PPSK lights: comparación de funciones y modelos de despliegue

Usted es un consultor sénior de redes que informa a un cliente con un tono seguro, conversacional y autoritario en inglés británico. Hable con claridad y a un ritmo medido, como si estuviera presentando ante una junta de directores de TI y promotores inmobiliarios. Tono: experto, directo, ocasionalmente irónico. Nunca sermoneador. Esto es una sesión informativa profesional, no una clase: Bienvenido a la sesión técnica de Purple. Hoy hablaremos de los aspectos más destacados de PPSK (es decir, la autenticación mediante clave privada previamente compartida) y, específicamente, de cómo comparar sus funciones y modelos de implementación para entornos multiinquilino y de edificios inteligentes. Si usted es un promotor inmobiliario, un operador de viviendas de alquiler de obra nueva o un arrendador que gestiona una cartera de viviendas plurifamiliares, esto le afecta directamente. Las decisiones sobre WiFi que tome en la fase de diseño definirán la experiencia de sus residentes durante la próxima década. Si lo hace bien, el WiFi se convierte en un servicio premium que permite exigir un aumento del alquiler de entre quince y treinta libras por unidad al mes, según los puntos de referencia de la British Property Federation. Si lo hace mal, tendrá que atender llamadas de soporte técnico porque Chromecast no se conecta o las bombillas inteligentes se quedan sin conexión. Empecemos con lo fundamental. [pausa media] PPSK significa clave privada previamente compartida. También se denomina iPSK en Cisco, ePSK en Cambium y Juniper Mist, y Dynamic PSK en Ruckus. La terminología varía según el proveedor. El concepto es idéntico: en lugar de una contraseña de WiFi compartida para todo un edificio o segmento de red, cada residente, cada grupo de dispositivos o cada vivienda obtiene su propia clave única. Esa única decisión arquitectónica lo cambia todo a partir de ahí. Con una configuración WPA2 estándar, una sola contraseña concede acceso a toda la red. Si un residente comparte esa contraseña o si se filtra, tendrá que cambiarla en todo el edificio. Todos los dispositivos de todos los pisos tendrán que volver a conectarse. En un edificio de doscientas viviendas con entre quince y veinticinco dispositivos por hogar, se acaban de desconectar simultáneamente entre tres mil y cinco mil dispositivos. Eso es una pesadilla para el soporte técnico. PPSK elimina ese problema por completo. Cuando un residente se muda, se revoca su clave. Nadie más se ve afectado. El siguiente residente recibe una clave nueva, provista de forma automática en el momento en que se firma el contrato de alquiler. Entran el día de la mudanza, se conectan y ya están en línea. Sin visitas de técnicos. Sin esperas de banda ancha. Eso es lo que el sector llama una experiencia de encendido instantáneo. [pausa media] Ahora, hablemos de por qué PPSK es especialmente relevante para los edificios inteligentes y la gestión de dispositivos IoT: las luces, los termostatos, las cámaras de seguridad y los altavoces inteligentes que los residentes modernos traen consigo o que los arrendadores instalan como servicios del edificio. El desafío con los dispositivos IoT es que la mayoría de ellos no pueden autenticarse mediante WPA-Enterprise, que es el estándar 802.1X que utilizan las redes corporativas. Las bombillas inteligentes, los termostatos, los sensores de puertas y los asistentes de voz no disponen de un navegador ni de un almacén de certificados. No pueden presentar credenciales a un servidor RADIUS. Por lo tanto, el método de autenticación de nivel empresarial que funciona perfectamente para los portátiles del personal simplemente no sirve para los dispositivos domésticos inteligentes. PPSK resuelve esto. Dado que en el fondo sigue siendo un mecanismo de clave precompartida, funciona con el cien por cien de los dispositivos IoT de consumo. Usted asigna una PPSK dedicada al segmento de IoT de cada unidad, la asocia a una VLAN independiente, y esos dispositivos quedan aislados tanto de los dispositivos personales del residente como de todas las demás unidades del edificio. Esta es la arquitectura que recomendamos para cualquier despliegue de BTR o MDU: tres VLAN distintas mapeadas mediante PPSK. La VLAN diez para los dispositivos personales de los residentes. La VLAN veinte para los dispositivos IoT y de hogar inteligente: luces, termostatos, cámaras, altavoces. La VLAN treinta para los invitados y visitantes del edificio, que normalmente pasa por un Captive Portal. Cada VLAN tiene sus propias reglas de firewall. Por defecto, la bombilla inteligente de un residente en la VLAN veinte no puede acceder a los dispositivos de su vecino en la VLAN diez. [medium pause] Comparemos los tres enfoques principales de autenticación. El PSK estándar es la base. Una contraseña, un segmento de red. Fácil de desplegar, pero fundamentalmente inseguro para su uso multiinquilino. Los residentes pueden ver los dispositivos de los demás. Una contraseña comprometida rompe la seguridad de todo el edificio. Es adecuado para un local pequeño de ocupación única, no para un edificio residencial. PPSK se sitúa en el término medio. Clave única por residente o grupo de dispositivos. Asignación de VLAN por clave. Compatibilidad total con IoT. No se requiere servidor RADIUS en modo local. Esta es la opción correcta para BTR, residencias de estudiantes, viviendas sociales y cualquier entorno multiinquilino donde la densidad de dispositivos IoT sea alta. El estándar 802.1X, o WPA-Enterprise, es el estándar de oro para entornos corporativos. Autenticación basada en certificados contra un servidor RADIUS, con asignación dinámica de VLAN por usuario. Es la opción más segura y la elección correcta para las redes del personal. Pero requiere una infraestructura RADIUS y, simplemente, no funciona para los dispositivos IoT. En un contexto residencial, genera fricciones para los residentes y falla por completo con los dispositivos domésticos inteligentes. La conclusión práctica: despliegue PPSK para los residentes e IoT, despliegue 802.1X para el personal de gestión del edificio y despliegue un Captive Portal en un SSID independiente para los visitantes. Usted es un consultor de redes senior que informa a un cliente con un tono seguro, conversacional y de autoridad. Hable con claridad y a un ritmo pausado. Tono: experto, directo, ocasionalmente irónico. Se trata de una sesión informativa profesional, no de una clase magistral: Pasemos ahora a analizar el panorama de los fabricantes, ya que los detalles de la implementación varían considerablemente en función del hardware de punto de acceso que esté utilizando. En Cisco Meraki, la función se denomina iPSK. Se configura en Wireless, Access Control (Control de acceso) y seleccionando PSK con RADIUS. Meraki también admite iPSK sin RADIUS en el firmware más reciente, donde la asignación de clave a VLAN se almacena localmente en el dashboard. En HPE Aruba, la función se llama PPSK, y es una de las implementaciones más maduras del mercado. ClearPass Policy Manager de Aruba gestiona el ciclo de vida de las claves, la asignación de VLAN y la integración con sistemas de gestión de propiedades. Para grandes carteras de BTR, Aruba más ClearPass es una combinación probada. En Ubiquiti UniFi, PPSK se introdujo en la versión ocho de UniFi Network y está disponible en redes WPA2. Se configura en Settings, WiFi, y activando Private Pre-Shared Keys. Cada clave se asocia a una VLAN. La limitación es que el PPSK de UniFi es solo para WPA2 y actualmente no admite la banda de seis gigahercios. Ruckus denomina a la función equivalente Dynamic PSK, y es una tecnología patentada. Cada clave se genera criptográficamente y tiene un límite de tiempo si es necesario. La implementación de Ruckus es especialmente sólida para despliegues de alta densidad, como las residencias de estudiantes. Juniper Mist y Cambium implementan la función como ePSK, con un ciclo de vida de claves y asignación de VLAN gestionados en la nube. La plataforma de Purple se sitúa como una capa superpuesta en la nube por encima de todos estos proveedores de hardware. Nos integramos con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet a través de API estándar y RADIUS. El ciclo de vida de las claves - aprovisionamiento, rotación, revocación - se gestiona de forma centralizada a través del dashboard de Purple, independientemente del hardware de punto de acceso que se utilice. Este enfoque agnóstico del hardware significa que usted no queda cautivo del ecosistema de un solo proveedor. [medium pause] Ahora, recomendaciones de implementación y los errores que se deben evitar. La primera recomendación: diseñe su arquitectura de VLAN antes de configurar nada. Planifique cada tipo de dispositivo del edificio. Dispositivos personales de los residentes, IoT y dispositivos domésticos inteligentes, sistemas de gestión del edificio, acceso de invitados. Cada categoría necesita su propia VLAN y su propio PPSK. Documente esto antes de tocar un solo punto de acceso. La segunda recomendación: automatice el ciclo de vida de las claves desde el primer día. El valor operativo de PPSK desaparece si genera y distribuye las claves manualmente. Integre su plataforma PPSK con su sistema de gestión de propiedades. Cuando se firma un contrato de alquiler, se genera una clave y se envía al residente por correo electrónico automáticamente. Cuando finaliza el contrato, la clave se revoca automáticamente. La plataforma de Purple gestiona esta integración de forma nativa. La tercera recomendación: pruebe la incorporación de dispositivos IoT antes de la puesta en marcha. Los dispositivos domésticos inteligentes tienen flujos de incorporación de WiFi notoriamente inconsistentes. Algunos utilizan Bluetooth para la configuración inicial. Otros crean un punto de acceso temporal. Pruebe cada categoría de dispositivo que pretenda admitir - bombillas inteligentes, termostatos, asistentes de voz, dispositivos de streaming - en su red PPSK antes de que se muden los residentes. Ahora, los errores comunes. El más común es la proliferación de SSID. Cada SSID adicional que se transmite consume tiempo de transmisión para las tramas de baliza (beacon frames). En un edificio denso con cientos de puntos de acceso, transmitir seis u ocho SSID por punto de acceso degrada significativamente el rendimiento. El objetivo es un máximo de tres SSID: uno para residentes con PPSK, uno para IoT con PPSK y uno para invitados con Captive Portal. PPSK le permite dar servicio a múltiples segmentos de residentes en un único SSID asignando diferentes claves a diferentes VLAN. Esa es la clave de todo. El segundo error es el aprovisionamiento insuficiente del enlace de subida a internet. Un edificio de doscientas unidades con quince dispositivos por hogar en las horas de mayor uso necesita un ancho de banda considerable. Planifique de cinco a diez megabits por segundo por hogar activo en las horas pico. Eso es un mínimo de un gigabit por segundo de ancho de banda garantizado para un edificio totalmente ocupado. Una línea dedicada con capacidad de ráfaga es el producto adecuado. El tercer error es descuidar la red de retorno (backhaul) por cable. La segmentación PPSK en la capa inalámbrica no sirve de nada si su infraestructura de red por cable colapsa todas las VLAN en un único dominio de transmisión. Cada punto de acceso necesita un puerto troncal que transporte todas las VLAN como tráfico etiquetado. Su switch principal necesita enrutamiento inter-VLAN con una política de firewall explícita. Audite las configuraciones de sus switches después de cada cambio. [medium pause] Preguntas rápidas. ¿Necesito un servidor RADIUS para implementar PPSK? No necesariamente. La mayoría de los puntos de acceso modernos admiten PPSK local, donde el mapeo de clave a VLAN se almacena en el controlador o en el panel de control en la nube. Se requiere RADIUS para el iPSK de Meraki en algunas configuraciones y para la integración con ClearPass de Aruba. Para despliegues más pequeños, el PPSK local es más sencillo. Para grandes carteras con miles de claves, un RADIUS en la nube o una plataforma gestionada como Purple es el enfoque correcto. ¿Pueden los residentes cambiar su propio PPSK? Sí, si configura el autoservicio. El portal de residentes de Purple permite a los residentes regenerar su clave, añadir nuevos dispositivos y gestionar su propio segmento de red sin tener que ponerse en contacto con la administración del edificio. Esto reduce drásticamente el volumen de tickets de soporte. ¿Cumple PPSK con el GDPR? PPSK en sí es un mecanismo de autenticación de red, no una herramienta de recopilación de datos. El cumplimiento del GDPR depende de lo que haga con los registros de conexión. Conserve únicamente lo que necesite para la seguridad y las operaciones. Seis meses es un límite común para los registros de WiFi residenciales. La plataforma de Purple almacena los datos en regiones seleccionables y proporciona pistas de auditoría para la revisión regulatoria. ¿Qué pasa con WPA3? Actualmente, PPSK es un mecanismo WPA2 en la mayoría de las plataformas. El protocolo SAE de WPA3 no admite de forma nativa la asignación de VLAN por clave de la misma manera. El sector está trabajando en equivalentes compatibles con WPA3, pero para los despliegues residenciales de producción actuales, WPA2 PPSK es el estándar. La implementación de UniFi, por ejemplo, indica explícitamente que es solo para WPA2 en el caso de PPSK. [medium pause] Para resumir. PPSK es el modelo de autenticación adecuado para cualquier despliegue de WiFi multi-inquilino en el que se necesite aislamiento por residente, soporte para dispositivos IoT y simplicidad operativa a escala. Se sitúa entre el PSK estándar y la autenticación empresarial 802.1X completa - más seguro y más gestionable que una contraseña compartida, más amigable con IoT y con menor carga de infraestructura que un despliegue completo de RADIUS. Las tres conclusiones clave: Primero, diseñe su arquitectura de VLAN antes de configurar nada. Tres VLAN como mínimo: residentes, IoT, invitados. Segundo, automatice el ciclo de vida de las claves. La gestión manual de claves no es escalable más allá de veinte unidades. Tercero, elija una plataforma agnóstica de hardware. Su proveedor de puntos de acceso cambiará a lo largo de la vida útil del edificio. Su capa de gestión de claves y experiencia de los residentes no debería hacerlo. Si desea profundizar más, los recursos de WiFi multi-inquilino de Purple en purple.ai cubren la arquitectura de despliegue completa, la integración con sistemas de gestión de propiedades y el caso comercial de WiFi como un servicio gestionado. También hay una guía detallada sobre PPSK específicamente para UniFi si esa es su plataforma de hardware. Gracias por escuchar. Hasta la próxima.