PPSK life: comparing features and deployment models

Willkommen bei der technischen Serie von Purple WiFi. Heute befassen wir uns mit dem PPSK-Lebenszyklus - d. h. Private Pre-Shared Key - und vergleichen die Funktionen und Bereitstellungsmodelle für Immobilienentwickler, Vermieter und Build-to-Rent-Betreiber. Beginnen wir mit dem Kontext. Wenn Sie ein Wohngebäude verwalten - sei es ein BTR-Objekt mit 50 Einheiten, ein Studentenwohnheim oder ein Co-Living-Bereich - sind Sie mit Sicherheit schon auf das gleiche WiFi-Problem gestoßen. Ein gemeinsames Passwort für das gesamte Gebäude. Jemand zieht aus, Sie ändern den Schlüssel, und plötzlich können 200 Bewohner ihre Geräte nicht mehr verbinden. Oder noch schlimmer: Sie ändern ihn nicht, und Ihr ehemaliger Mieter hat immer noch Zugriff. Der Standard-PSK - Pre-Shared Key - wurde nie für diesen Zweck entwickelt. Er wurde für einen Haushalt von vier Personen konzipiert, die sich alle gegenseitig vertrauen. Nicht für ein Gebäude mit 300 Bewohnern, bei denen das nicht der Fall ist. Was ist also PPSK? Private Pre-Shared Key gibt jedem einzelnen Bewohner oder jedem einzelnen Gerät ein eigenes, einzigartiges WiFi-Passwort. Alle verbinden sich mit demselben Netzwerknamen - der gleichen SSID - aber jeder Schlüssel ist für diesen Bewohner einzigartig. Wenn Bewohner A eine Verbindung herstellt, weiß das Netzwerk, dass es Bewohner A ist. Wenn er auszieht, widerrufen Sie seinen Schlüssel. Niemand sonst ist davon betroffen. Kein einziger anderer Bewohner muss auch nur ein einziges Gerät neu verbinden. Nun denken Sie vielleicht - ist das nicht genau das, was 802.1X tut? Und Sie hätten damit halb recht. 802.1X, der IEEE-Enterprise-Authentifizierungsstandard, vergibt ebenfalls individuelle Anmeldedaten. Er erfordert jedoch eine Zertifikatsinfrastruktur, einen RADIUS-Server und eine clientseitige Supplicant-Konfiguration. Die Chromecasts, PlayStation-Konsolen und intelligenten Thermostate Ihrer Bewohner können kein 802.1X. Sie verfügen nicht über den dafür erforderlichen Software-Stack. PPSK funktioniert mit jedem Gerät, das eine WiFi-Verbindung herstellen kann - denn aus Sicht des Geräts wird lediglich ein Passwort eingegeben. Das ist die Kernidee von PPSK. Sie erhalten individuelle Nachvollziehbarkeit - den Sicherheitsvorteil von 802.1X - ohne den Aufwand für die Infrastruktur oder Probleme mit der Gerätekompatibilität. Lassen Sie uns nun über die Herstellerlandschaft sprechen, da die Terminologie variiert. Aruba nennt es MPSK - Multi-PSK. Cisco Meraki nennt es iPSK - Identity PSK - und hat vor Kurzem zusätzlich WiFi Personal Network eingeführt. Ruckus nennt es DPSK - Dynamic PSK. Extreme Networks, wo die Technologie entwickelt wurde, nennt es PPSK. Juniper Mist verwendet ePSK. Das zugrundeliegende Konzept ist bei allen identisch. Eine SSID, viele Schlüssel, Isolierung pro Benutzer. Wir bei Purple stehen über all dem als hardwareunabhängiges Cloud-Overlay. Wir laufen auf Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. Wir verwalten den Schlüssel-Lebenszyklus - Bereitstellung, Rotation, Widerruf - unabhängig davon, welche Access Points an der Decke montiert sind. Werfen wir einen Blick auf die Architektur. Bei einer PPSK-Bereitstellung verfügt der Access Point - oder der dahinter liegende Controller - über eine Tabelle, die jeden Key einem VLAN zuordnet. Wenn sich ein Gerät mit dem Key von Bewohner A verbindet, weist der AP dieses Gerät dem VLAN von Bewohner A zu. Die Geräte von Bewohner B landen im VLAN von Bewohner B. Auf Layer 2 sind sie füreinander völlig unsichtbar. Das ist es, was wir als WiFi-Blase bezeichnen. Jeder Bewohner erhält sein eigenes privates Netzwerk - sein eigenes logisches Heimnetzwerk - obwohl er sich die physische Infrastruktur teilt. Das Telefon findet den Chromecast. Der Smart-Speaker koppelt sich mit den Glühbirnen. Die Konsole erhält den NAT-Typ Open. Es funktioniert genau wie ein Heimrouter, weil es aus Sicht des Netzwerks ein Heimrouter ist - nur eben ein virtueller. Der RADIUS-Server ist bei einigen Herstellerimplementierungen für kleinere Bereitstellungen optional. Aber bei allem, was über ein paar Dutzend Einheiten hinausgeht, sollten Sie RADIUS einbinden. Er bietet Ihnen eine zentrale Protokollierung, eine dynamische VLAN-Zuweisung und die Möglichkeit zur Integration in Ihren Identity Provider - Microsoft Entra ID, Okta oder Google Workspace. Purple bietet RADIUS-as-a-Service als Teil der Plattform an, sodass Sie keinen eigenen Server betreiben müssen. WPA3 fügt hier eine weitere Sicherheitsebene hinzu. WPA3-Personal hat SAE (Simultaneous Authentication of Equals) eingeführt, das den älteren 4-Wege-Handshake ersetzt. SAE ist resistent gegen Offline-Wörterbuchangriffe. Das bedeutet: Selbst wenn jemand den Handshake abfängt, kann er den Key offline nicht per Brute-Force-Methode knacken. Für PPSK-Bereitstellungen ist der WPA3-Übergangsmodus - der WPA2- und WPA3-Clients gleichzeitig unterstützt - der richtige Ausgangspunkt für 2025 und darüber hinaus. Die meisten Access Points von Cisco Meraki, HPE Aruba und Ruckus unterstützen dies bereits. Gehen wir zwei reale Bereitstellungsszenarien durch, denn die Theorie bringt einen nur bis zu einem gewissen Punkt. Erstes Szenario: ein Build-to-Rent-Objekt mit 200 Einheiten in Manchester. Der Entwickler verkabelt das Gebäude im Voraus mit Access Points von HPE Aruba - einer pro Etage, im Flur montiert. Er möchte, dass die Bewohner vom ersten Tag an WiFi haben, ohne Wartezeiten auf den Breitbandanschluss, und er möchte als Teil des Servicepakets einen Aufpreis für diesen Dienst verlangen. Die Architektur hier ist unkompliziert. Eine SSID für das gesamte Gebäude - nennen wir sie einfach wie das Gebäude. Purple stellt während des Onboarding-Prozesses vor Mietbeginn für jede Einheit einen eindeutigen MPSK-Key bereit. Der Bewohner erhält seinen Key vor dem Einzug per E-Mail. Er kommt an, verbindet sein Telefon und jedes weitere Gerät, das er hinzufügt, nutzt denselben Key. Sein Chromecast funktioniert. Seine Alexa funktioniert. Seine PlayStation erhält den NAT-Typ Open. Wenn er auszieht, löst das Immobilienverwaltungssystem einen Webhook zur API von Purple aus. Purple sperrt den Key. Der nächste Bewohner erhält einen neuen Key. Niemand sonst im Gebäude ist davon betroffen. Der gesamte Lebenszyklus - Bereitstellung, Rotation, Widerruf - ist automatisiert. Der Immobilienverwalter muss das Netzwerk nicht anfassen. Das wirtschaftliche Ergebnis: Untersuchungen der British Property Federation zeigen, dass BTR-Betreiber eine Mietprämie von fünfzehn bis dreißig Pfund pro Wohneinheit und Monat erzielen, wenn WiFi als verwaltete Annehmlichkeit inbegriffen ist. Leerstandszeiten verkürzen sich um fünf bis zehn Tage, da die Konnektivität am Einzugstag garantiert ist. Und die Kosten pro Tür für ein Software-Overlay auf eigener Hardware sind typischerweise dreißig bis fünfzig Prozent niedriger als bei Breitbandverträgen pro Wohneinheit. Zweites Szenario: ein zweckgebundener Studentenwohnheimblock mit 600 Betten. Die Herausforderung hier ist die Einführungswoche - die erste Septemberwoche, in der sechshundert Studenten gleichzeitig ankommen, jeder mit durchschnittlich sieben Geräten. Laptops, Handys, Tablets, Konsolen, Smart-Speaker. Das sind über viertausend Geräte, die versuchen, sich innerhalb von 48 Stunden anzumelden. Mit einer Standard-PSK-Einrichtung ist dies ein Support-Albtraum. Mit PPSK erhält jeder Student seinen Schlüssel in der Willkommens-E-Mail vor der Ankunft. Sie kommen an, verbinden sich einmal und alle ihre Geräte befinden sich in ihrem privaten Segment. Die Spielkonsole erhält den richtigen NAT-Typ. Der Smart-TV streamt ohne Pufferung. Der Laptop verbindet sich mit dem Universitäts-VPN, ohne durch den Datenverkehr anderer Bewohner gestört zu werden. Der wesentliche betriebliche Unterschied zu BTR ist die jährliche Fluktuation. Jeden August stellen Sie neue Schlüssel für den ankommenden Jahrgang bereit und sperren die Schlüssel des ausgehenden Jahrgangs in großen Mengen. Purple wickelt dies über eine SCIM-Integration mit dem Studentenverwaltungssystem ab, oder über einen CSV-Import, falls das System SCIM nicht unterstützt. In jedem Fall handelt es sich um einen geplanten Vorgang und nicht um einen manuellen. Lassen Sie mich nun auf die Fallstricke bei der Implementierung eingehen, da es einige gibt, die Betreiber unvorbereitet treffen. Erstens: VLAN-Erschöpfung. Jedes Bewohnersegment benötigt sein eigenes VLAN. Ein Gebäude mit 500 Einheiten benötigt 500 VLANs. Die meisten Enterprise-Switches unterstützen 4.096 VLANs unter dem 802.1Q-Standard, sodass Sie die Obergrenze wahrscheinlich nicht erreichen werden, aber Sie müssen Ihren VLAN-Bereich bereits in der Planungsphase festlegen. Planen Sie dies nicht erst nachträglich ein. Zweitens: mDNS und Geräteerkennung. Standardmäßig überschreitet mDNS - das Protokoll, das Chromecast, AirPlay und Sonos zur Geräteerkennung nutzen - keine VLAN-Grenzen. Sie müssen mDNS-Reflektion oder einen Proxy auf Ihrem Controller oder Gateway konfigurieren, um die Erkennung innerhalb des VLANs eines Bewohners zuzulassen, während sie zwischen VLANs blockiert wird. Jeder führende Anbieter unterstützt dies, aber es ist nicht immer standardmäßig aktiviert. Überprüfen Sie dies vor dem Go-Live. Drittens: MAC-Adressen-Randomisierung. Moderne iOS- und Android-Geräte randomisieren ihre MAC-Adresse pro Netzwerk, um die Privatsphäre zu schützen. Dies unterbricht jeden MAC-basierten Authentifizierungs- oder Geräteregistrierungs-Ablauf. PPSK umgeht dies vollständig - die Authentifizierung basiert auf Schlüsseln, nicht auf MAC-Adressen - aber wenn Sie zusätzliche MAC-Filterregeln ausführen, müssen Sie die Randomisierung berücksichtigen.Viertens: Schlüssellänge und -komplexität. PPSK-Schlüssel sollten mindestens 20 Zeichen lang sein, zufällig generiert werden und niemals für verschiedene Bewohner wiederverwendet werden. Ein schwacher Schlüssel untergräbt das gesamte Isolationsmodell. Purple generiert standardmäßig kryptografisch zufällige Schlüssel. Wenn Sie Schlüssel manuell oder über eine Integration mit einem Immobilienverwaltungssystem generieren, erzwingen Sie eine Mindestlänge in Ihrem Bereitstellungs-Workflow. Fünftens: Der IoT-Onboarding-Prozess. Smart-Home-Geräte - Thermostate, Türschlösser, intelligente Steckdosen - nutzen vor dem Beitritt zum Hauptnetzwerk oft einen Bluetooth- oder temporären WiFi-Einrichtungsmodus. Ihre Onboarding-Anweisungen für Bewohner müssen dies berücksichtigen. Das Gerät muss dem PPSK-Netzwerk des Bewohners beitreten, nicht dem Verwaltungsnetzwerk des Gebäudes. Eine klare, bebilderte Einrichtungsanleitung reduziert Support-Tickets erheblich. Lassen Sie uns eine kurze Fragerunde starten, um die am häufigsten gestellten Fragen zu beantworten. Frage: Benötige ich einen RADIUS-Server für PPSK? Antwort: Das hängt von der Skalierung und dem Anbieter ab. Cisco Meraki's iPSK unterstützt bis zu 50 Schlüssel ohne RADIUS, lässt sich jedoch mit RADIUS über WiFi Personal Network auf bis zu 5.000 skalieren. Aruba MPSK erfordert RADIUS für die dynamische VLAN-Zuweisung. Für alle Implementierungen mit mehr als 50 Einheiten sollten Sie RADIUS verwenden. Purple bietet RADIUS-as-a-Service an, sodass Sie keinen eigenen Server betreiben müssen. Frage: Können Bewohner PPSK auf all ihren Geräten verwenden, einschließlich Spielekonsolen und Smart-TVs? Antwort: Ja. Das ist der Hauptvorteil gegenüber 802.1X. Jedes Gerät, das WPA2-Personal unterstützt - also jedes WiFi-Gerät, das in den letzten 15 Jahren hergestellt wurde - funktioniert mit PPSK. Keine Zertifikate, keine Supplicant-Konfiguration, kein Captive Portal. Nur ein Passwort. Frage: Was passiert, wenn ein Bewohner seinen Schlüssel verliert oder ein neues Telefon bekommt? Antwort: Sie fordern einen neuen Schlüssel über das Bewohnerportal oder die App an. Purple stellt einen neuen Schlüssel aus, und der alte Schlüssel kann optional widerrufen werden. Der neue Schlüssel funktioniert auf all ihren Geräten. Dies ist ein Self-Service-Prozess - es ist kein Eingreifen der IT erforderlich. Frage: Ist PPSK konform mit der GDPR? Antwort: PPSK selbst ist ein Netzwerkzugriffsmechanismus, kein Tool zur Datenerfassung. Die DSGVO-Konformität (GDPR) hängt davon ab, welche Daten Sie erfassen und wie Sie diese verarbeiten. Purple ist nach GDPR und ISO 27001 zertifiziert. WiFi-Protokolle von Bewohnern sollten nur so lange wie betrieblich notwendig aufbewahrt werden - sechs Monate sind eine übliche Obergrenze. Aggregierte Analysen sind in der Regel in Ordnung; das Tracking des individuellen Verhaltens innerhalb der Wohnung eines Bewohners ist es nicht. Frage: Wie vergleicht sich PPSK mit Passpoint und OpenRoaming? Antwort: Es sind unterschiedliche Anwendungsfälle. Passpoint - auch bekannt als Hotspot 2.0 - ist für nahtloses Roaming zwischen Standorten und Mobilfunkanbietern konzipiert. OpenRoaming baut auf Passpoint für globales Roaming auf. PPSK ist für den dauerhaften, identitätsbasierten Zugriff innerhalb einer einzelnen Immobilie oder eines Anwesens gedacht. Sie ergänzen sich und konkurrieren nicht. Ein BTR-Projekt könnte PPSK für Bewohner und Passpoint für den Besucherzugang in Gemeinschaftsbereichen nutzen. Lassen Sie mich mit den wichtigsten Erkenntnissen schließen. Erstens: PPSK ist das richtige Authentifizierungsmodell für Multi-Tenant-Wohn-WiFi. Es bietet Ihnen eine Isolierung pro Bewohner, IoT-Kompatibilität und ein automatisiertes Lifecycle-Management - ohne die Zertifikatsinfrastruktur von 802.1X. Zweitens: Die Terminologie der Hersteller variiert - iPSK, MPSK, DPSK, ePSK - aber das Konzept ist identisch. Wählen Sie Ihre Hardware basierend auf den Anforderungen Ihres Gebäudes und nutzen Sie ein herstellerunabhängiges Overlay wie Purple, um den Lifecycle über jeden Anbieter hinweg zu verwalten. Drittens: Planen Sie Ihren VLAN-Bereich, die mDNS-Reflektion und den IoT-Onboarding-Flow vor dem Go-Live. Dies sind die drei häufigsten Ursachen für Support-Tickets nach der Bereitstellung. Viertens: PPSK liefert einen messbaren kommerziellen Ertrag. Fünfzehn bis dreißig Pfund pro Wohneinheit und Monat an BTR-Mietaufschlag, fünf bis zehn Tage kürzere Leerstandszeiten und dreißig bis fünfzig Prozent geringere Kosten pro Wohneinheit im Vergleich zu Breitbandverträgen pro Einheit. Fünftens: Der WPA3-Übergangsmodus ist das richtige Ziel für neue Bereitstellungen im Jahr 2025 und darüber hinaus. Er unterstützt sowohl WPA2- als auch WPA3-Clients, und der SAE-Schutz schützt Schlüssel erheblich besser vor Offline-Angriffen. Wenn Sie tiefer einsteigen möchten, deckt das Purple Multi-Tenant WiFi-Handbuch die Subnetz-Dimensionierung, die DHCP-Bereichsplanung und sektorspezifische Bereitstellungsmodelle für BTR, Studentenwohnheime, sozialen Wohnungsbau und Coworking ab. Auf der Purple-Website gibt es außerdem ein kostenloses iPSK-Subnetz-Designer-Tool. Vielen Dank fürs Zuhören. Wenn Sie Fragen haben, sprechen Sie mit einem unserer Netzwerkarchitekten unter purple dot ai. Bis zum nächsten Mal.