PPSK WiFi: comparación de funciones y modelos de implementación

Te damos la bienvenida al Informe Técnico de Purple. Hoy hablaremos de PPSK WiFi - Private Pre-Shared Key - qué es, cómo se compara con las alternativas y dónde tiene sentido implementarlo. [medium pause] Empecemos con el problema que resuelve. En una red WPA2 Personal tradicional, cada dispositivo de la red comparte la misma contraseña. Eso está bien para una casa. Pero es un riesgo de seguridad para un desarrollo multifamiliar de 200 departamentos, una residencia de estudiantes o un hotel con 300 habitaciones. Cuando un residente se muda, o cambias la contraseña para todos - lo que desconectaría la Smart TV, el termostato y la consola de todos los demás residentes - o dejas que el residente anterior siga teniendo acceso. Ninguna de las dos opciones es aceptable. [short pause] PPSK resuelve esto asignando a cada residente, departamento o grupo de dispositivos su propia clave de WiFi única. Todos se conectan al mismo SSID - el mismo nombre de red - pero cada clave se asocia a una VLAN distinta. El departamento 12 está en la VLAN 10. El departamento 13 en la VLAN 20. Los dispositivos de IoT están en la VLAN 99. El punto de acceso gestiona la asignación de clave a VLAN de forma automática. Sin necesidad de un servidor RADIUS. Sin infraestructura de certificados. Sin suplicante 802.1X en el dispositivo. [medium pause] Ahora hablemos de la terminología, porque varía según el fabricante y eso genera una verdadera confusión en el mercado. Aruba lo llama PPSK - Private Pre-Shared Key. Cisco Meraki lo llama iPSK - Identity PSK, o Red Privada Personal. Juniper Mist utiliza ePSK. Extreme Networks, que desarrolló originalmente el concepto bajo la marca Aerohive, lo llama Private PSK. Ubiquiti UniFi lo llama simplemente PPSK. Cambium también utiliza ePSK. El mecanismo subyacente es idéntico en todos ellos: un solo SSID, múltiples claves únicas, y cada clave vinculada a una VLAN o a un grupo de políticas. [short pause] Técnicamente, esto es lo que ocurre en la capa de asociación. Cuando un dispositivo se conecta, presenta su clave precompartida durante el saludo de cuatro vías de WPA2. El punto de acceso - o el controlador en la nube que está detrás - busca esa clave en el almacén de PPSK, identifica a qué VLAN está asociada y etiqueta el tráfico del dispositivo de forma correspondiente a partir de ese momento. El dispositivo experimenta una conexión WiFi normal. No tiene idea de que ha sido ubicado en un segmento aislado. Su Chromecast funciona. Su bocina inteligente se vincula. Su consola obtiene el tipo de NAT adecuado. Todo se comporta como una red doméstica - porque, desde la perspectiva del dispositivo, lo es. [medium pause] Esta es la diferencia clave con respecto a 802.1X, que es el estándar empresarial para redes de personal y entornos corporativos. El estándar 802.1X requiere un servidor RADIUS, un proveedor de identidad - Microsoft Entra ID, Okta o Google Workspace - y un suplicante en cada dispositivo. Ese suplicante es el componente de software que gestiona el intercambio de autenticación EAP. Cada laptop administrada, cada teléfono corporativo tiene uno. El refrigerador inteligente de tu residente no lo tiene. El controlador de HVAC de tu edificio no lo tiene. Tus sensores de IoT no lo tienen. PPSK funciona con todos ellos porque opera en la capa WPA Personal, no en la capa WPA Enterprise. [short pause] Dicho esto, PPSK no es un reemplazo para 802.1X en entornos corporativos. Es una herramienta diferente para un problema diferente. Si opera una red para el personal donde la responsabilidad individual es importante - donde necesita saber que una persona específica se autenticó en un momento específico, y necesita revocar su acceso en el momento en que deja la organización - 802.1X es la respuesta correcta. Si opera una red residencial donde necesita aislamiento por hogar, soporte de IoT y simplicidad operativa a escala, PPSK es la respuesta correcta. [medium pause] Analicemos los modelos de implementación. Existen tres patrones principales en producción hoy en día. [short pause] El primero es el modelo de controlador en la nube, que es el más común para nuevas implementaciones. Sus puntos de acceso - ya sea Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet - se conectan a una plataforma de gestión en la nube. El almacén de claves PPSK reside en el controlador en la nube. Cuando da de alta a un nuevo residente, crea una clave en el portal, la asigna a una VLAN y el controlador envía la política a cada punto de acceso en el edificio. El residente recibe su clave - por correo electrónico, SMS o un código QR en un paquete de bienvenida - y se conecta. Cuando se mudan, usted elimina la clave. Sus dispositivos dejan de conectarse. Nadie más se ve afectado. [short pause] El segundo modelo es PPSK con un backend RADIUS local. Algunas implementaciones empresariales utilizan un servidor RADIUS para almacenar y validar las credenciales PPSK, lo que proporciona registro centralizado, pistas de auditoría e integración con su plataforma de gestión de identidad. Esto añade una sobrecarga de infraestructura pero le brinda la responsabilidad de 802.1X con la compatibilidad de dispositivos de PPSK. Es el modelo adecuado para entornos mixtos - por ejemplo, un espacio de coworking donde tiene tanto dispositivos corporativos gestionados como equipos IoT propiedad de los miembros. [short pause] El tercer modelo es el híbrido: PPSK para residentes e IoT, 802.1X para el personal y los sistemas de gestión. Esta es la arquitectura que Purple recomienda para implementaciones de Build to Rent y unidades multifamiliares. Los residentes obtienen PPSK. Los sistemas de gestión del edificio, CCTV y control de acceso obtienen su propia VLAN de IoT con PPSK. Los dispositivos del equipo de administración de la propiedad utilizan 802.1X con Microsoft Entra ID o Okta. Tres modelos de autenticación distintos, tres VLAN distintas, una sola infraestructura física. Ahora entremos en la implementación. Si está implementando PPSK para un desarrollo de Build to Rent o una propiedad de unidades multifamiliares, aquí está la secuencia que funciona. [short pause] Comience con su diseño lógico antes de tocar el hardware. Planifique su número de residentes, sus categorías de dispositivos IoT y cualquier sistema del personal o de gestión. Asigne las VLAN. Una implementación típica de BTR se ve así: VLAN 10 hasta lo que requiera su número de unidades para los residentes, una VLAN por departamento o una VLAN por piso según su densidad. VLAN 99 para IoT. VLAN 100 para la gestión del edificio. VLAN 200 para WiFi de invitados en áreas comunes. [short pause] Luego, documente su esquema de direccionamiento IP. En un edificio de 200 unidades, se contemplan de 3,000 a 5,000 dispositivos en la red en cualquier momento. Esa es la cifra de 15 a 25 dispositivos por hogar según la investigación de la British Property Federation. Sus alcances de DHCP deben adaptarse a eso. Utilice el direccionamiento privado RFC 1918 con tamaños de subred suficientes por VLAN. Un slash 24 le ofrece 254 direcciones utilizables. Un slash 23 le ofrece 510. Dimensione según corresponda. [medium pause] En cuanto a la selección de hardware: PPSK es compatible con todas las principales plataformas de puntos de acceso empresariales. Cisco Meraki lo llama iPSK y lo gestiona a través del panel de Meraki con políticas de clave por SSID. HPE Aruba lo implementa de forma nativa en ArubaOS y Aruba Central. Ruckus lo admite a través de SmartZone y la plataforma Ruckus Cloud. Juniper Mist utiliza ePSK con gestión de RF impulsada por IA. Ubiquiti UniFi cuenta con PPSK desde 2023, aunque tenga en cuenta que actualmente es solo WPA2 y no funcionará en la banda de 6 gigahercios. Cambium y Extreme lo admiten a través de sus respectivas plataformas en la nube. [short pause] Una limitación crítica a señalar: la implementación de PPSK de UniFi es solo WPA2. Si está especificando puntos de acceso WiFi 6E y desea utilizar la banda de 6 gigahercios para clientes PPSK, necesitará una plataforma que admita WPA3-SAE con PPSK, o necesitará restringir los clientes PPSK a las bandas de 2.4 y 5 gigahercios. Aruba, Ruckus y Meraki admiten PPSK en configuraciones WPA3. [medium pause] Ahora hablemos de los errores comunes. Estos son los patrones de falla que veo repetidamente en las implementaciones de producción. [short pause] El primero es la proliferación de SSID. Cada SSID que transmite consume tiempo de transmisión para las tramas de baliza. En un edificio residencial denso, si transmite seis u ocho SSIDs por punto de acceso, está degradando el rendimiento para todos. Manténgalo en un máximo de cuatro SSIDs por radio. Utilice PPSK para dar servicio a múltiples segmentos de residentes desde un solo SSID en lugar de crear un SSID independiente por departamento o por piso. [short pause] El segundo error común es la configuración insuficiente del puerto de enlace troncal. Diseña un esquema de VLAN limpio, despliega los puntos de acceso y luego el tráfico se pierde silenciosamente porque alguien olvidó permitir las VLAN correspondientes en un enlace troncal entre el switch de distribución y la capa de acceso. Valide cada puerto de enlace troncal durante la puesta en marcha. Documéntelo. Pruébelo con un dispositivo en cada VLAN antes de que se muden los residentes. [short pause] El tercer error común es la distribución de claves. Generar claves es fácil. Entregarlas a los residentes de una manera segura y operacionalmente manejable es más difícil. Un código QR en el paquete de bienvenida funciona bien para el día de la mudanza. Un portal para residentes donde puedan recuperar su clave y agregar nuevos dispositivos es mejor para las operaciones en curso. Desarrolle el flujo de trabajo de distribución de claves antes de realizar el despliegue, no después. [short pause] El cuarto peligro, específico del IoT, es colocar los dispositivos domésticos inteligentes en el segmento PPSK del residente sin considerar las implicaciones. Un dispositivo IoT comprometido en la VLAN de un residente puede potencialmente atacar a otros dispositivos en esa misma VLAN. Para las categorías de IoT de alto riesgo, considere una VLAN de IoT separada con filtrado de salida, incluso si eso significa que los residentes deban configurar sus aplicaciones de hogar inteligente para usar una red diferente. [medium pause] Analicemos dos escenarios del mundo real. [short pause] Escenario uno: un desarrollo Build to Rent de 180 unidades en el centro de la ciudad. El operador quería incluir el WiFi en el alquiler como un servicio adicional, con activación el mismo día de la mudanza y compatibilidad total con el hogar inteligente. Desplegaron puntos de acceso HPE Aruba administrados a través de Aruba Central. Cada departamento recibe una clave PPSK única generada al firmar el contrato de arrendamiento. La clave se envía por correo electrónico al residente con un código QR. Lo escanean, todos sus dispositivos se conectan y su Chromecast, altavoz inteligente y consola funcionan de inmediato. Cuando un residente se muda, el administrador de la propiedad elimina la clave en el portal. El nuevo residente recibe una clave nueva al mudarse. Cero dramas con la rotación de contraseñas. El operador informa una reducción del 30% en los tickets de soporte relacionados con WiFi en comparación con su despliegue anterior de contraseña compartida. [short pause] Escenario dos: un complejo de alojamiento para estudiantes construido específicamente con 400 camas. El desafío aquí es la semana de mudanza de la cohorte, con cientos de estudiantes que llegan simultáneamente, todos intentando conectar docenas de dispositivos a la vez. El operador utilizó puntos de acceso Ruckus con SmartZone, desplegando PPSK con una clave por habitación. Las claves se generaron previamente y se incluyeron en el paquete de bienvenida enviado antes de la llegada. Los estudiantes escanearon el código QR al llegar y se conectaron en segundos. La red manejó el pico de la mudanza sin degradación porque el tráfico de cada estudiante estaba aislado en su propio segmento de VLAN. [medium pause] Ahora, una sección rápida de preguntas y respuestas sobre los temas que surgen con más frecuencia. [short pause] ¿Cuántas claves PPSK puede manejar un solo punto de acceso? La mayoría de las plataformas empresariales admiten miles de claves por SSID. Cisco Meraki admite hasta 5,000 entradas iPSK por red. Aruba admite una escala similar. Ubiquiti UniFi admite hasta 1,000 entradas PPSK por red. Para un edificio de 200 unidades, está muy dentro de los límites en cualquier plataforma. [short pause] ¿Funciona PPSK con WPA3? Sí, en la mayoría de las plataformas empresariales. WPA3-SAE proporciona una protección más sólida contra ataques de diccionario fuera de línea en comparación con WPA2-PSK, por lo que desplegar PPSK en WPA3 cuando los dispositivos cliente lo admitan es el enfoque correcto. La excepción es UniFi, que actualmente solo admite WPA2 para PPSK. [short pause] ¿Puedo integrar PPSK con mi sistema de gestión de propiedades? Sí, a través de la API del proveedor. Aruba Central, Meraki, Ruckus y Mist exponen APIs REST para la gestión de claves PPSK. Puede automatizar la creación y revocación de claves como parte de su flujo de trabajo de gestión de arrendamientos. [short pause] ¿Cuál es la diferencia de seguridad entre PPSK y 802.1X? La diferencia fundamental es que PPSK es un modelo de secreto compartido. La clave es una cadena de caracteres que se puede compartir o interceptar. El estándar 802.1X con EAP-TLS utiliza certificados digitales, los cuales no se pueden compartir de la misma manera y proporcionan autenticación mutua. Para entornos residenciales donde el modelo de amenaza es principalmente el aislamiento entre residentes, PPSK proporciona una seguridad adecuada. Para redes de personal corporativo, 802.1X es la opción correcta. [medium pause] Para resumir: el WiFi con PPSK es el modelo de autenticación adecuado para implementaciones residenciales multi-inquilino, entornos con un alto uso de IoT y cualquier escenario en el que se necesite aislamiento por usuario o por hogar sin la sobrecarga de infraestructura de 802.1X. Funciona en Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. Se integra con sistemas de gestión de propiedades a través de API. Y resuelve los tres problemas operativos principales que las redes con contraseñas compartidas no pueden: la mudanza de un inquilino sin afectar a los demás, el soporte para dispositivos de hogar inteligente y la responsabilidad individual de cada residente. [short pause] El marco de decisión es sencillo. Si sus dispositivos son compatibles con 802.1X y cuenta con una infraestructura RADIUS, utilice 802.1X para el personal y los dispositivos gestionados. Si administra una propiedad residencial multi-inquilino, utilice PPSK. Si tiene dispositivos IoT que no admiten 802.1X, utilice PPSK con una VLAN dedicada para IoT. Si necesita WiFi para invitados en áreas comunes, utilice una red PSK estándar o abierta con un Captive Portal de respaldo. [short pause] Para los siguientes pasos: revise el diagrama de descripción general de la arquitectura en la guía, que muestra toda la pila de implementación de PPSK, desde el enlace ascendente del ISP hasta el dispositivo del residente. Utilice el diagrama de flujo de decisión para mapear su entorno específico con el modelo de autenticación adecuado. Y si está planeando una implementación de BTR o MDU y desea comprender cómo la plataforma de WiFi multi-inquilino de Purple se integra con su hardware existente para proporcionar la capa de administración de claves, el portal de residentes y la capa de análisis, el enlace se encuentra en la guía. [medium pause] Eso es todo por el reporte de hoy. Gracias por escuchar. Permítame profundizar en el modelo de seguridad, porque aquí es donde veo la mayor confusión en el mercado. [short pause] PPSK opera en la capa WPA Personal. Cada clave es un secreto precompartido. La garantía de seguridad que ofrece PPSK es el aislamiento entre residentes: el dispositivo A con la clave A no puede comunicarse con el dispositivo B con la clave B, incluso cuando están asociados al mismo punto de acceso físico. Ese aislamiento se aplica en la capa VLAN, no en la capa de cifrado. El cifrado entre cada dispositivo y el punto de acceso utiliza la misma suite de cifrado WPA2 o WPA3, independientemente de la clave PPSK que el dispositivo haya utilizado para autenticarse. [short pause] Lo que PPSK no proporciona es la autenticación mutua que ofrece 802.1X. En un despliegue de 802.1X con EAP-TLS, el cliente se autentica en la red y la red se autentica en el cliente. Ambas partes presentan certificados. Esto evita los ataques de puntos de acceso no autorizados. Con PPSK, el cliente no tiene forma de verificar si está conectado a la red legítima en lugar de a un punto de acceso no autorizado que transmita el mismo SSID. Para un edificio residencial donde el modelo de amenaza se centra principalmente en aislar a los residentes entre sí, esta es una concesión aceptable. Para un entorno corporativo que maneja datos confidenciales, no lo es. [medium pause] Ahora hablemos de la ruta de actualización a WPA3. WPA3-SAE, que significa Autenticación Simultánea de Iguales, reemplaza el saludo de cuatro vías de WPA2 con un protocolo de intercambio de claves más seguro llamado Dragonfly. La mejora crítica para los despliegues de PPSK es la confidencialidad directa: incluso si un atacante captura el tráfico WiFi y posteriormente obtiene la clave precompartida, no podrá descifrar el tráfico capturado. WPA2-PSK no proporciona confidencialidad directa. WPA3-SAE sí lo hace. Si está desplegando hardware nuevo hoy, especifique el soporte para WPA3-SAE y habilítelo para su SSID de PPSK. Los clientes que no admitan WPA3 volverán a WPA2 en modo de transición, por lo que no es necesario forzar un cambio drástico. [short pause] Vale la pena abordar directamente la perspectiva de GDPR. En un despliegue residencial multi-tenant, usted procesa datos personales - específicamente, la asociación entre una clave WiFi y un residente identificado. Esa asociación constituye datos personales según el UK GDPR y el GDPR de la UE. Necesita una base jurídica para procesarlos. En el contexto de un BTR, la base jurídica suele ser la ejecución de un contrato - el contrato de arrendamiento - o intereses legítimos. Necesita un aviso de privacidad que cubra el procesamiento de datos de WiFi. Necesita una política de retención de datos para los registros de conexión. Y debe ser capaz de responder a las solicitudes de acceso de los interesados, lo que significa que su plataforma de gestión de PPSK debe poder exportar todos los datos asociados con la clave de un residente específico. [short pause] La plataforma Multi-Tenant WiFi de Purple está diseñada con esto en mente. Los datos se almacenan en una infraestructura con certificación ISO 27001. Cumplimos con GDPR y CCPA. La residencia de los datos es seleccionable - Reino Unido, UE o EE. UU. - para que pueda cumplir con sus obligaciones normativas sin importar dónde se encuentren sus propiedades. Y nuestra plataforma proporciona el registro de auditoría y las capacidades de exportación de datos que necesita para el cumplimiento. Permítame abordar la cuestión del ROI, porque surge en cada conversación de adquisición de BTR. [short pause] La investigación de la British Property Federation muestra constantemente que la calidad del WiFi es uno de los cinco principales factores de comodidad en las decisiones de arrendamiento de Build to Rent. Los operadores que incluyen WiFi administrado como un servicio reportan primas de alquiler de quince a treinta libras por unidad al mes en comparación con propiedades equivalentes sin conectividad incluida. En un edificio de 200 unidades, eso representa entre treinta y seis mil y setenta y dos mil libras al año en ingresos por alquiler adicionales. Frente a un costo de implementación típico de PPSK - hardware amortizado a lo largo de cinco años más una licencia de software superpuesta - el periodo de recuperación suele ser de menos de 18 meses. [short pause] Los ahorros operativos son igualmente significativos. Una red con contraseña compartida en un edificio de 200 unidades genera un volumen predecible de solicitudes de soporte: residentes que no pueden conectar su Chromecast, residentes cuya bocina inteligente no se vincula, residentes cuya consola muestra un tipo de NAT estricto. Resolver estas solicitudes cuesta tiempo y dinero. Una red PPSK implementada correctamente elimina la mayoría de ellas. Un operador con el que trabajamos reportó una reducción del 30% en los contactos de soporte relacionados con WiFi en los primeros seis meses después de migrar de una contraseña compartida a una implementación PPSK. [short pause] Los periodos de desocupación son la otra palanca. Un edificio donde el WiFi está activo y funcionando el día de la mudanza reduce la fricción para los nuevos residentes. Un edificio donde un nuevo residente tiene que esperar una cita con el ingeniero de banda ancha - normalmente de siete a catorce días en el Reino Unido - crea una primera impresión negativa que afecta la retención. PPSK con activación el día de la mudanza elimina esa fricción por completo. [medium pause] Un área más a cubrir: la aplicación de coworking y de uso mixto. PPSK no es solo para uso residencial. También es el modelo adecuado para espacios de coworking donde se desea un aislamiento por miembro o por empresa sin la sobrecarga de 802.1X. Un operador de coworking con 200 miembros puede dar a cada miembro su propia clave PPSK, asignarla a una VLAN dedicada y garantizar que los dispositivos del miembro A sean invisibles para el miembro B. Cuando una membresía vence, la clave se revoca. Cuando un nuevo miembro se une, se genera una nueva clave. La experiencia del miembro es idéntica a la de una red doméstica. [short pause] Para el coworking, el modelo híbrido funciona especialmente bien. Los miembros obtienen PPSK. Los visitantes de los miembros - por ejemplo, clientes que asisten a reuniones - obtienen un SSID de WiFi para invitados independiente con un Captive Portal. El personal del edificio obtiene 802.1X contra el proveedor de identidad del operador. Tres modelos de autenticación, una infraestructura física, una separación clara entre los tres grupos de usuarios. [medium pause] Esto cubre el panorama completo. PPSK WiFi es una tecnología madura y con un excelente soporte que resuelve un problema específico e importante: el aislamiento por usuario o por hogar en entornos multi-inquilino, sin la sobrecarga de infraestructura de 802.1X. Es independiente del hardware, se basa en API y se puede implementar hoy mismo en los puntos de acceso que ya posee. Los criterios de decisión son claros. Los patrones de implementación están comprobados. Y el caso de negocio, particularmente en el sector Build to Rent y en residencias estudiantiles diseñadas para tal fin, está plenamente demostrado.