PPSK usm kubang kerian: comparación de funciones y modelos de despliegue

Bienvenido al Purple Technical Briefing. Hoy hablaremos de PPSK en USM Kubang Kerian: qué es, cómo se compara con las alternativas y cómo es una implementación práctica en un gran campus de ciencias de la salud. Empecemos con el contexto. El campus de ciencias de la salud de la Universiti Sains Malaysia en Kubang Kerian, Kelantan, es uno de los entornos WiFi más complejos que se pueden encontrar en el sudeste asiático. Cuenta con un hospital docente de 747 camas, múltiples escuelas de medicina y ciencias de la salud, alojamiento para estudiantes, laboratorios de investigación e instalaciones clínicas, todo en un solo campus y compartiendo la misma infraestructura de red física. La población de usuarios incluye estudiantes de medicina, personal clínico, equipos administrativos, investigadores visitantes, pacientes y sus familias. La variedad de dispositivos es aún mayor: portátiles gestionados, teléfonos personales, equipos médicos, sensores IoT, sistemas de CCTV y controladores de edificios inteligentes. La pregunta a la que tarde o temprano se enfrenta todo director de TI en un campus de este tipo es: ¿cómo ofrecer a cada uno de esos grupos de usuarios una experiencia de red segura y aislada sin implementar un SSID independiente para cada segmento? Porque si se hace eso - si se emiten ocho o diez SSIDs en un campus de esta escala - se degrada el rendimiento de WiFi para todos. Cada SSID consume tiempo de transmisión para las tramas de baliza (beacon frames). En un entorno denso, la proliferación de SSIDs destruye el rendimiento. La respuesta, cada vez más, es PPSK. Private Pre-Shared Key. Y eso es lo que vamos a desglosar hoy. ¿Qué es exactamente PPSK? Es un modelo de autenticación WiFi en el que cada usuario, cada grupo de dispositivos o cada departamento obtiene su propia clave precompartida única. Todos se conectan al mismo SSID (el mismo nombre de red), pero cada clave se asocia a una VLAN independiente. El punto de acceso gestiona la asignación de clave a VLAN de forma automática. La terminología varía según el fabricante, y eso causa una confusión real en el mercado. HPE Aruba lo llama PPSK (Private Pre-Shared Key). Cisco Meraki lo llama iPSK (Identity PSK). Juniper Mist utiliza ePSK. Ruckus lo llama DPSK (Dynamic PSK). Extreme Networks, que desarrolló el concepto bajo la marca Aerohive, lo llama Private PSK. Ubiquiti UniFi lo llama simplemente PPSK. El mecanismo subyacente es idéntico: un SSID, múltiples claves únicas, y cada clave vinculada a una VLAN o a un grupo de políticas. Ahora, comparemos PPSK con las dos alternativas sobre las que más se suele preguntar. La primera es el PSK estándar: una contraseña compartida para toda la red. Esto es lo que todavía utilizan la mayoría de las implementaciones de campus heredadas. Es sencillo de implementar, pero es un punto único de fallo. Una contraseña comprometida significa que toda la red queda expuesta. No se puede revocar el acceso de un solo usuario sin cambiar la contraseña de todos. En un campus con miles de usuarios, eso es sencillamente inviable. La segunda alternativa es 802.1X Enterprise - el estándar de oro para la autenticación de dispositivos corporativos. 802.1X utiliza un servidor RADIUS, un proveedor de identidad como Microsoft Entra ID, Okta o Google Workspace, y un suplicante en cada dispositivo. Ese suplicante es el componente de software que gestiona el intercambio de autenticación EAP. Cada ordenador portátil gestionado tiene uno. La nevera inteligente de su estudiante no lo tiene. Su sensor IoT clínico no lo tiene. El controlador de gestión de su edificio tampoco lo tiene. 802.1X es la respuesta correcta para las redes del personal y las flotas de dispositivos gestionados. Es la respuesta incorrecta para los dispositivos IoT, los dispositivos personales y el tipo de entorno de uso mixto que se encuentra en un campus de ciencias de la salud. PPSK se sitúa en un punto intermedio. Ofrece aislamiento por usuario y asignación de VLAN sin necesidad de una infraestructura de certificados ni de un suplicante en cada dispositivo. Funciona con cualquier dispositivo compatible con WiFi, incluidos los equipos médicos heredados que no admiten WPA Enterprise. Esa es su ventaja clave en un entorno sanitario y educativo. Analicemos el flujo de autenticación técnica. Cuando un dispositivo se conecta al SSID, presenta su clave precompartida durante el intercambio de cuatro vías de WPA2. El punto de acceso - o el controlador en la nube que está detrás - busca esa clave en el almacén de PPSK, identifica a qué VLAN se asigna y etiqueta el tráfico del dispositivo en consecuencia a partir de ese momento. El dispositivo ve una conexión WiFi normal. No tiene idea de que ha sido colocado en un segmento aislado. Sus aplicaciones funcionan. Sus servicios se emparejan. Todo se comporta como se espera. En un despliegue respaldado por RADIUS - que es lo que Purple recomienda para cualquier campus con más de 200 usuarios concurrentes - el controlador consulta a un servidor RADIUS externo para cada nueva conexión. El servidor RADIUS devuelve una respuesta Access-Accept que contiene tanto la validación de la clave como la asignación de la VLAN. Esto le proporciona un registro centralizado, pistas de auditoría y la capacidad de revocar el acceso de forma instantánea eliminando la clave del almacén de RADIUS. El dispositivo se desconecta en la siguiente reautenticación. No se requiere intervención manual a nivel de punto de acceso. Hablemos ahora de los modelos de despliegue, porque existen tres enfoques distintos en producción hoy en día, y la elección correcta depende del tamaño de su campus, de sus recursos de TI y de su hardware actual. El primero es PPSK local del controlador. Las claves únicas se almacenan directamente en el controlador inalámbrico, sin necesidad de un servidor RADIUS externo. Esto funciona para despliegues más pequeños - de hasta unos 200 usuarios concurrentes - y es el más sencillo de operar. Ubiquiti UniFi lo admite de forma nativa. La limitación es la escalabilidad. La mayoría de los controladores tienen un límite de unos pocos cientos de entradas PPSK locales, y se pierde la gestión centralizada del ciclo de vida que hace que PPSK sea operativamente viable a gran escala. Para un campus del tamaño de USM Kubang Kerian, este modelo no es adecuado. El segundo modelo es PPSK respaldado por RADIUS. Las claves se almacenan en un servidor RADIUS externo y el controlador consulta al servidor RADIUS para cada nueva conexión. Esto se escala a miles de usuarios. Ruckus SmartZone, HPE Aruba ClearPass y Cisco ISE admiten este modelo. Los costes operativos de gestión son mayores, pero la escalabilidad y las capacidades de gestión del ciclo de vida son significativamente mejores. Este es el modelo adecuado para una implementación en un campus grande. El tercer modelo - y el que Purple recomienda para instituciones sin una infraestructura RADIUS dedicada - es cloud RADIUS-as-a-Service. La infraestructura RADIUS se aloja y gestiona externamente, y usted conecta sus puntos de acceso a ella a través de una superposición en la nube. La plataforma de Purple se integra sobre su hardware existente - ya sea Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet - y proporciona la capa de orquestación para el aprovisionamiento de claves, la gestión del ciclo de vida y la incorporación de usuarios. El ciclo de vida de las claves está totalmente automatizado. Un estudiante se matricula, su clave se aprovisiona a través de la integración con el sistema de gestión de estudiantes. Se gradúa o se da de baja, su clave se revoca al instante. Sin intervención manual, sin brechas de seguridad. Específicamente para USM Kubang Kerian, la arquitectura recomendada es un modelo híbrido: PPSK para estudiantes, residentes y dispositivos IoT, con 802.1X para el personal clínico y los equipos administrativos que utilizan dispositivos gestionados. Tres modelos de autenticación distintos, tres segmentos de VLAN distintos, una infraestructura física. Estudiantes en la VLAN 10 hasta lo que requiera el tamaño de la cohorte. Personal clínico en 802.1X contra el proveedor de identidad de la universidad. Sistemas de gestión de edificios e IoT en una VLAN dedicada para IoT con filtrado de salida. WiFi de invitados en áreas públicas a través de un Captive Portal en una VLAN separada. Una limitación crítica a tener en cuenta antes de especificar el hardware: la implementación de PPSK de Ubiquiti UniFi es actualmente solo para WPA2. Si está desplegando puntos de acceso WiFi 6E y desea utilizar la banda de 6 gigahercios para clientes PPSK, necesita una plataforma que admita WPA3-SAE con PPSK - Aruba, Ruckus y Meraki admiten esto. La banda de 6 gigahercios es exclusiva de WPA3, por lo que cualquier despliegue de PPSK en 6 gigahercios requiere compatibilidad con WPA3-SAE. Planifique esto en su especificación de hardware antes de comprometerse con un proveedor. Permítame repasar los errores de implementación, porque estos son los modos de fallo que veo repetidamente en los despliegues de producción. El primero es la proliferación de SSID. Cada SSID que transmite consume tiempo de transmisión para las tramas de baliza (beacon frames). En un entorno de campus denso, si está transmitiendo seis u ocho SSID por punto de acceso, está degradando el rendimiento para todos. Manténgalo en un máximo de cuatro SSID por radio. Utilice PPSK para dar servicio a múltiples segmentos de usuarios desde un único SSID en lugar de crear un SSID separado por departamento o por planta. El segundo error común es una configuración insuficiente de los puertos troncales. Se diseña un esquema de VLAN limpio, se despliegan los puntos de acceso y, a continuación, el tráfico cae silenciosamente porque alguien olvidó permitir las VLAN correspondientes en un enlace troncal entre el conmutador de distribución y la capa de acceso. Valide cada puerto troncal durante la puesta en marcha. Documéntelo. Pruébelo con un dispositivo en cada VLAN antes de que los usuarios comiencen a usarlo en tiempo real. El tercer error es la aleatorización de direcciones MAC. Desde iOS 14, Android 10 y Windows 11, los dispositivos utilizan direcciones MAC aleatorias por defecto por razones de privacidad. Si su servidor RADIUS realiza una búsqueda de MAC y el dispositivo presenta una dirección aleatoria, la búsqueda falla y el dispositivo no puede conectarse. La solución consiste en configurar su SSID para solicitar que los clientes utilicen su dirección MAC de hardware permanente, o implementar un flujo de trabajo de registro previo en el que los usuarios registren su dispositivo antes de conectarse. La plataforma de Purple gestiona esto automáticamente como parte del flujo de incorporación de usuarios. El cuarto error es la distribución de claves. Generar claves es sencillo. Hacérselas llegar a los usuarios de forma segura y gestionable desde el punto de vista operativo es más difícil. Un código QR en el paquete de bienvenida funciona bien para el día de la mudanza. Un portal de autoservicio donde los usuarios puedan recuperar su clave y añadir nuevos dispositivos es mejor para las operaciones cotidianas. Diseñe el flujo de trabajo de distribución de claves antes del despliegue, no después. Ahora analicemos dos escenarios del mundo real que son directamente relevantes para un campus como USM Kubang Kerian. Escenario uno: un bloque de alojamiento para estudiantes de 400 camas. El reto es la rotación anual de estudiantes. Cada año académico, cientos de estudiantes se mudan y cientos de nuevos estudiantes ingresan, a menudo en la misma semana. Con un modelo de PSK compartido, eso significa una rotación de contraseñas en todo el edificio que afecta a cada residente que regresa. Con PPSK, significa revocar las claves del grupo saliente y aprovisionar otras nuevas para el entrante, todo automatizado a través de la integración con el sistema de gestión de estudiantes. Un operador que utilizó este modelo reportó una reducción del 70% en los tickets de soporte relacionados con WiFi en el primer trimestre, principalmente porque los problemas de emparejamiento de dispositivos que habían afectado al despliegue anterior de PSK compartido se eliminaron por completo. Escenario dos: un centro de investigación clínica con diferentes tipos de dispositivos. El reto aquí es dar soporte tanto a estaciones de trabajo clínicas gestionadas en 802.1X como a equipos médicos antiguos que no admiten WPA Enterprise. El modelo híbrido (802.1X para dispositivos gestionados, PPSK para equipos antiguos e IoT) resuelve esto sin requerir una infraestructura física independiente. Las estaciones de trabajo clínicas se autentican mediante EAP-TLS contra el proveedor de identidad de la universidad. El equipamiento antiguo obtiene una clave PPSK dedicada asignada a una VLAN restringida con filtrado de salida hacia los sistemas clínicos a los que necesita acceder, y nada más. Se mantiene la postura de seguridad. La complejidad operativa es manejable. Permítame ofrecerle tres reglas prácticas antes de pasar a las preguntas rápidas. Regla uno: si su campus o edificio tiene más de 200 usuarios concurrentes, utilice PPSK con respaldo RADIUS, no PPSK local del controlador. El límite de escalabilidad de PPSK local del controlador le causará problemas en un plazo de 12 meses tras la puesta en marcha. Regla dos: planifique la aleatorización de direcciones MAC desde el primer día. Incorpore un flujo de trabajo de preregistro en su proceso de incorporación de usuarios. No asuma que los dispositivos presentarán su dirección MAC permanente por defecto. No lo harán. Regla tres: automatice el ciclo de vida de las claves. El valor operativo de PPSK frente a una PSK compartida depende enteramente de que las claves se aprovisionen y revoquen de forma automática. La gestión manual de claves a gran escala no es viable. Intégrelo con su sistema de gestión de estudiantes o de recursos humanos desde el principio. Bien. Preguntas rápidas. Estas son las que surgen con más frecuencia. ¿Funciona PPSK con WPA3? Sí, en la mayoría de las plataformas empresariales. WPA3-SAE ofrece una protección más sólida contra ataques de diccionario sin conexión en comparación con WPA2-PSK, por lo que implementar PPSK en WPA3 cuando sus dispositivos cliente lo admitan es el enfoque correcto. La excepción es Ubiquiti UniFi, que actualmente solo admite WPA2 para PPSK. ¿Cuántas claves PPSK puede admitir un único SSID? Con un servidor RADIUS externo, el límite práctico es la capacidad de su base de datos RADIUS. Cisco Meraki admite hasta 5000 entradas de iPSK por red. El servicio RADIUS en la nube de Purple escala a decenas de miles de claves concurrentes. ¿Es PPSK un sustituto de 802.1X? No. Para flotas de dispositivos corporativos totalmente gestionados donde la responsabilidad individual y la autenticación basada en certificados son fundamentales, 802.1X sigue siendo la respuesta adecuada. PPSK es la respuesta correcta para dispositivos IoT, dispositivos personales y entornos de uso mixto donde 802.1X no es práctico. ¿Puedo integrar PPSK con mi sistema de gestión de estudiantes? Sí, a través de la API del proveedor. Aruba Central, Meraki, Ruckus y Mist exponen APIs REST para la gestión de claves PPSK. La plataforma de Purple ofrece integraciones prediseñadas que automatizan el aprovisionamiento y la revocación en función del estado de la matrícula. En resumen. PPSK es el modelo de autenticación adecuado para un campus complejo y de uso mixto como USM Kubang Kerian. Le ofrece aislamiento por usuario y asignación de VLAN sin necesidad de infraestructura de certificados en cada dispositivo. El modelo híbrido (PPSK para estudiantes e IoT, 802.1X para el personal) es la arquitectura que ofrece tanto seguridad como simplicidad operativa a escala. Automatice el ciclo de vida de las claves desde el primer día. Planifique la aleatorización de MAC. Mantenga su recuento de SSID por debajo de cuatro por radio. Y si realiza una implementación a gran escala, utilice un servicio RADIUS en la nube en lugar de gestionar la infraestructura usted mismo. Este es el informe técnico de Purple sobre PPSK para USM Kubang Kerian. Si desea profundizar en cualquiera de estos temas, la guía escrita completa está disponible en purple.ai. Gracias por escuchar.