Uu PPSK hukumonline: comparación de características y modelos de despliegue

Bienvenido al Purple Technical Briefing. Hoy hablaremos de PPSK WiFi - Private Pre-Shared Key - qué es, cómo se compara con las alternativas y dónde tiene sentido implementarlo. Comencemos con el problema que resuelve. En una red WPA2 Personal tradicional, todos los dispositivos de la red comparten la misma contraseña. Eso está bien para un hogar. Pero es un riesgo para un complejo residencial de alquiler de 200 viviendas, una residencia de estudiantes o un hotel con 300 habitaciones. Cuando un residente se marcha, o bien se cambia la contraseña para todos - lo que desconfigura la televisión inteligente, el termostato y la consola de todos los demás residentes - o bien se deja que el antiguo residente siga teniendo acceso. Ninguna de las dos opciones es aceptable. PPSK resuelve esto asignando a cada residente, a cada piso o a cada grupo de dispositivos su propia clave WiFi única. Todos se conectan al mismo SSID - el mismo nombre de red - pero cada clave se asigna a una VLAN distinta. El piso 12 está en la VLAN 10. El piso 13 está en la VLAN 20. Los dispositivos IoT están en la VLAN 99. El punto de acceso gestiona la asignación de clave a VLAN automáticamente. Sin necesidad de servidor RADIUS. Sin infraestructura de certificados. Sin suplicante 802.1X en el dispositivo. Ahora hablemos de la terminología, ya que varía según el fabricante y eso genera una verdadera confusión en el mercado. Aruba lo llama PPSK - Private Pre-Shared Key. Cisco Meraki lo llama iPSK - Identity PSK. Juniper Mist utiliza ePSK. Extreme Networks, que originalmente desarrolló el concepto bajo la marca Aerohive, lo llama Private PSK. Ubiquiti UniFi lo llama simplemente PPSK. Cambium también utiliza ePSK. El mecanismo subyacente es idéntico en todos ellos: un SSID, múltiples claves únicas y cada clave vinculada a una VLAN o a un grupo de políticas. Técnicamente, esto es lo que ocurre en la capa de asociación. Cuando un dispositivo se conecta, presenta su clave precompartida durante el saludo de cuatro vías de WPA2. El punto de acceso - o el controlador en la nube que hay detrás - busca esa clave en el almacén PPSK, identifica a qué VLAN está asignada y etiqueta el tráfico del dispositivo en consecuencia. El dispositivo ve una conexión WiFi normal. No tiene idea de que ha sido ubicado en un segmento aislado. Su Chromecast funciona. Su altavoz inteligente se vincula. Su consola obtiene el tipo de NAT correcto. Todo se comporta como una red doméstica - porque, desde la perspectiva del dispositivo, lo es. Esta es la diferencia clave con 802.1X, que es el estándar empresarial para redes de empleados y entornos corporativos. 802.1X requiere un servidor RADIUS, un proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - y un suplicante en cada dispositivo. Ese suplicante es el componente de software que gestiona el intercambio de autenticación EAP. Cada ordenador portátil gestionado y cada teléfono corporativo tienen uno. La nevera inteligente de su residente no lo tiene. El controlador de climatización de su edificio no lo tiene. Sus sensores de IoT no lo tienen. PPSK funciona con todos ellos porque opera en la capa WPA Personal, no en la capa WPA Enterprise. Dicho esto, PPSK no es un sustituto de 802.1X en entornos corporativos. Es una herramienta diferente para un problema diferente. Si gestiona una red de personal donde la responsabilidad individual es fundamental, 802.1X es la respuesta correcta. Si gestiona una red residencial donde necesita aislamiento por vivienda, soporte para IoT y simplicidad operativa a escala, PPSK es la respuesta correcta. Analicemos los modelos de despliegue. Existen tres patrones principales en producción actualmente. El primero es el modelo de controlador en la nube, que es el más común para nuevos despliegues. Sus puntos de acceso - ya sean Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet - se conectan a una plataforma de gestión en la nube. El almacenamiento de claves PPSK reside en el controlador en la nube. Cuando da de alta a un nuevo residente, crea una clave en el portal, la asigna a una VLAN y el controlador envía la política a cada punto de acceso del edificio. El residente recibe su clave por correo electrónico, SMS o un código QR en un paquete de bienvenida, y se conecta. Cuando se muda, usted elimina la clave. Sus dispositivos dejan de conectarse. Nadie más se ve afectado. El segundo modelo es PPSK con un backend RADIUS local. Algunos despliegues empresariales utilizan un servidor RADIUS para almacenar y validar las credenciales PPSK, lo que proporciona un registro centralizado, pistas de auditoría e integración con su plataforma de gestión de identidad. Esto añade costes de infraestructura, pero ofrece la responsabilidad de 802.1X con la compatibilidad de dispositivos de PPSK. El tercer modelo es el híbrido: PPSK para residentes e IoT, 802.1X para el personal y los sistemas de gestión. Esta es la arquitectura que Purple recomienda para promociones de alquiler (Build to Rent) y edificios plurifamiliares. Los residentes utilizan PPSK. Los sistemas de gestión del edificio, CCTV y control de accesos tienen su propia VLAN de IoT con PPSK. Los dispositivos del equipo de gestión de la propiedad utilizan 802.1X contra Microsoft Entra ID o Okta. Tres modelos de autenticación distintos, tres VLAN distintas, una infraestructura física única. Ahora pasemos a la implementación. Comience con su diseño lógico antes de tocar el hardware. Planifique su número de residentes, sus categorías de dispositivos IoT y cualquier sistema de personal o de gestión. Asigne las VLAN. Un despliegue típico de BTR tiene este aspecto: VLAN 10 hasta lo que requiera su número de viviendas para los residentes, una VLAN por piso o una VLAN por planta en función de la densidad. VLAN 99 para IoT. VLAN 100 para la gestión del edificio. VLAN 200 para WiFi de invitados en las zonas comunes. En un edificio de 200 viviendas, se prevé la presencia de 3000 a 5000 dispositivos en la red en cualquier momento dado. Esa es la cifra de 15 a 25 dispositivos por hogar según los estudios de la British Property Federation. Sus rangos de DHCP deben adaptarse a eso. Utilice direccionamiento privado RFC 1918 con tamaños de subred suficientes por VLAN. Una barra 24 le proporciona 254 direcciones útiles. Una barra 23 le proporciona 510. Dimensione en consecuencia. Sobre la selección de hardware: PPSK es compatible con las principales plataformas de puntos de acceso empresariales. Cisco Meraki lo llama iPSK y lo gestiona a través del panel de Meraki. HPE Aruba lo implementa de forma nativa en ArubaOS y Aruba Central. Ruckus lo admite a través de SmartZone. Juniper Mist utiliza ePSK con gestión de RF impulsada por IA. Ubiquiti UniFi cuenta con PPSK desde 2023, aunque actualmente solo es compatible con WPA2. Aruba, Ruckus y Meraki admiten PPSK en configuraciones WPA3. Ahora, los inconvenientes. El primero es la proliferación de SSIDs. Cada SSID que se emite consume tiempo de antena para las tramas de baliza (beacon frames). Mantenga un máximo de cuatro SSIDs por radio. Utilice PPSK para dar servicio a múltiples segmentos de residentes desde un único SSID en lugar de crear un SSID independiente por piso. El segundo inconveniente es una configuración insuficiente de los puertos troncales. Se diseña un esquema de VLAN limpio, se despliegan los puntos de acceso y, a continuación, el tráfico se pierde silenciosamente porque alguien olvidó permitir las VLANs correspondientes en un enlace troncal. Valide cada puerto troncal durante la puesta en marcha. Pruébelo con un dispositivo en cada VLAN antes de que se muden los residentes. El tercer inconveniente es la distribución de claves. Generar claves es fácil. Entregárselas a los residentes de forma segura es más difícil. Un código QR en el paquete de bienvenida funciona bien para el día de la mudanza. Un portal para residentes es mejor para las operaciones diarias. Diseñe el flujo de trabajo de distribución de claves antes del despliegue, no después. Pasemos a las preguntas rápidas. ¿Cuántas claves PPSK puede gestionar un único punto de acceso? Cisco Meraki admite hasta 5.000 entradas iPSK por red. Aruba admite una escala similar. Ubiquiti UniFi admite hasta 1.000 entradas PPSK por red. Para un edificio de 200 viviendas, está muy dentro de los límites en cualquier plataforma. ¿Funciona PPSK con WPA3? Sí, en la mayoría de las plataformas empresariales. WPA3-SAE proporciona una mayor protección contra ataques de diccionario sin conexión. La excepción es UniFi, que actualmente solo admite WPA2 para PPSK. ¿Puedo integrar PPSK con mi sistema de gestión de propiedades? Sí, a través de la API del proveedor. La plataforma Multi-Tenant WiFi de Purple funciona como una capa de nube sobre su hardware existente y gestiona el aprovisionamiento de claves, la asignación de VLAN y la incorporación de residentes a través de un único panel - con integraciones en plataformas de gestión de propiedades para flujos de trabajo automatizados de entrada y salida de residentes. En resumen: PPSK es el modelo de autenticación adecuado para entornos residenciales multi-inquilino, alojamiento de estudiantes y despliegues con un uso intensivo de IoT donde la compatibilidad de los dispositivos importa más que la identidad basada en certificados. Ofrece aislamiento de red por hogar, admite todo tipo de dispositivos y escala a miles de claves sin infraestructura RADIUS. El modelo híbrido - PPSK para residentes, 802.1X para el personal - le ofrece lo mejor de ambos mundos en una única red física. Las tres cosas que debe hacer bien desde el primer día son: el diseño de su VLAN, su flujo de trabajo de distribución de claves y la configuración de sus puertos troncales. Si hace bien esas tres cosas, el resto vendrá rodado. Para más información sobre la plataforma WiFi multi-tenant de Purple y cómo gestiona el aprovisionamiento de PPSK a escala, visite purple punto ai. Gracias por escucharnos.