Uu PPSK pdf: Comparing Features and Deployment Models

Willkommen zum Purple Technical Briefing. Heute befassen wir uns mit PPSK - Private Pre-Shared Key WiFi - was es ist, wie es im Vergleich zu den Alternativen abschneidet und wo der Einsatz in einer Wohn- oder Gewerbeimmobilie mit mehreren Parteien tatsächlich sinnvoll ist. Beginnen wir mit dem Problem, das es löst. In einem Standard-WPA2-Personal-Netzwerk nutzt jedes Gerät dasselbe Passwort. Für ein Zuhause ist das völlig in Ordnung. Für ein Build-to-Rent-Objekt mit 200 Einheiten, ein Studentenwohnheim oder ein Hotel mit 300 Zimmern ist es ein Sicherheitsrisiko. Wenn ein Bewohner auszieht, müssen Sie entweder das Passwort für alle Beteiligten ändern - wodurch der Smart-TV, das Thermostat und die Spielekonsole jedes anderen Bewohners die Verbindung verlieren - oder Sie lassen dem ehemaligen Bewohner den Zugriff. Keine der beiden Optionen ist akzeptabel. PPSK löst dieses Problem, indem jeder Bewohner, jede Wohnung oder jede Gerätegruppe einen eigenen, eindeutigen WiFi-Schlüssel erhält. Alle verbinden sich mit derselben SSID - demselben Netzwerknamen -, aber jeder Schlüssel wird einem separaten VLAN zugewiesen. Wohnung 12 befindet sich im VLAN 10. Wohnung 13 im VLAN 20. Die IoT-Geräte im VLAN 99. Der Access Point übernimmt die Zuordnung von Schlüssel zu VLAN automatisch. Für das Basismodell ist kein RADIUS-Server erforderlich. Keine Zertifikatsinfrastruktur. Kein 802.1X-Supplicant auf dem Gerät. Sprechen wir nun über die Terminologie, da diese je nach Hersteller variiert und auf dem Markt für echte Verwirrung sorgt. Aruba nennt es PPSK - Private Pre-Shared Key. Cisco Meraki bezeichnet es als iPSK - Identity PSK oder Personal Private Network. Juniper Mist verwendet ePSK. Extreme Networks, die das Konzept ursprünglich unter der Marke Aerohive entwickelt haben, nennen es Private PSK. Ubiquiti UniFi nennt es schlicht PPSK. Cambium nutzt ebenfalls ePSK. Der zugrundeliegende Mechanismus ist bei allen identisch: eine SSID, mehrere eindeutige Schlüssel, wobei jeder Schlüssel an ein VLAN oder eine Richtliniengruppe gebunden ist. Technisch gesehen passiert auf der Kopplungsebene Folgendes: Wenn sich ein Gerät verbindet, präsentiert es seinen Pre-Shared Key während des WPA2-Vier-Wege-Handshakes. Der Access Point - oder der dahinter liegende Cloud-Controller - sucht diesen Schlüssel im PPSK-Speicher, ermittelt, welchem VLAN er zugeordnet ist, und kennzeichnet den Datenverkehr des Geräts ab diesem Zeitpunkt entsprechend. Das Gerät sieht eine ganz normale WiFi-Verbindung. Es hat keine Ahnung, dass es in einem isolierten Segment platziert wurde. Sein Chromecast funktioniert. Der Smart Speaker lässt sich koppeln. Die Konsole erhält den richtigen NAT-Typ. Alles verhält sich wie in einem Heimnetzwerk - denn aus der Perspektive des Geräts ist es genau das. Dies ist der entscheidende Unterschied zu 802.1X, dem Enterprise-Standard für Mitarbeiternetzwerke und Unternehmensumgebungen. 802.1X erfordert einen RADIUS-Server, einen Identity Provider - wie Microsoft Entra ID, Okta oder Google Workspace - und einen Supplicant auf jedem Gerät. Dieser Supplicant ist die Softwarekomponente, die den EAP-Authentifizierungsaustausch abwickelt. Jedes verwaltete Notebook und jedes Firmenhandy verfügt über einen solchen. Der intelligente Kühlschrank Ihres Bewohners hat keinen. Die HLK-Steuerung Ihres Gebäudes hat keinen. Ihre IoT-Sensoren haben keinen. PPSK funktioniert mit all diesen Geräten, da es auf der WPA-Personal-Ebene und nicht auf der WPA-Enterprise-Ebene ansetzt. PPSK ist jedoch kein Ersatz für 802.1X in Unternehmensumgebungen. Es ist ein anderes Werkzeug für ein anderes Problem. Wenn Sie ein Mitarbeiternetzwerk betreiben, bei dem es auf die individuelle Verantwortlichkeit ankommt - bei dem Sie wissen müssen, dass sich eine bestimmte Person zu einem bestimmten Zeitpunkt authentifiziert hat, und bei dem Sie deren Zugriff sofort sperren müssen, wenn sie das Unternehmen verlässt - ist 802.1X die richtige Wahl. Wenn Sie ein Wohnnetzwerk betreiben, bei dem Sie eine Isolierung pro Haushalt, IoT-Unterstützung und betriebliche Einfachheit in großem Maßstab benötigen, ist PPSK die richtige Wahl. Sehen wir uns die drei wichtigsten Bereitstellungsmodelle an, die heute in der Praxis eingesetzt werden. Das erste ist das Cloud-Controller-Modell, das bei neuen Bereitstellungen am häufigsten verwendet wird. Ihre Access Points - ob Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks oder Fortinet - verbinden sich mit einer Cloud-Management-Plattform. Der PPSK-Schlüsselspeicher befindet sich im Cloud-Controller. Wenn Sie einen neuen Bewohner anlegen, erstellen Sie im Portal einen Schlüssel, weisen ihn einem VLAN zu, und der Controller überträgt die Richtlinie an jeden Access Point im Gebäude. Der Bewohner erhält seinen Schlüssel - per E-Mail, SMS oder QR-Code in einem Willkommenspaket - und verbindet sich. Wenn er auszieht, löschen Sie den Schlüssel. Seine Geräte verbinden sich nicht mehr. Niemand sonst ist davon betroffen. Das zweite Bereitstellungsmodell ist PPSK mit einem lokalen RADIUS-Backend. Einige Unternehmensbereitstellungen nutzen einen RADIUS-Server zur Speicherung und Validierung von PPSK-Anmeldedaten, was Ihnen eine zentrale Protokollierung, Audit-Trails und die Integration in Ihre Identitätsmanagement-Plattform ermöglicht. Dies erhöht zwar den Aufwand für die Infrastruktur, bietet Ihnen aber die Verantwortlichkeit von 802.1X bei der Gerätekompatibilität von PPSK. Es ist das richtige Modell für gemischte Umgebungen - beispielsweise einen Coworking-Space, in dem Sie sowohl verwaltete Unternehmensgeräte als auch im Besitz von Mitgliedern befindliche IoT-Geräte haben. Das dritte Modell ist hybrid: PPSK für Bewohner und IoT, 802.1X für Mitarbeiter und Managementsysteme. Dies ist die Architektur, die Purple für Build-to-Rent- und Mehrfamilienhaus-Bereitstellungen empfiehlt. Bewohner erhalten PPSK. Gebäudemanagementsysteme, Videoüberwachung und Zutrittskontrolle erhalten ihr eigenes IoT-VLAN mit PPSK. Die Geräte des Hausverwaltungsteams nutzen 802.1X in Verbindung mit Microsoft Entra ID oder Okta. Drei unterschiedliche Authentifizierungsmodelle, drei unterschiedliche VLANs, eine physische Infrastruktur. Kommen wir nun zur Implementierung. Wenn Sie PPSK für ein Build-to-Rent-Objekt oder ein Mehrfamilienhaus bereitstellen, ist dies die Abfolge, die funktioniert. Beginnen Sie mit Ihrem logischen Design, bevor Sie die Hardware anfassen. Planen Sie Ihre Bewohnerzahl, Ihre IoT-Gerätekategorien und alle Mitarbeiter- oder Managementsysteme. Weisen Sie VLANs zu. Eine typische BTR-Bereitstellung sieht so aus: VLANs 10 bis zu der Nummer, die Ihre Wohneinheitenanzahl für Bewohner erfordert - ein VLAN pro Wohnung oder ein VLAN pro Etage, je nach Dichte. VLAN 99 für IoT. VLAN 100 für das Gebäudemanagement. VLAN 200 für das Gäste-WiFi in den Gemeinschaftsbereichen. Dokumentieren Sie anschließend Ihr IP-Adressierungsschema. In einem Gebäude mit 200 Einheiten müssen Sie mit 3.000 bis 5.000 Geräten rechnen, die sich zu jedem beliebigen Zeitpunkt im Netzwerk befinden. Das entspricht dem Wert von 15 bis 25 Geräten pro Haushalt laut einer Untersuchung der British Property Federation. Ihre DHCP-Bereiche müssen darauf ausgelegt sein. Verwenden Sie private RFC 1918-Adressierungen mit ausreichenden Subnetzgrößen pro VLAN. Ein Slash-24-Netz bietet Ihnen 254 nutzbare Adressen. Ein Slash-23-Netz bietet Ihnen 510. Dimensionieren Sie entsprechend. Zur Hardware-Auswahl: PPSK wird auf allen gängigen Enterprise-Access-Point-Plattformen unterstützt. Cisco Meraki nennt es iPSK und verwaltet es über das Meraki Dashboard mit Key-Richtlinien pro SSID. HPE Aruba implementiert es nativ in ArubaOS und Aruba Central. Ruckus unterstützt es über SmartZone und die Ruckus Cloud-Plattform. Juniper Mist nutzt ePSK mit KI-gesteuertem RF-Management. Ubiquiti UniFi bietet PPSK seit 2023, allerdings ist zu beachten, dass dies derzeit nur mit WPA2 funktioniert und nicht im 6-GHz-Band läuft. Cambium und Extreme unterstützen es jeweils über ihre entsprechenden Cloud-Plattformen. Eine wichtige Einschränkung sei hervorgehoben: Die PPSK-Implementierung von UniFi ist auf WPA2 beschränkt. Wenn Sie WiFi 6E Access Points spezifizieren und das 6-GHz-Band für PPSK-Clients nutzen möchten, benötigen Sie eine Plattform, die WPA3-SAE mit PPSK unterstützt, oder Sie müssen PPSK-Clients auf die 2,4- und 5-GHz-Bänder beschränken. Aruba, Ruckus und Meraki unterstützen PPSK in WPA3-Konfigurationen. Lassen Sie uns nun über die Fallstricke sprechen. Dies sind die Fehlerbilder, die ich im Live-Betrieb immer wieder sehe. Der erste Fehler ist die unkontrollierte SSID-Verbreitung. Jede von Ihnen ausgestrahlte SSID verbraucht Sendezeit für Beacon-Frames. Wenn Sie in einem dicht besiedelten Wohngebäude sechs oder acht SSIDs pro Access Point ausstrahlen, beeinträchtigen Sie die Leistung für alle. Beschränken Sie sich auf maximal vier SSIDs pro Funkmodul. Nutzen Sie PPSK, um mehrere Segmente von Bewohnern über eine einzige SSID zu bedienen, anstatt eine separate SSID pro Wohnung oder Etage zu erstellen. Der zweite Fallstrick ist eine unzureichende Trunk-Port-Konfiguration. Sie entwerfen ein sauberes VLAN-Schema, stellen die Access Points bereit und dann geht Datenverkehr unbemerkt verloren, weil jemand vergessen hat, die entsprechenden VLANs auf einer Trunk-Verbindung zwischen dem Distribution-Switch und dem Access-Layer freizugeben. Validieren Sie jeden Trunk-Port bei der Inbetriebnahme. Dokumentieren Sie es. Testen Sie es mit einem Gerät in jedem VLAN, bevor die Bewohner einziehen. Der dritte Fallstrick ist die Schlüsselverteilung. Schlüssel zu generieren ist einfach. Sie den Bewohnern auf eine Weise zukommen zu lassen, die sowohl sicher als auch operativ handhabbar ist, ist schwieriger. Ein QR-Code im Begrüßungspaket funktioniert gut für den Einzugstag. Ein Bewohner-Portal, über das sie ihren Schlüssel abrufen und neue Geräte hinzufügen können, ist besser für den laufenden Betrieb. Erstellen Sie den Workflow für die Schlüsselverteilung vor der Bereitstellung, nicht danach. Kommen wir nun zu einer schnellen Fragerunde zu den Themen, die am häufigsten aufkommen. Wie viele PPSK-Schlüssel kann ein einzelner Access Point verarbeiten? Die meisten Enterprise-Plattformen unterstützen Tausende von Schlüsseln pro SSID. Cisco Meraki unterstützt bis zu 5.000 iPSK-Einträge pro Netzwerk. Aruba unterstützt eine ähnliche Größenordnung. Ubiquiti UniFi unterstützt bis zu 1.000 PPSK-Einträge pro Netzwerk. Für ein Gebäude mit 200 Einheiten liegen Sie auf jeder Plattform weit innerhalb der Grenzen. Funktioniert PPSK mit WPA3? Ja, auf den meisten Enterprise-Plattformen. WPA3-SAE bietet im Vergleich zu WPA2-PSK einen stärkeren Schutz gegen Offline-Wörterbuchangriffe. Daher ist die Bereitstellung von PPSK auf WPA3, sofern Ihre Client-Geräte dies unterstützen, der richtige Ansatz. Die Ausnahme ist UniFi, das für PPSK derzeit nur WPA2 unterstützt. Kann ich PPSK in mein Immobilienverwaltungssystem integrieren? Ja, über die API des Herstellers. Aruba Central, Meraki, Ruckus und Mist bieten alle REST APIs für das PPSK-Schlüsselmanagement. Die Multi-Tenant-WiFi-Plattform von Purple setzt auf diesen APIs auf und bietet eine einheitliche Verwaltungsebene über alle Hardware-Hersteller hinweg, mit Webhooks zur automatischen Bereitstellung und zum Entzug von Schlüsseln über Ihr Immobilienverwaltungssystem. Wie steht es mit der GDPR? PPSK-Schlüssel sind Zugangsdaten, an sich keine personenbezogenen Daten. Wenn Sie jedoch einen Schlüssel mit einem namentlich genannten Bewohner verknüpfen - was Sie aus betrieblichen Gründen tun werden -, ist diese Verknüpfung ein personenbezogenes Datum gemäß UK GDPR. Speichern Sie diese sicher, bewahren Sie sie nur so lange wie nötig auf und stellen Sie sicher, dass Ihre Auftragsverarbeitungsvereinbarung mit Ihrem WiFi-Plattformanbieter dies abdeckt. Purple ist ISO 27001 zertifiziert, GDPR-konform und Cyber Essentials zertifiziert. Lassen Sie uns mit den wichtigsten Erkenntnissen schließen. Erstens: PPSK ist das richtige Authentifizierungsmodell für Multi-Tenant-Wohnumgebungen. Es bietet Ihnen eine Isolierung pro Haushalt, IoT-Kompatibilität und eine betriebliche Einfachheit, die Standard-PSK und 802.1X nicht gleichzeitig erreichen können. Zweitens: Die Terminologie variiert je nach Hersteller - PPSK, iPSK, ePSK, Personal Private Network - aber der Mechanismus ist derselbe. Lassen Sie sich bei Ihrer Beschaffungsentscheidung nicht von der Namensverwirrung aufhalten. Drittens: Entwerfen Sie Ihr VLAN-Schema, bevor Sie die Hardware anfassen. Das logische Design ist der schwierige Teil. Die physische Bereitstellung ergibt sich daraus. Viertens: Halten Sie Ihre SSID-Anzahl unter vier pro Funkmodul. Nutzen Sie PPSK, um Segmente auf einer einzigen SSID zu konsolidieren, anstatt die Anzahl der Netzwerknamen in die Höhe zu treiben. Fünftens: Erstellen Sie Ihren Workflow für die Schlüsselverteilung vor dem Go-Live. Der Einzugstag ist nicht der richtige Zeitpunkt, um festzustellen, dass Ihr Onboarding-Prozess Lücken aufweist. Wenn Sie tiefer in eines dieser Themen einsteigen möchten - Hardwareauswahl, VLAN-Design für eine bestimmte Immobilie oder die Integration von PPSK in Ihr Immobilienverwaltungssystem - hilft Ihnen das Purple Multi-Tenant-WiFi-Team gerne weiter. Den vollständigen schriftlichen Leitfaden und Architekturdiagramme finden Sie unter purple.ai. Vielen Dank fürs Zuhören.