Qué es iPSK: una guía completa para empresas

[INTRO] Bienvenido a la sesión informativa técnica de Purple. Hoy abordamos un tema que se encuentra justo en la intersección de la seguridad de la red y la experiencia del usuario: las claves precompartidas de identidad, o WiFi iPSK. Si es un gestor de TI, un arquitecto de redes o un director de operaciones de un espacio, es casi seguro que se ha enfrentado a este dilema: sus invitados, residentes o personal necesitan un WiFi seguro y fiable, pero las opciones tradicionales (una contraseña compartida o un despliegue completo de 802.1X empresarial) conllevan importantes inconvenientes. iPSK es la respuesta a ese dilema, y en los próximos diez minutos le daré una visión clara y práctica de qué es, cómo funciona y cuándo debería desplegarlo. Comencemos. [SECTION ONE: WHAT IS IPSK, AND WHY DOES IT EXIST?] Para entender iPSK, es necesario comprender el problema que resuelve. Piense en los dos modelos tradicionales de autenticación WiFi. El primero es WPA2-Personal, lo que la mayoría de la gente llama un PSK compartido o simplemente una contraseña de WiFi. Todos en la red utilizan la misma frase de contraseña. Es sencillo, funciona en todos los dispositivos y no requiere más infraestructura que el punto de acceso. ¿El problema? Es un punto único de fallo. Si un invitado comparte la contraseña o un dispositivo se ve comprometido, toda la red queda expuesta. Y si necesita revocar el acceso de una persona - por ejemplo, un contratista cuyo contrato ha finalizado - tiene que cambiar la contraseña para todos. A gran escala, en un hotel con trescientas habitaciones o en una cadena minorista con cincuenta sucursales, eso es sencillamente inmanejable. El segundo modelo es WPA2 o WPA3 Enterprise, que utiliza el marco de autenticación IEEE 802.1X. En este caso, cada usuario se autentica con credenciales individuales (normalmente un nombre de usuario y una contraseña, o un certificado digital) validadas contra un servidor RADIUS. Es muy seguro, ofrece un control de acceso granular por usuario y es el estándar de oro para los dispositivos gestionados corporativos. Pero tiene una debilidad crítica: la complejidad. Configurar una infraestructura de clave pública, gestionar certificados y configurar suplicantes en cada dispositivo es una tarea importante. Y lo que es más importante, muchos dispositivos sencillamente no pueden hacerlo. Consolas de videojuegos, televisores inteligentes, sensores de IoT, Chromecasts... estos dispositivos sin pantalla no disponen de ningún mecanismo para gestionar la autenticación basada en certificados. En un entorno hotelero o multiinquilino, 802.1X no es una opción viable para una proporción significativa de sus dispositivos. Identity PSK se sitúa precisamente entre estos dos extremos. El concepto principal es elegante: cada usuario o dispositivo recibe su propia clave precompartida única, pero todos se conectan al mismo SSID. Desde la perspectiva del usuario, es exactamente igual que conectarse a una red WiFi doméstica: introducen una frase de contraseña y ya están conectados. Desde la perspectiva de la red, cada conexión se identifica, se cifra y se controla de forma individual. Obtiene la sencillez de PSK con la granularidad del control de acceso de nivel empresarial. [SECTION TWO: THE TECHNICAL ARCHITECTURE] Permítame guiarle a través del flujo de autenticación, ya que comprender esto es clave para implementarlo correctamente. Cuando un dispositivo intenta conectarse a un SSID con soporte iPSK, el controlador de LAN inalámbrica intercepta el intento de conexión y reenvía la dirección MAC del dispositivo a un servidor RADIUS. El servidor RADIUS busca esa dirección MAC en su almacén de identidades y devuelve una respuesta Access-Accept. De manera fundamental, incrustado en esa respuesta se encuentra el par de atributos de modo PSK y contraseña PSK. El WLC recibe esta frase de paso única y la utiliza para validar la clave que el dispositivo presentó. Si coinciden, el dispositivo se autentica y se ubica en el segmento de red correspondiente. Lo que hace que esto sea potente es lo que sucede junto con esa autenticación. La respuesta RADIUS también puede transportar atributos de asignación de VLAN, políticas de ancho de banda y control de acceso. De este modo, el dispositivo no solo obtiene su propia clave de cifrado única, sino que puede ubicarse automáticamente en el segmento de red correcto: los invitados en la VLAN de invitados, el personal en la VLAN del personal y los dispositivos IoT en una VLAN dedicada para IoT, todo desde un único SSID. Los principales fabricantes han implementado su propia versión de esta tecnología. Cisco lo llama iPSK. Aruba lo llama MPSK. Ruckus lo llama DPSK. El principio subyacente es idéntico en los tres; los detalles de la implementación difieren ligeramente, en particular en lo que respecta a cómo se estructuran los atributos RADIUS. Un comentario sobre las redes de área privada, ya que esto es especialmente relevante para implementaciones multi-inquilino: hoteles, residencias de estudiantes o viviendas de alquiler residencial (build-to-rent). iPSK permite el aislamiento de Capa 2 entre usuarios. Aunque cientos de dispositivos compartan la misma infraestructura física y el mismo SSID, el tráfico de cada usuario está aislado de forma criptográfica del tráfico de todos los demás usuarios. Y con la reflexión mDNS activada, un residente aún puede descubrir y utilizar sus propios dispositivos (transmitir contenido a su televisor o emparejar su altavoz inteligente) sin ningún riesgo de que su vecino vea o acceda a esos dispositivos. [SECTION THREE: WHEN SHOULD YOU USE IPSK?] iPSK es la opción adecuada cuando se presentan tres condiciones simultáneamente: primero, una flota de dispositivos diversa que incluye dispositivos sin interfaz de usuario o IoT que no admiten 802.1X; segundo, la necesidad de control de acceso individual y auditabilidad (la capacidad de revocar el acceso de un usuario específico sin afectar a nadie más); y tercero, un entorno donde la experiencia del usuario sea fundamental, donde pedir a alguien que configure un certificado en su dispositivo personal sea sencillamente inaceptable. El sector hotelero es el caso de uso de referencia. Un hotel de 300 habitaciones tiene miles de dispositivos que se conectan a diario: smartphones, ordenadores portátiles, altavoces inteligentes, reproductores de streaming y videoconsolas. El huésped espera introducir una contraseña una sola vez y que todo funcione. iPSK ofrece precisamente eso. El equipo de TI del hotel puede revocar la clave de un huésped en el momento en que realiza el check-out de forma automática, a través de la integración con el sistema de gestión hotelera (PMS). Sin intervención manual y sin brechas de seguridad. El sector minorista es otra opción ideal. Una gran cadena de tiendas puede tener terminales de punto de venta (POS), señalización digital, escáneres de mano, tabletas para el personal y WiFi de cortesía para clientes, todo funcionando sobre la misma infraestructura física. iPSK permite segmentar estos dispositivos por tipo y función de usuario, cada uno con su propia clave y su propia política de red, sin la sobrecarga de un despliegue completo de 802.1X. Y para el cumplimiento de PCI-DSS, la capacidad de demostrar que los dispositivos de procesamiento de pagos se encuentran en un segmento aislado criptográficamente - incluso en un SSID compartido - es una ventaja de cumplimiento muy significativa. Los centros de conferencias y los recintos de eventos se enfrentan a un reto diferente: entornos de alta densidad y rotación constante donde miles de dispositivos se conectan y desconectan a lo largo de un día. El uso de iPSK con gestión automatizada del ciclo de vida de las claves - provistas al registrarse y revocadas al finalizar el evento - es mucho más viable desde el punto de vista operativo que una contraseña compartida o un sistema basado en certificados. Casos en los que iPSK no es la opción adecuada: si dispone de una flota corporativa totalmente gestionada - ordenadores portátiles y teléfonos registrados en MDM, con certificados ya desplegados -, entonces WPA3-Enterprise con 802.1X ofrece un nivel de seguridad superior. iPSK no sustituye a la autenticación empresarial en terminales gestionados; es la herramienta adecuada para entornos donde usted no controla los dispositivos que se conectan a su red. [SECTION FOUR: IMPLEMENTATION — PITFALLS AND RECOMMENDATIONS] El error más común es tratar iPSK como un proyecto puramente técnico en lugar de uno operativo. La tecnología en sí es relativamente sencilla de configurar: filtrado MAC en el WLC, servidor RADIUS con los pares atributo-valor correspondientes y políticas de VLAN. El problema más difícil es la gestión del ciclo de vida de las claves. ¿Cómo se aprovisionan las claves? ¿Cómo se distribuyen a los usuarios? Y lo que es más crítico, ¿cómo se revocan cuando finaliza la relación de un usuario con su organización? La respuesta a estas tres preguntas debe ser la automatización. En un hotel, la integración con su sistema de gestión hotelera (PMS) permite generar las claves al registrarse y revocarlas al realizar la salida. En un entorno minorista, la integración con su sistema de recursos humanos o proveedor de identidad permite aprovisionar las claves cuando un empleado se incorpora y revocarlas en el momento en que se marcha. La plataforma de Purple proporciona esta capa de orquestación, situándose entre su proveedor de identidad y su infraestructura RADIUS para automatizar todo el ciclo de vida de las claves. El segundo error habitual es la gestión de las direcciones MAC. iPSK depende de las búsquedas de direcciones MAC en el almacén de identidades de RADIUS. Los sistemas operativos modernos - iOS 14 y posteriores, Android 10 y posteriores, Windows 11 - utilizan la aleatorización de direcciones MAC de forma predeterminada por motivos de privacidad. Si un dispositivo presenta una dirección MAC aleatoria, su servidor RADIUS no encontrará ningún registro coincidente y rechazará la conexión. La solución consiste en implementar un flujo de trabajo de preregistro en el que los usuarios registren su dispositivo antes de conectarse. Este es un problema que tiene solución, pero debe incluirse en su plan de despliegue desde el primer día. Tercero: resiliencia del servidor RADIUS. Su despliegue de iPSK es tan fiable como su infraestructura RADIUS. Si el servidor RADIUS no está disponible, ningún dispositivo nuevo podrá autenticarse. Diseñe pensando en la redundancia - servidores RADIUS principal y secundario, con la configuración de conmutación por error adecuada en el WLC. Por último, pruebe su flota de dispositivos de IoT antes de la puesta en marcha. Una prueba de compatibilidad de dispositivos previa al despliegue, especialmente para cualquier hardware heredado o personalizado, le ahorrará importantes problemas. [PREGUNTAS Y RESPUESTAS RÁPIDAS] ¿Funciona iPSK con WPA3? Sí, con salvedades. WPA3-SAE cambia el mecanismo de saludo (handshake), lo que afecta a la forma en que se validan las claves iPSK. La mayoría de los controladores modernos admiten iPSK en modo de transición WPA2 y WPA3, lo que proporciona compatibilidad con versiones anteriores. Para un entorno puramente WPA3, consulte la guía de implementación específica de su proveedor. ¿Cuántas claves únicas puede admitir un único SSID? Esto depende del controlador. El WLC de Cisco admite miles de entradas iPSK únicas. En la práctica, el factor limitante suele ser la capacidad de la base de datos de su servidor RADIUS y el rendimiento de las consultas, no el propio controlador inalámbrico. ¿Cumple iPSK con el GDPR? iPSK en sí es un mecanismo de autenticación de red, no una herramienta de recopilación de datos. El cumplimiento del GDPR depende de cómo gestione los datos de identidad asociados a esas claves. Asegúrese de que sus registros de RADIUS y su almacén de identidades tengan políticas de retención adecuadas - purgue los datos cuando finalice la relación con un usuario. [RESUMEN Y PRÓXIMOS PASOS] En resumen: iPSK salva la distancia entre la sencillez de una contraseña compartida y la seguridad de 802.1X. Le permite emitir claves únicas a usuarios o dispositivos individuales, en un único SSID, y asignarlos a segmentos de red aislados. Es la solución definitiva para entornos multiinquilino, el sector de la hostelería y despliegues de IoT. Su próximo paso: revise su arquitectura de red actual. Si está transmitiendo múltiples SSID para segmentar el tráfico, o si tiene dificultades para proteger dispositivos sin interfaz de usuario (headless), iPSK es el cambio de arquitectura que necesita realizar. Hable con su gestor de cuentas de Purple para analizar cómo nuestra plataforma puede automatizar el ciclo de vida de las claves para su hardware específico. Gracias por escuchar el Informe Técnico de Purple.