points und dieselbe Uplink-Infrastruktur, sind aber auf Layer 2 völlig unsichtbar füreinander. Bewohner A kann den Chromecast von Bewohner B, seinen Smart-TV oder seinen Laptop nicht sehen. Die Isolation wird durch das Netzwerk erzwungen, nicht durch die Hoffnung, dass sich die Benutzer angemessen verhalten. [short pause] Das ist es, was Purple das WiFi-Bubble-Modell nennt. Jeder Bewohner erhält seine eigene private Blase. Geräte mit demselben Schlüssel finden sich gegenseitig - so funktioniert der Chromecast, die Kopplung von Smart-Home-Geräten gelingt und Spielekonsolen erhalten den benötigten NAT-Typ. Geräte mit unterschiedlichen Schlüsseln sind füreinander unsichtbar. Es verhält sich genau wie ein privater Breitbandanschluss, läuft aber auf einer gemeinsam genutzten Infrastruktur im gesamten Gebäude. [medium pause] Lassen Sie mich Ihnen nun zwei reale Bereitstellungsszenarien vorstellen. Erstens: Eine Build-to-Rent-Anlage (BTR) mit 250 Wohneinheiten. Der Betreiber benötigt WiFi am Tag des Einzugs, vollen IoT-Support für Smart-Home-Geräte und die Möglichkeit, den Zugang bei Ende des Mietverhältnisses sofort zu sperren - ohne andere Bewohner zu beeinträchtigen. Standard-Gäste-WiFi scheitert hier, weil es jedes Gerät von jedem anderen Gerät isoliert, was Chromecast und Smart Speaker unbrauchbar macht. Standard-PSK scheitert, da das Ändern des Gebäudepassworts bei einem Auszug im großen Stil betrieblich unmöglich ist. 802.1X scheitert, weil Bewohner ihre eigenen IoT-Geräte mitbringen, die dies nicht unterstützen. PPSK auf Cisco Meraki, HPE Aruba oder Ruckus Access Points, unterstützt durch einen Cloud-RADIUS-Server, löst alle drei Probleme. Jeder Bewohner erhält beim Einzug einen eindeutigen Schlüssel. Seine Geräte - Telefon, Laptop, Smart-TV, Alexa, Thermostat - nutzen alle denselben Schlüssel und landen im selben VLAN. Sie finden sich gegenseitig. Wenn das Mietverhältnis endet, wird der Schlüssel im Verwaltungsportal gesperrt. Die Verbindung der Geräte dieses Bewohners wird innerhalb von Sekunden getrennt. Niemand sonst merkt etwas davon. Benchmarks der British Property Federation deuten darauf hin, dass Managed WiFi als Service im BTR-Sektor einen Mietaufschlag von 15 bis 30 Pfund pro Wohneinheit und Monat erzielen kann. Bei einem Gebäude mit 250 Einheiten entspricht das einem zusätzlichen Umsatz von 3.750 bis 7.500 Pfund pro Monat. Die Infrastrukturkosten sind lediglich ein Software-Overlay auf den Access Points, die Sie bereits besitzen. [short pause] Zweites Szenario: ein Hotel mit 180 Zimmern. Das Objekt muss Gäste über ein einfaches, zugängliches WiFi-Netzwerk bedienen, Mitarbeiter über ein getrenntes Unternehmensnetzwerk und eine wachsende Anzahl von IoT-Geräten - intelligente Schlösser, HLK-Sensoren, IPTV-Systeme. Drei verschiedene Benutzergruppen, eine physische Infrastruktur. Die richtige Architektur hierfür sind drei SSIDs: eine Gäste-SSID mit offenem WiFi und einem Captive Portal zur Datenerfassung und Akzeptanz der Nutzungsbedingungen, eine Mitarbeiter-SSID mit 802.1X und Active Directory-Integration für individuelle Verantwortlichkeit und sofortigen Widerruf, und eine IoT-SSID mit PPSK mit Schlüsseln auf Geräteebene und einem dedizierten Management-VLAN mit strikter Egress-Filterung. PPSK ist das richtige Werkzeug für die IoT-Ebene, da diese Geräte kein 802.1X unterstützen, aber Isolierung und individuelle Widerrufbarkeit benötigen. [medium pause] Lassen Sie mich kurz die Anbieterlandschaft beleuchten. PPSK wird von allen wichtigen Enterprise-Access-Point-Plattformen unterstützt. Bei Cisco Meraki heißt es Personal Private Network und wird über das Meraki-Dashboard mit einer lokalen Schlüsseldatenbank konfiguriert. Bei HPE Aruba heißt es PPSK und lässt sich mit Aruba ClearPass für eine RADIUS-gestützte Schlüsselverwaltung integrieren. Bei Ruckus heißt es Dynamic PSK und wird über SmartZone oder den Cloud-Controller verwaltet. Juniper Mist nennt es ePSK und integriert es mit Mist AI für die Richtlinienautomatisierung. Ubiquiti UniFi unterstützt PPSK seit der Firmware-Version 3.x mit VLAN-Zuweisung pro Schlüssel. Cambium, Extreme und Fortinet bieten alle gleichwertige Implementierungen. Der wesentliche betriebliche Unterschied zwischen den Implementierungen besteht darin, ob die Schlüssel lokal auf dem Controller gespeichert oder mit einem externen RADIUS-Server abgeglichen werden. Die lokale Speicherung ist einfacher bereitzustellen, schränkt jedoch die Skalierbarkeit und Integration ein. RADIUS-gestütztes PPSK skaliert auf Tausende von Schlüsseln und lässt sich in Ihren Identitätsmanagement-Stack integrieren, erhöht jedoch die Komplexität der Infrastruktur. Für Bereitstellungen mit mehr als fünfzig Benutzern ist die RADIUS-gestützte Variante die richtige Wahl. [short pause] Nun zu den Fallstricken. Drei Dinge gehen bei PPSK-Bereitstellungen am häufigsten schief. Erstens: VLAN-Trunk-Fehlkonfiguration. Sie entwerfen ein hervorragendes VLAN-Schema pro Bewohner und vergessen, diese VLANs auf jeder Trunk-Verbindung im Pfad vom AP zum Core-Switch zuzulassen. Der Datenverkehr wird stillschweigend verworfen. Die Bewohner beschweren sich. Sie verbringen Tage mit der Fehlersuche. Dokumentieren Sie Ihre Trunk-Konfigurationen, bevor Sie beginnen, und validieren Sie diese während der Inbetriebnahme. Zweitens: Schlüsselverteilung in großem Maßstab. Das Generieren eindeutiger Schlüssel ist einfach. Diese Schlüssel den richtigen Personen zur richtigen Zeit zukommen zu lassen - beim Einzug, über eine Bewohner-App, über einen QR-Code auf dem Begrüßungspaket - ist ein betrieblicher Prozess, der vor dem Go-live und nicht erst danach entworfen werden muss. Die Plattform von Purple bewältigt dies durch automatisierte Bereitstellungs-Workflows, die sich in Ihr Immobilienverwaltungssystem integrieren lassen. Drittens: Das Onboarding von IoT-Geräten. Die meisten Smart-Home-Geräte nutzen Bluetooth oder einen temporären lokalen WiFi-Hotspot für die Ersteinrichtung und müssen dann dem Hauptnetzwerk des Bewohners beitreten. Wenn Ihre PPSK-Implementierung keinen reibungslosen Onboarding-Prozess für diese Geräte unterstützt, werden Sie Support-Tickets erhalten. Testen Sie Ihren IoT-Onboarding-Prozess, bevor die Bewohner einziehen. [medium pause] Gut, lassen Sie mich kurz die Fragen durchgehen, die mir am häufigsten gestellt werden. Kann PPSK 802.1X für Mitarbeiternetzwerke ersetzen? Nein. Mitarbeiternetzwerke erfordern individuelle Zurechenbarkeit, Active Directory-Integration und zertifikatsbasierte Authentifizierung. Verwenden Sie 802.1X für Mitarbeiter. Funktioniert PPSK mit WPA3? Ja. WPA3 Personal mit SAE bietet einen stärkeren Schutz gegen Offline-Wörterbuchangriffe auf den Pre-Shared Key. Wenn Ihre Access Points WPA3 unterstützen, aktivieren Sie es. Wie viele PPSK-Schlüssel kann eine einzelne SSID unterstützen? Die meisten Enterprise-Controller unterstützen Tausende von Schlüsseln pro SSID. Cisco Meraki unterstützt bis zu zehntausend. Aruba ClearPass skaliert auf Hunderttausende. Die Anzahl der Schlüssel ist für die meisten Bereitstellungen keine praktische Einschränkung. Ist PPSK PCI-DSS-konform? PPSK kann in Netzwerken verwendet werden, über die keine Zahlungen abgewickelt werden. Zahlungsterminals müssen sich in einem dedizierten VLAN ohne gemeinsam genutzte Authentifizierungsdaten befinden - das bedeutet 802.1X oder physische Netzwerktrennung für POS-Systeme. [short pause] Zusammenfassend lässt sich sagen: PPSK ist das richtige Authentifizierungsmodell, wenn Sie eine Isolierung und Widerrufbarkeit pro Benutzer benötigen, Ihre Geräte IoT-Hardware umfassen, die 802.1X nicht unterstützen kann, und Sie die Komplexität bei Bereitstellung und Betrieb gering halten müssen. Es positioniert sich zwischen dem Standard-PSK - der keine individuelle Kontrolle bietet - und 802.1X - das ein Maximum an Sicherheit bietet, aber verwaltete Endgeräte und eine PKI-Infrastruktur erfordert. Für BTR-Betreiber, Anbieter von Studentenunterkünften und Hotelgruppen, die Immobilien mit hohem IoT-Anteil verwalten, ist PPSK häufig der praktikabelste Weg zur Mieterisolierung in großem Maßstab. Die Multi-Tenant-WiFi-Plattform von Purple lässt sich als Cloud-Overlay auf Access Points von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet bereitstellen. Sie übernimmt die Schlüsselbereitstellung, die VLAN-Zuweisung, das Onboarding von Bewohnern und Analysen - ohne dass Sie Ihre vorhandene Hardware ersetzen müssen. Wenn Sie eine Bereitstellung planen und die Architektur im Detail besprechen möchten, finden Sie den Link zum vollständigen Leitfaden unten. Vielen Dank fürs Zuhören.