Uu PPSK pdf: comparación de características y modelos de despliegue

Te damos la bienvenida al informe técnico de Purple. Hoy analizaremos PPSK - Private Pre-Shared Key WiFi - qué es, cómo se compara con las alternativas y dónde tiene sentido implantarlo en una propiedad residencial o comercial de varios inquilinos. Empecemos con el problema que resuelve. En una red estándar WPA2 Personal, todos los dispositivos comparten la misma contraseña. Eso está bien para una casa. Sin embargo, es un riesgo para una promoción de alquiler de 200 viviendas, una residencia de estudiantes o un hotel con 300 habitaciones. Cuando un residente se marcha, o bien se cambia la contraseña para todos (afectando a la televisión inteligente, el termostato y la consola de videojuegos de todos los demás residentes en el proceso) o bien se mantiene el acceso del antiguo residente. Ninguna de las dos opciones es aceptable. PPSK soluciona esto proporcionando a cada residente, piso o grupo de dispositivos su propia clave WiFi exclusiva. Todos se conectan al mismo SSID (el mismo nombre de red) pero cada clave se asocia a una VLAN independiente. El piso 12 está en la VLAN 10. El piso 13 está en la VLAN 20. Los dispositivos IoT están en la VLAN 99. El punto de acceso gestiona la asignación de clave a VLAN automáticamente. No se requiere servidor RADIUS para el modelo básico. Sin infraestructura de certificados. Sin suplicante 802.1X en el dispositivo. Hablemos ahora de la terminología, ya que varía según el fabricante y eso genera una verdadera confusión en el mercado. Aruba lo llama PPSK (Private Pre-Shared Key). Cisco Meraki lo denomina iPSK (Identity PSK) o Personal Private Network. Juniper Mist utiliza ePSK. Extreme Networks, que desarrolló originalmente el concepto bajo la marca Aerohive, lo llama Private PSK. Ubiquiti UniFi lo llama simplemente PPSK. Cambium también utiliza ePSK. El mecanismo subyacente es idéntico en todos ellos: un SSID, múltiples claves exclusivas, cada clave vinculada a una VLAN o a un grupo de políticas. Técnicamente, esto es lo que ocurre en la capa de asociación. Cuando un dispositivo se conecta, presenta su clave precompartida durante el intercambio de cuatro vías de WPA2. El punto de acceso (o el controlador en la nube que está detrás) busca esa clave en el almacén de PPSK, identifica a qué VLAN está asociada y etiqueta el tráfico del dispositivo en consecuencia a partir de ese momento. El dispositivo ve una conexión WiFi normal. No tiene ni idea de que se le ha asignado un segmento aislado. Su Chromecast funciona. Su altavoz inteligente se empareja. Su consola obtiene el tipo de NAT correcto. Todo se comporta como una red doméstica, porque desde la perspectiva del dispositivo, lo es. Esta es la diferencia clave con respecto a 802.1X, que es el estándar empresarial para redes de personal y entornos corporativos. 802.1X requiere un servidor RADIUS, un proveedor de identidad (Microsoft Entra ID, Okta o Google Workspace) y un suplicante en cada dispositivo. Ese suplicante es el componente de software que gestiona el intercambio de autenticación EAP. Cada portátil gestionado, cada teléfono de empresa, tiene uno. La nevera inteligente de tu residente no lo tiene. El controlador de climatización de tu edificio no lo tiene. Tus sensores de IoT no lo tienen. PPSK funciona con todos ellos porque opera en la capa WPA Personal, no en la capa WPA Enterprise. Dicho esto, PPSK no es un sustituto de 802.1X en entornos corporativos. Es una herramienta diferente para un problema diferente. Si gestiona una red de personal donde la responsabilidad individual es importante - donde necesita saber que una persona específica se autenticó a una hora específica y necesita revocar su acceso en el momento en que deja la organización - 802.1X es la respuesta correcta. Si gestiona una red residencial donde necesita aislamiento por vivienda, soporte para IoT y simplicidad operativa a escala, PPSK es la respuesta correcta. Analicemos los tres modelos de despliegue principales en producción hoy en día. El primero es el modelo de controlador en la nube, que es el más común para nuevos despliegues. Sus puntos de acceso - ya sean Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet - se conectan a una plataforma de gestión en la nube. El almacén de claves PPSK reside en el controlador de la nube. Cuando registra a un nuevo residente, crea una clave en el portal, la asigna a una VLAN y el controlador aplica la política a cada punto de acceso del edificio. El residente recibe su clave - a través de correo electrónico, SMS o un código QR en un paquete de bienvenida - y se conecta. Cuando se muda, usted elimina la clave. Sus dispositivos dejan de conectarse. Nadie más se ve afectado. El segundo modelo de despliegue es PPSK con un backend RADIUS local. Algunos despliegues empresariales utilizan un servidor RADIUS para almacenar y validar las credenciales PPSK, lo que proporciona un registro centralizado, pistas de auditoría e integración con su plataforma de gestión de identidades. Esto añade costes de infraestructura, pero ofrece la responsabilidad de 802.1X con la compatibilidad de dispositivos de PPSK. Es el modelo adecuado para entornos mixtos - por ejemplo, un espacio de coworking donde tiene tanto dispositivos corporativos gestionados como equipos IoT propiedad de los miembros. El tercer modelo es híbrido: PPSK para residentes e IoT, 802.1X para el personal y los sistemas de gestión. Esta es la arquitectura que Purple recomienda para promociones de build-to-rent y comunidades de vecinos. Los residentes obtienen PPSK. Los sistemas de gestión del edificio, CCTV y control de acceso obtienen su propia VLAN de IoT con PPSK. Los dispositivos del equipo de gestión de la propiedad utilizan 802.1X contra Microsoft Entra ID o Okta. Tres modelos de autenticación distintos, tres VLAN distintas, una infraestructura física. Ahora pasemos a la implementación. Si está desplegando PPSK para una promoción de build-to-rent o una comunidad de vecinos, este es el orden que funciona. Comience con su diseño lógico antes de tocar el hardware. Planifique su número de residentes, sus categorías de dispositivos IoT y cualquier sistema de personal o gestión. Asigne las VLAN. Un despliegue BTR típico tiene este aspecto: de la VLAN 10 en adelante según requiera el número de viviendas para los residentes - una VLAN por piso o una VLAN por planta en función de la densidad. VLAN 99 para IoT. VLAN 100 para la gestión del edificio. VLAN 200 para WiFi de invitados en las zonas comunes. A continuación, documente su esquema de direccionamiento IP. En un edificio de 200 viviendas, la red albergará entre tres mil y cinco mil dispositivos en cualquier momento dado. Esta cifra se basa en los 15 a 25 dispositivos por hogar según los estudios de la British Property Federation. Sus rangos DHCP deben poder dar cabida a esa cantidad. Utilice direccionamiento privado RFC 1918 con tamaños de subred adecuados por VLAN. Una barra 24 le ofrece 254 direcciones útiles. Una barra 23 le proporciona 510. Dimensione según corresponda. En cuanto a la selección de hardware: PPSK es compatible con las principales plataformas de puntos de acceso empresariales. Cisco Meraki lo denomina iPSK y lo gestiona a través del panel de Meraki con políticas de claves por SSID. HPE Aruba lo implementa de forma nativa en ArubaOS y Aruba Central. Ruckus lo admite a través de SmartZone y la plataforma Ruckus Cloud. Juniper Mist utiliza ePSK con gestión de RF basada en IA. Ubiquiti UniFi ofrece PPSK desde 2023, aunque tenga en cuenta que actualmente solo funciona con WPA2 y no será compatible con la banda de 6 gigahercios. Cambium y Extreme lo admiten en sus respectivas plataformas en la nube. Una limitación crítica a tener en cuenta: la implementación de PPSK en UniFi es solo para WPA2. Si está prescribiendo puntos de acceso WiFi 6E y desea utilizar la banda de 6 gigahercios para clientes PPSK, necesitará una plataforma compatible con WPA3-SAE con PPSK, o bien tendrá que restringir los clientes PPSK a las bandas de 2.4 y 5 gigahercios. Aruba, Ruckus y Meraki admiten PPSK en configuraciones WPA3. Pasemos a hablar de los errores comunes. Estos son los patrones de fallo que detecto continuamente en entornos de producción. El primero es la proliferación de SSID. Cada SSID que se emite consume tiempo de transmisión para las tramas de baliza (beacon frames). En un edificio residencial denso, si emite seis u ocho SSID por punto de acceso, estará reduciendo el rendimiento para todos los usuarios. Mantenga un máximo de cuatro SSID por radio. Utilice PPSK para dar servicio a múltiples segmentos de residentes desde un único SSID en lugar de crear un SSID independiente por piso o por planta. El segundo error es una configuración insuficiente de los puertos troncales. Puede diseñar un esquema de VLAN impecable e implementar los puntos de acceso, pero el tráfico se perderá silenciosamente si alguien olvida permitir las VLAN correspondientes en un enlace troncal entre el conmutador de distribución y la capa de acceso. Valide cada puerto troncal durante la puesta en marcha. Documente el proceso. Pruébelo con un dispositivo en cada VLAN antes de que los residentes se muden. El tercer error es la distribución de claves. Generar claves es sencillo. Entregarlas a los residentes de forma segura y operativamente viable resulta más complejo. Un código QR en el paquete de bienvenida funciona muy bien para el día de la mudanza. Un portal del residente donde puedan recuperar su clave y añadir nuevos dispositivos es una solución superior para la operativa diaria. Diseñe el flujo de trabajo para la distribución de claves antes de la implementación, no después. Por último, pasemos a una sección rápida de preguntas y respuestas sobre las dudas más habituales. ¿Cuántas claves PPSK puede gestionar un único punto de acceso? La mayoría de las plataformas empresariales admiten miles de claves por SSID. Cisco Meraki admite hasta 5000 entradas iPSK por red. Aruba admite una escala similar. Ubiquiti UniFi admite hasta 1000 entradas PPSK por red. Para un edificio de 200 viviendas, está muy dentro de los límites en cualquier plataforma. ¿Funciona PPSK con WPA3? Sí, en la mayoría de las plataformas empresariales. WPA3-SAE proporciona una protección más sólida contra los ataques de diccionario fuera de línea en comparación con WPA2-PSK, por lo que desplegar PPSK en WPA3 cuando sus dispositivos cliente lo admitan es el enfoque correcto. La excepción es UniFi, que actualmente solo admite WPA2 para PPSK. ¿Puedo integrar PPSK con mi sistema de gestión de propiedades? Sí, a través de la API del proveedor. Aruba Central, Meraki, Ruckus y Mist exponen APIs REST para la gestión de claves PPSK. La plataforma Multi-Tenant WiFi de Purple se asienta sobre estas APIs y proporciona una capa de gestión única en todos los proveedores de hardware, con webhooks para activar el aprovisionamiento y la revocación de claves desde su sistema de gestión de propiedades de forma automática. ¿Qué pasa con el GDPR? Las claves PPSK son credenciales, no datos personales en sí mismos. Sin embargo, si vincula una clave a un residente identificado - algo que hará por razones operativas - ese vínculo se considera un dato personal según el UK GDPR. Almacénelo de forma segura, consérvelo solo el tiempo necesario y asegúrese de que su acuerdo de procesamiento de datos con su proveedor de plataforma WiFi cubra esto. Purple cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials. Cerremos con las conclusiones clave. Primero: PPSK es el modelo de autenticación adecuado para entornos residenciales multi-inquilino. Le ofrece aislamiento por hogar, compatibilidad con IoT y una simplicidad operativa que PSK estándar y 802.1X no pueden igualar de forma simultánea. Segundo: la terminología varía según el proveedor - PPSK, iPSK, ePSK, Personal Private Network - pero el mecanismo es el mismo. No permita que la confusión con los nombres retrase su decisión de compra. Tercero: diseñe su esquema de VLAN antes de tocar el hardware. El diseño lógico es la parte difícil. El despliegue físico se deriva de él. Cuarto: mantenga su recuento de SSID por debajo de cuatro por radio. Utilice PPSK para consolidar segmentos en un único SSID en lugar de proliferar nombres de red. Quinto: cree su flujo de trabajo de distribución de claves antes de la puesta en marcha. El día de la mudanza no es el momento de descubrir que su proceso de incorporación tiene lagunas. Si desea profundizar en alguno de estos aspectos - selección de hardware, diseño de VLAN para una propiedad específica o integración de PPSK con su sistema de gestión de propiedades - el equipo de Purple Multi-Tenant WiFi puede guiarle en el proceso. Encontrará la guía escrita completa y los diagramas de arquitectura en purple.ai. Gracias por escucharnos.