Kepanjangan iPSK: una guía completa para empresas

Te damos la bienvenida a la serie de informes técnicos de Purple. Hoy analizaremos iPSK (Identity Pre-Shared Key): qué significa realmente, cómo funciona a nivel interno y por qué es importante si eres promotor inmobiliario, propietario o gestor de BTR y despliegas WiFi en un edificio multi-inquilino. [medium pause] Empecemos por lo básico. iPSK significa Identity Pre-Shared Key. El término completo en los mercados de habla indonesia y malaya es "kepanjangan iPSK", que simplemente significa "abreviatura de iPSK" o "lo que significa iPSK". Si has llegado a esta guía buscando esa frase, estás en el lugar correcto. Vamos a cubrir todo el panorama: la tecnología, la arquitectura y las decisiones prácticas de despliegue que debes tomar este trimestre. [medium pause] Así que, ¿qué es iPSK y por qué existe? Las redes WiFi tradicionales utilizan una única clave previamente compartida: una contraseña para todos los usuarios del mismo SSID. Esto funciona bien en un hogar, pero se desmorona en el momento en que tienes cientos de viviendas compartiendo la misma infraestructura. Si un residente comparte la contraseña con alguien que no debería tenerla, hay que restablecer la contraseña de todos y cada uno de los residentes del edificio. Esto es un dolor de cabeza a nivel operativo y desconecta simultáneamente todos los dispositivos inteligentes, Chromecast y altavoces inteligentes del edificio. iPSK soluciona este problema asignando una contraseña WiFi única a cada residente - o a cada vivienda - mientras se mantiene a todos en un único SSID. El punto de acceso intercepta el intento de conexión, envía la dirección MAC del dispositivo a un servidor RADIUS y el servidor RADIUS responde con la frase de contraseña correcta para ese dispositivo específico. A continuación, el punto de acceso utiliza esa frase de contraseña para completar el protocolo de enlace WPA2. Desde la perspectiva del residente, solo ha introducido su contraseña WiFi. Desde la perspectiva de la red, ha sido autenticado, aislado y asignado a su propio segmento de red privada. [medium pause] Hablemos de la terminología de los proveedores, ya que suele confundir a la gente. Cisco Meraki lo llama WPN - Wi-Fi Personal Network. HPE Aruba lo llama PPSK - Private Pre-Shared Key. Ruckus utiliza el término DPSK - Dynamic Pre-Shared Key. Juniper Mist lo admite de forma nativa. El concepto subyacente es idéntico en las cuatro plataformas. La solución Multi-Tenant WiFi de Purple se ejecuta como una capa en la nube sobre todas ellas: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. No necesitas reemplazar tu hardware para desplegar iPSK. [medium pause] Pasemos ahora a la arquitectura. Hay tres componentes en un despliegue de iPSK. En primer lugar, los puntos de acceso: este es tu hardware físico, cualquiera que sea el que tengas instalado. En segundo lugar, un servidor RADIUS: este es el motor de autenticación que contiene el mapeo entre las direcciones MAC y las frases de contraseña. En tercer lugar, una capa de gestión: algo que aprovisiona las claves en el momento del traslado, las revoca en el momento de la salida y gestiona el autoservicio para los residentes que necesitan añadir un nuevo dispositivo. Purple proporciona el segundo y tercer componente como un servicio en la nube. Actuamos como la capa de RADIUS-as-a-Service y proporcionamos el portal orientado al residente para la gestión de claves. Usted aporta los puntos de acceso. [medium pause] Cuando un residente conecta un nuevo dispositivo, esto es lo que ocurre en secuencia. El dispositivo envía una solicitud de asociación al SSID. El punto de acceso reenvía la dirección MAC del dispositivo al servidor RADIUS de Purple. Purple busca la dirección MAC, encuentra la contraseña asignada al residente y la devuelve como un Cisco AV-pair en la respuesta Access-Accept de RADIUS. El punto de acceso utiliza esa contraseña para completar el saludo de cuatro vías de WPA2. El dispositivo está conectado. Todo el proceso tarda menos de doscientos milisegundos. Si la dirección MAC del dispositivo no está en el sistema - por ejemplo, un dispositivo nuevo que el residente aún no ha registrado - el servidor RADIUS devuelve un Access-Reject. El dispositivo no puede conectarse hasta que el residente lo registre a través del portal de autoservicio. [medium pause] Esto nos lleva a la asignación de VLAN. Una de las funciones más potentes de iPSK con RADIUS es el etiquetado dinámico de VLAN. El servidor RADIUS no solo devuelve la contraseña - también puede devolver un VLAN ID en la misma respuesta. Esto significa que el tráfico de cada residente aterriza en su propia VLAN de forma automática, sin necesidad de configurar manualmente los switches. El tráfico del residente A va a la VLAN 101. El tráfico del residente B va a la VLAN 102. La red de gestión del edificio se encuentra en la VLAN 10. Los dispositivos IoT - cerraduras inteligentes, termostatos, sensores - se pueden ubicar en una VLAN de IoT dedicada con acceso restringido a internet y sin movimiento lateral hacia los segmentos de los residentes. Esta es la arquitectura que hace que iPSK sea verdaderamente de nivel empresarial, en lugar de una simple función de conveniencia. Veamos un escenario de despliegue real. Una promoción de 200 viviendas Build to Rent en Mánchester. El promotor especificó puntos de acceso Cisco Meraki - uno por apartamento, más unidades en los pasillos para el roaming. Purple se desplegó como la capa de RADIUS y gestión. Al mudarse, cada residente recibe un código QR por correo electrónico. Lo escanean y todos sus dispositivos se conectan automáticamente. Sin llamadas al servicio de asistencia de TI. Sin hojas de contraseñas. La clave del residente está vinculada a su registro de alquiler en el sistema de gestión inmobiliaria. Cuando se mudan, la clave se revoca en el panel de control de Purple. Sus dispositivos dejan de conectarse. Ningún otro residente se ve afectado. El resultado: los tickets de soporte relacionados con el WiFi disminuyeron en más de un 60% en comparación con el edificio anterior que gestionaba el promotor, el cual utilizaba un modelo de contraseña compartida. La activación del WiFi el día de la mudanza pasó de ser un proceso de dos horas a durar menos de cinco minutos por residente. [medium pause] Segundo escenario. Un complejo de alojamiento para estudiantes de 450 camas diseñado específicamente para este fin. El reto aquí es la densidad: de quince a veinticinco dispositivos por habitación y una semana de mudanza en septiembre en la que llegan trescientos estudiantes simultáneamente. Con un modelo tradicional de contraseña compartida, el servicio de soporte se ve desbordado. Con iPSK, cada estudiante recibe su clave durante el proceso de incorporación previo a la llegada. Llegan, escanean el código QR y ya están conectados. El servidor RADIUS gestiona la carga de autenticación de forma automática. La infraestructura de Purple funciona con un 99,999% de tiempo de actividad; ese es el SLA que publicamos y respaldamos. [medium pause] Ahora, los errores de implementación. Hay tres que surgen repetidamente. Primero: la aleatorización de direcciones MAC. Los dispositivos iOS y Android modernos aleatorizan su dirección MAC por defecto al buscar redes. Esto rompe las búsquedas RADIUS basadas en MAC porque el dispositivo presenta una MAC diferente cada vez que realiza un sondeo. La solución es utilizar direcciones MAC estables por red; tanto iOS 14 como Android 10 lo admiten. Debe comunicar esto a los residentes durante la incorporación. El portal para residentes de Purple gestiona esto con instrucciones claras. Segundo: la incorporación de dispositivos IoT. Los dispositivos domésticos inteligentes (termostatos, cerraduras inteligentes, concentradores Zigbee) a menudo no pueden mostrar un código QR o introducir una contraseña a través de un flujo estándar. La solución es un SSID de IoT dedicado con un grupo de iPSK independiente, o un flujo de aprovisionamiento en el que el residente registra la dirección MAC del dispositivo a través del portal antes de conectarlo. Purple admite ambos enfoques. Tercero: la disponibilidad del servidor RADIUS. Si su servidor RADIUS se cae, las conexiones de nuevos dispositivos fallan. Los dispositivos ya conectados permanecen conectados porque la sesión WPA2 ya está establecida, pero las nuevas asociaciones no se completarán. Es por eso que el RADIUS-as-a-Service de Purple se ejecuta en una infraestructura redundante con esa garantía de tiempo de actividad del 99,999%. No ejecute iPSK en un único servidor RADIUS local sin un sistema de failover. [medium pause] Cerremos con el caso de negocio, porque esto es lo que en última instancia importa a un promotor inmobiliario o propietario. El servicio de WiFi como servicio de valor añadido conlleva una prima de alquiler medible en el sector BTR. Las investigaciones de la British Property Federation sitúan esta cifra entre quince y treinta libras por unidad al mes. En un edificio de 200 unidades, eso supone entre treinta y seis mil y setenta y dos mil libras de ingresos anuales adicionales. Los periodos de desocupación son más cortos cuando el WiFi de mudanza está listo desde el primer día; normalmente entre cinco y diez días más cortos por desocupación, según los puntos de referencia del sector. Y el coste de implementar iPSK como una superposición de software en el hardware existente es significativamente menor que los contratos de banda ancha por unidad, que normalmente capturan el valor para el ISP en lugar de para el operador. El caso operativo es igualmente sólido. Una clave por residente significa una sola revocación en el momento de la mudanza. Sin restablecimientos de contraseñas para todo el edificio. Sin tickets de soporte de residentes cuyo Chromecast dejó de funcionar porque el dispositivo de otra persona está en la misma subred. La red se comporta como una red doméstica privada para cada residente, mientras que el operador lo gestiona todo desde un único panel en la nube. [medium pause] Preguntas rápidas antes de terminar. ¿Funciona iPSK con WPA3? Todavía no en la implementación estándar; WPA3 utiliza SAE, lo que cambia el mecanismo de saludo (handshake). La mayoría de los fabricantes están trabajando en iPSK compatible con WPA3, pero a mediados de 2025, WPA2 es el estándar listo para producción para despliegues de iPSK. ¿Puedo ejecutar iPSK sin un servidor RADIUS? Cisco Meraki admite hasta 5000 iPSK sin RADIUS en el firmware MR 30.1 y versiones superiores. Para despliegues más pequeños, esto es viable. Para cualquier cosa que supere el centenar de unidades, RADIUS le ofrece la automatización, la asignación de VLAN y la gestión del ciclo de vida que necesita. ¿Cuántas claves puede admitir un despliegue de iPSK basado en RADIUS? Prácticamente ilimitadas: el límite es la base de datos de su servidor RADIUS, no el protocolo. Purple ha desplegado iPSK en edificios con más de mil unidades sin problemas de rendimiento. [medium pause] En resumen. iPSK - Identity Pre-Shared Key - proporciona a cada residente una credencial de WiFi única en un SSID compartido. El servidor RADIUS gestiona la autenticación, la entrega de la frase de contraseña y la asignación de VLAN en un solo viaje de ida y vuelta. Purple proporciona la capa de RADIUS-as-a-Service y el portal de gestión de residentes, que se ejecuta en hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet. Si está planificando un despliegue de BTR, alojamiento para estudiantes o MDU y desea ver cómo se adapta iPSK a su edificio específico, hable con el equipo de Purple. Hemos desplegado esto en más de 80.000 establecimientos y 350 millones de usuarios únicos. Sabemos lo que funciona. Gracias por escuchar.