Parkside plasma cutter PPSK 40 b2: comparativa de funciones y modelos de despliegue

Bienvenido al Technical Briefing de Purple. Hoy vamos a hablar de algo que los promotores inmobiliarios, los operadores de BTR y los propietarios suelen hacer mal en la fase de diseño, y que les cuesta muy caro una vez que se mudan los residentes. Hablaremos de PPSK (Private Pre-Shared Key), concretamente de la arquitectura conocida como PPSK 40 B2, que hace referencia a una longitud de clave de 40 caracteres con el perfil de despliegue B2. Compararemos los tres modelos de despliegue principales, repasaremos la arquitectura de autenticación y le daremos un marco claro para tomar la decisión correcta para su edificio. Tanto si está especificando una nueva promoción como si está adaptando una ya existente, este informe le ahorrará tiempo y dinero. Empecemos con el problema. Si gestiona un edificio multi-inquilino (un bloque build-to-rent, una residencia de estudiantes, un MDU), existe una tensión fundamental en el diseño de su red. Cada residente necesita una experiencia de WiFi privada y similar a la de su hogar. Su Chromecast necesita encontrar su teléfono. Su altavoz inteligente necesita hablar con sus bombillas. El portátil del trabajo debe permanecer fuera del mismo segmento de red que los dispositivos de su vecino. Pero usted comparte la infraestructura física. Un conjunto de puntos de acceso, un enlace ascendente, una red para todo el edificio. ¿Cómo ofrece a 200 residentes 200 redes privadas sin ejecutar 200 SSID diferentes? La respuesta es PPSK, y concretamente, la variante única por usuario que llamamos UU PPSK. Pero antes de llegar a eso, permítame guiarle a través de los tres modelos que encontrará, porque comprender las diferencias es el objetivo de esta sesión informativa. Modelo uno: PSK compartido. Una contraseña, todos en la misma red. Esto es lo que la mayoría de los edificios siguen utilizando hoy en día. Es fácil de desplegar, pero es un único punto de fallo. Si un residente publica la contraseña en un foro, se pierde el control de la red. ¿Quiere eliminar el acceso de un contratista? Tiene que cambiar la contraseña de todos. A escala, esto es sencillamente inmanejable. Y desde la perspectiva del GDPR, es una brecha de cumplimiento: no se puede atribuir la actividad de la red a un residente específico cuando cada dispositivo parece idéntico desde la perspectiva del servidor RADIUS. Modelo dos: Group PPSK. Aquí, se asigna una clave única a cada grupo de usuarios; tal vez una clave por planta o una clave por tipo de alquiler. Es mejor que una contraseña compartida, pero sigue teniendo lo que yo llamo un problema de radio de explosión. Si una clave de un grupo se ve comprometida, todo el grupo se ve afectado. Y todavía no se puede aislar a los residentes individuales entre sí en la capa de red. Group PPSK es un paso intermedio razonable para despliegues más pequeños, pero no escala. Modelo tres: UU PPSK. Clave precompartida única por usuario (Unique per-User Pre-Shared Key). Cada residente, cada grupo de dispositivos, recibe su propia clave criptográficamente única. Y esa clave se asocia a su propia VLAN - su propio segmento de red, completamente aislado de cualquier otro residente del edificio. Esta es la arquitectura que ofrece lo que yo llamo la burbuja de WiFi. Los dispositivos del Residente A pueden verse entre sí - pueden transmitir pantalla, pueden emparejarse, pueden compartir archivos, exactamente igual que lo harían en una red doméstica. Pero el Residente A no puede ver un solo dispositivo del Residente B, aunque ambos estén conectados al mismo punto de acceso, en el mismo SSID, utilizando la misma infraestructura de cable física. Ahora permítame guiarle a través del flujo de autenticación técnica, porque aquí es donde la arquitectura demuestra su valor. Cuando el dispositivo de un residente se conecta al SSID, el controlador de LAN inalámbrica intercepta el intento de conexión y reenvía la dirección MAC del dispositivo a un servidor RADIUS. El servidor RADIUS - que puede estar alojado en la nube, como el de Purple - busca esa dirección MAC en su almacén de identidades. Devuelve una respuesta Access-Accept que contiene la clave precompartida única asignada a ese residente. El controlador valida la clave que presenta el dispositivo frente a la clave devuelta. Si coinciden, el dispositivo se autentica y se ubica en la VLAN dedicada del residente. Fundamentalmente, esa respuesta de RADIUS también contiene la asignación de la VLAN. De este modo, el dispositivo no solo se autentica, sino que se coloca automáticamente en el segmento de red correcto, con la política de ancho de banda correcta y las reglas de firewall correctas, todo desde un único SSID. Sin proliferación de SSID. Sin sobrecarga de balizas (beacons). Un solo nombre de red, cientos de redes privadas aisladas debajo. Ahora, vale la pena analizar la designación PPSK 40 B2. El 40 se refiere a la longitud mínima de la clave: 40 caracteres. Esto es importante porque las claves más cortas son vulnerables a ataques de diccionario offline. Una clave de 40 caracteres generada a partir de una fuente criptográficamente aleatoria tiene un nivel de entropía que hace que los ataques de fuerza bruta sean computacionalmente inviables con el hardware actual. El perfil B2 se refiere al modelo de despliegue: PPSK respaldado por RADIUS con orquestación en la nube, a diferencia del B1, que es almacenamiento local en el controlador. B2 es el perfil que desea para cualquier despliegue de más de 50 unidades. Permítame ahora cubrir los tres modelos de despliegue en términos prácticos. El primero es el PPSK local en el controlador. Aquí, las claves únicas se almacenan directamente en el controlador inalámbrico, sin necesidad de un servidor RADIUS externo. Esto funciona bien para despliegues más pequeños - de hasta unas 200 unidades - y es el más sencillo de operar. Ubiquiti UniFi ofrece soporte nativo para esto. La limitación es la escalabilidad. La mayoría de los controladores tienen un límite de unos pocos cientos de entradas PPSK locales, y se pierde la gestión centralizada del ciclo de vida que hace que la operación de UU PPSK sea viable a escala. El segundo modelo es PPSK respaldado por RADIUS. Aquí, las claves se almacenan en un servidor RADIUS externo y el controlador consulta al servidor RADIUS para cada nueva conexión. Esto permite escalar a miles de unidades. Los costes operativos de gestión son mayores, pero la escalabilidad y las capacidades de gestión del ciclo de vida son significativamente mejores. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist - todos soportan este modelo. El tercer modelo - y el que Purple recomienda para operadores de BTR y MDU - es el de cloud RADIUS-as-a-Service. Aquí, la infraestructura de RADIUS está alojada y gestionada por Purple, y usted conecta sus puntos de acceso a ella a través de una superposición en la nube. Esto le proporciona la escalabilidad de PPSK respaldado por RADIUS sin los costes de gestión operativa de ejecutar su propio servidor RADIUS. La plataforma de Purple se sitúa sobre su hardware existente - ya sea Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet - y proporciona la capa de orquestación para el aprovisionamiento de claves, la gestión del ciclo de vida y la incorporación de residentes. Permítame presentarle dos escenarios concretos de despliegue. El primero es una promoción de 250 viviendas de Build to Rent. El promotor había especificado puntos de acceso Cisco Meraki en todo el edificio. Necesitaban que cada residente tuviera una experiencia de WiFi privada con soporte total de IoT, disponibilidad para mudarse el mismo día y la capacidad de soportar de 15 a 25 dispositivos por hogar. El hogar medio de BTR conecta ahora 18 dispositivos al WiFi - desde teléfonos y portátiles hasta altavoces inteligentes, dispositivos de streaming y electrodomésticos conectados. La arquitectura desplegada fue un único SSID en todo el edificio, con UU PPSK a través del servicio cloud RADIUS de Purple. Cada residente recibió una clave única al mudarse, entregada a través de la aplicación para residentes. La clave se asociaba a una VLAN dedicada con una subred privada, lo que proporcionaba a cada hogar un segmento de red totalmente aislado. El reenvío mDNS se habilitó dentro de cada VLAN, por lo que Chromecast, Apple TV y Sonos funcionaron perfectamente según lo previsto. El edificio comenzó a funcionar con 250 VLAN de residentes activas el primer día, con cero configuración manual de RADIUS requerida por el equipo de la instalación. El segundo escenario es un bloque de alojamiento para estudiantes de 400 camas. El reto aquí es la rotación anual de estudiantes. Cada agosto, 400 estudiantes se marchan y 400 nuevos estudiantes se mudan, a menudo en la misma semana. Con un modelo de PSK compartido, eso significa una rotación de contraseñas en todo el edificio que afecta a cada residente que regresa. Con UU PPSK, significa revocar 400 claves y aprovisionar 400 nuevas - todo automatizado a través de la integración con el sistema de gestión de estudiantes. El equipo de operaciones informó de una reducción del 70% en los tickets de soporte relacionados con WiFi en el primer trimestre, principalmente porque los problemas de emparejamiento de Chromecast y smart TV que habían plagado el despliegue anterior de PSK compartido se eliminaron por completo. Ahora permítame cubrir los errores de implementación, porque hay tres que afectan a la mayoría de los despliegues. Primer error: aleatorización de direcciones MAC. Desde iOS 14, Android 10 y Windows 11, los dispositivos utilizan direcciones MAC aleatorias por defecto por razones de privacidad. Si su servidor RADIUS realiza una búsqueda de MAC y el dispositivo presenta una dirección aleatoria, la búsqueda falla y el dispositivo no puede conectarse. La solución consiste en configurar su SSID para solicitar que los clientes utilicen su dirección MAC física permanente, o implementar un flujo de trabajo de preregistro en el que los residentes registren su dispositivo antes de conectarse. La plataforma de Purple gestiona esto automáticamente como parte del flujo de incorporación de residentes. Segundo error: aislamiento de mDNS. Por defecto, mDNS - el protocolo que utilizan Chromecast, AirPlay y Sonos para descubrir dispositivos - no cruza los límites de las VLAN. Si aísla a los residentes en VLAN independientes sin habilitar la reflexión mDNS, sus dispositivos inteligentes no funcionarán. Asegúrese de que su controlador o su superposición en la nube sea compatible con la reflexión mDNS por VLAN antes de comprometerse con la arquitectura. Tercer error: gestión del ciclo de vida de las claves. El valor operativo de UU PPSK sobre una PSK compartida depende por completo de que las claves se aprovisionen y revoquen de forma automática. La gestión manual de claves a gran escala no es viable. Integre el servicio con su sistema de gestión de propiedades o sistema de gestión de estudiantes desde el principio. Si utiliza la plataforma de Purple, esta integración está disponible de forma nativa. Tres reglas de oro antes de terminar. Regla uno: si su edificio tiene más de 50 unidades, utilice UU PPSK respaldado por RADIUS, no PPSK local del controlador. El límite de escalabilidad de PPSK local del controlador le causará problemas en los 12 meses siguientes a la puesta en marcha. Regla dos: planifique para la aleatorización de MAC desde el primer día. Incorpore un flujo de trabajo de preregistro en su proceso de incorporación de residentes. No asuma que los dispositivos presentarán su dirección MAC permanente por defecto. Regla tres: automatice el ciclo de vida de las claves. El valor operativo de UU PPSK sobre una PSK compartida depende por completo de que las claves se aprovisionen y revoquen de forma automática. Realice la integración con su sistema de gestión de propiedades desde el principio. Preguntas rápidas. ¿Funciona UU PPSK con WPA3? Sí, con matices. WPA3-SAE cambia el mecanismo de saludo. La mayoría de los controladores modernos admiten UU PPSK en modo de transición WPA2 y WPA3 para ofrecer compatibilidad con versiones anteriores. Consulte la documentación específica de su proveedor antes de especificar una implementación exclusiva de WPA3. ¿Cuántas claves únicas admite un solo SSID? Con un servidor RADIUS externo, el límite práctico es la capacidad de la base de datos de su RADIUS. El servicio RADIUS en la nube de Purple se escala hasta decenas de miles de claves simultáneas. ¿Es UU PPSK un sustituto de 802.1X? No. Para flotas de dispositivos corporativos totalmente gestionados con dispositivos registrados en MDM, 802.1X con EAP-TLS sigue siendo el estándar de referencia. UU PPSK es la opción adecuada para entornos residenciales y de uso mixto en los que no se puede garantizar que todos los dispositivos admitan la configuración del suplicante 802.1X. En resumen. PPSK 40 B2 - claves de 40 caracteres, con soporte de RADIUS y orquestado en la nube - es la arquitectura de autenticación WiFi correcta para despliegues de BTR, MDU, residencias de estudiantes y viviendas de protección social de más de 50 unidades. Ofrece aislamiento de red por residente, gestión automatizada del ciclo de vida de las claves, soporte completo para dispositivos IoT y un registro de auditoría GDPR completo, todo desde un único SSID. La plataforma Multi-Tenant WiFi de Purple despliega esta arquitectura sobre hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet, sin necesidad de realizar sustituciones completas de hardware. Si está planificando una nueva promoción o revisando un despliegue existente, el siguiente paso es una revisión de arquitectura de Purple. Evaluaremos su hardware actual, el número de residentes, sus requisitos de integración con sistemas de gestión de propiedades y le daremos una recomendación de despliegue clara. Puede encontrar más información en purple.ai. Gracias por escuchar el Purple Technical Briefing.