PPSK xaverius: Vergleich von Funktionen und Bereitstellungsmodellen

Sie sind ein erfahrener Netzwerkberater, der einen Kunden in einem selbstbewussten, lockeren, autoritären Tonfall informiert. Sprechen Sie klar, in einem gemessenen Tempo, wie in einem persönlichen Kundengespräch. Kein Vortrag - ein Briefing. Warmherzig, aber direkt. Deutsche Übersetzung und Aussprache: Willkommen beim technischen Briefing von Purple. Heute befassen wir uns mit PPSK xaverius - Private Pre-Shared Key Authentifizierung - was es ist, wie es im Vergleich zu den Alternativen abschneidet und insbesondere, was es für Immobilienentwickler, Vermieter und Build to Rent Betreiber bedeutet, die ein WiFi auf Enterprise-Niveau in Gebäuden mit mehreren Mietern bereitstellen müssen. [mittlere Pause] Beginnen wir mit dem Problem. Wenn Sie ein Build to Rent Projekt mit 150 Wohneinheiten, ein Studentenwohnheim oder ein Portfolio von Mehrfamilienhäusern verwalten, haben Sie ein WiFi Problem, das in den meisten IT-Handbüchern nicht direkt angesprochen wird. Sie betreiben kein Firmenbüro. Sie betreiben kein Hotel. Sie betreiben etwas dazwischen - ein Gebäude voller Haushalte, von denen jeder das gleiche private, zuverlässige Interneterlebnis erwartet, das er von einem privaten Breitband-Router zu Hause gewohnt ist. Und Sie müssen dies über eine gemeinsame Infrastruktur im großen Maßstab bereitstellen, ohne dass ein Support-Team jedes Mal Anrufe entgegennehmen muss, wenn der Chromecast von jemandem nicht mehr funktioniert. [kurze Pause] Das ist die Lücke, die PPSK schließt. Und dieses System richtig zu verstehen - die Architektur, die Bereitstellungsmodelle, die Unterschiede zwischen den Herstellern - ist das, was ein funktionierendes Netzwerk von einem unterscheidet, das nur Beschwerden hervorruft. [mittlere Pause] Was ist also PPSK? Private Pre-Shared Key ist eine WiFi Authentifizierungsmethode, bei der jeder Bewohner, jede Wohnung oder jede Gerätegruppe einen eindeutigen kryptografischen Schlüssel erhält. Alle verbinden sich mit derselben SSID - demselben Netzwerknamen, der auf ihrem Telefon sichtbar ist - aber jeder Schlüssel wird einem separaten VLAN zugeordnet. Wohnung zwölf befindet sich auf VLAN zehn. Wohnung dreizehn ist auf VLAN zwanzig. Die IoT-Geräte befinden sich auf VLAN neunundneunzig. Der Access Point übernimmt die Zuordnung vom Schlüssel zum VLAN automatisch. [kurze Pause] Die Terminologie variiert je nach Hersteller, was auf dem Markt zu echter Verwirrung führt. HPE Aruba nennt es MPSK - Multi Pre-Shared Key. Cisco Meraki nennt es iPSK - Identity PSK. Juniper Mist verwendet ePSK. Ruckus nennt es DPSK - Dynamic PSK. Extreme Networks nennt es Private PSK. Ubiquiti UniFi nennt es einfach PPSK. Der zugrunde liegende Mechanismus ist bei allen identisch: eine SSID, mehrere eindeutige Schlüssel, wobei jeder Schlüssel an ein VLAN oder eine Richtliniengruppe gebunden ist. Der Begriff PPSK xaverius bezieht sich auf diese allgemeinere Kategorie der privaten Schlüsselauthentifizierung pro Benutzer, unabhängig davon, welche Herstellerimplementierung Sie einsetzen. [mittlere Pause] Lassen Sie uns über den technischen Mechanismus sprechen, denn dieses Verständnis ermöglicht es Ihnen, die richtigen Architektur-Entscheidungen zu treffen. [kurze Pause]Wenn sich ein Gerät mit einem PPSK-aktivierten Netzwerk verbindet, präsentiert es seinen Pre-Shared Key während des WPA2-Four-Way-Handshakes. Der Access Point sucht diesen Schlüssel im PPSK-Speicher - entweder lokal im Controller oder über einen RADIUS-Server - identifiziert, welchem VLAN er zugeordnet ist, und taggt den Datenverkehr des Geräts entsprechend. Das Gerät sieht eine ganz normale WiFi-Verbindung. Es hat keine Ahnung, dass es in ein isoliertes Segment verschoben wurde. Sein Chromecast funktioniert. Der Smart Speaker lässt sich koppeln. Alles verhält sich wie im Heimnetzwerk. [short pause] Dies ist der wesentliche Unterschied zu 802.1X, dem IEEE-Standard für Unternehmensnetzwerke von Mitarbeitern. 802.1X erfordert einen RADIUS-Server, einen Identity Provider - Microsoft Entra ID, Okta oder Google Workspace - und einen Supplicant auf jedem Gerät. Jedes verwaltete Laptop hat einen. Der smarte Kühlschrank Ihres Bewohners hat keinen. Die HLK-Steuerung Ihres Gebäudes hat keinen. PPSK funktioniert mit all diesen Geräten, da es auf dem WPA-Personal-Layer und nicht auf dem WPA-Enterprise-Layer arbeitet. [medium pause] Vergleichen wir nun die drei Authentifizierungsmodelle, denen Sie bei einer Multi-Tenant-Bereitstellungsentscheidung begegnen werden. [short pause] Standard-PSK - das Modell mit gemeinsam genutztem Passwort - ist das, womit die meisten Gebäude beginnen und was die meisten Gebäude später bereuen. Ein Passwort, jedes Gerät, jeder Bewohner. Wenn ein Bewohner auszieht, müssen Sie entweder das Passwort für alle ändern - wodurch der Smart-TV, der Thermostat und die Konsole aller anderen Bewohner nicht mehr funktionieren - oder Sie lassen dem ehemaligen Bewohner den Zugriff. Keine der beiden Optionen ist im großen Stil akzeptabel. Standard-PSK bietet zudem keinerlei VLAN-Isolierung. Jedes Gerät im Netzwerk kann jedes andere Gerät sehen. Das ist ein potenzieller Verstoß gegen den Datenschutz in einem Wohngebäude. [short pause] PPSK liegt in der Mitte. Es bietet Ihnen eine Isolierung pro Bewohner, IoT-Kompatibilität und eine automatisierte Verwaltung des Lebenszyklus der Schlüssel. Es erfordert keine Zertifikatsinfrastruktur. Es erfordert keinen Supplicant auf jedem Gerät. Für ein BTR-Projekt mit 200 Wohneinheiten ist dies die richtige Architektur. [short pause] 802.1X ist die richtige Antwort für Ihr Mitarbeiternetzwerk, Ihre Gebäudemanagementsysteme und jede Umgebung, in der individuelle Verantwortlichkeit und zertifikatsbasierte Sicherheit erforderlich sind. Für das WiFi der Bewohner ist es nicht die richtige Wahl, da es die IoT-Geräte ausschließt, die Ihre Bewohner tatsächlich besitzen. [medium pause] Die praktische Empfehlung ist eine hybride Architektur: PPSK für Bewohner und IoT, 802.1X für Mitarbeiter und Managementsysteme. Drei verschiedene Authentifizierungsmodelle, drei verschiedene VLANs, eine physische Infrastruktur. Dies ist die Architektur, die Purple empfiehlt und an seinen mehr als 80.000 Live-Standorten einsetzt. Sie sind ein erfahrener Netzwerkberater, der ein Kundenbriefing in einem selbstbewussten, lockeren und autoritären britischen Englisch-Akzent fortsetzt. Sprechen Sie klar und in einem gemessenen Tempo. Herzlich, aber direkt. Durchgehend britische Aussprache: Kommen wir nun zu den Bereitstellungsmodellen, denn hier werden die eigentlichen Entscheidungen getroffen. [short pause] Modell eins: Cloud-Controller-PPSK. Ihre Access Points verbinden sich mit einer Cloud-Management-Plattform. Der PPSK-Schlüsselspeicher befindet sich im Cloud-Controller. Wenn Sie einen neuen Bewohner anlegen, erstellen Sie einen Schlüssel im Portal, weisen ihn einem VLAN zu, und der Controller überträgt die Richtlinie an jeden Access Point im Gebäude. Der Bewohner erhält seinen Schlüssel per E-Mail oder über einen QR-Code in einem Willkommenspaket. Wenn er auszieht, löschen Sie den Schlüssel. Seine Geräte verbinden sich nicht mehr. Niemand sonst ist davon betroffen. Dies ist das betrieblich einfachste Modell und dasjenige, das wir für die meisten BTR- und MDU-Bereitstellungen empfehlen. [short pause] Modell zwei: RADIUS-gestütztes PPSK. Der Access Point leitet den Schlüssel an einen RADIUS-Server weiter, der ihn mit einem Verzeichnis abgleicht und die VLAN-Zuweisung zurückgibt. Dies bedeutet zwar einen zusätzlichen Infrastruktur-Overhead, bietet Ihnen jedoch eine zentrale Protokollierung, Audit-Trails und die Integration in Ihre Identity-Management-Plattform. Es bietet Ihnen die Nachvollziehbarkeit von 802.1X bei gleichzeitiger Gerätekompatibilität von PPSK. Für Bereitstellungen mit mehr als 500 Einheiten oder für Betreiber mit bestehender RADIUS-Infrastruktur ist dies das richtige Modell. [short pause] Modell drei: Hybrid. PPSK für Bewohner und IoT, 802.1X für Mitarbeiter und Managementsysteme. Dies ist die Architektur für große BTR-Portfolios und Betreiber von zweckgebundenen Studentenunterkünften, die sowohl Einfachheit für die Bewohner als auch Sicherheit auf Unternehmensniveau für ihre eigenen Systeme benötigen. [medium pause] Sehen wir uns zwei reale Bereitstellungsszenarien an. [short pause] Szenario eins: ein Build-to-Rent-Projekt mit 180 Einheiten. Der Betreiber installierte HPE Aruba Access Points mit dem Cloud-Overlay von Purple. Jede Wohnung erhielt einen eindeutigen Schlüssel, der bei Unterzeichnung des Mietvertrags generiert wurde. Der Schlüssel wurde dem Bewohner per E-Mail mit einem QR-Code zugeschickt. Sie scannten ihn und alle ihre Geräte waren verbunden. Wenn ein Bewohner auszog, löschte der Hausverwalter den Schlüssel im Purple-Portal. Keine Probleme mit Passwortänderungen. Der Betreiber meldete in den ersten sechs Monaten eine Reduzierung der WiFi-bezogenen Support-Tickets um 50 %. Das Netzwerk bewältigte 15 bis 25 Geräte pro Haushalt ohne Leistungseinbußen. [short pause] Szenario zwei: ein Studentenwohnheim mit 400 Betten. Der Betreiber nutzte Ruckus Access Points und implementierte DPSK mit einem Schlüssel pro Zimmer. Die Schlüssel wurden vorab generiert und dem Willkommenspaket beigelegt. Die Studenten scannten am Anreisetag den QR-Code und waren innerhalb von Sekunden verbunden. Das Netzwerk bewältigte den Ansturm beim Einzug - alle 400 Studenten kamen innerhalb eines 48-Stunden-Fensters an - ohne Leistungseinbußen. Der Betreiber integrierte die Schlüsselbereitstellung über eine API in sein Immobilienverwaltungssystem, sodass die Schlüssel bei Bestätigung der Zimmerbelegung automatisch generiert wurden. [medium pause] Lassen Sie uns nun über die Fallstricke sprechen, denn es gibt vier, die Betreiber immer wieder einholen. [short pause] Stolperfalle eins: SSID-Überlauf. Jede SSID, die Sie ausstrahlen, verbraucht Sendezeit für Beacon-Frames. Beschränken Sie sich auf maximal drei SSIDs pro Funkmodul. Nutzen Sie PPSK, um mehrere Benutzersegmente über eine einzige SSID zu bedienen, anstatt für jede Wohnung eine separate SSID zu erstellen. Dies ist der häufigste Fehler bei der Planung von Multi-Tenant-WiFi. [short pause] Stolperfalle zwei: unzureichende Konfiguration der Trunk-Ports. Sie entwerfen ein sauberes VLAN-Schema, stellen die Access Points bereit, und dann bricht der Datenverkehr lautlos ab, weil jemand vergessen hat, die relevanten VLANs auf einer Trunk-Verbindung freizugeben. Validieren Sie jeden Trunk-Port bei der Inbetriebnahme. Testen Sie ihn mit einem Gerät in jedem VLAN, bevor die Bewohner einziehen. [short pause] Stolperfalle drei: Workflow zur Schlüsselverteilung. Schlüssel zu generieren ist einfach. Sie sicher an die Bewohner zu übermitteln, ist schwieriger. Ein QR-Code im Begrüßungspaket funktioniert am Einzugstag gut. Sie benötigen jedoch auch einen Prozess für Bewohner, die ihren Schlüssel verlieren, die mitten im Mietverhältnis neue Geräte hinzufügen oder ihr Telefon wechseln. Erstellen Sie den Workflow zur Schlüsselverteilung vor der Bereitstellung, nicht danach. [short pause] Stolperfalle vier: MAC-Adressen-Randomisierung. Seit iOS 14, Android 10 und Windows 11 verwenden Geräte standardmäßig randomisierte MAC-Adressen. Wenn Ihr RADIUS-Server eine MAC-Abfrage durchführt und das Gerät eine randomisierte Adresse präsentiert, schlägt die Abfrage fehl. Integrieren Sie einen Vorregistrierungs-Workflow in Ihren Onboarding-Prozess für Bewohner. Die Plattform von Purple erledigt dies automatisch. [medium pause] Nun folgt eine schnelle Fragerunde. [short pause] Wie viele PPSK-Schlüssel kann ein einzelner Access Point verarbeiten? Die meisten Enterprise-Plattformen unterstützen Tausende von Schlüsseln pro SSID. Cisco Meraki unterstützt bis zu 5.000 iPSK-Einträge. Ubiquiti UniFi unterstützt bis zu 1.000. Für ein Gebäude mit 200 Wohneinheiten liegen Sie auf jeder Plattform weit innerhalb der Grenzen. [short pause] Funktioniert PPSK mit WPA3? Ja, auf den meisten Enterprise-Plattformen. WPA3-SAE bietet einen stärkeren Schutz gegen Offline-Wörterbuchangriffe. Die Ausnahme ist Ubiquiti UniFi, das derzeit nur WPA2 für PPSK unterstützt. [short pause] Kann ich PPSK in mein Immobilienverwaltungssystem integrieren? Ja, über die API des jeweiligen Herstellers. Aruba Central, Meraki, Ruckus und Mist bieten alle REST-APIs für die PPSK-Schlüsselverwaltung an. Purple stellt die Orchestrierungsebene bereit, um dies in großem Umfang zu verwalten, und lässt sich in Ihre Immobilienverwaltungssoftware integrieren, um die Schlüsselbereitstellung beim Einzug und den Widerruf beim Auszug zu automatisieren. [short pause] Wie sieht es mit der GDPR-Konformität aus? PPSK bietet die individuelle Zurechenbarkeit, die die GDPR für Wohn-WiFi vorschreibt. Ein gemeinsam genutztes PSK-Netzwerk kann Ihnen nicht sagen, welcher Bewohner das Netzwerk zu einem bestimmten Zeitpunkt genutzt hat. PPSK kann das. Purple speichert Daten in Übereinstimmung mit den Anforderungen der GDPR und CCPA, mit wählbarer Datenresidenz und einer standardmäßigen sechsmonatigen Aufbewahrungsgrenze für Protokolle mit identifizierbaren Bewohnerdaten. [medium pause] Zusammenfassend lässt sich sagen: PPSK - ob Sie es nun iPSK, MPSK, DPSK, ePSK oder PPSK xaverius nennen - ist die richtige Authentifizierungsarchitektur für Multi-Tenant-Wohnumgebungen. Es bietet eine netzwerkseitige Isolierung pro Wohneinheit auf einer einzigen SSID, unterstützt jedes IoT-Gerät Ihrer Bewohner und automatisiert, gestützt auf einen Cloud-RADIUS-Service und eine API-Integration, den gesamten Schlüssel-Lebenszyklus vom Einzug bis zum Auszug. [short pause] Es ist kein Ersatz für 802.1X in Unternehmensumgebungen. Nutzen Sie PPSK dort, wo Sie IoT-Kompatibilität und operative Einfachheit benötigen. Nutzen Sie 802.1X dort, wo Sie individuelle Verantwortlichkeit und zertifikatsbasierte Sicherheit benötigen. Und nutzen Sie beide zusammen in einer hybriden Architektur für große BTR- und Studentenwohnheim-Projekte. [short pause] Purple implementiert diese Architektur bereits seit 2012. Wir betreuen über 80.000 Live-Standorte, haben im Jahr 2024 440 Millionen Logins verarbeitet und halten eine Betriebszeit von 99,999 %. Unsere Multi-Tenant WiFi-Lösung läuft als hardwareunabhängiges Cloud-Overlay auf Access Points von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet. [short pause] Für weitere Details zur Bereitstellung von PPSK auf bestimmten Hardware-Plattformen oder um mit einem unserer Netzwerkarchitekten über Ihr Projekt zu sprechen, besuchen Sie purple dot ai. Vielen Dank, dass Sie dieses Purple Technical Briefing gehört haben.