Uu PPSK hukumonline: comparing features and deployment models

Willkommen zum Purple Technical Briefing. Heute befassen wir uns mit PPSK WiFi - Private Pre-Shared Key - was es ist, wie es im Vergleich zu den Alternativen abschneidet und wo der Einsatz tatsächlich sinnvoll ist. Beginnen wir mit dem Problem, das es löst. In einem herkömmlichen WPA2-Personal-Netzwerk teilen sich alle Geräte im Netzwerk dasselbe Passwort. Für ein Zuhause ist das in Ordnung. Für ein Build-to-Rent-Objekt mit 200 Wohneinheiten, ein Studentenwohnheim oder ein Hotel mit 300 Zimmern ist es ein Sicherheitsrisiko. Wenn ein Bewohner auszieht, müssen Sie entweder das Passwort für alle ändern - und damit den Smart-TV, das Thermostat und die Konsole aller anderen Bewohner lahmlegen - oder Sie lassen dem ehemaligen Bewohner den Zugang. Beide Optionen sind inakzeptabel. PPSK löst dieses Problem, indem es jedem Bewohner, jeder Wohnung oder jeder Gerätegruppe einen eigenen, eindeutigen WiFi-Schlüssel zuweist. Alle verbinden sich mit derselben SSID - demselben Netzwerknamen -, aber jeder Schlüssel wird einem separaten VLAN zugeordnet. Wohnung 12 befindet sich im VLAN 10. Wohnung 13 befindet sich im VLAN 20. Die IoT-Geräte befinden sich im VLAN 99. Der Access Point übernimmt die Zuordnung vom Schlüssel zum VLAN automatisch. Kein RADIUS-Server erforderlich. Keine Zertifikatsinfrastruktur. Kein 802.1X-Supplicant auf dem Gerät. Sprechen wir nun über die Terminologie, da diese je nach Hersteller variiert und auf dem Markt für echte Verwirrung sorgt. Aruba nennt es PPSK - Private Pre-Shared Key. Cisco Meraki nennt es iPSK - Identity PSK. Juniper Mist verwendet ePSK. Extreme Networks, die das Konzept ursprünglich unter der Marke Aerohive entwickelt haben, nennen es Private PSK. Ubiquiti UniFi nennt es einfach PPSK. Cambium nutzt ebenfalls ePSK. Der zugrunde liegende Mechanismus ist bei allen identisch: eine SSID, mehrere eindeutige Schlüssel, wobei jeder Schlüssel an ein VLAN oder eine Richtliniengruppe gebunden ist. Technisch gesehen passiert auf der Verbindungsebene Folgendes. Wenn sich ein Gerät verbindet, präsentiert es seinen Pre-Shared Key während des WPA2-Four-Way-Handshakes. Der Access Point - oder der dahinter liegende Cloud-Controller - schlägt diesen Schlüssel im PPSK-Speicher nach, identifiziert das zugehörige VLAN und taggt den Datenverkehr des Geräts entsprechend. Das Gerät sieht eine normale WiFi-Verbindung. Es hat keine Ahnung, dass es in ein isoliertes Segment verschoben wurde. Der Chromecast funktioniert. Der Smart-Speaker lässt sich koppeln. Die Konsole erhält den richtigen NAT-Typ. Alles verhält sich wie ein Heimnetzwerk - weil es aus der Perspektive des Geräts genau das ist. Dies ist der wesentliche Unterschied zu 802.1X, dem Enterprise-Standard für Mitarbeiternetzwerke und Unternehmensumgebungen. 802.1X erfordert einen RADIUS-Server, einen Identitätsanbieter - Microsoft Entra ID, Okta oder Google Workspace - und einen Supplicant auf jedem Gerät. Dieser Supplicant ist die Softwarekomponente, die den EAP-Authentifizierungsaustausch abwickelt. Jedes verwaltete Laptop, jedes Firmentelefon besitzt einen. Der intelligente Kühlschrank Ihres Bewohners jedoch nicht. Die HLK-Steuerung Ihres Gebäudes ebenfalls nicht. Ihre IoT-Sensoren auch nicht. PPSK funktioniert mit allen diesen Geräten, da es auf der WPA-Personal-Ebene und nicht auf der WPA-Enterprise-Ebene arbeitet. Dennoch ist PPSK kein Ersatz für 802.1X in Unternehmensumgebungen. Es ist ein anderes Werkzeug für ein anderes Problem. Wenn Sie ein Mitarbeiternetzwerk betreiben, bei dem es auf die individuelle Zurechenbarkeit ankommt, ist 802.1X die richtige Antwort. Wenn Sie ein Wohnnetzwerk betreiben, bei dem Sie eine Isolierung pro Haushalt, IoT-Unterstützung und betriebliche Einfachheit im großen Stil benötigen, ist PPSK die richtige Antwort. Sehen wir uns die Bereitstellungsmodelle an. Es gibt heute drei primäre Muster in der Produktion. Das erste ist das Cloud-Controller-Modell, das bei neuen Bereitstellungen am häufigsten verwendet wird. Ihre Access Points - ob von Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme oder Fortinet - verbinden sich mit einer Cloud-Management-Plattform. Der PPSK-Schlüsselspeicher befindet sich im Cloud-Controller. Wenn Sie einen neuen Bewohner anlegen, erstellen Sie einen Schlüssel im Portal, weisen ihn einem VLAN zu, und der Controller überträgt die Richtlinie auf jeden Access Point im Gebäude. Der Bewohner erhält seinen Schlüssel per E-Mail, SMS oder über einen QR-Code in einem Willkommenspaket und stellt die Verbindung her. Wenn er auszieht, löschen Sie den Schlüssel. Seine Geräte können sich nicht mehr verbinden. Niemand sonst ist davon betroffen. Das zweite Modell ist PPSK mit einem lokalen RADIUS-Backend. Einige Unternehmensbereitstellungen nutzen einen RADIUS-Server zur Speicherung und Validierung von PPSK-Anmeldedaten, was Ihnen eine zentrale Protokollierung, Audit Trails und die Integration in Ihre Identity-Management-Plattform ermöglicht. Dies erhöht den Infrastrukturaufwand, bietet Ihnen jedoch die Zurechenbarkeit von 802.1X bei der Gerätekompatibilität von PPSK. Das dritte Modell ist ein Hybridmodell: PPSK für Bewohner und IoT, 802.1X für Mitarbeiter und Managementsysteme. Dies ist die Architektur, die Purple für Build-to-Rent- und Mehrfamilienhaus-Bereitstellungen empfiehlt. Bewohner erhalten PPSK. Gebäudemanagementsysteme, Videoüberwachung und Zutrittskontrolle erhalten ihr eigenes IoT-VLAN mit PPSK. Die Geräte des Property-Management-Teams nutzen 802.1X mit Microsoft Entra ID oder Okta. Drei verschiedene Authentifizierungsmodelle, drei verschiedene VLANs, eine physische Infrastruktur. Kommen wir nun zur Implementierung. Beginnen Sie mit Ihrem logischen Design, bevor Sie die Hardware anfassen. Planen Sie Ihre Bewohnerzahl, Ihre IoT-Gerätekategorien sowie alle Mitarbeiter- oder Managementsysteme. Weisen Sie VLANs zu. Eine typische BTR-Bereitstellung sieht so aus: VLAN 10 bis zu der Nummer, die Ihre Anzahl an Wohneinheiten für Bewohner erfordert, ein VLAN pro Wohnung oder ein VLAN pro Etage, abhängig von Ihrer Belegungsdichte. VLAN 99 für IoT. VLAN 100 für das Gebäudemanagement. VLAN 200 für das Gäste-WiFi in den Gemeinschaftsbereichen. In einem Gebäude mit 200 Wohneinheiten müssen Sie mit 3.000 bis 5.000 Geräten rechnen, die sich zu jedem beliebigen Zeitpunkt im Netzwerk befinden. Das entspricht den 15 bis 25 Geräten pro Haushalt aus den Untersuchungen der British Property Federation. Ihre DHCP-Bereiche müssen darauf ausgelegt sein. Verwenden Sie private RFC 1918-Adressen mit ausreichenden Subnetzgrößen pro VLAN. Ein Slash-24 bietet Ihnen 254 nutzbare Adressen. Ein Slash-23 bietet Ihnen 510. Dimensionieren Sie entsprechend. Zur Hardware-Auswahl: PPSK wird auf allen gängigen Enterprise Access Point-Plattformen unterstützt. Cisco Meraki nennt es iPSK und verwaltet es über das Meraki Dashboard. HPE Aruba implementiert es nativ in ArubaOS und Aruba Central. Ruckus unterstützt es über SmartZone. Juniper Mist nutzt ePSK mit KI-gestütztem RF-Management. Ubiquiti UniFi bietet PPSK seit 2023, allerdings derzeit nur für WPA2. Aruba, Ruckus und Meraki unterstützen PPSK alle auf WPA3-Konfigurationen. Nun zu den Fallstricken. Der erste ist die SSID-Flut. Jede SSID, die Sie ausstrahlen, verbraucht Sendezeit für Beacon-Frames. Beschränken Sie sich auf maximal vier SSIDs pro Funkmodul. Nutzen Sie PPSK, um mehrere Wohneinheiten über eine einzige SSID zu bedienen, anstatt für jede Wohnung eine eigene SSID zu erstellen. Der zweite Fallstrick ist eine unzureichende Trunk-Port-Konfiguration. Sie entwerfen ein sauberes VLAN-Schema, stellen die Access Points bereit und dann bricht der Datenverkehr lautlos ab, weil jemand vergessen hat, die entsprechenden VLANs auf einer Trunk-Verbindung zuzulassen. Validieren Sie jeden Trunk-Port bei der Inbetriebnahme. Testen Sie ihn mit einem Gerät in jedem VLAN, bevor die Bewohner einziehen. Der dritte Fallstrick ist die Schlüsselverteilung. Schlüssel zu generieren ist einfach. Sie sicher an die Bewohner zu übermitteln, ist schwieriger. Ein QR-Code im Begrüßungspaket funktioniert gut für den Einzugstag. Ein Bewohnerportal ist besser für den laufenden Betrieb. Erstellen Sie den Workflow zur Schlüsselverteilung vor der Bereitstellung, nicht erst danach. Nun zu schnellen Fragen und Antworten. Wie viele PPSK-Schlüssel kann ein einzelner Access Point verarbeiten? Cisco Meraki unterstützt bis zu 5.000 iPSK-Einträge pro Netzwerk. Aruba unterstützt eine ähnliche Skalierung. Ubiquiti UniFi unterstützt bis zu 1.000 PPSK-Einträge pro Netzwerk. Für ein Gebäude mit 200 Wohneinheiten liegen Sie bei jeder Plattform weit innerhalb der Grenzen. Funktioniert PPSK mit WPA3? Ja, auf den meisten Enterprise-Plattformen. WPA3-SAE bietet einen stärkeren Schutz gegen Offline-Wörterbuchangriffe. Die Ausnahme ist UniFi, das derzeit für PPSK nur WPA2 unterstützt. Kann ich PPSK in mein Immobilienverwaltungssystem integrieren? Ja, über die API des Herstellers. Die Multi-Tenant WiFi-Plattform von Purple fungiert als Cloud-Overlay über Ihrer bestehenden Hardware und übernimmt die Schlüsselbereitstellung, VLAN-Zuweisung und das Onboarding der Bewohner über ein einziges Dashboard - mit Integrationen in Immobilienverwaltungsplattformen für automatisierte Ein- und Auszugsprozesse. Zusammenfassend lässt sich sagen: PPSK ist das richtige Authentifizierungsmodell für Multi-Tenant-Wohnumgebungen, Studentenwohnheime und IoT-intensive Implementierungen, bei denen Gerätekompatibilität wichtiger ist als zertifikatsbasierte Identität. Es bietet Netzwerkisolierung pro Haushalt, unterstützt jeden Gerätetyp und lässt sich ohne RADIUS-Infrastruktur auf Tausende von Schlüsseln skalieren. Das Hybridmodell - PPSK für Bewohner, 802.1X für Mitarbeiter - bietet Ihnen das Beste aus beiden Welten auf einem einzigen physischen Netzwerk. Die drei Dinge, die vom ersten Tag an stimmen müssen, sind: Ihr VLAN-Design, Ihr Workflow zur Schlüsselverteilung und Ihre Trunk-Port-Konfiguration. Wenn diese drei Dinge stimmen, ergibt sich der Rest von selbst. Für weitere Informationen über die Multi-Tenant WiFi Plattform von Purple und wie sie die PPSK-Bereitstellung in großem Maßstab handhabt, besuchen Sie purple dot ai. Vielen Dank fürs Zuhören.