PPSK umpsa: comparación de características y modelos de implementación

[0:00 - 1:00] Introducción y contexto Bienvenido a la sesión técnica de Purple. Hoy hablaremos sobre PPSK - Private Pre-Shared Key - específicamente en el contexto de implementaciones residenciales multiinquilino y de uso mixto. Si es un desarrollador inmobiliario, un operador de build-to-rent o gestiona una cartera de alojamiento para estudiantes, esto es directamente relevante para las decisiones que tomará este año. Comencemos con lo básico, porque la terminología aquí es realmente confusa. PPSK tiene varios nombres según el proveedor con el que hable. Aruba lo llama PPSK. Cisco Meraki lo llama Personal Private Network. Extreme Networks utiliza el término Private PSK. Juniper Mist y Cambium utilizan ePSK. Ubiquiti UniFi lo llama Private Pre-Shared Keys. Todos describen el mismo concepto: en lugar de que todos los usuarios compartan una sola contraseña, cada usuario o grupo obtiene su propia credencial única. [1:00 - 6:00] Profundización técnica Ahora bien, ¿por qué es esto importante? Piense en una contraseña compartida tradicional en el WiFi de un edificio. Todos los residentes usan la misma clave. Cuando alguien se muda, tiene dos opciones: o deja activo su acceso, lo que representa un problema de seguridad, o cambia la contraseña para todos, lo que desconecta los dispositivos de todos los demás residentes hasta que vuelvan a conectarse. Ninguna de las dos opciones es aceptable a gran escala. PPSK elimina ese problema por completo. Se revoca una clave, un residente pierde el acceso y los demás no se ven afectados en absoluto. Hay tres modelos de implementación distintos que vale la pena entender, y elegir el incorrecto para su contexto le costará caro a nivel operativo. El primero es el PSK compartido estándar: la contraseña única tradicional para todos. Es el más sencillo de configurar y funciona bien para una red doméstica. En un edificio residencial multiinquilino, es prácticamente inutilizable a cualquier escala significativa. Una contraseña filtrada compromete a toda la red. No hay aislamiento de VLAN entre residentes. No hay revocación individual. Evítelo. El segundo modelo es el PPSK a nivel de grupo. Aquí, se asigna una contraseña única a cada grupo, tal vez a cada piso, a cada departamento en un edificio de oficinas o a cada propiedad en una cartera. Esto le brinda segmentación VLAN a nivel de grupo y revocación a nivel de grupo. Funciona bien para eventos, conferencias y entornos de oficina donde se desea una separación departamental sin la complejidad por usuario. La carga operativa es baja y no necesariamente se requiere un servidor RADIUS; muchos puntos de acceso manejan el PPSK de grupo de forma nativa. El tercer modelo - y el que recomendamos para BTR, alojamiento de estudiantes y cualquier implementación residencial - es el iPSK por usuario. Identity Pre-Shared Key. Cada residente recibe su propia credencial única. Todos sus dispositivos usan esa única credencial, la cual los coloca en su propia VLAN privada: su propia burbuja WiFi. Su teléfono detecta su smart TV, su laptop detecta su Chromecast, su bocina inteligente se vincula con sus luces. Pero no pueden ver los dispositivos de ningún otro residente, a pesar de que todos están en el mismo punto de acceso físico y en el mismo SSID. Esta es la arquitectura que hace que el WiFi administrado funcione realmente como una amenidad residencial. La experiencia del residente es idéntica a tener su propio router de banda ancha en casa. El operador conserva el control total de la infraestructura. Permítame guiarlo a través de la arquitectura técnica, porque comprender esto le ayudará a hacer las preguntas correctas a los proveedores e integradores. En un despliegue de PPSK sin RADIUS, el propio punto de acceso contiene una base de datos local de claves y sus asignaciones de VLAN asociadas. Cuando un dispositivo se conecta, el AP busca la clave, identifica a qué VLAN se asocia y coloca el dispositivo allí. Esto funciona bien para despliegues más pequeños - hasta unos cientos de claves en la mayoría de los puntos de acceso empresariales. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet admiten alguna variante de esto. Para despliegues más grandes - un edificio para renta (BTR) de doscientas unidades, un bloque de alojamiento para estudiantes de mil camas - querrá un PPSK respaldado por un servidor RADIUS. El punto de acceso reenvía la credencial al servidor RADIUS, que la valida frente a un directorio, devuelve la asignación de VLAN correspondiente y el AP coloca el dispositivo en consecuencia. Esto escala a decenas de miles de claves, se integra con proveedores de identidad como Microsoft Entra ID, Okta o Google Workspace, y le brinda un registro de auditoría centralizado - lo cual es importante para el cumplimiento de GDPR. Hablando de cumplimiento - este es un ámbito donde la elección del modelo de despliegue tiene implicaciones legales reales. Bajo GDPR, usted tiene la obligación de proteger los datos de los residentes. Si el residente A puede ver el tráfico de red del residente B, eso es un problema de protección de datos. El aislamiento de VLAN por usuario, entregado a través de iPSK, es el mecanismo técnico que satisface esa obligación. No es solo algo deseable; es un requisito de cumplimiento en cualquier contexto residencial donde se procesen datos personales. PCI DSS es relevante si tiene algún procesamiento de pagos en la misma infraestructura de red - por ejemplo, un elemento comercial en un desarrollo de uso mixto. La segmentación de VLAN aísla el tráfico de pagos del tráfico residencial, lo cual es un requisito central de PCI DSS. IEEE 802.1X es el estándar subyacente para el control de acceso a la red basado en puertos, y aunque un 802.1X completo con EAP-TLS y certificados es el estándar de oro para la seguridad empresarial, PPSK con RADIUS es un término medio pragmático que ofrece la mayoría de los beneficios de seguridad con una complejidad de despliegue significativamente menor. [6:00 - 8:00] Recomendaciones de implementación y errores comunes Ahora permítame presentarle dos escenarios concretos, porque la teoría solo llega hasta cierto punto. Escenario uno: una torre para renta de doscientas cincuenta unidades en el centro de la ciudad. El desarrollador quiere que el WiFi esté incluido en la renta mensual como una amenidad premium. Los residentes esperan que sus dispositivos domésticos inteligentes funcionen - Sonos, Philips Hue, Amazon Echo, smart TVs, consolas de videojuegos. Esperan poder agregar nuevos dispositivos sin tener que llamar a un soporte técnico. Y esperan que su vecino no pueda ver su tráfico de red. La arquitectura correcta en este caso es un único SSID en todo el edificio, respaldado por iPSK con RADIUS. Cada residente recibe una clave única al mudarse, entregada a través de una aplicación para residentes o un código QR en su paquete de bienvenida. Todos sus dispositivos utilizan esa clave. El servidor RADIUS asocia la clave a una VLAN dedicada por unidad. Cuando el residente se muda, la clave se revoca en la plataforma de gestión. El siguiente residente recibe una clave nueva. Sin cambios de contraseña y sin interrupciones para otros residentes. El hardware funciona en cualquier punto de acceso que ya esté especificado; Cisco Meraki, HPE Aruba, Ruckus o Ubiquiti UniFi son comunes en este sector. La plataforma de Purple funciona como una superposición en la nube, gestionando el ciclo de vida de las claves, las asignaciones de VLAN y la incorporación de residentes sin necesidad de un reemplazo total de la infraestructura física. Escenario dos: un desarrollo de uso mixto con locales comerciales en la planta baja, un espacio de coworking en los pisos dos y tres, y viviendas residenciales del piso cuatro hacia arriba. Tiene tres poblaciones de usuarios distintas con requisitos de red completamente diferentes. El comercio minorista necesita aislamiento de pagos que cumpla con PCI. Los miembros del coworking necesitan confiabilidad de nivel empresarial y compatibilidad con VPN. Los residentes necesitan la experiencia de red doméstica que acabamos de describir. Aquí, lo normal sería ejecutar tres SSIDs (uno por población) o utilizar un único SSID con PPSK y asignación de VLAN basada en roles para separar los tres grupos. El enfoque de tres SSIDs es más limpio operativamente y se adapta de forma más natural a los diferentes flujos de incorporación. El personal de los locales comerciales utiliza 802.1X con credenciales corporativas. Los miembros del coworking obtienen PPSK a nivel de grupo por empresa. Los residentes reciben iPSK por unidad. Las tres poblaciones comparten la misma infraestructura física de puntos de acceso, pero su tráfico nunca se cruza. Permítame cubrir los errores de implementación más comunes, porque veo los mismos fallos repetidamente. El primero es subestimar la densidad de dispositivos. Un edificio de doscientas unidades no tiene doscientos dispositivos en el WiFi. Tiene de tres mil a cinco mil. El promedio actual es de quince a veinticinco dispositivos por hogar, y esa cifra crece cada año a medida que aumenta la adopción de hogares inteligentes. Su alcance DHCP, el tamaño de su subred VLAN y la planificación de capacidad de sus puntos de acceso deben tener esto en cuenta. El segundo error es elegir PPSK sin RADIUS para una implementación grande para ahorrar costos, y luego descubrir que la base de datos de claves locales del punto de acceso tiene un límite estricto. Para cualquier proyecto de más de cien unidades, presupueste un servidor RADIUS desde el principio. Los servicios RADIUS alojados en la nube eliminan la carga de infraestructura en las instalaciones. El tercer error es descuidar la banda de dos punto cuatro gigahertz. Conviene orientar a los residentes a las bandas de cinco gigahertz y seis gigahertz para obtener un mejor rendimiento. Sin embargo, los dispositivos IoT (enchufes inteligentes, sensores antiguos, algunas bocinas inteligentes) a menudo solo admiten dos punto cuatro gigahertz. Su configuración PPSK debe ser compatible con ambas bandas. El cuarto peligro es el flujo de trabajo de salida. PPSK solo ofrece sus beneficios operativos si el proceso de revocación de claves se ejecuta realmente al momento de la mudanza. Si su sistema de gestión de propiedades no se integra con su plataforma de gestión de red, las claves se acumulan. Automatice el flujo de trabajo de revocación mediante una integración entre su sistema de gestión de inquilinos y su plataforma de gestión de WiFi. [8:00 - 9:00] Preguntas y respuestas rápidas Ahora, algunas preguntas rápidas que me hacen con regularidad. ¿Necesito reemplazar mis puntos de acceso existentes para implementar PPSK? En la mayoría de los casos, no. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet son compatibles con las variantes de PPSK o iPSK en el firmware actual. ¿Es PPSK tan seguro como 802.1X con certificados? No. El 802.1X completo con EAP-TLS y certificados digitales es más seguro. Pero para implementaciones residenciales donde se incorporan residentes no técnicos con dispositivos de consumo, PPSK con RADIUS es la opción pragmática que ofrece una seguridad adecuada con una complejidad operativa manejable. ¿Qué pasa con WPA3? PPSK puede ejecutarse sobre WPA3-Personal, y debe habilitarlo donde el hardware de su punto de acceso lo admita. Ejecutar un modo de transición que admita clientes WPA2 y WPA3 en el mismo SSID es el enfoque estándar durante el período de transición. [9:00 - 10:00] Resumen y próximos pasos Para concluir: el marco de decisión es sencillo. Si está implementando WiFi en un contexto residencial multiinquilino - BTR, alojamiento para estudiantes, vivienda social - desea iPSK por usuario con RADIUS. Si está implementando para eventos, conferencias o segmentación de departamentos de oficina, el PPSK a nivel de grupo sin RADIUS suele ser suficiente. Si todavía utiliza una única contraseña compartida para un edificio multiinquilino, eso debe cambiar este año. Los beneficios operativos son medibles. Una implementación gestionada de BTR con iPSK suele registrar una caída en el volumen de tickets de soporte de más del noventa por ciento en comparación con las implementaciones no gestionadas o de PSK compartido. La gestión de credenciales al momento de la mudanza pasa de ser un evento disruptivo en todo el edificio a una única entrada en la base de datos. Gracias por escuchar el Purple Technical Briefing. Si desea profundizar en la arquitectura, visite purple.ai. Si tiene preguntas sobre su implementación específica, hable con uno de nuestros arquitectos de red.