PPSK: comparación de características y modelos de implementación

Bienvenido al Purple Technical Briefing. Soy su anfitrión y hoy hablaremos sobre PPSK - Private Pre-Shared Key -, qué es, cómo se compara con tecnologías similares y, lo más importante, qué modelo de implementación es el adecuado para su propiedad. Si usted es un desarrollador inmobiliario, un operador de propiedades en alquiler (build-to-rent) o un propietario que administra un portafolio de viviendas multifamiliares, este es el informe que estaba esperando. Porque el WiFi ya no es un servicio básico que se añade al final de un proyecto. Es un servicio de valor agregado que afecta directamente sus tarifas de alquiler, sus períodos de desocupación y los niveles de satisfacción de sus residentes. Comencemos. Sección uno: ¿qué es PPSK y por qué existe? Recuerde cómo la mayoría de los edificios compartidos gestionan el WiFi en la actualidad. Hay una sola contraseña que se comparte con todos. Un nuevo residente se muda y usted le da la contraseña. Un residente se va y aquí viene el problema. ¿Cambia la contraseña de todo el edificio e interrumpe la conexión de todos los demás residentes? ¿O permite que el exresidente conserve el acceso a su red indefinidamente? Ninguna de las dos opciones es aceptable. Ese es el defecto fundamental del PSK compartido a gran escala. PPSK resuelve esto. Private Pre-Shared Key le asigna a cada residente, a cada departamento, su propia contraseña de WiFi única. Todos se conectan al mismo SSID - el mismo nombre de red - pero cada contraseña se asocia a una identidad de red distinta. Cuando un residente se muda, usted revoca su clave. Una sola clave. Nadie más se ve afectado. Ahora bien, encontrará varios nombres para esta tecnología según el proveedor de hardware con el que trabaje. Aruba lo llama PPSK. Cisco Meraki lo llama Personal Private Network. Extreme Networks también utiliza PPSK. Juniper Mist lo llama ePSK. Ruckus lo llama DPSK - Dynamic PSK. La terminología varía; el concepto es idéntico en todos ellos. Sección dos: la arquitectura técnica - cómo funciona realmente. Este es el flujo de autenticación, y entenderlo es esencial para implementarlo correctamente. Cuando el dispositivo de un residente se conecta al WiFi, el punto de acceso recibe la clave precompartida que presenta el dispositivo. En una red PSK estándar, el punto de acceso simplemente verifica si esa clave coincide con la configurada en el SSID. Si es así, el dispositivo se conecta. Sencillo, pero sin identidad individual. En una implementación de PPSK, el punto de acceso o el controlador de LAN inalámbrica reenvía la clave - o la dirección MAC del dispositivo - a un servidor RADIUS. RADIUS son las siglas de Remote Authentication Dial-In User Service, y es el protocolo AAA estándar de la industria definido en RFC 2865. El servidor RADIUS busca las credenciales presentadas en su base de datos de identidades, confirma a qué residente pertenecen y devuelve una respuesta Access-Accept. En esa respuesta se incluyen la asignación de VLAN y la política de ancho de banda para ese residente específico. El resultado es lo que llamamos una burbuja WiFi. Cada dispositivo que utiliza la clave del Residente A se encuentra en el segmento de red privada del Residente A. Su teléfono descubre su Chromecast. Su altavoz inteligente se vincula con sus focos inteligentes. Su consola de videojuegos encuentra su TV. Mientras tanto, los dispositivos del Residente B son completamente invisibles para el Residente A, aunque estén en el mismo punto de acceso físico. Esto es aislamiento de Capa 2. No es solo una regla de firewall - es una separación criptográfica a nivel de capa inalámbrica. Y es el mecanismo técnico que hace que el WiFi multi-inquilino sea viable para implementaciones residenciales. Sección tres: PPSK frente a iPSK frente a 802.1X - la comparación que realmente necesita. Permítame darle el desglose práctico, porque estos tres modelos de autenticación sirven para diferentes casos de uso. PPSK, en su forma más simple, almacena el mapeo de clave a VLAN directamente en el controlador inalámbrico. No se requiere un servidor RADIUS externo. Esto funciona bien para implementaciones más pequeñas - por ejemplo, hasta unos pocos cientos de unidades. La limitación es la escala. La mayoría de los controladores limitan su base de datos local de PPSK a un máximo de entre 512 y 2,000 entradas. Para un esquema de BTR grande con 400 unidades y de 15 a 25 dispositivos por hogar, alcanzará ese límite. iPSK - Identity PSK - amplía el modelo al requerir un servidor RADIUS para la validación de claves. Esto elimina el límite de escala. Con un servicio RADIUS en la nube, puede admitir decenas de miles de claves únicas. El servidor RADIUS también permite la asignación dinámica de VLAN y la aplicación de políticas por usuario, lo cual es esencial para el cumplimiento y para las ofertas de servicios por niveles. La plataforma de Purple actúa como la capa de orquestación aquí - situándose entre su almacén de identidades y su infraestructura RADIUS para automatizar todo el ciclo de vida de las claves. 802.1X Enterprise es el estándar de oro para flotas de dispositivos gestionados por corporativos. Utiliza certificados digitales o credenciales de usuario y contraseña validadas contra un servicio de directorio como Microsoft Entra ID u Okta. Es la opción más segura y es la elección correcta cuando usted controla cada dispositivo que se conecta a su red. Pero en un entorno residencial, usted no controla los dispositivos. Sus residentes traen sus propios smartphones, laptops, smart TVs, consolas de videojuegos y sensores de IoT. Muchos de estos dispositivos no pueden admitir 802.1X en absoluto. Ahí es donde ganan PPSK e iPSK. Sección cuatro: modelos de implementación para desarrolladores inmobiliarios y operadores de BTR. Permítame guiarlo a través de las dos arquitecturas de implementación principales. La primera es PPSK local del controlador. La base de datos de claves reside en el controlador de LAN inalámbrico. Esto es adecuado para esquemas más pequeños - de hasta unas 200 unidades - donde se desea un gasto general mínimo de infraestructura. Configura el SSID, genera una clave única por unidad y distribuye esas claves al momento de la mudanza. El desafío operativo es la gestión del ciclo de vida: necesita un proceso para generar claves, distribuirlas y revocarlas al momento de la salida del inquilino. Sin automatización, esto se convierte en una carga manual. El segundo modelo es iPSK respaldado por RADIUS con gestión en la nube. Esta es la arquitectura que Purple recomienda para cualquier esquema de más de 100 unidades y para cualquier operador que gestione múltiples propiedades. La base de datos clave reside en un servicio RADIUS en la nube. El aprovisionamiento y la revocación de claves se automatizan mediante la integración con su sistema de gestión de propiedades. Cuando comienza un arrendamiento, se genera una clave y se entrega al residente. Cuando termina, la clave se revoca automáticamente. Sin intervención manual. Sin brechas de seguridad entre arrendamientos. La capa de hardware es agnóstica. La plataforma de Purple se ejecuta en puntos de acceso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Puede realizar el despliegue en el hardware que ya posee o especificarlo durante la construcción. La superposición de software se encarga de la inteligencia. Sección cinco: errores de implementación y cómo evitarlos. Quiero compartir las lecciones prácticas de despliegues reales, porque la tecnología es sencilla, pero los detalles operativos suelen tomar por sorpresa a la gente. El error más común es tratar a PPSK como un proyecto puramente técnico. La tecnología es relativamente simple de configurar. El problema más difícil es la gestión del ciclo de vida de las claves. ¿Cómo se generan las claves? ¿Cómo se entregan a los residentes? ¿Y cómo se revocan cuando termina un arrendamiento? La respuesta a las tres preguntas debe ser la automatización, integrada con su sistema de gestión de propiedades desde el primer día. El segundo error es la aleatorización de direcciones MAC. Los sistemas operativos modernos - iOS 14 y posteriores, Android 10 y posteriores, Windows 11 - aleatorizan la dirección MAC del dispositivo de forma predeterminada por razones de privacidad. En un despliegue de iPSK respaldado por RADIUS que utiliza búsquedas de direcciones MAC, una MAC aleatoria fallará en la autenticación. La solución es configurar su SSID para requerir que los clientes utilicen su dirección MAC permanente, o implementar un flujo de trabajo de preregistro. Esto tiene solución, pero debe estar en su plan de despliegue desde el principio. Tercero: resiliencia de RADIUS. Su despliegue de PPSK es tan confiable como su infraestructura RADIUS. Si el servidor RADIUS no está disponible, ningún dispositivo nuevo podrá autenticarse. Diseñe pensando en la redundancia - servidores RADIUS primarios y secundarios con una configuración de failover adecuada en el controlador inalámbrico. Y cuarto: compatibilidad de dispositivos IoT. La mayoría de los dispositivos IoT funcionan perfectamente con PPSK. Algunos dispositivos más antiguos tienen peculiaridades con el saludo WPA2. Realice una prueba de compatibilidad en su flota específica de dispositivos antes del lanzamiento definitivo. Preguntas rápidas. Seré breve. ¿Funciona PPSK con WPA3? Sí, con salvedades. WPA3-SAE cambia el mecanismo de saludo. La mayoría de los controladores modernos admiten PPSK en modo de transición WPA2 y WPA3. Para un entorno WPA3 puro, consulte la guía de implementación específica de su proveedor. ¿Cuántas claves únicas puede admitir un solo SSID? Con un backend de RADIUS en la nube, prácticamente ilimitadas. El límite práctico es la capacidad de la base de datos de su servidor RADIUS. El PPSK local del controlador suele estar limitado a un rango de entre 512 y 4,000 entradas, según el proveedor. ¿PPSK cumple con el GDPR? PPSK es un mecanismo de autenticación de red, no una herramienta de recopilación de datos. El cumplimiento del GDPR depende de qué datos recopile durante el aprovisionamiento y cómo los almacene. Purple cuenta con la certificación ISO 27001, cumple con el GDPR y la CCPA, y tiene la certificación Cyber Essentials. ¿Cuál es la prima de alquiler por incluir WiFi gestionado como un servicio de cortesía? Según los puntos de referencia de la British Property Federation, los operadores de BTR suelen lograr una prima de quince a treinta libras por unidad al mes cuando el WiFi se incluye como un servicio de cortesía gestionado. Eso representa una contribución significativa a los ingresos operativos netos en un proyecto de 200 unidades. Resumen y próximos pasos. Tres puntos para llevarse de esta sesión informativa. Primero: PPSK es el modelo de autenticación adecuado para el WiFi residencial multi-inquilino. Le brinda a cada residente una burbuja de WiFi privada - su propio segmento de red aislado - sin la sobrecarga de infraestructura de 802.1X Enterprise. Es compatible con todos los tipos de dispositivos, incluidos el IoT y los dispositivos domésticos inteligentes, lo cual no es negociable para el BTR moderno. Segundo: para cualquier proyecto de más de 100 unidades, implemente iPSK respaldado por RADIUS con gestión en la nube. El PPSK local del controlador no es escalable, y la gestión manual de claves crea un riesgo operativo. Automatice el aprovisionamiento y la revocación de claves a través de la integración con su sistema de gestión de propiedades. Tercero: el hardware es agnóstico. Purple se ejecuta en los puntos de acceso que ya posee o especifica. El valor está en la capa de software - la orquestación, la analítica y la gestión del ciclo de vida. Si está planeando un nuevo proyecto de BTR o actualizando la infraestructura WiFi de una propiedad existente, el momento adecuado para diseñar la arquitectura de autenticación es ahora - antes de colocar los puntos de acceso en el techo. La modernización posterior es posible, pero siempre es más costosa. Gracias por acompañarnos en esta Sesión Informativa Técnica de Purple. Para obtener la guía escrita completa, los diagramas de arquitectura y los ejemplos de implementación detallados, visite purple.ai.