Guía de PPSK en PDF: comparación de funciones y modelos de implementación

Bienvenido al Resumen Técnico de Purple. Hoy analizaremos PPSK - Private Pre-Shared Key WiFi - qué es, cómo se compara con las alternativas y dónde tiene sentido implementarlo en una propiedad residencial o comercial multi-inquilino. Comencemos con el problema que resuelve. En una red WPA2 Personal estándar, cada dispositivo comparte la misma contraseña. Eso funciona bien para un hogar. Pero es un riesgo de seguridad para un desarrollo residencial de 200 departamentos en renta, una residencia de estudiantes o un hotel con 300 habitaciones. Cuando un residente se muda, tienes que cambiar la contraseña de todos - lo que desconecta la Smart TV, el termostato y la consola de videojuegos de todos los demás residentes en el proceso - o dejas al antiguo residente con acceso. Ninguna de las dos opciones es aceptable. PPSK resuelve esto otorgando a cada residente, departamento o grupo de dispositivos su propia clave WiFi única. Todos se conectan al mismo SSID - el mismo nombre de red - pero cada clave se asocia a una VLAN independiente. El departamento 12 está en la VLAN 10. El departamento 13 está en la VLAN 20. Los dispositivos IoT están en la VLAN 99. El punto de acceso gestiona la asociación de clave a VLAN automáticamente. No se requiere un servidor RADIUS para el modelo básico. No se necesita infraestructura de certificados. No se requiere un suplicante 802.1X en el dispositivo. Ahora hablemos de la terminología, ya que varía según el proveedor y eso causa confusión real en el mercado. Aruba lo llama PPSK - Private Pre-Shared Key. Cisco Meraki lo llama iPSK - Identity PSK, o Red Privada Personal. Juniper Mist utiliza ePSK. Extreme Networks, quienes desarrollaron originalmente el concepto bajo la marca Aerohive, lo llaman Private PSK. Ubiquiti UniFi simplemente lo llama PPSK. Cambium también utiliza ePSK. El mecanismo subyacente es idéntico en todos ellos: un SSID, múltiples claves únicas, y cada clave vinculada a una VLAN o a un grupo de políticas. Técnicamente, esto es lo que sucede en la capa de asociación. Cuando un dispositivo se conecta, presenta su clave pre-compartida durante el saludo de cuatro vías de WPA2. El punto de acceso - o el controlador en la nube detrás de él - busca esa clave en el almacén de PPSK, identifica a qué VLAN se asocia y etiqueta el tráfico del dispositivo según corresponda a partir de ese momento. El dispositivo experimenta una conexión WiFi normal. No tiene idea de que ha sido colocado en un segmento aislado. Su Chromecast funciona. Su bocina inteligente se empareja. Su consola obtiene el tipo de NAT correcto. Todo se comporta como una red doméstica - porque, desde la perspectiva del dispositivo, lo es. Esta es la distinción clave de 802.1X, que es el estándar empresarial para redes de personal y entornos corporativos. 802.1X requiere un servidor RADIUS, un proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - y un suplicante en cada dispositivo. Ese suplicante es el componente de software que gestiona el intercambio de autenticación EAP. Cada laptop administrada, cada teléfono corporativo tiene uno. El refrigerador inteligente de tu residente no lo tiene. El controlador HVAC de tu edificio no lo tiene. Tus sensores IoT no lo tienen. PPSK funciona con todos ellos porque opera en la capa WPA Personal, no en la capa WPA Enterprise. Dicho esto, PPSK no es un reemplazo para 802.1X en entornos corporativos. Es una herramienta diferente para un problema diferente. Si opera una red de personal donde la responsabilidad individual importa - donde necesita saber que una persona específica se autenticó a una hora específica, y necesita revocar su acceso en el momento en que deja la organización - 802.1X es la respuesta correcta. Si opera una red residencial donde necesita aislamiento por hogar, soporte de IoT y simplicidad operativa a escala, PPSK es la respuesta correcta. Analicemos los tres modelos de implementación principales en producción hoy en día. El primero es el modelo de controlador en la nube, que es el más común para nuevas implementaciones. Sus puntos de acceso - ya sean Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet - se conectan a una plataforma de gestión en la nube. El almacenamiento de claves PPSK reside en el controlador de la nube. Cuando da de alta a un nuevo residente, crea una clave en el portal, la asigna a una VLAN y el controlador envía la política a cada punto de acceso en el edificio. El residente recibe su clave - por correo electrónico, SMS o un código QR en un paquete de bienvenida - y se conecta. Cuando se muda, usted elimina la clave. Sus dispositivos dejan de conectarse. Nadie más se ve afectado. El segundo modelo de implementación es PPSK con un backend RADIUS local. Algunas implementaciones empresariales utilizan un servidor RADIUS para almacenar y validar las credenciales PPSK, lo que le brinda un registro centralizado, pistas de auditoría e integración con su plataforma de gestión de identidad. Esto agrega sobrecarga de infraestructura, pero le brinda la responsabilidad de 802.1X con la compatibilidad de dispositivos de PPSK. Es el modelo adecuado para entornos mixtos - por ejemplo, un espacio de coworking donde tiene tanto dispositivos corporativos administrados como equipos IoT propiedad de los miembros. El tercer modelo es híbrido: PPSK para residentes e IoT, 802.1X para personal y sistemas de gestión. Esta es la arquitectura que Purple recomienda para implementaciones de build-to-rent y unidades multifamiliares. Los residentes obtienen PPSK. Los sistemas de gestión del edificio, CCTV y control de acceso obtienen su propia VLAN de IoT con PPSK. Los dispositivos del equipo de administración de la propiedad utilizan 802.1X contra Microsoft Entra ID u Okta. Tres modelos de autenticación distintos, tres VLAN distintas, una sola infraestructura física. Ahora pasemos a la implementación. Si está implementando PPSK para un desarrollo de build-to-rent o una propiedad de unidades multifamiliares, esta es la secuencia que funciona. Comience con su diseño lógico antes de tocar el hardware. Planifique su número de residentes, sus categorías de dispositivos IoT y cualquier sistema de personal o gestión. Asigne las VLAN. Una implementación típica de BTR se ve así: VLANs 10 hasta lo que requiera su número de unidades para los residentes - una VLAN por departamento o una VLAN por piso, según su densidad. VLAN 99 para IoT. VLAN 100 para la gestión del edificio. VLAN 200 para WiFi de invitados en áreas comunes. Luego, documente su esquema de direccionamiento IP. En un edificio de 200 unidades, se contemplan de tres mil a cinco mil dispositivos en la red en cualquier momento. Esa es la cifra de 15 a 25 dispositivos por hogar según la investigación de la British Property Federation. Sus alcances de DHCP deben adaptarse a eso. Utilice el direccionamiento privado RFC 1918 con tamaños de subred suficientes por VLAN. Una barra diagonal de 24 le proporciona 254 direcciones útiles. Una barra diagonal de 23 le da 510. Calcule el tamaño de acuerdo con esto. Sobre la selección de hardware: PPSK es compatible con las principales plataformas de puntos de acceso empresariales. Cisco Meraki lo llama iPSK y lo gestiona a través del panel de Meraki con políticas de claves por SSID. HPE Aruba lo implementa de forma nativa en ArubaOS y Aruba Central. Ruckus lo admite a través de SmartZone y la plataforma Ruckus Cloud. Juniper Mist utiliza ePSK con gestión de RF impulsada por IA. Ubiquiti UniFi cuenta con PPSK desde 2023, aunque tenga en cuenta que actualmente es solo para WPA2 y no funcionará en la banda de 6 gigahertz. Cambium y Extreme lo admiten a través de sus respectivas plataformas en la nube. Una limitación crítica a señalar: la implementación de PPSK de UniFi es solo para WPA2. Si está especificando puntos de acceso WiFi 6E y desea utilizar la banda de 6 gigahertz para clientes PPSK, necesitará una plataforma que admita WPA3-SAE con PPSK, o necesitará restringir los clientes PPSK a las bandas de 2.4 y 5 gigahertz. Aruba, Ruckus y Meraki admiten PPSK en configuraciones WPA3. Ahora hablemos de los errores comunes. Estos son los modos de falla que veo repetidamente en las implementaciones de producción. El primero es la proliferación de SSID. Cada SSID que transmite consume tiempo de aire para las tramas de baliza (beacon frames). En un edificio residencial denso, si está transmitiendo seis u ocho SSIDs por punto de acceso, está degradando el rendimiento para todos. Manténgalo en un máximo de cuatro SSIDs por radio. Utilice PPSK para dar servicio a múltiples segmentos de residentes desde un solo SSID en lugar de crear un SSID independiente por departamento o por piso. El segundo error común es la configuración insuficiente de los puertos troncales. Diseña un esquema de VLAN limpio, implementa los puntos de acceso y luego el tráfico se cae silenciosamente porque alguien olvidó permitir las VLANs relevantes en un enlace troncal entre el switch de distribución y la capa de acceso. Valide cada puerto troncal durante la puesta en marcha. Documéntelo. Pruébelo con un dispositivo en cada VLAN antes de que los residentes se muden. El tercer error común es la distribución de claves. Generar claves es fácil. Entregarlas a los residentes de una manera segura y operacionalmente manejable es más difícil. Un código QR en el paquete de bienvenida funciona bien para el día de la mudanza. Un portal para residentes donde puedan recuperar su clave y agregar nuevos dispositivos es mejor para las operaciones cotidianas. Diseñe el flujo de trabajo de distribución de claves antes de la implementación, no después. Ahora, pasemos a una sección de preguntas y respuestas rápidas sobre las dudas más frecuentes. ¿Cuántas claves PPSK puede manejar un solo punto de acceso? La mayoría de las plataformas empresariales admiten miles de claves por SSID. Cisco Meraki admite hasta 5,000 entradas iPSK por red. Aruba admite una escala similar. Ubiquiti UniFi admite hasta 1,000 entradas PPSK por red. Para un edificio de 200 unidades, está muy dentro de los límites en cualquier plataforma. ¿Funciona PPSK con WPA3? Sí, en la mayoría de las plataformas empresariales. WPA3-SAE ofrece una protección más sólida contra ataques de diccionario fuera de línea en comparación con WPA2-PSK, por lo que implementar PPSK en WPA3 donde sus dispositivos cliente lo admitan es el enfoque correcto. La excepción es UniFi, que actualmente es solo WPA2 para PPSK. ¿Puedo integrar PPSK con mi sistema de gestión de propiedades? Sí, a través de la API del proveedor. Aruba Central, Meraki, Ruckus y Mist exponen APIs REST para la gestión de claves PPSK. La plataforma Multi-Tenant WiFi de Purple se sitúa por encima de estas APIs y proporciona una capa de gestión única para todos los proveedores de hardware, con webhooks para activar el aprovisionamiento y la revocación de claves desde su sistema de gestión de propiedades de forma automática. ¿Qué pasa con el GDPR? Las claves PPSK son credenciales, no datos personales en sí mismos. Sin embargo, si vincula una clave a un residente registrado - lo cual hará por razones operativas - esa vinculación son datos personales bajo el UK GDPR. Almacénelos de forma segura, consérvelos solo el tiempo necesario y asegúrese de que su acuerdo de procesamiento de datos con su proveedor de plataforma WiFi cubra esto. Purple cuenta con la certificación ISO 27001, cumple con el GDPR y tiene la certificación Cyber Essentials. Cerremos con los puntos clave. Primero: PPSK es el modelo de autenticación adecuado para entornos residenciales multi-inquilino. Le ofrece aislamiento por hogar, compatibilidad con IoT y una simplicidad operativa que PSK estándar y 802.1X no pueden igualar de forma simultánea. Segundo: la terminología varía según el proveedor - PPSK, iPSK, ePSK, Personal Private Network - pero el mecanismo es el mismo. No permita que la confusión de nombres retrase su decisión de compra. Tercero: diseñe su esquema de VLAN antes de tocar el hardware. El diseño lógico es la parte difícil. El despliegue físico se deriva de él. Cuarto: mantenga su número de SSID por debajo de cuatro por radio. Utilice PPSK para consolidar segmentos en un solo SSID en lugar de proliferar nombres de red. Quinto: cree su flujo de trabajo de distribución de claves antes de la puesta en marcha. El día de la mudanza no es el momento de descubrir que su proceso de incorporación tiene deficiencias. Si desea profundizar en cualquiera de estos aspectos - selección de hardware, diseño de VLAN para una propiedad específica o integración de PPSK con su sistema de gestión de propiedades - el equipo de Purple Multi-Tenant WiFi puede guiarlo en el proceso. Encontrará la guía escrita completa y los diagramas de arquitectura en purple.ai. Gracias por escuchar.