Kepanjangan iPSK: una guía completa para empresas

Bienvenido a la serie de sesiones técnicas de Purple. Hoy hablaremos de iPSK - Identity Pre-Shared Key - lo que realmente significa, cómo funciona a nivel interno y por qué es importante si eres un desarrollador inmobiliario, propietario o administrador de BTR que despliega WiFi en un edificio multi-inquilino. [medium pause] Comencemos con lo básico. iPSK significa Identity Pre-Shared Key. El término completo en los mercados de habla indonesia y malaya es "kepanjangan iPSK" - que simplemente significa "abreviatura de iPSK" o "lo que significa iPSK". Si llegaste a esta guía buscando esa frase, estás en el lugar correcto. Vamos a cubrir todo el panorama - la tecnología, la arquitectura y las decisiones prácticas de implementación que debes tomar este trimestre. [medium pause] Entonces, ¿qué es iPSK y por qué existe? Las redes WiFi tradicionales utilizan una sola clave precompartida - una sola contraseña para todos en el mismo SSID. Eso funciona bien en un hogar. Pero deja de funcionar en el momento en que tienes cientos de hogares compartiendo la misma infraestructura. Si un residente comparte la contraseña con alguien que no debería tenerla, tienes que restablecer la contraseña para cada uno de los residentes del edificio. Eso es una pesadilla operativa y desconecta simultáneamente todos los dispositivos inteligentes, Chromecast y bocinas inteligentes del edificio. iPSK resuelve esto asignando una contraseña de WiFi única a cada residente - o a cada hogar - mientras se mantienen todos en un solo SSID. El punto de acceso intercepta el intento de conexión, envía la dirección MAC del dispositivo a un servidor RADIUS, y el servidor RADIUS responde con la contraseña correcta para ese dispositivo específico. El punto de acceso utiliza entonces esa contraseña para completar el saludo de WPA2. Desde la perspectiva del residente, simplemente ingresó su contraseña de WiFi. Desde la perspectiva de la red, ha sido autenticado, aislado y asignado a su propio segmento de red privada. [medium pause] Hablemos de la terminología de los proveedores, porque esto suele confundir a la gente. Cisco Meraki lo llama WPN - Wi-Fi Personal Network. HPE Aruba lo llama PPSK - Private Pre-Shared Key. Ruckus utiliza el término DPSK - Dynamic Pre-Shared Key. Juniper Mist lo soporta de forma nativa. El concepto subyacente es idéntico en las cuatro plataformas. La solución Multi-Tenant WiFi de Purple funciona como una capa en la nube sobre todas ellas - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet. No necesitas reemplazar tu hardware para implementar iPSK. [medium pause] Ahora entremos en la arquitectura. Hay tres componentes en una implementación de iPSK. Primero, los puntos de acceso - que son tu hardware físico, el que ya tengas instalado. Segundo, un servidor RADIUS - que es el motor de autenticación que mantiene la asociación entre las direcciones MAC y las contraseñas. Tercero, una capa de gestión - algo que genera las claves al momento de la mudanza, las revoca cuando el inquilino se va y gestiona el autoservicio para los residentes que necesitan agregar un nuevo dispositivo. Purple proporciona el segundo y tercer componente como un servicio en la nube. Actuamos como la capa de RADIUS-as-a-Service y ofrecemos el portal orientado al residente para la gestión de claves. Usted aporta los puntos de acceso. [medium pause] Cuando un residente conecta un nuevo dispositivo, esto es lo que sucede en secuencia. El dispositivo envía una solicitud de asociación al SSID. El punto de acceso reenvía la dirección MAC del dispositivo al servidor RADIUS de Purple. Purple busca la dirección MAC, encuentra la contraseña asignada al residente y la devuelve como un par AV de Cisco en la respuesta Access-Accept de RADIUS. El punto de acceso utiliza esa contraseña para completar el saludo de cuatro vías de WPA2. El dispositivo está conectado. Todo el proceso toma menos de doscientos milisegundos. Si la dirección MAC del dispositivo no está en el sistema - por ejemplo, un dispositivo nuevo que el residente aún no ha registrado - el servidor RADIUS devuelve un Access-Reject. El dispositivo no puede conectarse hasta que el residente lo registre a través del portal de autoservicio. [medium pause] Esto nos lleva a la asignación de VLAN. Una de las funciones más potentes de iPSK con RADIUS es el etiquetado dinámico de VLAN. El servidor RADIUS no solo devuelve la contraseña - también puede devolver un ID de VLAN en la misma respuesta. Esto significa que el tráfico de cada residente llega a su propia VLAN de forma automática, sin ninguna configuración manual del switch. El tráfico del Residente A va a la VLAN 101. El tráfico del Residente B va a la VLAN 102. La red de administración del edificio se encuentra en la VLAN 10. Los dispositivos IoT - cerraduras inteligentes, termostatos, sensores - pueden colocarse en una VLAN de IoT dedicada con acceso restringido a Internet y sin movimiento lateral hacia los segmentos de los residentes. Esta es la arquitectura que hace que iPSK sea verdaderamente de nivel empresarial, en lugar de solo una función de conveniencia. Veamos un escenario de implementación real. Un desarrollo de Build to Rent de 200 unidades en Mánchester. El desarrollador especificó puntos de acceso Cisco Meraki - uno por departamento, más unidades de pasillo para roaming. Purple se implementó como la capa de RADIUS y gestión. Al mudarse, cada residente recibe un código QR por correo electrónico. Lo escanean y todos sus dispositivos se conectan automáticamente. Sin llamadas al soporte de TI. Sin hojas de contraseñas. La clave del residente está vinculada a su registro de arrendamiento en el sistema de gestión de la propiedad. Cuando se mudan, la clave se revoca en el panel de Purple. Sus dispositivos dejan de conectarse. Ningún otro residente se ve afectado. El resultado: los tickets de soporte relacionados con WiFi disminuyeron en más de un 60% en comparación con el edificio anterior que administraba el desarrollador, el cual utilizaba un modelo de contraseña compartida. La activación de WiFi el día de la mudanza pasó de ser un proceso de dos horas a tomar menos de cinco minutos por residente. [medium pause] Segundo escenario. Un bloque de alojamiento para estudiantes de 450 camas diseñado específicamente para este fin. El desafío aquí es la densidad - de quince a veinticinco dispositivos por habitación y una semana de mudanza en septiembre donde trescientos estudiantes llegan simultáneamente. Con un modelo tradicional de contraseña compartida, el soporte técnico se ve abrumado. Con iPSK, cada estudiante recibe su clave durante el flujo de incorporación previo a la llegada. Llegan, escanean el código QR y se conectan. El servidor RADIUS maneja la carga de autenticación automáticamente. La infraestructura de Purple funciona con un 99.999% de tiempo de actividad - ese es el SLA que publicamos y respaldamos. [medium pause] Ahora, los problemas comunes de implementación. Hay tres que surgen repetidamente. Primero: la aleatorización de direcciones MAC. Los dispositivos iOS y Android modernos aleatorizan su dirección MAC de forma predeterminada al buscar redes. Esto rompe las búsquedas RADIUS basadas en MAC porque el dispositivo presenta una MAC diferente cada vez que realiza un sondeo. La solución es utilizar direcciones MAC estables por red - tanto iOS 14 como Android 10 son compatibles con esto. Debe comunicar esto a los residentes durante la incorporación. El portal de residentes de Purple maneja esto con instrucciones claras. Segundo: la incorporación de dispositivos IoT. Los dispositivos domésticos inteligentes - termostatos, cerraduras inteligentes, concentradores Zigbee - a menudo no pueden mostrar un código QR o ingresar una contraseña a través de un flujo estándar. La solución es un SSID de IoT dedicado con un grupo de iPSK independiente, o un flujo de aprovisionamiento donde el residente registra la dirección MAC del dispositivo a través del portal antes de conectarlo. Purple admite ambos enfoques. Tercero: la disponibilidad del servidor RADIUS. Si su servidor RADIUS se cae, las conexiones de nuevos dispositivos fallan. Los dispositivos ya conectados permanecen conectados porque la sesión WPA2 ya está establecida, pero las nuevas asociaciones no se completarán. Es por eso que el RADIUS-as-a-Service de Purple se ejecuta en una infraestructura redundante con esa garantía de tiempo de actividad del 99.999%. No ejecute iPSK en un único servidor RADIUS local sin una alternativa de respaldo. [medium pause] Cerremos con el caso de negocio, porque esto es en última instancia lo que le importa a un desarrollador inmobiliario o arrendador. El WiFi como servicio complementario conlleva una prima de alquiler medible en el sector BTR. La investigación de la British Property Federation sitúa esto entre quince y treinta libras por unidad al mes. En un edificio de 200 unidades, eso representa entre treinta y seis mil y setenta y dos mil libras de ingresos anuales adicionales. Los períodos de desocupación son más cortos cuando el WiFi de mudanza está listo el primer día - normalmente de cinco a diez días más cortos por desocupación, según los puntos de referencia del sector. Y el costo de implementar iPSK como una capa de software sobre el hardware existente es significativamente menor que los contratos de banda ancha por unidad, que generalmente capturan el valor para el ISP en lugar del operador. El caso operativo es igualmente sólido. Una clave por residente significa una revocación al momento de mudarse. Sin restablecimientos de contraseñas para todo el edificio. Sin tickets de soporte de residentes cuyo Chromecast dejó de funcionar porque el dispositivo de otra persona está en la misma subred. La red se comporta como una red doméstica privada para cada residente, mientras que el operador administra todo desde un único panel en la nube. [medium pause] Preguntas rápidas antes de terminar. ¿Funciona iPSK con WPA3? Aún no en la implementación estándar - WPA3 utiliza SAE, lo que cambia el mecanismo de protocolo de enlace (handshake). La mayoría de los proveedores están trabajando en iPSK compatible con WPA3, pero a mediados de 2025, WPA2 es el estándar listo para producción para despliegues de iPSK. ¿Puedo ejecutar iPSK sin un servidor RADIUS? Cisco Meraki admite hasta 5,000 iPSK sin RADIUS en el firmware MR 30.1 y versiones superiores. Para despliegues más pequeños, esto es viable. Para cualquier cosa que supere las cien unidades, RADIUS le ofrece la automatización, la asignación de VLAN y la gestión del ciclo de vida que necesita. ¿Cuántas claves puede admitir un despliegue de iPSK basado en RADIUS? Prácticamente ilimitadas - el límite es la base de datos de su servidor RADIUS, no el protocolo. Purple ha desplegado iPSK en edificios con más de mil unidades sin problemas de rendimiento. [medium pause] Para resumir. iPSK - Identity Pre-Shared Key - le da a cada residente una credencial de WiFi única en un SSID compartido. El servidor RADIUS maneja la autenticación, la entrega de la contraseña y la asignación de VLAN en un solo viaje de ida y vuelta. Purple proporciona la capa de RADIUS-as-a-Service y el portal de administración de residentes, que se ejecuta en hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks y Fortinet. Si está planeando un despliegue de BTR, alojamiento para estudiantes o MDU y desea ver cómo se adapta iPSK a su edificio específico, hable con el equipo de Purple. Hemos desplegado esto en 80,000 sedes y 350 millones de usuarios únicos. Sabemos lo que funciona. Gracias por escuchar.