PPSK WPA3: comparación de características y modelos de implementación

Bienvenido al Technical Briefing de Purple. Soy su anfitrión y hoy abordaremos una pregunta que llega al escritorio de casi todos los arquitectos de red que trabajan en propiedades multiinquilino, hotelería o retail en este momento: ¿cómo se comparan realmente PPSK y WPA3, y qué modelo de implementación se adapta a su entorno? Comencemos con el contexto. Si usted es un desarrollador inmobiliario, un operador de propiedades para renta o un propietario que administra un bloque residencial con infraestructura de WiFi compartida, probablemente haya escuchado ambos términos. PPSK, que significa Private Pre-Shared Key, y WPA3, la última generación de seguridad de WiFi de la Wi-Fi Alliance. A menudo se discuten como si fueran tecnologías competidoras. No lo son. Resuelven problemas diferentes. Y en muchas implementaciones, se necesitan ambos. Así que definamos nuestros términos claramente antes de ir más allá. WPA3 es un estándar de certificación de seguridad, ratificado por la Wi-Fi Alliance en 2018. Viene en dos variantes principales. WPA3-Personal, que reemplaza el antiguo mecanismo de Pre-Shared Key con algo llamado SAE (Simultaneous Authentication of Equals). Y WPA3-Enterprise, que se basa en el framework 802.1X e introduce una suite criptográfica opcional de 192 bits para entornos de alta seguridad. La mejora crítica en WPA3-Personal es que SAE elimina los ataques de diccionario fuera de línea. En WPA2, si un atacante capturaba el saludo de cuatro vías cuando un dispositivo se conectaba a su red, podía llevarse esos datos y ejecutar herramientas de descifrado por fuerza bruta de forma indefinida, sin tener que volver a interactuar con su red. SAE detiene eso por completo. Cada intento de adivinar la contraseña requiere una interacción activa con el punto de acceso. Hace que el descifrado fuera de línea sea prácticamente inviable. WPA3 también exige Protected Management Frames, o PMF, definidos en IEEE 802.11w. Esto protege el tráfico de gestión entre los dispositivos y los puntos de acceso contra ataques de suplantación y reproducción. En WPA2, PMF era opcional. En WPA3, no es negociable. Ahora, PPSK. Private Pre-Shared Key es una tecnología propietaria - y esa palabra propietaria importa, por lo que volveremos a ella. El concepto central es simple: en lugar de que cada dispositivo en un SSID comparta una sola contraseña, cada dispositivo o cada usuario obtiene una frase de contraseña única. Diferentes proveedores la denominan de manera distinta. Cisco lo llama iPSK. Extreme Networks lo llama PPSK. Ruckus lo llama DPSK. Juniper Mist lo llama Multi-PSK. HPE Aruba lo llama MPSK. Cambium lo llama ePSK. El mecanismo subyacente es el mismo en todos ellos. Así es como funciona técnicamente. En WPA2-Personal estándar, la Pre-Shared Key se deriva de su frase de contraseña utilizando una fórmula definida en el estándar 802.11i. Cada dispositivo que utiliza la misma contraseña deriva la misma PSK. En una implementación de PPSK, cada frase de contraseña única deriva una PSK diferente. Cuando un dispositivo se conecta, el punto de acceso o un servidor RADIUS prueba cada PSK almacenada contra el Message Integrity Check en el saludo de cuatro vías hasta que encuentra una coincidencia. Así es como se identifica el dispositivo. El resultado práctico es que puede asignar a cada residente de un edificio de BTR, a cada miembro del personal de un hotel o a cada categoría de dispositivo IoT su propia frase de contraseña única y mapear esa frase de contraseña a una VLAN específica. El residente del departamento uno recibe la frase de contraseña A, que se mapea a la VLAN 10. El residente del departamento dos recibe la frase de contraseña B, que se mapea a la VLAN 20. Su tráfico se aísla en la Capa 2. Comparten un SSID, un conjunto de puntos de acceso, una infraestructura - pero no pueden ver los dispositivos de los demás. Aquí es donde la tensión entre PPSK y WPA3 se vuelve arquitectónicamente importante. Y esta es la parte que la mayoría de las guías pasan por alto. PPSK, en su forma tradicional, funciona sobre WPA2. El mecanismo multi-PSK se basa en el saludo de cuatro vías definido en 802.11i, el estándar que sustenta a WPA2. WPA3-Personal reemplaza ese saludo con SAE. Ambos mecanismos son fundamentalmente incompatibles a nivel de protocolo. Esto significa que si configura un SSID WPA3-Personal puro en la mayoría de los puntos de acceso hoy en día, no puede ejecutar simultáneamente PPSK en ese mismo SSID. El saludo SAE no es compatible con el flujo de trabajo de prueba y coincidencia de multi-PSK. Sin embargo - y esto es importante - la industria está resolviendo esto activamente. La plataforma Access Assurance de Juniper Mist ahora es compatible con WPA3 Multi-PSK, utilizando un enfoque basado en RADIUS donde el punto de acceso opera en modo WPA3-SAE y el servidor RADIUS maneja la búsqueda de claves por dispositivo. La solución iPSK de Cisco es compatible de manera similar con WPA3-SAE con un servidor RADIUS externo que almacena los mapeos de dirección MAC a PSK. La banda de 6GHz, introducida con WiFi 6E bajo 802.11ax, exige WPA3. Por lo tanto, cualquier implementación orientada a 6GHz debe encontrar una solución PPSK compatible con WPA3. El resultado práctico para su decisión de implementación es este: si utiliza hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet, verifique el firmware actual de su proveedor para obtener soporte de WPA3 más multi-PSK antes de finalizar su arquitectura de seguridad. El panorama se está moviendo rápidamente. Hablemos de modelos de implementación. Hay tres patrones principales que vemos en el campo. El primero es PPSK sin RADIUS, a veces llamado PPSK local o PPSK basado en controlador. El grupo de PSK se almacena directamente en el punto de acceso o en el controlador inalámbrico. Esta es la implementación más simple. No se requiere un servidor de autenticación externo. Funciona bien para sitios más pequeños - una sola sucursal minorista, un espacio de coworking con menos de 500 miembros o un bloque residencial pequeño. La limitación es la escala. La mayoría de las implementaciones basadas en controlador limitan el número de PSK a unos pocos cientos o miles. La gestión de claves se vuelve manual. Y debido a que las claves se almacenan localmente, revocar una clave comprometida requiere tocar el controlador directamente. El segundo modelo es PPSK con RADIUS. Aquí, el grupo de PSK reside en un servidor RADIUS externo. Cuando un dispositivo se conecta, el punto de acceso reenvía la solicitud de autenticación a RADIUS, el cual busca la PSK correcta para ese dispositivo y la devuelve al AP. Este modelo se escala a decenas de miles de dispositivos. Se integra con proveedores de identidad - Microsoft Entra ID, Okta, Google Workspace - para que pueda automatizar el aprovisionamiento y desaprovisionamiento. Cuando un residente se muda de un edificio BTR, usted revoca su entrada en el proveedor de identidad y su acceso a la WiFi desaparece en cuestión de segundos. Sin rotación manual de claves. Esta es la arquitectura sobre la que está construida la plataforma Multi-Tenant WiFi de Purple. El tercer modelo es WPA3-Enterprise con 802.1X. Sin PSK en absoluto. Cada dispositivo se autentica utilizando un certificado o credencial a través de EAP-TLS o PEAP. Este es el estándar de oro para entornos corporativos, atención médica y cualquier lugar con requisitos de cumplimiento estrictos como PCI DSS o ISO 27001. El costo administrativo es mayor - se necesita una infraestructura de clave pública para la gestión de certificados y cada dispositivo debe estar registrado. Para un edificio BTR donde los residentes traen sus propios dispositivos, esto rara vez es práctico. Para la red del personal de un hotel o la flota de dispositivos clínicos de un hospital, es la respuesta correcta. Ahora veamos dos escenarios del mundo real para concretar esto. Escenario uno. Un desarrollo de 200 unidades de alquiler residencial (build-to-rent). El operador quiere que cada residente tenga su propio segmento de red privada, sin visibilidad de los departamentos vecinos. También necesitan admitir dispositivos domésticos inteligentes - termostatos, timbres con video, bocinas inteligentes - que normalmente son solo compatibles con WPA2. Y quieren que los costos administrativos de gestión de la red sean lo más bajos posible. La arquitectura adecuada aquí es PPSK con RADIUS en un SSID de modo de transición WPA2 o WPA2/WPA3. Cada residente recibe una frase de contraseña única al mudarse, aprovisionada automáticamente a través del sistema de gestión de propiedades integrado con el servidor RADIUS. Sus dispositivos - teléfonos, laptops, smart TVs - se conectan utilizando esa frase de contraseña y llegan a su VLAN dedicada. Sus dispositivos IoT se conectan mediante una frase de contraseña de IoT independiente que se asigna a una VLAN de IoT restringida sin acceso al segmento residencial principal. Cuando se mudan, el sistema de gestión de propiedades activa el desaprovisionamiento. Su frase de contraseña se revoca. El acceso termina. La plataforma Multi-Tenant WiFi de Purple maneja exactamente este flujo de trabajo, integrándose con hardware de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme y Fortinet. La capa en la nube significa que usted gestiona todo el patrimonio desde un único panel de control, sin importar qué hardware se encuentre en el sitio. Escenario dos. Un hotel de 150 habitaciones. El hotel necesita tres segmentos de red distintos: WiFi para huéspedes de hotel, WiFi para personal para dispositivos operativos y una red de administración del edificio para CCTV, acceso a puertas y HVAC. La red de huéspedes debe ser sin fricciones. La red de personal debe ser segura y auditable. La red de administración del edificio debe estar completamente aislada. Aquí, la arquitectura es un diseño de tres SSIDs. El SSID de huéspedes utiliza WPA3-Personal con SAE, o Enhanced Open con Opportunistic Wireless Encryption para una experiencia verdaderamente sin contraseña, combinada con el Captive Portal de Purple para el registro basado en el consentimiento. El SSID del personal utiliza WPA3-Enterprise con 802.1X, autenticado contra Microsoft Entra ID. El SSID de administración del edificio utiliza PPSK con una VLAN dedicada, aislada de todo el demás tráfico en el firewall. Permítame ahora cubrir los errores de implementación más comunes, porque aquí es donde las implementaciones fallan. El primero es la compatibilidad con PMF. WPA3 exige Protected Management Frames. Si tiene dispositivos heredados - escáneres de códigos de barras más antiguos, terminales de punto de venta, algunos equipos médicos - que no son compatibles con PMF, no podrán conectarse a un SSID puro de WPA3. El síntoma es que el dispositivo ve la red pero no puede asociarse. La solución es el modo de transición WPA3, que permite clientes WPA2 y WPA3 en el mismo SSID, o un SSID WPA2 dedicado en una VLAN aislada para esos dispositivos heredados. El modo de transición es una estrategia de migración válida, pero es vulnerable a ataques de degradación, por lo que debe considerarse como algo temporal. El segundo error es la proliferación de claves. En una implementación de PPSK sin una gestión de ciclo de vida adecuada, se acumulan claves obsoletas. Exresidentes, exempleados, dispositivos fuera de servicio - todos ellos dejan PSKs huérfanas en su base de datos RADIUS. Cada una es un vector de ataque potencial. Automatice el aprovisionamiento y desaprovisionamiento desde el primer día, y realice auditorías de su base de datos PSK trimestralmente. El tercer error es la planeación de 6GHz. Si está implementando puntos de acceso WiFi 6E o WiFi 7 y desea utilizar la banda de 6GHz, WPA3 es obligatorio. No puede ejecutar WPA2 en 6GHz. Por lo tanto, si su estrategia de PPSK depende de WPA2, sus radios de 6GHz no se utilizarán o ejecutarán un SSID separado. Planifique su arquitectura de seguridad antes de finalizar la adquisición de hardware. Ahora, una sección rápida de preguntas y respuestas. Pregunta: ¿Puedo ejecutar PPSK y WPA3 en el mismo SSID? Respuesta: En la mayoría del hardware actual, no de forma nativa. Pero Juniper Mist y Cisco admiten WPA3-SAE con multi-PSK basado en RADIUS. Verifique el firmware actual de su proveedor. Espere un soporte más amplio de todos los proveedores en los próximos 12 a 18 meses. Pregunta: ¿Cumple PPSK con PCI-DSS? Respuesta: PPSK puede cumplir con los requisitos de segmentación de red de PCI-DSS si cada dispositivo del entorno de datos de los titulares de tarjetas está en su propia VLAN aislada, y el acceso está controlado y es auditable. Para entornos de datos de titulares de tarjetas, WPA3-Enterprise con 802.1X y EAP-TLS es la opción más segura a largo plazo. Pregunta: ¿Qué sucede si un residente comparte su PPSK con un vecino? Respuesta: Su vecino terminará en la misma VLAN que el residente. El vecino no podrá acceder al tráfico de otros residentes. Sin embargo, esto significa que el operador de la propiedad está brindando servicio a un usuario no autorizado. Esto se puede mitigar vinculando las PSK a las direcciones MAC en los casos donde el hardware lo admita, o implementando monitoreo de uso y alertas de anomalías. En resumen, PPSK y WPA3 son complementarios, no competitivos. PPSK resuelve el problema de aislamiento multiinquilino: un SSID, credenciales únicas por residente o dispositivo y asignación automática de VLAN. WPA3 resuelve el problema de seguridad de autenticación: SAE elimina los ataques de diccionario fuera de línea, PMF protege las tramas de administración y la suite de 192 bits cumple con los requisitos de cumplimiento de alta seguridad. Para los operadores de BTR y propietarios que implementan infraestructura de WiFi compartida hoy en día, la arquitectura recomendada es PPSK con RADIUS para el aislamiento de residentes, ejecutándose en WPA2 o WPA3 Transition Mode para una amplia compatibilidad de dispositivos, con una ruta de migración clara a PPSK nativo de WPA3 a medida que madure el soporte del proveedor. Combine eso con un SSID WPA3-Enterprise dedicado para el personal y los dispositivos operativos, y una VLAN de IoT aislada para los sistemas de edificios inteligentes. La plataforma de WiFi multiinquilino de Purple se ubica sobre todo esto como una capa en la nube independiente del hardware. Administramos la integración de RADIUS, los flujos de trabajo de aprovisionamiento, los análisis y los informes de cumplimiento, en 80,000 centros activos y 350 millones de usuarios únicos. Con certificación ISO 27001, cumple con GDPR y CCPA, y ofrece un tiempo de actividad del 99.999%. Hasta la próxima.