Qué es PPSK: comparación de funciones y modelos de implementación

Hable en inglés británico con un tono seguro, autoritario y conversacional, como si fuera un consultor de redes senior que informa a un cliente en una sala de reuniones. Ritmo pausado, dicción clara, cálido pero directo. No es una conferencia, no es un discurso de ventas, sino una sesión informativa de experto a experto: Bienvenido a la serie de sesiones técnicas de Purple. Hoy vamos a tratar el tema de PPSK - Private Pre-Shared Key: qué es, cómo se compara con otras opciones de autenticación y, fundamentalmente, cuándo debería implementarlo realmente. [pausa corta] Permítame contextualizar la situación. Usted es responsable del WiFi en una cartera de propiedades. Podría ser una promoción de viviendas de alquiler, un grupo hotelero, un complejo comercial o un campus de uso mixto. Tiene cientos o miles de usuarios, un número creciente de dispositivos IoT y necesita aislamiento de red entre los diferentes grupos de usuarios, sin la sobrecarga operativa de un despliegue completo de 802.1X enterprise. Ese es exactamente el problema que PPSK fue diseñado para resolver. [pausa media] Entonces, ¿qué es PPSK? El término responde a Private Pre-Shared Key. También lo oirá llamar iPSK - Identity Pre-Shared Key - que es la terminología de Cisco, o ePSK de Cambium y Juniper Mist. Aruba lo llama PPSK. El concepto es idéntico independientemente de la etiqueta del fabricante: cada usuario o dispositivo obtiene su propia contraseña de WiFi única en un único SSID. Compare eso con el estándar WPA2 Personal, donde cada dispositivo de la red comparte una única contraseña. Si esa contraseña se filtra, todo el mundo queda expuesto. Si alguien se muda de su edificio, o bien cambia la contraseña para todos o bien acepta que sigan teniendo acceso. Ninguna de las dos opciones es aceptable a gran escala. PPSK elimina ese problema. Cada residente, cada miembro, cada dispositivo obtiene una credencial única. Cuando alguien se marcha, se revoca su clave. Nadie más se ve afectado. Sus dispositivos dejan de conectarse. Y listo. [pausa corta] Ahora, la pregunta natural es: ¿por qué no utilizar simplemente 802.1X? Es el estándar IEEE para el control de acceso a redes basado en puertos. Utiliza un servidor RADIUS para autenticar a cada usuario de forma individual, es compatible con EAP-TLS con certificados digitales, se integra con Microsoft Entra ID, Okta, Google Workspace. Es el estándar de oro para las redes de personal corporativo. La respuesta es: 802.1X es la opción correcta para los dispositivos corporativos gestionados en los que usted controla el endpoint. No es la opción correcta para los dispositivos IoT, para escenarios BYOD en edificios residenciales o para recintos donde necesita incorporar a cientos de residentes que no tienen conocimientos informáticos. Los dispositivos IoT - altavoces inteligentes, termostatos, paneles de control de acceso, cámaras de CCTV - con frecuencia no son compatibles en absoluto con los suplicantes 802.1X. PPSK funciona con cualquier dispositivo que admita WPA2 Personal, que es esencialmente todo. [pausa media] Permítame guiarle a través de la arquitectura técnica. En un despliegue PPSK, dispone de un único SSID transmitido a través de sus puntos de acceso. Cuando un dispositivo se conecta, el punto de acceso captura la dirección MAC y la clave previamente compartida que el dispositivo está utilizando. Envía esa información a un servidor RADIUS - o, en las implementaciones de algunos proveedores, a una base de datos de claves local en el controlador. El servidor asocia la clave a un registro de usuario y devuelve una asignación de VLAN y cualquier atributo de política adicional. Esa asignación de VLAN es la pieza crítica. Significa que cada residente o usuario es colocado automáticamente en su propio segmento de red aislado. Los dispositivos del Residente A van a parar a la VLAN 10. Los del Residente B, a la VLAN 20. Comparten los mismos puntos de acceso físicos, la misma infraestructura de enlace ascendente, pero son completamente invisibles entre sí en la capa dos. El Residente A no puede ver el Chromecast del Residente B, su televisión inteligente ni su portátil. El aislamiento lo impone la red, no la esperanza de que los usuarios se comporten bien. [short pause] Esto es lo que Purple denomina el modelo de burbuja WiFi. Cada residente obtiene su propia burbuja privada. Los dispositivos que utilizan la misma clave se descubren entre sí - por lo que Chromecast funciona, el emparejamiento de hogares inteligentes funciona y las consolas de videojuegos obtienen el tipo de NAT que necesitan. Los dispositivos con claves distintas son invisibles entre sí. Se comporta exactamente como una conexión de banda ancha doméstica, pero funciona sobre una infraestructura compartida en todo un edificio. [medium pause] Ahora permítame presentarle dos escenarios de despliegue en el mundo real. Primero: una promoción de Build to Rent de 250 viviendas. El operador necesita WiFi operativo desde el mismo día de la mudanza, soporte completo de IoT para dispositivos domésticos inteligentes y la capacidad de revocar el acceso al instante cuando finalice un contrato de alquiler - sin que ello afecte a ningún otro residente. El WiFi de invitados estándar falla aquí porque aísla cada dispositivo de todos los demás, lo que inhabilita Chromecast y los altavoces inteligentes. El PSK estándar falla porque rotar la contraseña del edificio en cada mudanza es operativamente imposible a gran escala. El 802.1X falla porque los residentes traen sus propios dispositivos IoT que no lo admiten. PPSK en puntos de acceso Cisco Meraki, HPE Aruba o Ruckus, respaldado por un servidor RADIUS en la nube, resuelve los tres problemas. Cada residente recibe una clave única al mudarse. Sus dispositivos - teléfono, portátil, smart TV, Alexa, termostato - utilizan la misma clave y van a parar a la misma VLAN. Se descubren entre sí. Cuando finaliza el contrato de alquiler, la clave se revoca en el portal de gestión. Los dispositivos de ese residente dejan de conectarse en cuestión de segundos. Nadie más lo nota. Los baremos de la British Property Federation sugieren que el WiFi gestionado como servicio adicional permite exigir un suplemento de alquiler de entre quince y treinta libras por vivienda al mes en el sector BTR. En un edificio de 250 viviendas, eso supone entre tres mil setecientos cincuenta y siete mil quinientos libras al mes de ingresos adicionales. El coste de la infraestructura es una capa de software sobre los puntos de acceso que ya posee. [short pause] Segundo escenario: un hotel de 180 habitaciones. El establecimiento necesita dar servicio a los huéspedes en una red WiFi sencilla y accesible, al personal en una red corporativa segregada y a un número cada vez mayor de dispositivos IoT: cerraduras inteligentes, sensores de climatización y sistemas de IPTV. Tres grupos de usuarios distintos, una sola infraestructura física. La arquitectura adecuada en este caso son tres SSIDs: un SSID de invitados que utilice WiFi abierto con un Captive Portal para la captura de datos y la aceptación de condiciones; un SSID de personal que utilice 802.1X integrado con Active Directory para ofrecer responsabilidad individual y revocación instantánea; y un SSID de IoT que utilice PPSK con claves a nivel de dispositivo y una VLAN de gestión dedicada con un filtrado de salida estricto. PPSK es la herramienta adecuada para la capa de IoT porque esos dispositivos no pueden realizar 802.1X, pero necesitan aislamiento y revocabilidad individual. [medium pause] Permítame repasar brevemente el panorama de fabricantes. PPSK es compatible con las principales plataformas de puntos de acceso empresariales. En Cisco Meraki se denomina Personal Private Network y se configura a través del panel de control de Meraki con una base de datos de claves local. En HPE Aruba se denomina PPSK y se integra con Aruba ClearPass para la gestión de claves respaldada por RADIUS. En Ruckus se denomina Dynamic PSK, gestionado a través de SmartZone o del controlador en la nube. Juniper Mist lo llama ePSK y se integra con Mist AI para la automatización de políticas. Ubiquiti UniFi es compatible con PPSK desde la versión de firmware 3.x, con asignación de VLAN por clave. Cambium, Extreme y Fortinet tienen implementaciones equivalentes. La principal diferencia operativa entre las implementaciones es si las claves se almacenan localmente en el controlador o se validan contra un servidor RADIUS externo. El almacenamiento local es más sencillo de implementar pero limita la escala y la integración. El sistema PPSK respaldado por RADIUS escala a miles de claves y se integra con su pila de gestión de identidades, pero añade complejidad a la infraestructura. Para despliegues de más de cincuenta usuarios, la opción adecuada es el respaldo por RADIUS. [short pause] Ahora, los inconvenientes. Hay tres cosas que suelen salir mal en los despliegues de PPSK. Primero: configuración incorrecta del trunk de VLAN. Diseña un esquema de VLAN por residente excelente y se olvida de permitir esas VLANs en cada enlace troncal en la ruta desde el AP hasta el switch principal. El tráfico se cae silenciosamente. Los residentes se quejan. Pasa días rastreando el fallo. Documente sus configuraciones de trunk antes de empezar y valídelas durante la puesta en marcha. Segundo: distribución de claves a escala. Generar claves únicas es fácil. Entregar esas claves a las personas adecuadas en el momento oportuno - al mudarse, a través de una aplicación para residentes, mediante un código QR en el paquete de bienvenida - es un proceso operativo que debe diseñarse antes de la puesta en marcha, no después. La plataforma de Purple gestiona esto a través de flujos de trabajo de aprovisionamiento automatizados que se integran con su sistema de gestión de propiedades. Tercero: incorporación de dispositivos IoT. La mayoría de los dispositivos domésticos inteligentes utilizan Bluetooth o un punto de acceso WiFi local temporal para la configuración inicial, y luego necesitan unirse a la red principal del residente. Si su implementación de PPSK no admite un flujo de incorporación fluido para estos dispositivos, recibirá tickets de soporte. Pruebe su proceso de incorporación de IoT antes de que se muden los residentes. [medium pause] Bien, permítame hacer un repaso rápido de las preguntas que me hacen con más frecuencia. ¿Puede PPSK reemplazar a 802.1X para las redes del personal? No. Las redes del personal necesitan responsabilidad individual, integración con Active Directory y autenticación basada en certificados. Utilice 802.1X para el personal. ¿Funciona PPSK con WPA3? Sí. WPA3 Personal con SAE proporciona una protección más sólida contra ataques de diccionario fuera de línea en la clave precompartida. Si sus puntos de acceso admiten WPA3, actívelo. ¿Cuántas claves PPSK puede admitir un único SSID? La mayoría de los controladores empresariales admiten miles de claves por SSID. Cisco Meraki admite hasta diez mil. Aruba ClearPass se escala a cientos de miles. El recuento de claves no es una limitación práctica para la mayoría de las implementaciones. ¿Cumple PPSK con PCI-DSS? PPSK se puede utilizar en redes que no sean de pago. Los terminales de pago deben estar en una VLAN dedicada sin credenciales de autenticación compartidas - eso significa 802.1X o separación física de la red para los sistemas POS. [short pause] Para resumir: PPSK es el modelo de autenticación adecuado cuando necesita aislamiento por usuario y capacidad de revocación, sus dispositivos incluyen hardware de IoT que no puede admitir 802.1X y necesita mantener baja la complejidad operativa y de implementación. Se sitúa entre el PSK estándar - que no ofrece control individual - y el 802.1X - que ofrece la máxima seguridad pero requiere endpoints gestionados e infraestructura PKI. Para los operadores de BTR, proveedores de alojamiento para estudiantes y grupos de hostelería que gestionan propiedades con gran cantidad de IoT, PPSK suele ser el camino más práctico para el aislamiento de inquilinos a escala. La plataforma Multi-Tenant WiFi de Purple se implementa como una superposición en la nube en puntos de acceso de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Se encarga del aprovisionamiento de claves, la asignación de VLAN, la incorporación de residentes y las analíticas - sin que tenga que reemplazar su hardware existente. Si está planeando una implementación y desea explorar la arquitectura con más detalle, la guía completa está enlazada a continuación. Gracias por escuchar.