PPSK xaverius: comparación de características y modelos de implementación

Usted es un consultor senior de redes que informa a un cliente con un tono seguro, conversacional y autoritario. Hable con claridad, a un ritmo pausado, como si estuviera en una reunión individual con el cliente. No es una conferencia, es un informe. Cálido pero directo. Bienvenido a la sesión informativa técnica de Purple. Hoy vamos a tratar PPSK xaverius - autenticación mediante clave privada previamente compartida (Private Pre-Shared Key): qué es, cómo se compara con las alternativas y, específicamente, qué significa para los promotores inmobiliarios, propietarios y operadores de Build to Rent que necesitan ofrecer WiFi de calidad empresarial en edificios de varios inquilinos. [pausa media] Empecemos por el problema. Si gestiona una promoción Build to Rent de 150 viviendas, un bloque de alojamiento para estudiantes o una cartera de unidades polivalentes, tiene un problema de WiFi que la mayoría de las guías de TI no abordan directamente. No está gestionando una oficina corporativa. No está gestionando un hotel. Está gestionando algo intermedio: un edificio lleno de hogares, cada uno de los cuales espera la misma experiencia de internet privada y fiable que obtendría de un router de banda ancha doméstico. Y tiene que ofrecer eso desde una infraestructura compartida, a escala, sin un equipo de soporte que atienda llamadas cada vez que el Chromecast de alguien deja de funcionar. [pausa corta] Ese es el vacío que llena PPSK. Y entenderlo correctamente - la arquitectura, los modelos de despliegue, las diferencias entre proveedores - es lo que separa a una red que funciona de otra que genera quejas. [pausa media] Entonces, ¿qué es PPSK? Private Pre-Shared Key es un método de autenticación WiFi en el que cada residente, cada piso o cada grupo de dispositivos recibe una clave criptográfica única. Todos se conectan al mismo SSID - el mismo nombre de red visible en su teléfono - pero cada clave se asocia a una VLAN independiente. El piso doce está en la VLAN diez. El piso trece está en la VLAN veinte. Los dispositivos IoT están en la VLAN noventa y nueve. El punto de acceso gestiona la asignación de clave a VLAN de forma automática. [pausa corta] Ahora bien, la terminología varía según el proveedor, y esto provoca una verdadera confusión en el mercado. HPE Aruba lo llama MPSK - Multi Pre-Shared Key. Cisco Meraki lo llama iPSK - Identity PSK. Juniper Mist utiliza ePSK. Ruckus lo llama DPSK - Dynamic PSK. Extreme Networks lo llama Private PSK. Ubiquiti UniFi lo llama simplemente PPSK. El mecanismo subyacente es idéntico en todos ellos: un SSID, múltiples claves únicas, cada clave vinculada a una VLAN o a un grupo de políticas. El término PPSK xaverius se refiere a esta categoría más amplia de autenticación de clave privada por usuario, independientemente de la implementación del proveedor que esté desplegando. [pausa media] Hablemos del mecanismo técnico, porque entender esto es lo que le permite tomar las decisiones de arquitectura correctas. [pausa corta] Cuando un dispositivo se conecta a una red habilitada para PPSK, presenta su clave precompartida durante el saludo de cuatro vías de WPA2. El punto de acceso busca esa clave en el almacén de PPSK (ya sea localmente en el controlador o a través de un servidor RADIUS), identifica a qué VLAN se asigna y etiqueta el tráfico del dispositivo en consecuencia. El dispositivo ve una conexión WiFi normal. No tiene idea de que ha sido ubicado en un segmento aislado. Su Chromecast funciona. Su altavoz inteligente se empareja. Todo se comporta como una red doméstica. [short pause] Esta es la diferencia clave con 802.1X, que es el estándar de IEEE para redes de personal corporativo. 802.1X requiere un servidor RADIUS, un proveedor de identidad (Microsoft Entra ID, Okta o Google Workspace) y un suplicante en cada dispositivo. Cada ordenador portátil gestionado tiene uno. La nevera inteligente de su residente no lo tiene. El controlador de climatización de su edificio tampoco. PPSK funciona con todos ellos porque opera en la capa WPA Personal, no en la capa WPA Enterprise. [medium pause] Ahora comparemos los tres modelos de autenticación que encontrará en una decisión de despliegue multiinquilino. [short pause] La PSK estándar (el modelo de contraseña compartida) es por donde empiezan la mayoría de los edificios y de lo que la mayoría se arrepiente. Una contraseña, cada dispositivo, cada residente. Cuando un residente se muda, o bien cambia la contraseña para todos (rompiendo la conexión del televisor inteligente, el termostato y la consola de todos los demás residentes en el proceso) o bien deja al antiguo residente con acceso. Ninguna de las dos opciones es aceptable a escala. La PSK estándar tampoco proporciona aislamiento de VLAN. Cada dispositivo de la red puede ver a todos los demás dispositivos. Eso es una violación de la privacidad a punto de ocurrir en un edificio residencial. [short pause] PPSK se sitúa en el medio. Le ofrece aislamiento por residente, compatibilidad con IoT y gestión automatizada del ciclo de vida de las claves. No requiere una infraestructura de certificados. No requiere un suplicante en cada dispositivo. Para una promoción de alquiler residencial (BTR) de 200 viviendas, es la arquitectura correcta. [short pause] 802.1X es la respuesta correcta para la red de su personal, los sistemas de gestión de su edificio y cualquier entorno donde se requiera responsabilidad individual y seguridad basada en certificados. No es la respuesta correcta para el WiFi de los residentes, porque excluye los dispositivos IoT que sus residentes poseen realmente. [medium pause] La recomendación práctica es una arquitectura híbrida: PPSK para residentes e IoT, 802.1X para personal y sistemas de gestión. Tres modelos de autenticación distintos, tres VLAN distintas, una sola infraestructura física. Esta es la arquitectura que Purple recomienda y despliega en sus más de 80.000 sedes activas. Usted es un consultor de redes sénior que continúa una sesión informativa con un cliente con un tono seguro, conversacional y autoritario. Hable con claridad, a un ritmo pausado. Cálido pero directo: Ahora entremos en los modelos de despliegue, porque aquí es donde se toman las decisiones reales. [short pause] Modelo uno: PPSK de controlador en la nube. Sus puntos de acceso se conectan a una plataforma de gestión en la nube. El almacén de claves PPSK reside en el controlador en la nube. Al dar de alta a un nuevo residente, se crea una clave en el portal, se asigna a una VLAN y el controlador envía la política a cada punto de acceso del edificio. El residente recibe su clave por correo electrónico o mediante un código QR en un paquete de bienvenida. Cuando se muda, se elimina la clave. Sus dispositivos dejan de conectarse. Nadie más se ve afectado. Este es el modelo más sencillo desde el punto de vista operativo y el que recomendamos para la mayoría de los despliegues de BTR y MDU. [short pause] Modelo dos: PPSK respaldado por RADIUS. El punto de acceso reenvía la clave a un servidor RADIUS, que la valida contra un directorio y devuelve la asignación de VLAN. Esto añade sobrecarga de infraestructura, pero proporciona un registro centralizado, pistas de auditoría e integración con su plataforma de gestión de identidades. Le ofrece la trazabilidad de 802.1X con la compatibilidad de dispositivos de PPSK. Para despliegues que superen las 500 unidades, o para operadores con infraestructura RADIUS existente, este es el modelo adecuado. [short pause] Modelo tres: híbrido. PPSK para residentes e IoT, 802.1X para el personal y los sistemas de gestión. Esta es la arquitectura para carteras de BTR a gran escala y operadores de alojamiento para estudiantes a medida que necesitan tanto la sencillez residencial como la seguridad de nivel corporativo para sus propios sistemas. [medium pause] Veamos dos escenarios de despliegue en el mundo real. [short pause] Escenario uno: una promoción de Build to Rent de 180 unidades. El operador desplegó puntos de acceso HPE Aruba con la superposición en la nube de Purple. Cada piso recibió una clave única generada al firmar el contrato de alquiler. La clave se envió por correo electrónico al residente con un código QR. Lo escanearon y todos sus dispositivos se conectaron. Cuando un residente se mudó, el administrador de la propiedad eliminó la clave en el portal de Purple. Cero problemas de rotación de contraseñas. El operador informó de una reducción del 50% en los tickets de soporte relacionados con WiFi en los primeros seis meses. La red gestionó entre 15 y 25 dispositivos por hogar sin degradación. [short pause] Escenario dos: un bloque de alojamiento para estudiantes de 400 camas. El operador utilizó puntos de acceso Ruckus, desplegando DPSK con una clave por habitación. Las claves se generaron previamente y se incluyeron en el paquete de bienvenida. Los estudiantes escanearon el código QR el día de llegada y se conectaron en cuestión de segundos. La red soportó la oleada de mudanzas (la llegada de los 400 estudiantes en un plazo de 48 horas) sin degradación. El operador integró el aprovisionamiento de claves con su sistema de gestión de propiedades a través de una API, de modo que las claves se generaban automáticamente cuando se confirmaban las asignaciones de habitaciones. [medium pause] Hablemos ahora de los errores habituales, porque hay cuatro que atrapan a los operadores una y otra vez. [short pause] Primer error: proliferación de SSID. Cada SSID que transmite consume tiempo de emisión para las tramas de baliza (beacon frames). Mantenga un máximo de tres SSIDs por radio. Utilice PPSK para dar servicio a múltiples segmentos de residentes desde un único SSID en lugar de crear un SSID independiente por piso. Este es el error más común en el diseño de WiFi multiinquilino. [short pause] Segundo error: configuración insuficiente del puerto troncal. Diseña un esquema de VLAN limpio, despliega los puntos de acceso y, de repente, el tráfico cae silenciosamente porque alguien olvidó permitir las VLAN correspondientes en un enlace troncal. Valide cada puerto troncal durante la puesta en marcha. Pruébelo con un dispositivo en cada VLAN antes de que se muden los residentes. [short pause] Tercer error: flujo de trabajo de distribución de claves. Generar claves es fácil. Entregarlas a los residentes de forma segura es más difícil. Un código QR en el paquete de bienvenida funciona bien para el día de la mudanza. Pero también necesita un proceso para los residentes que pierden su clave, los que añaden nuevos dispositivos a mitad de su estancia y los que cambian de teléfono. Diseñe el flujo de trabajo de distribución de claves antes de realizar el despliegue, no después. [short pause] Cuarto error: aleatorización de direcciones MAC. Desde iOS 14, Android 10 y Windows 11, los dispositivos utilizan direcciones MAC aleatorias por defecto. Si su servidor RADIUS realiza una búsqueda de MAC y el dispositivo presenta una dirección aleatoria, la búsqueda falla. Incorpore un flujo de trabajo de prerregistro en su proceso de incorporación de residentes. La plataforma de Purple gestiona esto de forma automática. [medium pause] Y ahora, una sección de preguntas y respuestas rápidas. [short pause] ¿Cuántas claves PPSK puede gestionar un único punto de acceso? La mayoría de las plataformas empresariales admiten miles de claves por SSID. Cisco Meraki admite hasta 5.000 entradas de iPSK. Ubiquiti UniFi admite hasta 1.000. Para un edificio de 200 viviendas, está muy dentro de los límites en cualquier plataforma. [short pause] ¿Funciona PPSK con WPA3? Sí, en la mayoría de las plataformas empresariales. WPA3-SAE proporciona una protección más sólida contra ataques de diccionario fuera de línea. La excepción es Ubiquiti UniFi, que actualmente solo admite WPA2 para PPSK. [short pause] ¿Puedo integrar PPSK con mi sistema de gestión de propiedades? Sí, a través de la API del proveedor. Aruba Central, Meraki, Ruckus y Mist exponen APIs REST para la gestión de claves PPSK. Purple proporciona la capa de orquestación para gestionar esto a escala, integrándose con su software de gestión de propiedades para automatizar el aprovisionamiento de claves al mudarse y su revocación al marcharse. [short pause] ¿Qué pasa con el cumplimiento de GDPR? PPSK proporciona la responsabilidad individual que el GDPR exige para el WiFi residencial. Una red con PSK compartido no puede decirle qué residente estaba utilizando la red en un momento dado. PPSK sí puede. Purple almacena los datos de acuerdo con los requisitos de GDPR y CCPA, con residencia de datos seleccionable y un límite de retención predeterminado de seis meses para los registros identificables de los residentes. [medium pause] En resumen: PPSK - ya lo llame iPSK, MPSK, DPSK, ePSK o PPSK xaverius - es la arquitectura de autenticación correcta para entornos residenciales multi-inquilino. Ofrece aislamiento de red por unidad en un único SSID, es compatible con todos los dispositivos IoT de sus residentes y, cuando se respalda con un servicio RADIUS en la nube y una integración de API, automatiza todo el ciclo de vida de las claves, desde el momento de la mudanza hasta la salida. [short pause] No es un sustituto de 802.1X en entornos corporativos. Utilice PPSK donde necesite compatibilidad con IoT y simplicidad operativa. Utilice 802.1X donde requiera responsabilidad individual y seguridad basada en certificados. Y utilice ambos de forma conjunta en una arquitectura híbrida para implantaciones a gran escala en BTR y residencias de estudiantes. [short pause] Purple lleva implementando esta arquitectura desde 2012. Damos servicio a más de 80.000 centros activos, procesamos 440 millones de inicios de sesión en 2024 y mantenemos un tiempo de actividad del 99,999%. Nuestra solución Multi-Tenant WiFi funciona como una capa de red en la nube independiente del hardware sobre puntos de acceso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. [short pause] Para obtener más información sobre la implementación de PPSK en plataformas de hardware específicas, o para hablar con uno de nuestros arquitectos de red sobre su proyecto, visite purple punto ai. Gracias por escuchar este Informe Técnico de Purple.