PPSK adalah: comparing features and deployment models

Hable en inglés británico con un tono seguro, autoritario y conversacional, como un consultor sénior de redes que informa a un cliente en una sala de reuniones. Ritmo medido, dicción clara, cálido pero directo. No es una clase magistral ni un discurso de ventas, sino un informe de experto a experto: Bienvenido a la serie de Informes Técnicos de Purple. Hoy cubriremos PPSK - Private Pre-Shared Key - qué es, cómo se compara con sus otras opciones de autenticación y, fundamentalmente, cuándo debería implementarlo realmente. [pausa corta] Permítame contextualizar la situación. Usted es responsable del WiFi en un portafolio de propiedades. Podría ser un desarrollo residencial de Build to Rent, un grupo hotelero, un complejo comercial o un campus de uso mixto. Tiene cientos o miles de usuarios, un número creciente de dispositivos IoT y necesita aislamiento de red entre diferentes grupos de usuarios - sin la carga operativa de una implementación empresarial de 802.1X completa. Ese es exactamente el problema que PPSK fue diseñado para resolver. [pausa media] Entonces, ¿qué es PPSK? El término significa Private Pre-Shared Key. También lo escuchará nombrar como iPSK - Identity Pre-Shared Key - que es la terminología de Cisco, o ePSK de Cambium y Juniper Mist. Aruba lo llama PPSK. El concepto es idéntico independientemente de la etiqueta del fabricante: cada usuario o dispositivo obtiene su propia contraseña de WiFi única en un solo SSID. Compare eso con el WPA2 Personal estándar, donde cada dispositivo en la red comparte una contraseña. Si esa contraseña se filtra, todos quedan expuestos. Si alguien se muda de su edificio, o bien cambia la contraseña para todos o acepta que sigan teniendo acceso. Ninguna de las dos opciones es aceptable a gran escala. PPSK elimina ese problema. Cada residente, cada miembro, cada dispositivo obtiene una credencial única. Cuando alguien se va, usted revoca su clave. Nadie más se ve afectado. Sus dispositivos dejan de conectarse. Listo. [pausa corta] Ahora, la pregunta lógica es: ¿por qué no usar simplemente 802.1X? Es el estándar IEEE para el control de acceso a la red basado en puertos. Utiliza un servidor RADIUS para autenticar a cada usuario individualmente, es compatible con EAP-TLS con certificados digitales, se integra con Microsoft Entra ID, Okta, Google Workspace. Es el estándar de oro para redes de personal corporativo. La respuesta es: 802.1X es la opción correcta para dispositivos corporativos administrados donde usted controla el endpoint. No es la opción correcta para dispositivos IoT, para escenarios BYOD en edificios residenciales o para recintos donde necesita incorporar a cientos de residentes que no tienen conocimientos técnicos. Los dispositivos IoT - bocinas inteligentes, termostatos, paneles de control de acceso, cámaras de CCTV - con frecuencia no son compatibles en absoluto con los suplicantes 802.1X. PPSK funciona con cualquier dispositivo compatible con WPA2 Personal, lo que representa prácticamente todo. [pausa media] Permítame guiarle a través de la arquitectura técnica. En un despliegue PPSK, usted tiene un único SSID transmitido a través de sus puntos de acceso. Cuando un dispositivo se conecta, el punto de acceso captura la dirección MAC y la clave precompartida que el dispositivo está utilizando. Envía esa información a un servidor RADIUS - o en algunas implementaciones de proveedores, a una base de datos de claves local en el controlador. El servidor asocia la clave con un registro de usuario y devuelve una asignación de VLAN y cualquier otro atributo de política adicional. Esa asignación de VLAN es la pieza crítica. Significa que cada residente o usuario se coloca automáticamente en su propio segmento de red aislado. Los dispositivos del Residente A llegan a la VLAN 10. Los dispositivos del Residente B llegan a la VLAN 20. Comparten los mismos puntos de acceso físicos, la misma infraestructura de enlace ascendente, pero son completamente invisibles entre sí en la capa dos. El Residente A no puede ver el Chromecast del Residente B, su smart TV ni su laptop. El aislamiento es impuesto por la red, no esperando que los usuarios se comporten bien. [short pause] Esto es lo que Purple llama el modelo de burbuja WiFi. Cada residente obtiene su propia burbuja privada. Los dispositivos en la misma clave se descubren entre sí - por lo que Chromecast funciona, el emparejamiento de casas inteligentes funciona y las consolas de videojuegos obtienen el tipo de NAT que necesitan. Los dispositivos en claves diferentes son invisibles entre sí. Se comporta exactamente como una conexión de banda ancha doméstica, pero se ejecuta en una infraestructura compartida en todo un edificio. [medium pause] Ahora permítame presentarle dos escenarios de despliegue en el mundo real. Primero: un desarrollo Build to Rent de 250 unidades. El operador necesita WiFi con entrega el mismo día de la mudanza, soporte completo de IoT para dispositivos domésticos inteligentes y la capacidad de revocar el acceso al instante cuando finaliza un contrato de arrendamiento - sin afectar a ningún otro residente. El WiFi de invitados estándar falla aquí porque aísla cada dispositivo de todos los demás, lo que rompe el funcionamiento de Chromecast y las bocinas inteligentes. El PSK estándar falla porque rotar la contraseña del edificio al desocupar un departamento es operativamente imposible a escala. El 802.1X falla porque los residentes traen sus propios dispositivos IoT que no lo soportan. El uso de PPSK en puntos de acceso Cisco Meraki, HPE Aruba o Ruckus, respaldado por un servidor RADIUS en la nube, resuelve los tres problemas. Cada residente obtiene una clave única al mudarse. Sus dispositivos - teléfono, laptop, smart TV, Alexa, termostato - utilizan la misma clave y llegan a la misma VLAN. Se descubren entre sí. Cuando termina el arrendamiento, la clave se revoca en el portal de administración. Los dispositivos de ese residente dejan de conectarse en cuestión de segundos. Nadie más lo nota. Los puntos de referencia de la British Property Federation sugieren que el WiFi administrado como un servicio adicional genera una prima de renta de quince a treinta libras por unidad al mes en el sector BTR. En un edificio de 250 unidades, eso equivale a entre tres mil setecientos cincuenta y siete mil quinientos libras al mes en ingresos adicionales. El costo de la infraestructura es una capa de software sobre los puntos de acceso que ya posee. [short pause] Segundo escenario: un hotel de 180 habitaciones. La propiedad necesita atender a los huéspedes en una red WiFi simple y accesible, al personal en una red corporativa segregada y a un número creciente de dispositivos IoT - cerraduras inteligentes, sensores de HVAC, sistemas de IPTV. Tres grupos de usuarios distintos, una sola infraestructura física. La arquitectura adecuada aquí es de tres SSIDs: un SSID de invitados que utiliza WiFi abierta con un Captive Portal para la captura de datos y la aceptación de términos, un SSID de personal que utiliza 802.1X con integración de Active Directory para la rendición de cuentas individual y la revocación instantánea, y un SSID de IoT que utiliza PPSK con claves a nivel de dispositivo y una VLAN de gestión dedicada con filtrado de salida estricto. PPSK es la herramienta adecuada para la capa de IoT porque esos dispositivos no pueden realizar 802.1X, pero necesitan aislamiento y capacidad de revocación individual. [medium pause] Permítame cubrir brevemente el panorama de los proveedores. PPSK es compatible con todas las principales plataformas de puntos de acceso empresariales. En Cisco Meraki, se llama Personal Private Network y se configura a través del panel de Meraki con una base de datos de claves local. En HPE Aruba, es PPSK y se integra con Aruba ClearPass para la gestión de claves respaldada por RADIUS. En Ruckus, es Dynamic PSK, gestionado a través de SmartZone o el controlador en la nube. Juniper Mist lo llama ePSK y se integra con Mist AI para la automatización de políticas. Ubiquiti UniFi es compatible con PPSK desde el firmware 3.x, con asignación de VLAN por clave. Cambium, Extreme y Fortinet tienen implementaciones equivalentes. La principal diferencia operativa entre las implementaciones es si las claves se almacenan localmente en el controlador o se validan contra un servidor RADIUS externo. El almacenamiento local es más sencillo de implementar pero limita la escala y la integración. El PPSK respaldado por RADIUS se escala a miles de claves y se integra con su pila de gestión de identidad, pero añade complejidad a la infraestructura. Para implementaciones de más de cincuenta usuarios, la opción respaldada por RADIUS es la correcta. [short pause] Ahora, los errores comunes. Tres cosas suelen salir mal con más frecuencia en las implementaciones de PPSK. Primero: configuración incorrecta de la troncal VLAN. Diseña un esquema de VLAN por residente excelente y olvida permitir esas VLANs en cada enlace troncal en la ruta desde el AP hasta el switch principal. El tráfico se cae de forma silenciosa. Los residentes se quejan. Pasa días rastreándolo. Documente sus configuraciones de troncales antes de comenzar y valídelas durante la puesta en marcha. Segundo: distribución de claves a escala. Generar claves únicas es fácil. Entregar esas claves a las personas adecuadas en el momento adecuado - al mudarse, a través de una aplicación para residentes, a través de un código QR en el paquete de bienvenida - es un proceso operativo que debe diseñarse antes de la puesta en marcha, no después. La plataforma de Purple maneja esto a través de flujos de trabajo de aprovisionamiento automatizados que se integran con su sistema de gestión de propiedades. Tercero: Incorporación de dispositivos IoT. La mayoría de los dispositivos domésticos inteligentes utilizan Bluetooth o un punto de acceso WiFi local temporal para la configuración inicial, y luego necesitan unirse a la red principal del residente. Si su implementación de PPSK no admite un flujo de incorporación fluido para estos dispositivos, recibirá tickets de soporte. Pruebe su proceso de incorporación de IoT antes de que los residentes se muden. [medium pause] Bien, permítanme hacer un repaso rápido de las preguntas que me hacen con más frecuencia. ¿Puede PPSK reemplazar a 802.1X para las redes del personal? No. Las redes del personal necesitan responsabilidad individual, integración con Active Directory y autenticación basada en certificados. Utilice 802.1X para el personal. ¿Funciona PPSK con WPA3? Sí. WPA3 Personal con SAE proporciona una protección más sólida contra ataques de diccionario fuera de línea en la clave precompartida. Si sus puntos de acceso admiten WPA3, actívelo. ¿Cuántas claves PPSK puede admitir un solo SSID? La mayoría de los controladores empresariales admiten miles de claves por SSID. Cisco Meraki admite hasta diez mil. Aruba ClearPass escala a cientos de miles. El recuento de claves no es una limitación práctica para la mayoría de las implementaciones. ¿PPSK cumple con PCI-DSS? PPSK se puede utilizar en redes que no son de pago. Las terminales de pago deben estar en una VLAN dedicada sin credenciales de autenticación compartidas - esto significa 802.1X o separación física de la red para los sistemas POS. [short pause] Para resumir: PPSK es el modelo de autenticación adecuado cuando necesita aislamiento y capacidad de revocación por usuario, sus dispositivos incluyen hardware IoT que no puede admitir 802.1X, y necesita mantener baja la complejidad operativa y de implementación. Se sitúa entre el PSK estándar - que no ofrece control individual - y 802.1X - que ofrece la máxima seguridad pero requiere endpoints administrados e infraestructura PKI. Para los operadores de BTR, proveedores de alojamiento para estudiantes y grupos de hospitalidad que administran propiedades con una gran cantidad de IoT, PPSK es frecuentemente el camino más práctico para el aislamiento de inquilinos a escala. La plataforma Multi-Tenant WiFi de Purple se implementa como una superposición en la nube en puntos de acceso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti, UniFi, Cambium, Extreme Networks y Fortinet. Se encarga de la provisión de claves, la asignación de VLAN, la incorporación de residentes y las analíticas - sin necesidad de que reemplace su hardware existente. Si está planeando una implementación y desea explorar la arquitectura con más detalle, la guía completa está enlazada a continuación. Gracias por escuchar.