Guide complet de l'iPSK : un guide complet pour les entreprises

Ce guide explique l'architecture Identity Pre-Shared Key (iPSK) pour les promoteurs immobiliers, les exploitants de BTR et les propriétaires bailleurs déployant du WiFi multi-locataires. Il couvre l'intégration RADIUS, l'attribution dynamique de VLAN, l'isolation de Couche 2 et la gestion automatisée du cycle de vie des identifiants afin d'offrir une expérience de connexion instantanée aux résidents, à grande échelle. Il détaille également les arguments commerciaux en faveur de l'élimination des routeurs grand public par logement et les avantages opérationnels de l'intégration de l'iPSK avec des fournisseurs d'identité tels que Microsoft Entra ID, Okta et Google Workspace.

📖 7 min de lecture📝 1,619 mots🔧 2 exemples concrets❓ 4 questions d'entraînement📚 10 définitions clés

Écouter ce guide

Voir la transcription du podcast

Bienvenue dans la série de briefs techniques de Purple. Aujourd'hui, nous abordons la clé pré-partagée d'identité, ou iPSK. Si vous êtes un promoteur immobilier, un opérateur de BTR ou un bailleur gérant des immeubles multi-locataires, cela concerne directement votre prochaine décision réseau.

Laissez-moi planter le décor. Vous disposez d'un complexe Build-to-Rent de 300 logements. Vous souhaitez proposer du WiFi managé comme un service haut de gamme. Vous ne voulez pas installer un routeur grand public dans chaque appartement. Et vous ne voulez absolument pas que les résidents de l'appartement 101 puissent voir les appareils appartenant aux résidents de l'appartement 202. La question est : comment réaliser tout cela sur un seul réseau gérable ? La réponse est l'iPSK.

La sécurité WiFi traditionnelle vous offre deux options. Première option : un réseau WPA2 personnel standard. Tout le monde partage le même mot de passe. C'est simple, mais dès qu'une personne divulgue ce mot de passe, l'ensemble du réseau est compromis. Et si vous souhaitez révoquer l'accès d'une personne, vous devez changer le mot de passe pour tout le monde. C'est totalement irréalisable à grande échelle.

Deuxième option : le WPA2 ou WPA3 Enterprise, utilisant la norme 802.1X. Il s'agit d'une véritable sécurité de niveau entreprise. Chaque utilisateur dispose d'un nom d'utilisateur et d'un mot de passe uniques, ou d'un certificat numérique. Le service informatique peut révoquer instantanément un accès individuel. Le problème est que de nombreux appareils ne peuvent tout simplement pas s'y connecter. Consoles de jeux, téléviseurs connectés, imprimantes sans fil, appareils Amazon Echo, Chromecasts. Aucun de ces appareils ne peut traiter les écrans de connexion complexes ou les certificats numériques requis par le 802.1X.

L'iPSK se situe précisément entre ces deux options. Il attribue à chaque utilisateur ou appareil son propre mot de passe unique, mais l'expérience sur l'appareil est identique à la connexion à un routeur domestique. Il suffit de saisir un mot de passe. Pas de certificats, pas d'écrans de connexion complexes, pas de Captive Portal. La complexité est entièrement gérée en arrière-plan.

Voici comment fonctionne l'architecture technique. Lorsqu'un appareil client se connecte au réseau WiFi à l'aide de sa clé pré-partagée unique, le point d'accès ne se contente pas d'autoriser l'accès. Au lieu de cela, il envoie une demande d'authentification RADIUS à un serveur central. RADIUS signifie Remote Authentication Dial-In User Service. C'est le pilier de l'authentification réseau d'entreprise. Le serveur RADIUS vérifie les identifiants par rapport à sa base de données de clés configurées. S'il y a une correspondance, il renvoie un message d'acceptation d'accès. De manière cruciale, ce message contient également une attribution de VLAN, un réseau local virtuel.

Cette attribution de VLAN est la clé de tout. Lorsque le résident de l'appartement 101 se connecte, le réseau place tous ses appareils dans le VLAN 101. Lorsque le résident de l'appartement 202 se connecte, ses appareils vont dans le VLAN 202. L'infrastructure réseau applique ce que l'on appelle une isolation de couche 2 entre ces VLANs. Cela signifie que même si les deux résidents se trouvent sur le même réseau WiFi physique, leurs appareils sont complètement invisibles les uns pour les autres. Cela crée ce que nous appelons un réseau de zone privée, ou PAN, pour chaque résident.

Parce que chaque résident dispose de son propre VLAN isolé, vous pouvez activer la réflexion mDNS au sein de ce VLAN spécifique. Le protocole mDNS permet aux appareils de se découvrir les uns les autres sur un réseau local. C'est lui qui permet de faire fonctionner AirPlay, Chromecast et l'impression sans fil. En activant la réflexion mDNS au sein du VLAN privé de chaque résident, vous permettez à leurs propres appareils de communiquer entre eux, tout en restant complètement isolés des appareils de tous les autres.

Les principaux fournisseurs de matériel WiFi d'entreprise prennent tous en charge cette technologie mais utilisent des noms différents. Cisco Meraki l'appelle iPSK. HPE Aruba l'appelle MPSK. Ruckus utilise le terme DPSK. Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet prennent tous en charge des variantes de l'authentification par clé pré-partagée par appareil. Purple est indépendant du matériel et s'intègre à toutes ces plateformes.

La gestion manuelle de centaines ou de milliers de clés uniques n'est pas réalisable pour une équipe informatique. Purple s'intègre à votre fournisseur d'identité, Microsoft Entra ID, Okta ou Google Workspace. Lorsqu'un nouveau résident signe un bail, Purple génère automatiquement un iPSK unique, attribue un VLAN et transmet les identifiants au résident. À la fin de son bail, la clé est automatiquement révoquée.

Parlons maintenant des pièges de mise en œuvre. Il y a ici une nuance technique importante. Révoquer une clé dans la base de données RADIUS ne déconnecte pas immédiatement un appareil déjà associé au réseau. L'authentification RADIUS n'intervient que lors de la phase initiale de connexion. Pour forcer la déconnection immédiate, votre système de gestion doit envoyer un message de changement d'autorisation, un CoA, directement au contrôleur sans fil. Assurez-vous que votre plateforme de gestion prend en charge le CoA.

Les principaux pièges à éviter. Premièrement : la randomisation des adresses MAC. Les smartphones modernes randomisent leur adresse MAC pour protéger la vie privée de l'utilisateur. Si votre implémentation iPSK repose sur le contournement d'adresse MAC, la randomisation perturbera l'authentification. Assurez-vous que votre infrastructure utilise une vérification iPSK moderne basée sur EAPOL. Deuxièmement : les performances du RADIUS. L'iPSK impose une charge de calcul plus lourde au serveur RADIUS en raison des vérifications de dictionnaire requises lors de la phase de connexion EAPOL. Utilisez un service RADIUS haute performance hébergé dans le cloud. Troisièmement : la compatibilité WPA3. L'iPSK fonctionne actuellement sur WPA2. Si vous déployez des points d'accès WiFi 6E ou WiFi 7 sur la bande 6 GHz, vous aurez besoin d'une stratégie WPA3-Enterprise distincte pour ces clients.

Permettez-moi de répondre à quelques questions rapides. L'iPSK peut-il prendre en charge les appareils IoT ? Oui. Les consoles de jeux, les thermostats intelligents et les imprimantes sans fil se connectent à l'aide d'un simple mot de passe, exactement comme ils le feraient sur un réseau domestique.

L'iPSK fonctionne-t-il avec tous les matériels ? Oui. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet prennent tous en charge le PSK par appareil. Purple fournit une couche de gestion indépendante du matériel pour l'ensemble d'entre eux.
Le protocole iPSK est-il conforme au GDPR ? Oui, lorsqu'il est implémenté correctement. Le réseau attribue des identifiants à des personnes identifiables, et ces identifiants sont révoqués lorsque la personne s'en va. Cela crée une piste d'audit claire de l'accès au réseau.

En résumé, l'iPSK est la norme définitive pour la connectivité WiFi multi-locataire. Il offre aux équipes informatiques le contrôle de l'authentification d'entreprise, avec la simplicité d'un routeur domestique pour les résidents. Il prend en charge tous les types d'appareils, permet l'isolation du réseau par résident via l'attribution dynamique de VLAN, et évolue grâce à une gestion automatisée du cycle de vie intégrée à votre fournisseur d'identité.

Si vous planifiez un projet de BTR, une résidence étudiante ou toute autre propriété multi-locataire, l'iPSK devrait être la base de la conception de votre réseau. Purple a déployé cette architecture dans plus de 80 000 sites à travers le monde, et nous pouvons vous aider à la concevoir, à la déployer et à la gérer dès le premier jour. Pour plus d'informations, visitez purple.ai ou contactez l'un de nos architectes réseau. Merci pour votre attention.

Points clés à retenir

✓L'iPSK attribue un mot de passe unique à chaque résident sur un seul SSID WiFi, éliminant ainsi les risques de sécurité liés aux mots de passe partagés à grande échelle.
✓L'attribution dynamique de VLAN via RADIUS crée un réseau privé sécurisé (PAN) pour chaque appartement, offrant une isolation de couche 2 équivalente à celle d'un routeur domestique privé.
✓L'iPSK prend en charge 100 % des appareils grand public, y compris les consoles de jeux, les smart TV et les équipements IoT qui ne peuvent pas traiter les certificats 802.1X.
✓La gestion automatisée du cycle de vie via Microsoft Entra ID, Okta ou Google Workspace est indispensable à grande échelle - la gestion manuelle des clés échoue au-delà d'une poignée de logements.
✓Change of Authorization (CoA) doit être configuré pour forcer une déconnexion immédiate lorsqu'une clé est révoquée - la suppression RADIUS seule ne coupe pas les sessions actives.
✓L'iPSK fonctionne sur WPA2 ; prévoyez une stratégie WPA3-Enterprise distincte pour les points d'accès de la bande 6 GHz si vous déployez du WiFi 6E ou WiFi 7.
✓L'élimination des routeurs grand public par logement réduit les dépenses d'investissement, supprime les interférences RF et offre une expérience résidentielle active dès le premier jour.

Résumé exécutif

La sécurité WiFi traditionnelle impose un choix entre deux options inadéquates. Le WPA2-Personal standard est simple mais n'offre aucune responsabilité individuelle. Un seul mot de passe divulgué compromet l'ensemble du réseau, et révoquer l'accès pour un seul résident implique de changer le mot de passe pour tout le monde. Le WPA2-Enterprise ou WPA3-Enterprise utilisant la norme IEEE 802.1X offre un contrôle par utilisateur mais rompt la connectivité des consoles de jeux, des téléviseurs intelligents et des appareils IoT qui ne peuvent pas traiter les certificats numériques.

La technologie Identity Pre-Shared Key (iPSK) résout cette tension. Elle attribue un mot de passe unique à chaque utilisateur ou appareil individuel sur un seul SSID, permettant une attribution dynamique de VLAN et une isolation de couche 2 via un serveur RADIUS central. Pour les opérateurs de Build-to-Rent (BTR), les promoteurs immobiliers et les bailleurs, l'iPSK est la norme définitive pour la connectivité multi-locataires. Elle prend en charge 100 % des appareils des résidents, crée un réseau de zone privée pour chaque unité et s'adapte grâce à une gestion automatisée du cycle de vie intégrée aux fournisseurs d'identité tels que Microsoft Entra ID, Okta ou Google Workspace. Purple automatise l'ensemble de ce flux de travail sur plus de 80 000 sites actifs, s'intégrant avec Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme et Fortinet.

Analyse technique approfondie

Le fonctionnement de l'Identity PSK

L'iPSK modifie la poignée de main EAPOL standard à quatre voies du WPA2. Lorsqu'un appareil client s'associe à un point d'accès à l'aide d'une clé prépartagée spécifique, le point d'accès n'accorde pas immédiatement l'accès. Au lieu de cela, il envoie un message de demande RADIUS au serveur d'authentification central. Cette demande contient des attributs spécifiques au fournisseur. Pour Cisco Meraki, il s'agit des attributs Meraki-IPSK. Le serveur RADIUS effectue une vérification par dictionnaire dans sa base de données d'iPSKs configurées. Si une correspondance est trouvée, il répond par un message d'acceptation d'accès contenant la phrase de passe et, surtout, une attribution dynamique de VLAN via l'attribut Tunnel-Private-Group-Id.

Cette architecture ne nécessite aucune infrastructure de certificats. L'appareil client voit un réseau WPA2-Personal standard et se connecte avec un mot de passe. La complexité est entièrement gérée entre le point d'accès et le serveur RADIUS. C'est pourquoi l'iPSK prend en charge 100 % des appareils grand public - les consoles de jeux, les téléviseurs intelligents, les imprimantes sans fil et les capteurs IoT se connectent tous en utilisant la même expérience simple de mot de passe qu'à la maison.

Isolation de couche 2 et réseaux de zone privée

Dans un environnement multi-tenant, un SSID unique pour des centaines d'appartements est efficace pour la planification RF mais crée de graves risques de sécurité sans une segmentation appropriée. L'iPSK permet de créer un réseau local privé (PAN) pour chaque résident.

Lorsqu'un résident s'authentifie avec son iPSK unique, le serveur RADIUS attribue ses appareils à un VLAN spécifique. L'infrastructure réseau impose une isolation de couche 2 entre ces VLAN. L'iPhone d'un résident peut voir sa propre imprimante ou son Chromecast, mais le résident de l'appartement voisin ne peut pas découvrir ces appareils ni interagir avec eux. Cette micro-segmentation est essentielle pour la conformité au GDPR et pour maintenir la confiance des résidents.

Comme chaque résident dispose de son propre VLAN isolé, vous pouvez activer la réflexion mDNS au sein de ce VLAN spécifique. Le mDNS est le protocole qui permet l'utilisation d'AirPlay, la diffusion Chromecast et l'impression sans fil. L'activation de la réflexion mDNS au sein du VLAN privé de chaque résident permet à ses propres appareils de communiquer entre eux, tout en restant totalement isolés de tous les autres résidents. Le résultat est une expérience comme à la maison sur une infrastructure partagée.

Implémentations des fournisseurs de matériel

Tous les principaux fournisseurs de matériel WiFi d'entreprise prennent en charge le PSK par appareil, mais sous des noms de produits différents. Le tableau ci-dessous associe la terminologie des fournisseurs à la technologie sous-jacente.

Fournisseur	Nom du produit	RADIUS requis	VLAN dynamique
Cisco Meraki	iPSK	Oui	Oui
HPE Aruba	MPSK	Oui	Oui
Ruckus	DPSK	Oui	Oui
Juniper Mist	PPSK	Oui	Oui
Ubiquiti UniFi	PPSK	Oui	Oui
Cambium	PPSK	Oui	Oui
Extreme Networks	PPSK	Oui	Oui
Fortinet	PPSK	Oui	Oui

Purple est agnostique vis-à-vis du matériel et fournit une couche de gestion unifiée sur toutes ces plateformes. Vous n'êtes pas lié à un seul fournisseur et vous pouvez migrer votre matériel sans reconstruire votre infrastructure d'authentification.

Guide d'implémentation

Le déploiement de l'iPSK nécessite une coordination entre votre infrastructure sans fil, votre serveur RADIUS et votre fournisseur d'identité. Suivez cette séquence pour déployer correctement.

Étape 1 - Planifiez votre architecture VLAN. Allouez un VLAN par unité résidentielle. Dans un complexe de 300 logements, vous avez besoin de 300 VLAN. La norme standard 802.1Q prend en charge 4 094 VLAN, ce qui est suffisant pour la plupart des projets BTR. Pour les déploiements plus importants, prévoyez des superpositions VXLAN.

Étape 2 - Déployez votre serveur RADIUS. Purple fournit un service RADIUS hébergé dans le cloud avec une disponibilité de 99,999 %. Pointez vos contrôleurs sans fil vers le point de terminaison RADIUS de Purple. Configurez le secret partagé entre vos points d'accès et le serveur RADIUS.

Étape 3 - Configurez votre contrôleur sans fil. Créez un seul SSID avec une sécurité WPA2-PSK. Activez le bouton iPSK ou PPSK spécifique au constructeur. Activez la dérogation AAA afin que la réponse RADIUS puisse attribuer dynamiquement les VLAN. Désactivez l'isolation des clients au niveau du SSID - l'isolation est gérée par VLAN.

Étape 4 - Intégrez votre fournisseur d'identité. Connectez Purple à Microsoft Entra ID, Okta ou Google Workspace. Purple lit l'annuaire des résidents et attribue automatiquement un iPSK et un VLAN uniques à chaque résident.

Étape 5 - Configurez le changement d'autorisation (CoA). Configurez le CoA entre Purple et vos contrôleurs sans fil. Cela permet à Purple d'envoyer un message de déconnexion à la fin du bail d'un résident, forçant l'arrêt immédiat de la session.

Étape 6 - Activez la réflexion mDNS par VLAN. Configurez vos commutateurs réseau et vos contrôleurs sans fil pour refléter le trafic mDNS dans les limites de chaque VLAN. Cela permet d'activer AirPlay, Chromecast et l'impression sans fil dans chaque appartement sans fuite de trafic de découverte dans tout le bâtiment.

Pour en savoir plus sur la conception de votre architecture globale WiFi, consultez notre guide sur les trois SSID indispensables : WiFi invité, Passpoint et IoT .

Bonnes pratiques

Évitez les échecs liés à la randomisation des adresses MAC. Les smartphones modernes randomisent leur adresse MAC pour protéger la vie privée des utilisateurs. Si votre implémentation iPSK repose sur le contournement d'adresse MAC (MAB), la randomisation bloquera l'authentification. Assurez-vous que votre infrastructure utilise une vérification iPSK moderne basée sur EAPOL, où le mot de passe lui-même sert d'authentificateur plutôt que l'adresse MAC.

Planifiez les performances RADIUS. L'iPSK impose une charge de calcul plus lourde sur le serveur RADIUS que le PSK standard en raison des vérifications de dictionnaire requises lors du handshake EAPOL. Utilisez un service RADIUS hébergé dans le cloud et hautement performant. L'infrastructure RADIUS de Purple est conçue pour cette charge de travail et maintient une disponibilité de 99,999 % sur plus de 80 000 sites.

Anticipez la compatibilité WPA3. L'iPSK fonctionne actuellement sur WPA2. Si vous déployez des points d'accès WiFi 6E ou WiFi 7 sur la bande 6 GHz, vous devez adopter une stratégie WPA3-Enterprise distincte pour ces clients. La bande 6 GHz impose la sécurité WPA3, qui ne prend pas actuellement en charge l'iPSK de la même manière. Prévoyez une stratégie bi-bande : WPA2 iPSK sur 2,4 GHz et 5 GHz, WPA3-Enterprise sur 6 GHz.

Automatisez la distribution des identifiants. N'envoyez pas de mots de passe par e-mail en texte brut. Purple transmet les identifiants aux résidents via un portail sécurisé et personnalisé ou via l'application Purple. Cela crée un historique vérifiable de la distribution des identifiants et garantit que les résidents peuvent réinitialiser eux-mêmes leur mot de passe sans contacter le service d'assistance.

Testez la réflexion mDNS avant la mise en service. La plainte la plus fréquente des résidents après un déploiement iPSK est que leur Chromecast ou AirPlay ne fonctionne pas. Testez la réflexion mDNS dans chaque VLAN lors de la mise en service. Utilisez un ordinateur portable et un Chromecast sur le même VLAN résident et vérifiez que la diffusion fonctionne avant la livraison.Pour obtenir des conseils sur la façon dont votre réseau WiFi crée une première impression pour les résidents, consultez comment faire une excellente première impression avec votre WiFi invité .

Dépannage et atténuation des risques

Sessions obsolètes après révocation de clé. C'est le mode de défaillance le plus courant dans un déploiement iPSK. La révocation d'une clé dans la base de données RADIUS empêche les connexions futures mais n'interrompt pas les sessions actives. Configurez CoA sur vos contrôleurs sans fil et assurez-vous que Purple envoie un message de déconnexion CoA à chaque événement de révocation de clé.

Épuisement des VLAN. Dans les très grands déploiements multi-locataires, vous pouvez épuiser la limite de 4 094 VLAN. Atténuez ce risque en utilisant des superpositions VXLAN ou en partageant des VLAN entre des unités non adjacentes où le risque de contamination croisée est négligeable.

Indisponibilité du serveur RADIUS. Si votre serveur RADIUS est hors ligne, aucun nouvel appareil ne peut se connecter. Configurez le basculement RADIUS avec un serveur secondaire. Le service cloud RADIUS de Purple intègre une redondance intégrée et un SLA de disponibilité de 99,999 %.

Délais de synchronisation des clés. Lorsqu'un nouveau résident emménage, il peut y avoir un délai entre la signature du bail dans le système de gestion immobilière et la configuration de l'iPSK dans RADIUS. Intégrez votre système de gestion immobilière directement à l'API de Purple pour automatiser la configuration et éliminer ce décalage.

ROI et impact commercial

L'élimination des routeurs grand public par unité transforme l'économie du WiFi multi-locataire. Un développement BTR typique de 300 unités peut dépenser entre 150 et 200 £ par unité pour des routeurs grand public, totalisant jusqu'à 60 000 £ en matériel qui doit être remplacé tous les trois à cinq ans. Des points d'accès d'entreprise centralisés dans les couloirs et les espaces communs réduisent les coûts de matériel et éliminent les frais opérationnels liés au remplacement des routeurs grand public en panne dans les appartements occupés.

Plus important encore, vous offrez une expérience résident connectée instantanément. Les résidents se connectent au WiFi dès qu'ils franchissent la porte, à l'aide d'identifiants fournis en toute sécurité avant le jour de l'emménagement. Cet équipement haut de gamme augmente la satisfaction des locataires et favorise des rendements locatifs plus élevés. Selon les études du secteur immobilier, le WiFi géré est désormais cité par les résidents comme l'un des trois principaux équipements qu'ils attendent dans un développement BTR.

La solution Multi-Tenant WiFi de Purple isole le trafic en toute sécurité et prend en charge les appareils intelligents des résidents, s'appuyant sur 29 milliards de points de données collectés sur notre réseau mondial. Notre plateforme WiFi Analytics donne aux gestionnaires immobiliers une visibilité sur l'utilisation du réseau, vous aidant à dimensionner au mieux votre investissement d'infrastructure et à démontrer la valeur du service WiFi géré aux investisseurs.

Pour les opérateurs BTR souhaitant étendre l'engagement des résidents au-delà de la connectivité, la plateforme Guest WiFi de Purple s'intègre aux systèmes de gestion immobilière pour proposer des communications ciblées et des programmes de fidélité. Consultez également notre guide sur comment utiliser les SMS en masse pour le marketing afin d'augmenter les visites répétées pour découvrir des tactiques pratiques de fidélisation des résidents.

Définitions clés

iPSK (Identity Pre-Shared Key)

Un mécanisme de sécurité qui permet d'utiliser plusieurs mots de passe uniques sur un seul SSID WiFi, chaque mot de passe étant lié à des politiques de réseau spécifiques, y compris l'attribution de VLAN et le contrôle d'accès.

Utilisé pour fournir un contrôle d'accès de niveau entreprise tout en prenant en charge les appareils grand public qui ne disposent pas des capacités 802.1X. Cisco Meraki utilise ce terme exact ; d'autres constructeurs utilisent MPSK, DPSK ou PPSK pour désigner le même concept.

RADIUS (Remote Authentication Dial-In User Service)

Un protocole réseau qui fournit une gestion centralisée de l'authentification, de l'autorisation et de la comptabilité pour les utilisateurs qui se connectent à un service réseau.

Le serveur backend qui valide les mots de passe iPSK et renvoie les attributions de VLAN au point d'accès. Purple fournit un service RADIUS hébergé dans le cloud avec un taux de disponibilité de 99,999 %.

VLAN (Virtual Local Area Network)

Un sous-réseau logique qui regroupe un ensemble d'appareils, isolant leur trafic du reste du réseau physique quel que soit leur emplacement physique.

Utilisé dans le WiFi multi-locataires pour créer un segment de réseau privé et sécurisé pour chaque appartement individuel. L'attribution dynamique de VLAN via RADIUS est ce qui rend possible l'isolation par résident.

Isolation de niveau 2

Une fonctionnalité de sécurité réseau qui empêche les appareils d'un même réseau physique de communiquer directement entre eux au niveau de la couche de liaison de données.

Garantit que les résidents ne peuvent pas voir ou accéder aux appareils appartenant à leurs voisins, même s'ils partagent la même infrastructure WiFi physique.

mDNS (Multicast Domain Name System)

Un protocole utilisé par Apple Bonjour et Google Cast pour découvrir des services sur un réseau local sans serveur DNS central.

Doit être géré avec soin dans les réseaux multi-locataires. L'activation de la réflexion mDNS au sein du VLAN privé de chaque résident permet à AirPlay, Chromecast et à l'impression sans fil de fonctionner normalement sans fuite de découverte d'appareils dans tout le bâtiment.

CoA (Change of Authorization)

Une extension RADIUS définie dans la RFC 5176 qui permet au serveur d'authentification de modifier dynamiquement les attributs d'autorisation d'une session active ou d'envoyer un message de déconnexion.

Essentiel pour révoquer instantanément l'accès lorsqu'un bail de résident prend fin. Sans CoA, une clé révoquée empêche uniquement les connexions futures - elle ne coupe pas la session active en cours.

EAPOL (Extensible Authentication Protocol over LAN)

Le protocole utilisé dans WPA2 pour négocier les clés de chiffrement entre l'appareil client et le point d'accès lors du handshake à quatre voies.

Les implémentations iPSK modernes utilisent le handshake EAPOL pour vérifier le mot de passe de manière sécurisée. C'est plus fiable que le MAC Address Bypass car cela n'est pas affecté par la randomisation des adresses MAC.

MAC Address Bypass (MAB)

Une méthode d'authentification qui utilise l'adresse MAC matérielle de l'appareil à la fois comme identifiant et mot de passe dans une requête RADIUS.

Une méthode héritée parfois confondue avec l'iPSK. Le MAB n'est désormais plus fiable car les iPhones et téléphones Android modernes randomisent leur adresse MAC par défaut, ce qui entraîne des échecs d'authentification.

Private Area Network (PAN)

Dans le contexte du WiFi multi-locataires, un segment de réseau logiquement isolé attribué à un seul résident ou logement, offrant l'équivalent d'un routeur domestique privé sur une infrastructure partagée.

Le résultat de la combinaison de l'authentification iPSK avec l'attribution dynamique de VLAN et l'isolation de niveau 2. Chaque résident dispose de son propre PAN sans nécessiter de routeur physique dans son appartement.

Attribution dynamique de VLAN

Le processus par lequel un serveur RADIUS renvoie un identifiant de VLAN dans le message d'acceptation d'accès, demandant au point d'accès de placer l'appareil authentifié dans un segment de réseau spécifique.

Le mécanisme qui permet l'isolation par résident dans un déploiement iPSK. Sans attribution dynamique de VLAN, tous les appareils partageraient le même segment de réseau, quel que soit le mot de passe utilisé.

Exemples concrets

Un complexe Build-to-Rent de 300 logements doit proposer un WiFi géré comme un service premium. L'exploitant souhaite éviter l'installation de 300 routeurs grand public. Les résidents doivent pouvoir utiliser des imprimantes sans fil, des enceintes connectées et des appareils Chromecast de manière sécurisée, et l'exploitant doit pouvoir révoquer instantanément l'accès lorsqu'un locataire quitte les lieux.

Déployez des points d'accès d'entreprise Cisco Meraki ou HPE Aruba dans les couloirs et les espaces communs pour assurer une couverture complète du bâtiment sur un seul SSID. Configurez le contrôleur sans fil pour utiliser l'authentification iPSK pointant vers le serveur cloud RADIUS de Purple. Intégrez le système de gestion immobilière avec l'API de Purple. Lorsqu'un résident emménage, Purple génère automatiquement un mot de passe unique et lui attribue un VLAN dédié (par exemple, le VLAN 150 pour le logement 150). Activez la réflexion mDNS exclusivement au sein de chaque VLAN. Configurez le CoA de sorte que lorsqu'un bail prend fin dans le système de gestion immobilière, Purple envoie immédiatement un message de déconnexion au contrôleur sans fil, coupant toutes les sessions actives pour ce VLAN.

Commentaire de l'examinateur : Cette approche élimine la prolifération de matériel et les interférences RF générées par 300 routeurs grand public concurrents. L'attribution dynamique de VLAN garantit une isolation de Couche 2 entre les appartements, respectant ainsi le GDPR et les exigences de sécurité. L'activation de la réflexion mDNS par VLAN permet aux appareils connectés de fonctionner normalement pour chaque résident sans les exposer à l'ensemble du bâtiment. La configuration CoA est le détail critique que de nombreux déploiements omettent - sans elle, les locataires expulsés conservent l'accès au réseau jusqu'à ce que leur appareil se déconnecte naturellement et tente de s'authentifier à nouveau.

Une résidence universitaire de 500 chambres rencontre des problèmes de sécurité car les étudiants partagent le mot de passe standard WPA2-Personal avec des non-résidents. L'équipe informatique a besoin d'une responsabilisation individuelle et de la possibilité de révoquer l'accès pour des étudiants spécifiques sans perturber le reste du réseau.

Migrez la résidence universitaire vers une architecture iPSK. Intégrez le Microsoft Entra ID de l'université au système d'authentification WiFi de Purple. Purple provisionne automatiquement un iPSK unique pour chaque étudiant inscrit au début de l'année universitaire. Si un étudiant partage sa clé unique avec un non-résident, l'équipe informatique peut identifier la source à partir des journaux RADIUS et révoquer instantanément cette clé spécifique sans affecter les autres étudiants. Lorsqu'un étudiant obtient son diplôme ou s'en va, sa clé spécifique est automatiquement révoquée via l'intégration Microsoft Entra ID.

Commentaire de l'examinateur : Cela résout le problème du partage de mot de passe en offrant une responsabilisation individuelle au niveau de la couche réseau. L'intégration avec Microsoft Entra ID automatise la gestion du cycle de vie, supprimant ainsi la charge administrative du support informatique. L'élément clé est que l'iPSK crée une piste d'audit - chaque tentative de connexion est enregistrée par rapport à un identifiant spécifique, lui-même lié à un individu précis. Ceci est également pertinent pour la conformité GDPR, car l'université peut prouver que l'accès au réseau est lié à des personnes identifiables et qu'il est révoqué lorsque ces personnes s'en vont.

Questions d'entraînement

Q1. Vous concevez le réseau WiFi pour un complexe de co-living de 200 logements. Les membres doivent connecter leurs ordinateurs portables, téléphones et imprimantes sans fil. L'opérateur souhaite révoquer l'accès instantanément à la fin du contrat d'un membre. Quelle méthode d'authentification devez-vous choisir et pourquoi ?

Conseil : Prenez en compte les exigences de compatibilité des appareils pour les imprimantes sans fil et l'exigence opérationnelle de révocation instantanée.

Voir la réponse type

Le choix de l'iPSK est le bon. Bien que l'802.1X offre une excellente sécurité pour les ordinateurs portables et les téléphones, les imprimantes sans fil ne prennent généralement pas en charge les certificats d'entreprise. L'iPSK permet à tous les appareils de se connecter de manière sécurisée tout en offrant une responsabilisation individuelle et une isolation VLAN pour les différents membres. Pour répondre à l'exigence de révocation instantanée, configurez le Change of Authorization (CoA) entre Purple et les contrôleurs sans fil afin que, lorsqu'un contrat de membre est résilié dans le système de gestion, un message de déconnexion CoA soit envoyé immédiatement pour interrompre toutes les sessions actives.

Q2. Un résident signale qu'il ne peut pas diffuser Netflix depuis son téléphone vers sa smart TV. Les deux appareils sont connectés au réseau à l'aide de l'iPSK unique du résident. L'ingénieur réseau confirme que les deux appareils sont sur le VLAN 210. Quel est le problème de configuration probable et comment le résoudre ?

Conseil : Pensez au fonctionnement des protocoles de découverte d'appareils et à ce qui est nécessaire pour que la diffusion fonctionne.

Voir la réponse type

Le réseau applique une isolation stricte de couche 2 au sein du VLAN 210 sans activer la réflexion mDNS. Chromecast utilise mDNS (protocole Google Cast) pour découvrir les récepteurs sur le réseau local. Sans réflexion mDNS au sein du VLAN, le téléphone ne peut pas découvrir la smart TV même s'ils sont sur le même VLAN. Résolvez ce problème en configurant le contrôleur sans fil ou un proxy mDNS dédié pour refléter le trafic mDNS dans les limites du VLAN 210. N'activez pas le mDNS de manière globale - cela permettrait aux résidents de découvrir les appareils des uns et des autres à travers les VLAN.

Q3. Un propriétaire résilie un bail et demande à l'équipe informatique de révoquer immédiatement l'accès WiFi de l'ancien locataire. L'équipe informatique supprime l'iPSK du locataire de la base de données RADIUS, mais l'ordinateur portable de l'ancien locataire reste connecté au réseau pendant plusieurs heures. Qu'est-ce qui a échoué et que doit configurer l'équipe informatique pour éviter cela à l'avenir ?

Conseil : Considérez le moment où l'authentification RADIUS se produit réellement dans le cycle de vie de la connexion.

Voir la réponse type

L'authentification RADIUS n'intervient que lors de la phase d'établissement de la connexion initiale. Une fois qu'un appareil est authentifié et associé au réseau, il maintient sa session sans se ré-authentifier. La suppression de la clé de RADIUS empêche les connexions futures mais n'interrompt pas la session active. L'équipe informatique doit configurer la prise en charge du Change of Authorization (CoA) sur les contrôleurs sans fil et s'assurer que le système de gestion envoie un message de déconnexion CoA lorsqu'une clé est révoquée. Cela demande au point d'accès de désauthentifier et de désassocier immédiatement l'appareil, mettant fin à la session en temps réel.

Q4. Vous planifiez un projet BTR (Build-to-Rent) de 600 logements et vous vous demandez s'il convient d'utiliser des VLAN 802.1Q standard ou VXLAN pour la couche de segmentation du réseau. Quels facteurs doivent guider cette décision ?

Conseil : Considérez la limite de VLAN de la norme 802.1Q standard et l'envergure du déploiement.

Voir la réponse type

La norme 802.1Q standard prend en charge 4 094 VLAN, ce qui est suffisant pour 600 logements avec une marge de sécurité pour les VLAN de gestion, les VLAN IoT et les réseaux invités. Pour cette taille de déploiement, la norme 802.1Q standard est appropriée. Cependant, si le projet fait partie d'un campus plus vaste ou si vous prévoyez d'étendre le même réseau sur plusieurs bâtiments comptant des milliers de logements, VXLAN offre un espace d'adressage de 16 millions de segments et une meilleure évolutivité à travers les frontières routées. Pour un projet autonome de 600 logements, restez simple avec l'802.1Q et réservez le VXLAN pour les déploiements multisites ou à très grande échelle.

Continuer la lecture de cette série

Uu PPSK pdf : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence technique compare l'architecture WiFi Private Pre-Shared Key (PPSK) aux déploiements 802.1X traditionnels et PSK standards. Il fournit aux architectes réseau et aux responsables informatiques des stratégies de mise en œuvre neutres vis-à-vis des fournisseurs pour les environnements résidentiels multi-locataires, l'IoT et le secteur BTR.

Uu PPSK 2023 : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence technique compare l'architecture WiFi Unique per-User Private Pre-Shared Key (UU PPSK) aux déploiements traditionnels basés sur des PSK partagées et 802.1X, avec un accent particulier sur le paysage 2023 des implémentations constructeurs et des capacités de plateforme. Il fournit aux promoteurs immobiliers, aux opérateurs de BTR et aux syndics de copropriété (MDU) des stratégies de déploiement exploitables, des conseils sur l'architecture VLAN et des flux de gestion automatisée du cycle de vie. Le guide couvre trois modèles de déploiement, des études de cas réels et les implications de conformité de chaque approche d'authentification.

PPSK xaverius : comparaison des fonctionnalités et des modèles de déploiement

Ce guide de référence examine l'architecture PPSK xaverius pour les environnements multi-locataires tels que le secteur Build to Rent et les résidences étudiantes. Il compare les modèles de déploiement, détaille les stratégies d'implémentation et explique comment l'isolation VLAN par logement offre une expérience WiFi comme à la maison tout en maintenant la sécurité d'entreprise.