Uu PPSK 2023: Vergleich von Funktionen und Bereitstellungsmodellen

UU PPSK 2023: Vergleich von Funktionen und Bereitstellungsmodellen. Ein technisches Briefing von Purple. Willkommen. Heute befassen wir uns mit einer der wichtigsten Architekturentscheidungen, die Sie bei der Konzeption von WiFi für eine bewohnte Mehrparteien-Immobilie treffen werden: welches Pre-Shared-Key-Modell bereitgestellt werden soll. Konkret konzentrieren wir sich auf UU PPSK, was für Unique per-User Pre-Shared Key steht, und warum es sich zur bevorzugten Architektur für Build to Rent-Betreiber, Studentenwohnheime und Vermieter von Mehrfamilienhäusern (MDUs) in ganz Großbritannien entwickelt hat. Beginnen wir mit dem Problem. Sie verwalten ein Gebäude, in dem Dutzende oder Hunderte einzelner Haushalte dieselbe physische Netzwerkinfrastruktur nutzen. Jeder Bewohner benötigt ein privates, heimeliges WiFi-Erlebnis. Ihr Chromecast muss ihr Telefon finden. Ihr Smart-Speaker muss mit ihren Glühbirnen kommunizieren. Und was entscheidend ist: Nichts davon sollte für den Bewohner in der Wohnung nebenan sichtbar sein. Die traditionelle Lösung war entweder ein gemeinsam genutztes Passwort, was bei zunehmender Skalierung ein Sicherheitsrisiko darstellt, oder eine vollständige 802.1X-Enterprise-Bereitstellung, die eine Public-Key-Infrastruktur, Zertifikatsverwaltung und einen RADIUS-Server erfordert - Ressourcen, für deren Betrieb die meisten Immobilienbetreiber schlichtweg nicht über die IT-Ressourcen verfügen. Keine der beiden Optionen ist für einen Build to Rent-Block mit 200 Einheiten geeignet. Hier kommt PPSK ins Spiel. PPSK steht für Private Pre-Shared Key. Das Konzept ist denkbar einfach: Anstelle eines einzigen gemeinsam genutzten WiFi-Passworts für das gesamte Gebäude erhält jeder Bewohner seine eigene, eindeutige Passphrase. Sie verbinden sich mit derselben SSID, demselben Netzwerknamen, aber ihr Schlüssel gehört ihnen allein. Wenn sie ausziehen, widerrufen Sie ihren Schlüssel. Dies hat keinerlei Auswirkungen auf andere Bewohner. Es gibt hier drei verschiedene Modelle, und das Verständnis der Unterschiede ist entscheidend, um die richtige Architekturentscheidung zu treffen. Das erste Modell ist ein Standard-Shared-PSK. Ein Passwort, alle im selben Netzwerk. Das ist es, was die meisten Gebäude auch heute noch nutzen. Es ist einfach bereitzustellen, stellt jedoch einen Single Point of Failure dar. Wenn ein Bewohner das Passwort in einem Forum teilt, haben Sie die Kontrolle über Ihr Netzwerk verloren. Sie möchten den Zugriff eines Auftragnehmers entziehen? Sie müssen das Passwort für alle Beteiligten ändern. Bei zunehmender Skalierung ist dies nicht mehr handhabbar. Das zweite Modell ist Group PPSK. Hier weisen Sie jeder Benutzergruppe einen eindeutigen Schlüssel zu, vielleicht einen Schlüssel pro Etage oder einen Schlüssel pro Mietverhältnis. Das ist besser als ein gemeinsam genutztes Passwort, birgt aber immer noch das Problem einer großen Schadenswirkung. Wenn ein Schlüssel in einer Gruppe kompromittiert wird, ist die gesamte Gruppe betroffen. Sie können einzelne Bewohner auf der Netzwerkesbene immer noch nicht voneinander isolieren.Das dritte Modell, und dasjenige, auf das wir uns heute konzentrieren, ist UU PPSK. Ein Unique per-User Pre-Shared Key. Von Cisco Meraki auch als iPSK bezeichnet, von Ruckus als DPSK und von HPE Aruba als MPSK. Die Terminologie variiert je nach Hersteller, aber das Konzept ist identisch. Jeder einzelne Bewohner, jede einzelne Gerätegruppe erhält ihren eigenen, kryptografisch einzigartigen Schlüssel. Und dieser Schlüssel wird dem eigenen VLAN, dem eigenen Netzwerksegment zugeordnet, das vollständig von jedem anderen Bewohner im Gebäude isoliert ist. Dies ist die Architektur, die das liefert, was wir als WiFi-Blase bezeichnen. Die Geräte von Bewohner A können sich gegenseitig sehen, sie können streamen, sich koppeln, Dateien austauschen - genau wie im Heimnetzwerk. Aber Bewohner A kann kein einziges Gerät sehen, das Bewohner B gehört, obwohl beide mit demselben Access Point, über dieselbe SSID und unter Nutzung derselben physischen Kabelinfrastruktur verbunden sind. Lassen Sie mich den technischen Authentifizierungsablauf erläutern, denn hier wird der Mechanismus deutlich. Wenn sich das Gerät eines Bewohners mit der SSID verbindet, fängt der Wireless LAN Controller den Verbindungsversuch ab. Während des WPA2-Four-Way-Handshakes präsentiert das Gerät seinen Pre-Shared Key. Der Controller schlägt diesen Schlüssel in der PPSK-Datenbank nach. Er gibt die eindeutige VLAN-ID zurück, die diesem Bewohner zugewiesen ist. Der Controller validiert den Schlüssel, und das Gerät wird authentifiziert und in sein dediziertes VLAN verschoben. Entscheidend ist, dass diese VLAN-Zuweisung auch die korrekten Bandbreitenrichtlinien und Firewall-Regeln enthält. Das Gerät wird also nicht nur authentifiziert. Es wird automatisch von einer einzigen SSID auf das richtige Netzwerksegment verschoben. Keine SSID-Anhäufung. Kein Beacon-Overhead. Ein Netzwerkname, darunter Hunderte von isolierten privaten Netzwerken. Nun ein Wort zur MAC-Adress-Randomisierung, denn das ist die Falle, in die die meisten Implementierungen tappen. Seit iOS 14, Android 10 und Windows 11 verwenden Geräte aus Datenschutzgründen standardmäßig randomisierte MAC-Adressen. Wenn Ihre Authentifizierungsplattform einen MAC-Lookup durchführt und das Gerät eine randomisierte Adresse präsentiert, schlägt der Lookup fehl und das Gerät kann keine Verbindung herstellen. Die Lösung besteht darin, einen Vorab-Registrierungs-Workflow zu implementieren, bei dem die Bewohner ihr Gerät vor der Verbindung registrieren. Die Plattform von Purple wickelt dies automatisch als Teil des Onboarding-Prozesses für Bewohner ab. Lassen Sie uns über Bereitstellungsmodelle sprechen, denn UU PPSK kann auf drei verschiedene Arten bereitgestellt werden, und die richtige Wahl hängt von Ihrer Gebäudegröße, Ihren IT-Ressourcen und Ihrem Budget ab. Das erste ist das Controller-lokale PPSK. Hier werden die eindeutigen Schlüssel direkt auf dem Wireless Controller gespeichert, ohne dass ein externer RADIUS-Server erforderlich ist. Dies funktioniert gut für kleinere Bereitstellungen mit bis zu etwa 50 Einheiten und ist am einfachsten zu betreiben. Ubiquiti UniFi unterstützt dies nativ. Die Einschränkung ist die Skalierbarkeit. Die meisten Controller stoßen bei einigen hundert lokalen PPSK-Einträgen an ihre Grenzen, und Sie verlieren die zentrale Lebenszyklusverwaltung, die UU PPSK im großen Stil betrieblich tragbar macht. Das zweite Modell ist RADIUS-basiertes PPSK. Hier werden die Schlüssel auf einem externen RADIUS-Server gespeichert, und der Controller fragt den RADIUS-Server bei jeder neuen Verbindung ab. Dies lässt sich auf Tausende von Einheiten skalieren. Ruckus SmartZone, HPE Aruba ClearPass und Cisco ISE unterstützen dieses Modell. Der operative Aufwand ist höher, aber die Skalierbarkeit und die Lifecycle-Management-Funktionen sind erheblich besser. Das dritte Modell, und dasjenige, das Purple für Build-to-Rent- und Mehrfamilienhaus-Betreiber empfiehlt, ist Cloud-RADIUS-as-a-Service. Hier wird die RADIUS-Infrastruktur von Purple gehostet und verwaltet, und Sie verbinden Ihre Access Points über ein Cloud-Overlay mit ihr. Dies bietet Ihnen die Skalierbarkeit von RADIUS-basiertem PPSK ohne den operativen Aufwand für den Betrieb Ihres eigenen RADIUS-Servers. Die Plattform von Purple setzt auf Ihrer bestehenden Hardware auf - sei es Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet - und stellt die Orchestrierungsebene für die Schlüsselbereitstellung, das Lifecycle-Management und das Onboarding von Bewohnern bereit. Der Lebenszyklus der Schlüssel ist vollständig automatisiert. Ein Bewohner zieht ein, sein Schlüssel wird über die Integration des Property-Management-Systems bereitgestellt. Er zieht aus, sein Schlüssel wird sofort widerrufen - ohne Auswirkungen auf andere Bewohner. Kein manuelles Eingreifen, keine Sicherheitslücken, kein Aufwand bei der Passwortrotation. Lassen Sie mich Ihnen zwei konkrete Bereitstellungsszenarien vorstellen, um dies zu veranschaulichen. Das erste ist ein Build-to-Rent-Projekt mit 250 Einheiten. Der Entwickler hatte im gesamten Gebäude Cisco Meraki Access Points spezifiziert. Sie benötigten für jeden Bewohner ein privates WiFi-Erlebnis mit vollem IoT-Support, bezugsfertig am selben Tag und der Fähigkeit, 15 bis 25 Geräte pro Haushalt zu unterstützen. Die bereitgestellte Architektur war eine einzige SSID im gesamten Gebäude, mit UU PPSK über den Cloud-RADIUS-Service von Purple. Jeder Bewohner erhielt beim Einzug einen eindeutigen Schlüssel, der über die Bewohner-App bereitgestellt wurde. Der Schlüssel wurde einem dedizierten VLAN mit einem privaten Subnetz zugeordnet, wodurch jeder Haushalt ein vollständig isoliertes Netzwerksegment erhielt. mDNS-Reflection wurde innerhalb jedes VLANs aktiviert, sodass Chromecast, Apple TV und Sonos wie erwartet funktionierten. Das Gebäude ging am ersten Tag mit 250 aktiven Bewohner-VLANs in Betrieb, ohne dass eine manuelle RADIUS-Konfiguration durch das Team vor Ort erforderlich war. Das zweite Szenario ist ein eigens für diesen Zweck gebautes Studentenwohnheim mit 400 Betten. Die Herausforderung hierbei ist der jährliche Wechsel der Bewohner. Jedes Jahr im August ziehen 400 Studenten aus und 400 neue Studenten ein, oft innerhalb derselben Woche. Bei einem geteilten PSK-Modell bedeutet dies eine gebäudeweite Passwort-Rotation, die jeden verbleibenden Bewohner betrifft. Mit UU PPSK bedeutet dies den Widerruf von 400 Schlüsseln und die Bereitstellung von 400 neuen, was vollständig über die Integration des Studentenverwaltungssystems automatisiert ist. Die Bereitstellung nutzte Ruckus SmartZone mit DPSK, unterstützt durch den RADIUS-Service von Purple. Jeder Student erhielt seinen eindeutigen Schlüssel während der Registrierung vor der Ankunft per E-Mail. Das Betriebsteam meldete im ersten Semester eine Reduzierung der WiFi-bezogenen Support-Tickets um 70 %, vor allem weil die Probleme bei der Kopplung von Chromecast und Smart-TVs, die die vorherige geteilte PSK-Bereitstellung geplagt hatten, vollständig beseitigt wurden. Lassen Sie mich nun drei praktische Faustregeln erläutern, bevor wir zu den Schnellfeuerfragen übergehen. Regel eins: Wenn Ihr Gebäude mehr als 50 Einheiten hat, verwenden Sie RADIUS-backed UU PPSK und nicht Controller-lokales PPSK. Die Skalierungsgrenze von Controller-lokalem PPSK wird Ihnen innerhalb von 12 Monaten nach der Inbetriebnahme Probleme bereiten. Regel zwei: Planen Sie die MAC-Randomisierung vom ersten Tag an ein. Integrieren Sie einen Vorregistrierungs-Workflow in Ihren Onboarding-Prozess für Bewohner. Gehen Sie nicht davon aus, dass Geräte standardmäßig ihre permanente MAC-Adresse angeben. Regel drei: Automatisieren Sie den Lebenszyklus der Schlüssel. Der betriebliche Wert von UU PPSK gegenüber einem geteilten PSK hängt vollständig davon ab, ob Schlüssel automatisch bereitgestellt und widerrufen werden. Eine manuelle Schlüsselverwaltung im großen Stil ist nicht praktikabel. Integrieren Sie von Anfang an Ihr Immobilienverwaltungssystem. Gut, lassen Sie uns eine Schnellfeuerrunde zu den Fragen machen, die mir am häufigsten gestellt werden. Funktioniert UU PPSK mit WPA3? Ja, mit Einschränkungen. WPA3-SAE ändert den Handshake-Mechanismus. Die meisten modernen Controller unterstützen UU PPSK im WPA2- und WPA3-Übergangsmodus für Abwärtskompatibilität. Wenn Sie WiFi 6E Access Points spezifizieren, die WPA3 im 6-Gigahertz-Band vorschreiben, überprüfen Sie vor dem Kauf der Hardware die spezifische Unterstützung Ihres Herstellers. Wie viele eindeutige Schlüssel kann eine einzelne SSID unterstützen? Das hängt von Ihrer Controller-Plattform ab. Mit einem externen RADIUS-Server ist die praktische Grenze die Kapazität Ihrer RADIUS-Datenbank. Der Cloud-RADIUS-Service von Purple lässt sich auf Zehntausende gleichzeitiger Schlüssel skalieren. Ist UU PPSK ein Ersatz für 802.1X? Nein. Für vollständig verwaltete Unternehmensgeräte-Flotten bleibt 802.1X die richtige Antwort. UU PPSK ist die richtige Antwort für Wohnnetzwerke, in denen Sie eine Isolierung pro Haushalt, IoT-Unterstützung und betriebliche Einfachheit im großen Stil benötigen. Wie sieht es mit der GDPR-Konformität aus? UU PPSK bietet Ihnen einen vollständigen Audit-Trail. Jede Verbindung ist an einen bestimmten Bewohner-Schlüssel gebunden, der wiederum mit einem bestimmten Mietvertrag verknüpft ist. Bei einem geteilten PSK ist diese Rechenschaftspflicht unmöglich. UU PPSK ist die einzige Architektur, mit der Sie präzise auf Auskunftsbegehren oder Anfragen von Strafverfolgungsbehörden reagieren können. Zusammenfassend lässt sich sagen: UU PPSK ist die Authentifizierungsarchitektur, die Multi-Tenant-WiFi im Wohnbereich betrieblich rentabel macht. Sie bietet eine Netzwerkisolation pro Bewohner, automatisiert das Key-Lifecycle-Management und unterstützt die gesamte Palette von Consumer-IoT-Geräten, ohne dass eine Zertifikatsinfrastruktur für Unternehmen erforderlich ist. Für jedes Build-to-Rent-Projekt oder jede Mehrfamilienhaus-Immobilie mit mehr als 50 Einheiten ist dies die Architektur, die Sie heute spezifizieren sollten. Wenn Sie erfahren möchten, wie die Multi-Tenant-WiFi-Lösung von Purple mit Ihrer vorhandenen Hardware funktioniert, besuchen Sie purple dot ai oder sprechen Sie mit einem unserer Netzwerkarchitekten. Vielen Dank fürs Zuhören.