Guía completa de iPSK para empresas

Resumen ejecutivo

La seguridad WiFi tradicional obliga a elegir entre dos opciones insuficientes. El estándar WPA2-Personal es sencillo pero no ofrece responsabilidad individual. Una sola contraseña filtrada pone en peligro a toda la red, y revocar el acceso a un único residente implica cambiar la contraseña para todo el mundo. Por otro lado, WPA2-Enterprise o WPA3-Enterprise con el estándar IEEE 802.1X ofrece control por usuario, pero impide la conectividad de videoconsolas, smart TVs y dispositivos IoT que no pueden procesar certificados digitales.

Identity Pre-Shared Key (iPSK) resuelve este dilema. Asigna una contraseña única a cada usuario o dispositivo individual en un único SSID, lo que permite la asignación dinámica de VLAN y el aislamiento de Capa 2 a través de un servidor RADIUS central. Para los operadores de Build-to-Rent (BTR), promotores inmobiliarios y propietarios de viviendas, iPSK es el estándar definitivo para la conectividad multiinquilino. Admite el 100 % de los dispositivos de los residentes, crea una Red de Área Privada para cada vivienda y escala mediante una gestión automatizada del ciclo de vida integrada con proveedores de identidad como Microsoft Entra ID, Okta o Google Workspace. Purple automatiza todo este flujo de trabajo en más de 80.000 espacios activos, integrándose con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet.

Análisis técnico detallado

El funcionamiento de Identity PSK

iPSK modifica el protocolo de enlace EAPOL de cuatro vías estándar de WPA2. Cuando un dispositivo cliente se asocia a un punto de acceso mediante una clave precompartida específica, el punto de acceso no concede el acceso de inmediato. En su lugar, envía un mensaje de solicitud RADIUS al servidor de autenticación central. Esta solicitud contiene atributos específicos del fabricante. En el caso de Cisco Meraki, se trata de los atributos Meraki-IPSK. El servidor RADIUS realiza una comprobación en su diccionario con la base de datos de iPSK configuradas. Si encuentra una coincidencia, responde con un mensaje de aceptación de acceso que contiene la contraseña y, lo que es fundamental, una asignación dinámica de VLAN a través del atributo Tunnel-Private-Group-Id.

Esta arquitectura no requiere infraestructura de certificados. El dispositivo cliente detecta una red WPA2-Personal estándar y se conecta con una contraseña. La complejidad se gestiona por completo entre el punto de acceso y el servidor RADIUS. Por este motivo, iPSK es compatible con el 100 % de los dispositivos de consumo - videoconsolas, smart TVs, impresoras inalámbricas y sensores IoT se conectan utilizando la misma experiencia sencilla de contraseña que usan en sus hogares.

Aislamiento de Capa 2 y Redes de Área Privada

En un entorno multi-inquilino, un único SSID en cientos de apartamentos es eficiente para la planificación de RF, pero genera graves riesgos de seguridad sin una segmentación adecuada. iPSK permite la creación de una Red de Área Privada (PAN) para cada residente.

Cuando un residente se autentica con su iPSK única, el servidor RADIUS asigna sus dispositivos a una VLAN específica. La infraestructura de red aplica el aislamiento de Capa 2 entre estas VLAN. El iPhone de un residente puede ver su propia impresora o Chromecast, pero el residente del apartamento de al lado no puede descubrir estos dispositivos ni interactuar con ellos. Esta microsegmentación es fundamental para el cumplimiento del GDPR y para mantener la confianza de los residentes.

Dado que cada residente tiene su propia VLAN aislada, se puede habilitar la reflexión mDNS dentro de esa VLAN específica. mDNS es el protocolo que permite AirPlay, la transmisión de Chromecast y la impresión inalámbrica. Habilitar la reflexión mDNS dentro de la VLAN privada de cada residente permite que sus propios dispositivos se comuniquen entre sí, al tiempo que permanecen completamente aislados de todos los demás residentes. El resultado es una experiencia similar a la de un hogar en una infraestructura compartida.

Implementaciones de proveedores de hardware

Todos los principales proveedores de hardware de WiFi empresarial admiten PSK por dispositivo, pero bajo diferentes nombres de producto. La siguiente tabla asocia la terminología del proveedor con la tecnología subyacente.

Purple es agnóstico respecto al hardware y proporciona una capa de gestión unificada en todas estas plataformas. No está limitado a un solo proveedor y puede migrar el hardware sin necesidad de reconstruir su infraestructura de autenticación.

Guía de implementación

La implementación de iPSK requiere la coordinación entre su infraestructura inalámbrica, su servidor RADIUS y su proveedor de identidad. Siga esta secuencia para realizar la implementación correctamente.

Paso 1 - Planifique su arquitectura de VLAN. Asigne una VLAN por unidad residencial. En una promoción de 300 unidades, necesitará 300 VLAN. El estándar 802.1Q admite 4.094 VLAN, lo que es suficiente para la mayoría de los desarrollos de BTR (Build to Rent). Para implementaciones más grandes, planifique superposiciones de VXLAN.

Paso 2 - Implemente su servidor RADIUS. Purple proporciona un servicio RADIUS alojado en la nube con un 99,999 % de tiempo de actividad. Oriente sus controladores inalámbricos hacia el punto de conexión RADIUS de Purple. Configure el secreto compartido entre sus puntos de acceso y el servidor RADIUS. Paso 3 - Configure su controlador inalámbrico. Cree un único SSID con seguridad WPA2-PSK. Habilite la opción de iPSK o PPSK específica del fabricante. Habilite la anulación de AAA para que la respuesta RADIUS pueda asignar dinámicamente VLANs. Desactive el aislamiento de clientes a nivel de SSID - el aislamiento se gestiona por VLAN.

Paso 4 - Integre su proveedor de identidad. Conecte Purple a Microsoft Entra ID, Okta o Google Workspace. Purple lee el directorio de residentes y proporciona automáticamente un iPSK único y una asignación de VLAN para cada residente.

Paso 5 - Configure el Cambio de Autorización (CoA). Configure el CoA entre Purple y sus controladores inalámbricos. Esto permite a Purple enviar un mensaje de desconexión cuando finaliza el contrato de un residente, forzando la terminación inmediata de la sesión.

Paso 6 - Habilite la reflexión mDNS por VLAN. Configure sus switches de red y controladores inalámbricos para reflejar el tráfico mDNS dentro del límite de cada VLAN. Esto permite AirPlay, Chromecast y la impresión inalámbrica dentro de cada apartamento sin que se filtre el tráfico de descubrimiento por todo el edificio.

Para obtener más información sobre el diseño de su arquitectura WiFi global, consulte nuestra guía sobre tres SSIDs para gobernarlos a todos: invitado, Passpoint, y WiFi IoT .

Prácticas recomendadas

Evite fallos en la aleatorización de direcciones MAC. Los smartphones modernos aleatorizan su dirección MAC para proteger la privacidad del usuario. Si su implementación de iPSK depende del Bypass de Dirección MAC (MAB), la aleatorización romperá la autenticación. Asegúrese de que su infraestructura utiliza una verificación iPSK moderna basada en EAPOL, donde la propia contraseña es el autenticador en lugar de la dirección MAC.

Planifique el rendimiento de RADIUS. iPSK impone una carga computacional más pesada en el servidor RADIUS que el PSK estándar debido a las comprobaciones de diccionario requeridas durante el saludo EAPOL. Utilice un servicio RADIUS de alto rendimiento alojado en la nube. La infraestructura RADIUS de Purple está diseñada para esta carga de trabajo y mantiene un tiempo de actividad del 99,999% en más de 80.000 centros.

Aborde la compatibilidad con WPA3 de forma anticipada. iPSK funciona actualmente en WPA2. Si está desplegando puntos de acceso WiFi 6E o WiFi 7 en la banda de 6 GHz, necesitará una estrategia WPA3-Enterprise independiente para esos clientes. La banda de 6 GHz exige seguridad WPA3, que actualmente no admite iPSK de la misma manera. Planifique una estrategia de doble banda: WPA2 iPSK en 2,4 GHz y 5 GHz, WPA3-Enterprise en 6 GHz.

Automatice la entrega de credenciales. No envíe contraseñas por correo electrónico en texto plano. Purple entrega las credenciales a los residentes a través de un portal seguro y personalizado o mediante la aplicación de Purple. Esto crea un registro auditable de la entrega de credenciales y garantiza que los residentes puedan gestionar por sí mismos el restablecimiento de contraseñas sin tener que ponerse en contacto con el servicio de asistencia.

Pruebe la reflexión mDNS antes de la puesta en marcha. La queja más común de los residentes tras un despliegue de iPSK es que su Chromecast o AirPlay no funciona. Pruebe la reflexión mDNS en cada VLAN durante la puesta en servicio. Utilice un portátil y un Chromecast en la misma VLAN de residente y verifique que el envío de contenido funciona antes de la entrega. For related guidance on how your WiFi network creates a first impression for residents, see how to make a great first impression with your guest WiFi .

Troubleshooting and risk mitigation

Stale sessions after key revocation. The most common failure mode in an iPSK deployment. Revoking a key in the RADIUS database prevents future connections but does not drop active sessions. Configure CoA on your wireless controllers and ensure Purple sends a CoA disconnect message on every key revocation event.

VLAN exhaustion. In very large multi-tenant deployments, you can exhaust the 4,094 VLAN limit. Mitigate this by using VXLAN overlays or by sharing VLANs between non-adjacent units where the risk of cross-contamination is negligible.

RADIUS server unavailability. If your RADIUS server goes offline, no new devices can connect. Configure RADIUS failover with a secondary server. Purple's cloud RADIUS service includes built-in redundancy and a 99.999% uptime SLA.

Key synchronisation delays. When a new resident moves in, there can be a delay between the lease being signed in the property management system and the iPSK being provisioned in RADIUS. Integrate your property management system directly with Purple's API to automate provisioning and eliminate this gap.

ROI and business impact

Eliminating per-unit consumer routers transforms the economics of multi-tenant WiFi. A typical 300-unit BTR development might spend £150-£200 per unit on consumer routers, totalling up to £60,000 in hardware that needs replacing every three to five years. Centralised enterprise access points in corridors and common areas reduce hardware costs and eliminate the operational overhead of replacing broken consumer routers in occupied apartments.

More importantly, you deliver an instant-on resident experience. Residents connect to the WiFi the moment they walk in the door, using credentials delivered securely before move-in day. This premium amenity increases tenant satisfaction and supports higher rental yields. According to property industry research, managed WiFi is now cited by residents as one of the top three amenities they expect in a BTR development.

Purple's Multi-Tenant WiFi solution isolates traffic securely and supports resident smart devices, backed by 29 billion data points collected across our global network. Our WiFi Analytics platform gives property managers visibility into network utilisation, helping you right-size your infrastructure investment and demonstrate the value of the managed WiFi amenity to investors.

Para los operadores de BTR que buscan ampliar el compromiso de los residentes más allá de la conectividad, la plataforma Guest WiFi de Purple se integra con los sistemas de gestión de propiedades para ofrecer comunicaciones segmentadas y programas de fidelización. Consulte también nuestra guía sobre cómo utilizar el SMS masivo en marketing para aumentar las visitas recurrentes para conocer tácticas prácticas sobre la retención de residentes.