Cisco iPSK: una guía completa para empresas

Te damos la bienvenida a la serie de sesiones técnicas de Purple. Hoy hablaremos de Cisco iPSK - Identity Pre-Shared Key - y de por qué se ha convertido en el modelo de seguridad WiFi de referencia para promotores inmobiliarios, operadores de BTR, hoteles y empresas de retail con múltiples sedes.\n\nPermíteme empezar con el problema. Gestionas una promoción de Build-to-Rent de 200 viviendas. Quieres que cada residente tenga una conexión WiFi segura y privada desde el primer día. No quieres poner un router en cada piso. No quieres gestionar 200 redes independientes. Y, por supuesto, no quieres que un residente pueda ver la smart TV de otro vecino en la red.\n\nEl WPA2-PSK estándar - el modelo de contraseña compartida - falla de inmediato. Una contraseña para todo el edificio significa que una brecha de seguridad afecta a todos. Y no puedes revocar el acceso de un solo residente sin cambiar la contraseña de los 200 restantes.\n\nWPA3-Enterprise con 802.1X es el otro extremo. Muy seguro. Pero requiere certificados o credenciales de usuario y contraseña para cada dispositivo. Los termostatos inteligentes, las videoconsolas y los dispositivos Amazon Alexa de tus residentes sencillamente no pueden conectarse a una red 802.1X. No tienen suplicante. Estarías recibiendo llamadas de soporte todos los días.\n\nCisco iPSK se sitúa exactamente en el medio. Cada residente recibe su propia clave precompartida exclusiva. Para el residente, el aspecto y la experiencia son exactamente los de una contraseña WiFi doméstica. La introducen una vez y todos sus dispositivos se conectan. Entre bastidores, sin embargo, el Cisco Wireless LAN Controller envía una solicitud RADIUS a Cisco ISE - el Identity Services Engine - que contiene la dirección MAC del cliente. ISE busca esa MAC, encuentra el perfil de autorización correspondiente y devuelve la PSK correcta a través de un atributo Cisco AV-pair. A continuación, el controlador valida la conexión utilizando esa clave individual.\n\nEl resultado: un único SSID para todo el edificio, pero cada residente queda aislado en su propio segmento de red privado. La anulación de VLAN a través de RADIUS significa que el residente A entra en la VLAN 101, el residente B en la VLAN 102, y los dispositivos IoT del edificio - sensores de puertas, CCTV, contadores inteligentes - se sitúan en una VLAN completamente independiente, sin contaminación cruzada.\n\nAhora permíteme guiarte a través de la arquitectura con más detalle, porque aquí es donde reside el verdadero potencial.\n\nEl flujo de autenticación tiene cuatro pasos. En primer lugar, el dispositivo cliente envía una solicitud de asociación al punto de acceso. En segundo lugar, el Cisco Wireless LAN Controller - ya sea un Catalyst 9800 o una red gestionada desde el panel de Cisco Meraki - envía un RADIUS Access-Request a ISE, que contiene la dirección MAC del cliente como nombre de usuario y contraseña. En tercer lugar, ISE evalúa su política de autorización. Asocia la dirección MAC con un grupo de identidad de extremo, recupera la PSK asignada y devuelve una respuesta Access-Accept que contiene dos atributos Cisco AV-pair: psk-mode equivale a ascii, y psk equivale a la frase de contraseña real. En cuarto lugar, el controlador utiliza esa frase de contraseña devuelta para completar el saludo de cuatro vías EAPOL de WPA2 con el cliente.\n\nDesde la perspectiva del cliente, esto es indistinguible deen una conexión WPA2-PSK estándar. La complejidad reside por completo en el lado del servidor. Esa es la elegancia de iPSK.\n\nEn el Catalyst 9800, la configuración requiere cuatro elementos. Se habilita el filtrado MAC en la WLAN. Se configura una lista de métodos de autorización AAA que apunte a su grupo de servidores ISE. Se habilita la anulación de AAA en el perfil de política. Y se establece una PSK predeterminada en la WLAN - este es solo un valor de marcador de posición; ningún dispositivo lo utiliza realmente, ya que ISE siempre lo anula con la clave individual.\n\nEn Cisco Meraki, el proceso es ligeramente diferente. Se selecciona Identity PSK con RADIUS en los ajustes de control de acceso. Meraki admite dos modos: basado en MAC, donde ISE almacena las asignaciones de MAC a PSK, y Easy PSK, introducido en el firmware MR 30.x, que utiliza atributos EAPOL específicos del proveedor para pasar la PSK directamente sin registrar previamente cada dirección MAC. Easy PSK es especialmente útil cuando se gestiona la aleatorización de direcciones MAC en dispositivos iOS 14 y Android 10 - un quebradero de cabeza operativo importante en el modelo basado en MAC.\n\nPermítame presentarle dos escenarios del mundo real para concretar esto.\n\nEscenario uno: una promoción inmobiliaria Build-to-Rent de 350 viviendas. El operador quiere que los residentes reciban sus credenciales de WiFi antes del día de la mudanza. La plataforma Multi-Tenant WiFi de Purple se integra con el sistema de gestión inmobiliaria. Cuando se firma un contrato de arrendamiento, el PMS activa una llamada API a Purple, que genera una iPSK única y la aprovisiona en ISE. El residente recibe su clave por correo electrónico. Al llegar el primer día, conecta todos sus dispositivos y la red ya está activa. Cuando se muda, la clave se revoca automáticamente. Cero intervención manual por parte del equipo de mantenimiento. El operador redujo las llamadas de soporte relacionadas con WiFi en más de un 60 por ciento en comparación con su modelo de contraseña compartida anterior.\n\nEscenario dos: un hotel de 180 habitaciones. El hotel quería eliminar el inicio de sesión del Captive Portal del que los huéspedes se quejaban continuamente. Con iPSK, cada habitación obtiene una clave única impresa en la tarjeta de la llave o enviada a través del correo electrónico de confirmación de la reserva. Los huéspedes se conectan una vez. Su teléfono, tableta y portátil se conectan automáticamente en las siguientes visitas dentro de la misma estancia. Los dispositivos IoT de la habitación - televisión inteligente, Chromecast, tableta de la habitación - se sitúan en una VLAN independiente, aislada del tráfico de los huéspedes. La integración con el PMS del hotel permite que las claves se generen al realizar el registro de entrada y se revoquen al realizar el registro de salida sin ningún paso manual en la recepción.\n\nAhora, unas palabras sobre las limitaciones - ya que ninguna tecnología carece de ellas.\n\nLa limitación más importante con Cisco iPSK hoy en día es WPA3 y la banda de 6 GHz. WPA3 utiliza la autenticación simultánea de iguales - SAE -, un saludo de conexión más seguro que WPA2-PSK. Actualmente, SAE no admite múltiples claves precompartidas por SSID de la misma forma que lo hace WPA2. No se trata de una limitación específica de Cisco. Afecta a MPSK de HPE Aruba, DPSK de Ruckus, PPSK de Juniper Mist - todos los proveedores se enfrentan a la misma limitación porque radica en el propio estándar IEEE 802.11.\n\nLa implicación práctica: si está desplegando puntos de acceso WiFi 6E o WiFi 7s points y desea utilizar la banda de 6 GHz, no podrá ejecutar iPSK en ella. La banda de 6 GHz exige WPA3. Sus opciones son ejecutar iPSK en las bandas de 2.4 y 5 GHz mientras utiliza WPA3-Enterprise en la de 6 GHz para los dispositivos gestionados, o esperar a que evolucione el estándar.\n\nEl segundo reto operativo es la aleatorización de direcciones MAC. Apple iOS 10 y Android 10 introdujeron las direcciones MAC aleatorias por red como una función de privacidad. En un despliegue de iPSK basado en MAC, el controlador envía la MAC aleatoria a ISE. ISE no la reconoce y la autenticación falla. El modo Easy PSK de Cisco Meraki resuelve esto en gran medida al realizar la autenticación mediante parámetros EAPOL en lugar de mediante la búsqueda de MAC.\n\nPermítame ofrecerle cinco reglas prácticas antes de terminar.\n\nRegla uno: si tiene más de 50 dispositivos o usuarios en un único SSID y necesita un control de acceso por dispositivo, iPSK es casi con total seguridad el modelo adecuado. El PSK estándar no puede escalar y 802.1X afectará al funcionamiento de sus dispositivos IoT.\n\nRegla dos: planifique siempre su arquitectura de VLAN antes de configurar iPSK. La ventaja de iPSK es la anulación de VLAN a través de RADIUS. Si no ha diseñado sus VLAN - residentes, IoT, personal, gestión - tendrá que adaptarlas más adelante con un coste significativo.\n\nRegla tres: si utiliza Cisco Meraki y tiene clientes iOS o Android, use el modo Easy PSK, no el modo basado en MAC. La aleatorización de MAC provocará fallos de autenticación a gran escala.\n\nRegla cuatro: no despliegue iPSK sin una capa de gestión del ciclo de vida. Gestionar manualmente miles de claves en ISE no es sostenible. Intégrelo con su proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - o utilice una plataforma como Purple que automatice el aprovisionamiento y la revocación a través de su sistema de gestión de propiedades o de RR. HH.\n\nRegla cinco: planifique su migración a WPA3 ahora, incluso si no va a desplegar 6 GHz hoy mismo. Diseñe su red de modo que iPSK en WPA2 gestione los dispositivos heredados e IoT, mientras que WPA3-Enterprise gestione los puntos finales corporativos administrados. Un diseño de SSID híbrido hoy evitará una reestructuración dolorosa en 18 meses.\n\nPreguntas rápidas ahora.\n\n¿Puede funcionar iPSK sin Cisco ISE? Sí. Tanto FreeRADIUS como Microsoft NPS admiten el atributo Tunnel-Password que requiere iPSK. ISE es la opción con más funciones, pero no es obligatoria.\n\n¿Cuántas claves únicas puede admitir un único SSID? En el Catalyst 9800 con ISE, el límite es prácticamente la capacidad de su base de datos RADIUS: decenas de miles de entradas. En Cisco Meraki sin RADIUS, el límite es de 50 claves. Con RADIUS, escala al mismo nivel que ISE.\n\n¿Admite iPSK el roaming rápido? Sí. El Catalyst 9800 admite Fast Secure Roaming con iPSK, y el almacenamiento en caché de claves significa que el controlador no necesita consultar a RADIUS en cada evento de roaming.\n\n¿Cumple iPSK con PCI-DSS? iPSK por sí mismo no garantiza el cumplimiento de PCI-DSS, pero respalda los requisitos de segmentación de red de PCI-DSS 4.0. Los entornos con datos de titulares de tarjetas deben estar aislados de las redes de invitados y de IoT; la capacidad de anulación de VLAN de iPSK es el mecanismo que logra esta segmentacióntion.\n\nEn resumen. Cisco iPSK le ofrece una identidad por dispositivo en un único SSID, sin la complejidad de los certificados 802.1X y sin los fallos de seguridad de una contraseña compartida. Es el modelo adecuado para Build-to-Rent, hoteles, retail y cualquier entorno multiinquilino en el que necesite aislar el tráfico, automatizar el ciclo de vida del acceso y admitir cualquier tipo de dispositivo, desde una consola de videojuegos hasta un sensor IoT industrial.\n\nLas decisiones clave son: Catalyst 9800 o Meraki, ISE o una alternativa de RADIUS, basado en MAC o Easy PSK, y cómo se integra con su proveedor de identidad para la automatización del ciclo de vida.\n\nLa plataforma Multi-Tenant WiFi de Purple se encarga de este último aspecto - conectar su sistema de gestión de propiedades o proveedor de identidad a su infraestructura Cisco, automatizando el aprovisionamiento y la revocación de claves a escala, en más de 80.000 establecimientos activos y sumando.\n\nSi desea profundizar en cualquiera de estos puntos - revisión de arquitectura, configuración de ISE o un despliegue piloto -, el enlace para hablar con nuestro equipo está en la guía. Gracias por su atención.