Ruu PPSK: Vergleich von Funktionen und Bereitstellungsmodellen

Willkommen zum technischen Briefing von Purple. Heute befassen wir uns mit Ruu PPSK. Das ist die Private Pre-Shared Key WiFi-Architektur, und zwar speziell bezüglich ihrer Anwendung bei Wohn- und Gewerbeimmobilien mit mehreren Mietern. Ich werde Ihnen erklären, was das ist, wie es im Vergleich zu den Alternativen abschneidet, welches Bereitstellungsmodell für Ihre Situation geeignet ist und welche Fallstricke die meisten Projekte zu Fall bringen. Fangen wir an. Zuerst das Problem. Wenn Sie ein Mietobjekt, ein Studentenwohnheim oder eine Immobilie mit mehreren Wohneinheiten verwalten, stehen Sie vor einer speziellen WiFi-Herausforderung, die klassisches Enterprise-Networking nicht sauber löst. In einem traditionellen WPA2 Personal-Netzwerk nutzt jedes Gerät im Gebäude dasselbe Passwort. Wenn ein Bewohner auszieht, haben Sie zwei Möglichkeiten. Entweder Sie ändern das Passwort, was das WiFi für alle anderen Bewohner im Gebäude unterbricht. Oder Sie lassen dem ehemaligen Bewohner den Zugang. Beides ist nicht akzeptabel. Und bei 200 Wohneinheiten ist beides betrieblich nicht machbar. Das ist das Problem, das PPSK löst. Private Pre-Shared Key gibt jedem Bewohner, jeder Wohnung oder jeder Gerätegruppe ein eigenes, einzigartiges WiFi-Passwort. Alle verbinden sich mit derselben SSID, demselben Netzwerknamen, aber jeder Key ist einem separaten VLAN zugeordnet. Ein Virtual Local Area Network. Wohnung 12 ist auf VLAN 10. Wohnung 13 ist auf VLAN 20. Die IoT-Geräte sind auf VLAN 99. Der Access Point übernimmt die Zuordnung vom Key zum VLAN automatisch. Kein RADIUS-Server im Basismodell erforderlich. Keine Zertifikatsinfrastruktur. Kein 802.1X-Supplicant auf dem Gerät. Nun ein Wort zur Terminologie, denn hier entsteht echte Verwirrung auf dem Markt. Aruba nennt es PPSK. Cisco Meraki nennt es iPSK oder Identity PSK. Juniper Mist nutzt ePSK. Extreme Networks, die das Konzept ursprünglich unter der Marke Aerohive entwickelt haben, nennen es Private PSK. Ubiquiti UniFi nennt es einfach PPSK. Cambium nutzt ebenfalls ePSK. Der zugrundeliegende Mechanismus ist bei allen identisch. Eine SSID, mehrere eindeutige Keys, wobei jeder Key an ein VLAN oder eine Richtliniengruppe gebunden ist. Die Namen der Anbieter sind Marketing, kein technischer Unterschied. Lassen Sie mich erklären, was tatsächlich auf der Assoziationsschicht passiert, denn hier bewährt sich die Architektur. Wenn sich das Gerät eines Bewohners mit der SSID verbindet, präsentiert es seinen Pre-Shared Key während des WPA2-Vier-Wege-Handshakes. Der Access Point oder der dahinter liegende Cloud-Controller schlägt diesen Key im PPSK-Speicher nach, identifiziert, welchem VLAN er zugeordnet ist, und taggt den Datenverkehr des Geräts ab diesem Zeitpunkt entsprechend. Das Gerät sieht eine völlig normale WiFi-Verbindung. Es hat keine Ahnung, dass es in einem isolierten Segment platziert wurde. Sein Chromecast funktioniert. Sein Smart-Speaker koppelt sich. Seine Konsole erhält den richtigen NAT-Typ. Alles verhält sich genau so, wie es bei einem Breitbandanschluss zu Hause der Fall wäre, denn aus der Perspektive des Geräts ist es genau das. Dies ist der entscheidende Unterschied zu 802.1X, dem Enterprise-Standard für Mitarbeiternetzwerke und Unternehmensumgebungen. 802.1X erfordert einen RADIUS-Server, einen Identity Provider und einen Supplicanten auf jedem Gerät. Der Supplicant ist die Softwarekomponente, die den EAP-Authentifizierungsaustausch abwickelt. Jedes verwaltete Laptop und jedes Firmentelefon verfügt über einen. Der smarte Kühlschrank Ihres Bewohners nicht. Die HLK-Steuerung Ihres Gebäudes nicht. Ihre IoT-Sensoren nicht. PPSK funktioniert mit allen diesen Geräten, da es auf der WPA-Personal-Ebene und nicht auf der WPA-Enterprise-Ebene arbeitet. Dennoch ist PPSK kein Ersatz für 802.1X in Unternehmensumgebungen. Es ist ein anderes Werkzeug für ein anderes Problem. Wenn Sie ein Mitarbeiternetzwerk betreiben, bei dem es auf die individuelle Nachvollziehbarkeit ankommt, bei dem Sie wissen müssen, dass sich eine bestimmte Person zu einem bestimmten Zeitpunkt authentifiziert hat, und bei dem Sie deren Zugriff sofort entziehen müssen, wenn sie das Unternehmen verlässt, ist 802.1X die richtige Antwort. Wenn Sie ein Wohnnetzwerk betreiben, bei dem Sie eine Isolierung pro Haushalt, IoT-Unterstützung und betriebliche Einfachheit in großem Maßstab benötigen, ist PPSK die richtige Antwort. Sehen wir uns die drei Bereitstellungsmodelle an, denn hier wird die architektonische Entscheidung getroffen. Modell eins ist das Cloud-Controller-Modell. Dies ist das gängigste Muster für neue Bereitstellungen. Ihre Access Points verbinden sich mit einer Cloud-Management-Plattform. Der PPSK-Schlüsselspeicher befindet sich im Cloud-Controller. Wenn Sie einen neuen Bewohner anlegen, erstellen Sie im Portal einen Schlüssel, weisen ihn einem VLAN zu und der Controller überträgt die Richtlinie an jeden Access Point im Gebäude. Der Bewohner erhält seinen Schlüssel per E-Mail, SMS oder über einen QR-Code in seinem Willkommenspaket. Sie scannen ihn ein, alle ihre Geräte verbinden sich und ihr Chromecast, Smart Speaker und ihre Konsole funktionieren sofort. Wenn sie ausziehen, löschen Sie den Schlüssel. Ihre Geräte verbinden sich nicht mehr. Niemand sonst ist betroffen. Dieses Modell eignet sich gut für Bereitstellungen bis zu etwa 200 Einheiten. Es ist am einfachsten zu betreiben und erfordert keine zusätzliche Infrastruktur. Modell zwei ist PPSK mit einem RADIUS-Backend. Einige Enterprise-Bereitstellungen verwenden einen RADIUS-Server zum Speichern und Validieren von PPSK-Anmeldedaten. Dies bietet Ihnen eine zentrale Protokollierung, Audit Trails und die Integration in Ihre Identity-Management-Plattform. Es erhöht zwar den Infrastruktur-Overhead, bietet Ihnen jedoch die Nachvollziehbarkeit von 802.1X bei gleichzeitiger Gerätekompatibilität von PPSK. Es ist das richtige Modell für gemischte Umgebungen - beispielsweise für einen Coworking-Space, in dem Sie sowohl verwaltete Unternehmensgeräte als auch im Besitz von Mitgliedern befindliche IoT-Geräte haben, oder für ein BTR-Projekt, bei dem der Betreiber Compliance-Verpflichtungen hat, die Audit Trails pro Bewohner erfordern. Modell drei ist die hybride Architektur. Bewohner nutzen PPSK für ihre Laptops und IoT-Geräte. Das Gebäudepersonal nutzt 802.1X für Firmengeräte. Beide Gruppen verbinden sich mit derselben physischen Infrastruktur, werden jedoch unterschiedlichen logischen Segmenten zugewiesen. Purple empfiehlt diese Architektur für umfassende Build to Rent und Multi-Dwelling-Unit-Installationen. Drei verschiedene Authentifizierungsmodelle, drei verschiedene VLANs, eine physische Infrastruktur. Es ist die Architektur, die Ihnen verbraucherfreundliche Einfachheit für Bewohner und Enterprise-Verantwortlichkeit für das Personal bietet, ohne zwei separate Netzwerke zu betreiben. Kommen wir nun zu den Implementierungsdetails. Wenn Sie PPSK für ein BTR-Projekt oder eine MDU-Immobilie bereitstellen, ist dies der Ablauf, der sich bewährt hat. Beginnen Sie mit Ihrem logischen Design, bevor Sie die Hardware anfassen. Erfassen Sie Ihre Bewohnerzahl, Ihre IoT-Gerätekategorien und alle Personal- oder Managementsysteme. Weisen Sie VLANs zu. Eine typische BTR-Bereitstellung sieht so aus: VLANs 10 bis zur Anzahl Ihrer Wohneinheiten für die Bewohner, ein VLAN pro Wohnung oder ein VLAN pro Etage, je nach Dichte. VLAN 99 für IoT. VLAN 100 für das Gebäudemanagement. VLAN 200 für Gäste-WiFi in den Gemeinschaftsbereichen. Dokumentieren Sie dann Ihr IP-Adressierungsschema. In einem Gebäude mit 200 Einheiten müssen Sie mit 3.000 bis 5.000 Geräten rechnen, die sich zu jedem beliebigen Zeitpunkt im Netzwerk befinden. Das entspricht den 15 bis 25 Geräten pro Haushalt laut Untersuchungen der British Property Federation. Ihre DHCP-Bereiche müssen darauf ausgelegt sein. Verwenden Sie private RFC 1918-Adressierung mit ausreichenden Subnetzgrößen pro VLAN. Ein Slash-24-Subnetz bietet Ihnen 254 nutzbare Adressen. Ein Slash-23-Subnetz bietet Ihnen 510. Dimensionieren Sie entsprechend. Bei der Hardware-Auswahl wird PPSK von allen führenden Enterprise Access Point-Plattformen unterstützt. Cisco Meraki nennt es iPSK und verwaltet es über das Meraki Dashboard. HPE Aruba implementiert es nativ in ArubaOS und Aruba Central. Ruckus unterstützt es über SmartZone und die Ruckus Cloud-Plattform. Juniper Mist nutzt ePSK mit KI-gesteuertem RF-Management. Ubiquiti UniFi verfügt seit 2023 über PPSK, beachten Sie jedoch, dass es derzeit nur WPA2 unterstützt und nicht im 6-Gigahertz-Band funktioniert. Cambium und Extreme unterstützen es beide über ihre jeweiligen Cloud-Plattformen. Eine wichtige Einschränkung, auf die hingewiesen werden muss: Die PPSK-Implementierung von UniFi ist auf WPA2 beschränkt. Wenn Sie WiFi 6E Access Points spezifizieren und das 6-Gigahertz-Band für PPSK-Clients nutzen möchten, benötigen Sie eine Plattform, die WPA3-SAE mit PPSK unterstützt, oder Sie müssen PPSK-Clients auf die 2,4- und 5-Gigahertz-Bänder beschränken. Aruba, Ruckus und Meraki unterstützen PPSK in WPA3-Konfigurationen. Nun zu den Fallstricken. Dies sind die Fehlermuster, die ich in Produktionsumgebungen immer wieder beobachte. Fallstrick eins: SSID-Proliferation. Jede SSID, die Sie ausstrahlen, verbraucht Sendezeit für Beacon-Frames. Wenn Sie in einem dicht besiedelten Wohngebäude sechs oder acht SSIDs pro Access Point ausstrahlen, beeinträchtigen Sie die Leistung für alle. Beschränken Sie sich auf maximal vier SSIDs pro Funkmodul. Verwenden Sie PPSK, um mehrere Bewohnersegmente über eine einzige SSID zu bedienen, anstatt eine separate SSID pro Wohnung oder Etage zu erstellen. Fallstrick zwei: unzureichende Trunk-Port-Konfiguration. Sie entwerfen ein sauberes VLAN-Schema, stellen die Access Points bereit und dann bricht der Datenverkehr lautlos ab, weil jemand vergessen hat, die relevanten VLANs auf einer Trunk-Verbindung zwischen dem Distribution-Switch und dem Access-Layer zuzulassen. Validieren Sie jeden Trunk-Port bei der Inbetriebnahme. Dokumentieren Sie es. Testen Sie es mit einem Gerät in jedem VLAN, bevor die Bewohner einziehen. Fallstrick drei: Schlüsselverteilung. Das Generieren von Schlüsseln ist einfach. Sie den Bewohnern auf eine sichere und betrieblich verwaltbare Weise zukommen zu lassen, ist schwieriger. Ein QR-Code im Willkommenspaket funktioniert am Einzugstag gut. Ein Bewohnerportal, in dem sie ihren Schlüssel abrufen und neue Geräte hinzufügen können, ist für den laufenden Betrieb besser. Erstellen Sie den Workflow für die Schlüsselverteilung vor der Bereitstellung, nicht danach. Fallstrick vier: MAC-Adressen-Randomisierung. Seit iOS 14, Android 10 und Windows 11 verwenden Geräte aus Datenschutzgründen standardmäßig randomisierte MAC-Adressen. Wenn Ihr RADIUS-Server einen MAC-Lookup durchführt und das Gerät eine randomisierte Adresse meldet, schlägt der Lookup fehl und das Gerät kann keine Verbindung herstellen. Konfigurieren Sie Ihre SSID so, dass Clients aufgefordert werden, ihre permanente Hardware-MAC-Adresse zu verwenden, oder implementieren Sie einen Vorregistrierungs-Workflow. Die Plattform von Purple verarbeitet dies automatisch als Teil des Onboarding-Flows für Bewohner. Lassen Sie mich Ihnen zwei reale Szenarien vorstellen, um dies zu verdeutlichen. Szenario eins: eine Build-to-Rent-Immobilie mit 180 Einheiten in einem Stadtzentrum. Der Betreiber wollte WiFi als im Mietpreis enthaltene Serviceleistung anbieten, mit Aktivierung am Einzugstag und vollständiger Smart-Home-Unterstützung. Sie installierten HPE Aruba Access Points, die über Aruba Central verwaltet werden. Jede Wohnung erhält einen eindeutigen PPSK-Schlüssel, der bei der Unterzeichnung des Mietvertrags generiert wird. Der Schlüssel wird dem Bewohner per E-Mail mit einem QR-Code zugeschickt. Sie scannen ihn, alle ihre Geräte verbinden sich, und ihr Chromecast, Smart-Speaker und ihre Konsole funktionieren sofort. Wenn ein Bewohner auszieht, löscht der Property Manager den Schlüssel im Portal. Der neue Bewohner erhält beim Einzug einen neuen Schlüssel. Kein Stress mit der Passwort-Rotation. Der Betreiber meldete eine Reduzierung der WiFi-bezogenen Support-Tickets um 30 % im Vergleich zu seiner vorherigen Bereitstellung mit gemeinsam genutzten Passwörtern. Szenario zwei: eine eigens errichtete Studentenunterkunft mit 400 Betten. Die Herausforderung besteht hier in der Einzugswoche, in der hunderte von Studenten gleichzeitig ankommen und versuchen, dutzende von Geräten auf einmal zu verbinden. Der Betreiber nutzte Ruckus Access Points mit SmartZone und implementierte PPSK mit einem Schlüssel pro Zimmer. Die Schlüssel wurden vorab generiert und dem Willkommenspaket beigelegt, das vor der Ankunft verschickt wurde. Die Studenten scannten bei der Ankunft den QR-Code und waren innerhalb von Sekunden verbunden. Das Netzwerk bewältigte den Einzugsansturm ohne Leistungseinbußen, da der Datenverkehr jedes Studenten in seinem eigenen VLAN-Segment isoliert war. Nun zu einer schnellen Fragerunde zu den am häufigsten gestellten Fragen. Wie viele PPSK-Schlüssel kann ein einzelner Access Point verarbeiten? Die meisten Enterprise-Plattformen unterstützen tausende von Schlüsseln pro SSID. Cisco Meraki unterstützt bis zu 5.000 iPSK-Einträge pro Netzwerk. Aruba skaliert in ähnlicher Weise. Ubiquiti UniFi unterstützt bis zu 1.000 PPSK-Einträge pro Netzwerk. Für ein Gebäude mit 200 Einheiten liegen Sie auf jeder Plattform weit innerhalb der Grenzwerte. Funktioniert PPSK mit WPA3? Ja, auf den meisten Enterprise-Plattformen. WPA3-SAE bietet im Vergleich zu WPA2-PSK einen stärkeren Schutz gegen Offline-Wörterbuchangriffe. Die Ausnahme ist UniFi, das derzeit für PPSK nur WPA2 unterstützt. Kann ich PPSK in mein Property-Management-System integrieren? Ja, über die API des Herstellers. Aruba Central, Meraki, Ruckus und Mist bieten alle REST APIs für die PPSK-Schlüsselverwaltung an. Die Plattform von Purple bietet eine vorgefertigte Integrationsschicht, die Ihr Property-Management-System automatisch mit dem PPSK-Schlüssellebenszyklus verbindet. Ist PPSK mit der GDPR konform? Ja, wenn es korrekt implementiert wird. PPSK mit residentenbezogenen Schlüsseln bietet Ihnen den Audit Trail, den Sie benötigen, um auf Auskunftsbegehren und behördliche Anfragen mit residentenspezifischen Daten zu reagieren. Mit einem gemeinsam genutzten PSK ist das unmöglich. Jedes Gerät sieht aus Sicht des Netzwerks identisch aus. Zusammenfassend lässt sich sagen: PPSK ist die richtige Architektur für Multi-Tenant-WiFi in BTR-, Studentenwohnheim- und MDU-Umgebungen. Es bietet eine Isolierung pro Einheit, IoT-Kompatibilität und eine betriebliche Einfachheit, mit der weder Standard-PSK noch 802.1X in einem Wohnumfeld mithalten können. Planen Sie Ihre VLANs, bevor Sie die Hardware anfassen. Sichern Sie Ihre Trunk-Verbindungen. Automatisieren Sie Ihre Schlüsselverteilung. Überprüfen Sie die WPA3-Unterstützung Ihres Herstellers, wenn Sie WiFi 6E bereitstellen. Und integrieren Sie Ihr Property-Management-System vom ersten Tag an, nicht erst im Nachhinein. Purple ist in 80.000 Live-Standorten im Einsatz und lässt sich als Cloud-Overlay über Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme und Fortinet integrieren. Wenn Sie sehen möchten, wie dies in der Praxis für Ihr Projekt funktioniert, ist der nächste Schritt ein technisches Abstimmungsgespräch mit unserem Netzwerkdesign-Team. Vielen Dank, dass Sie sich das Purple Technical Briefing angehört haben.