Uu PPSK pdf : comparaison des fonctionnalités et des modèles de déploiement

Bienvenue dans cette fiche technique de Purple. Aujourd'hui, nous abordons le PPSK - Private Pre-Shared Key WiFi - ce que c'est, comment il se compare aux alternatives et où il est réellement judicieux de le déployer dans une propriété résidentielle ou commerciale multi-locataires. Commençons par le problème qu'il résout. Dans un réseau WPA2 Personnel standard, chaque appareil partage le même mot de passe. C'est parfait pour un domicile. C'est un risque pour un projet de construction résidentielle locative de 200 unités, une résidence étudiante ou un hôtel de 300 chambres. Lorsqu'un résident déménage, soit vous changez le mot de passe pour tout le monde - ce qui déconnecte la smart TV, le thermostat et la console de jeux de tous les autres résidents - soit vous laissez l'ancien résident avec un accès actif. Aucune de ces options n'est acceptable. Le PPSK résout ce problème en attribuant à chaque résident, chaque appartement ou chaque groupe d'appareils sa propre clé WiFi unique. Ils se connectent tous au même SSID - le même nom de réseau - mais chaque clé est associée à un VLAN distinct. L'appartement 12 est sur le VLAN 10. L'appartement 13 est sur le VLAN 20. Les appareils IoT sont sur le VLAN 99. Le point d'accès gère automatiquement l'association clé-VLAN. Aucun serveur RADIUS n'est requis pour le modèle de base. Pas d'infrastructure de certificats. Pas de suppliant 802.1X sur l'appareil. Parlons maintenant de la terminologie, car elle varie selon les fournisseurs et cela sème une réelle confusion sur le marché. Aruba l'appelle PPSK - Private Pre-Shared Key. Cisco Meraki l'appelle iPSK - Identity PSK, ou Personal Private Network. Juniper Mist utilise le terme ePSK. Extreme Networks, qui a initialement développé le concept sous la marque Aerohive, l'appelle Private PSK. Ubiquiti UniFi l'appelle simplement PPSK. Cambium utilise également ePSK. Le mécanisme sous-jacent est identique pour tous : un seul SSID, plusieurs clés uniques, chaque clé étant liée à un VLAN ou à un groupe de politiques. Techniquement, voici ce qui se passe au niveau de la couche d'association. Lorsqu'un appareil se connecte, il présente sa clé pré-partagée lors de la négociation à quatre voies WPA2. Le point d'accès - ou le contrôleur cloud sous-jacent - recherche cette clé dans le stockage PPSK, identifie le VLAN auquel elle est associée et marque le trafic de l'appareil en conséquence à partir de ce moment-là. L'appareil voit une connexion WiFi normale. Il n'a aucune idée qu'il a été placé dans un segment isolé. Son Chromecast fonctionne. Son enceinte connectée s'associe. Sa console obtient le bon type de NAT. Tout se comporte comme un réseau domestique - car du point de vue de l'appareil, c'en est un. C'est la distinction essentielle avec le 802.1X, qui est la norme d'entreprise pour les réseaux du personnel et les environnements d'entreprise. Le 802.1X nécessite un serveur RADIUS, un fournisseur d'identité - Microsoft Entra ID, Okta ou Google Workspace - et un suppliant sur chaque appareil. Ce suppliant est le composant logiciel qui gère l'échange d'authentification EAP. Chaque ordinateur portable géré, chaque téléphone d'entreprise en possède un. Le réfrigérateur connecté de votre résident n'en a pas. Le contrôleur CVC de votre bâtiment n'en a pas. Vos capteurs IoT n'en ont pas. Le PPSK fonctionne avec tous ces appareils car il opère au niveau de la couche WPA Personnel, et non de la couche WPA Enterprise. Cela dit, PPSK ne remplace pas 802.1X dans les environnements d'entreprise. C'est un outil différent pour un problème différent. Si vous gérez un réseau pour le personnel où la responsabilité individuelle est essentielle - où vous devez savoir qu'une personne spécifique s'est authentifiée à un moment précis, et que vous devez révoquer son accès dès qu'elle quitte l'organisation - 802.1X est la bonne réponse. Si vous gérez un réseau résidentiel où vous avez besoin d'une isolation par foyer, d'un support IoT et d'une simplicité opérationnelle à grande échelle, PPSK est la bonne réponse. Examinons les trois principaux modèles de déploiement en production aujourd'hui. Le premier est le modèle cloud-controller, qui est le plus courant pour les nouveaux déploiements. Vos points d'accès - qu'il s'agisse de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet - se connectent à une plateforme de gestion cloud. Le magasin de clés PPSK réside dans le contrôleur cloud. Lorsque vous accueillez un nouveau résident, vous créez une clé dans le portail, vous l'attribuez à un VLAN, et le contrôleur pousse la politique vers chaque point d'accès du bâtiment. Le résident reçoit sa clé - via e-mail, SMS ou un code QR dans un pack d'accueil - et se connecte. Lorsqu'il déménage, vous supprimez la clé. Ses appareils cessent de se connecter. Personne d'autre n'est affecté. Le deuxième modèle de déploiement est le PPSK avec un backend RADIUS local. Certains déploiements d'entreprise utilisent un serveur RADIUS pour stocker et valider les identifiants PPSK, ce qui vous offre une journalisation centralisée, des pistes d'audit et une intégration avec votre plateforme de gestion des identités. Cela ajoute une surcharge d'infrastructure mais vous apporte la responsabilité de 802.1X avec la compatibilité d'appareils de PPSK. C'est le bon modèle pour les environnements mixtes - par exemple, un espace de coworking où vous avez à la fois des appareils d'entreprise gérés et des équipements IoT appartenant aux membres. Le troisième modèle est hybride : PPSK pour les résidents et l'IoT, 802.1X pour le personnel et les systèmes de gestion. C'est l'architecture que Purple recommande pour les déploiements de logements locatifs construits sur mesure (build-to-rent) et d'immeubles collectifs. Les résidents bénéficient du PPSK. Les systèmes de gestion du bâtiment, la vidéosurveillance et le contrôle d'accès ont leur propre VLAN IoT avec PPSK. Les appareils de l'équipe de gestion immobilière utilisent 802.1X avec Microsoft Entra ID ou Okta. Trois modèles d'authentification distincts, trois VLAN distincts, une seule infrastructure physique. Passons maintenant à la mise en œuvre. Si vous déployez le PPSK pour un projet de logement locatif ou un immeuble collectif, voici la séquence qui fonctionne. Commencez par votre conception logique avant de toucher au matériel. Cartographiez votre nombre de résidents, vos catégories d'appareils IoT, ainsi que tout système de personnel ou de gestion. Attribuez les VLAN. Un déploiement BTR typique ressemble à ceci : les VLAN 10 jusqu'à ce que votre nombre d'unités requière pour les résidents - un VLAN par appartement ou un VLAN par étage selon votre densité. Le VLAN 99 pour l'IoT. Le VLAN 100 pour la gestion du bâtiment. Le VLAN 200 pour le WiFi invité dans les zones communes. Documentez ensuite votre plan d'adressage IP. Dans un immeuble de 200 logements, vous devez gérer de trois mille à cinq mille appareils connectés en simultané sur le réseau. Ce chiffre correspond à l'estimation de la British Property Federation de 15 à 25 appareils par foyer. Vos plages DHCP doivent s'y adapter. Utilisez l'adressage privé RFC 1918 avec des tailles de sous-réseau suffisantes par VLAN. Un slash 24 vous donne 254 adresses utilisables. Un slash 23 vous en donne 510. Adaptez la taille en conséquence. Concernant le choix du matériel : PPSK est pris en charge par toutes les principales plateformes de points d'accès d'entreprise. Cisco Meraki l'appelle iPSK et le gère via le tableau de bord Meraki avec des politiques de clés par SSID. HPE Aruba l'implémente nativement dans ArubaOS et Aruba Central. Ruckus le prend en charge via SmartZone et la plateforme Ruckus Cloud. Juniper Mist utilise ePSK avec une gestion RF optimisée par l'IA. Ubiquiti UniFi prend en charge PPSK depuis 2023, mais notez qu'il s'agit actuellement de WPA2 uniquement et que cela ne fonctionnera pas sur la bande 6 GHz. Cambium et Extreme le prennent tous deux en charge via leurs plateformes cloud respectives. Une contrainte critique à signaler : l'implémentation PPSK d'UniFi est WPA2 uniquement. Si vous spécifiez des points d'accès WiFi 6E et souhaitez utiliser la bande 6 GHz pour les clients PPSK, vous aurez besoin d'une plateforme prenant en charge WPA3-SAE avec PPSK, ou vous devrez limiter les clients PPSK aux bandes 2,4 et 5 GHz. Aruba, Ruckus et Meraki prennent tous en charge PPSK sur les configurations WPA3. Parlons maintenant des pièges à éviter. Ce sont les scénarios de défaillance que je constate à plusieurs reprises dans les déploiements de production. Le premier est la prolifération des SSID. Chaque SSID que vous diffusez consomme du temps d'antenne pour les trames de balise (beacon frames). Dans un immeuble résidentiel dense, si vous diffusez six ou huit SSID par point d'accès, vous dégradez les performances pour tout le monde. Limitez-vous à un maximum de quatre SSID par radio. Utilisez PPSK pour desservir plusieurs segments de résidents à partir d'un seul SSID plutôt que de créer un SSID distinct par appartement ou par étage. Le deuxième piège est la configuration insuffisante des ports de trunk. Vous concevez un plan VLAN clair, vous déployez les points d'accès, puis le trafic est interrompu sans avertissement parce que quelqu'un a oublié d'autoriser les VLAN concernés sur une liaison trunk entre le commutateur de distribution et la couche d'accès. Validez chaque port trunk lors de la mise en service. Documentez-le. Testez-le avec un appareil sur chaque VLAN avant l'arrivée des résidents. Le troisième piège est la distribution des clés. Générer des clés est facile. Les transmettre aux résidents de manière sécurisée et gérable sur le plan opérationnel est plus difficile. Un code QR dans le livret d'accueil fonctionne bien pour le jour de l'emménagement. Un portail résidents où ils peuvent récupérer leur clé et ajouter de nouveaux appareils est encore préférable pour la gestion quotidienne. Concevez le flux de distribution des clés avant votre déploiement, et non après. Passons maintenant à une séance de questions - réponses rapide sur les sujets les plus fréquents. Combien de clés PPSK un seul point d'accès peut-il gérer ? La plupart des plateformes d'entreprise prennent en charge des milliers de clés par SSID. Cisco Meraki prend en charge jusqu'à 5 000 entrées iPSK par réseau. Aruba prend en charge une échelle similaire. Ubiquiti UniFi prend en charge jusqu'à 1 000 entrées PPSK par réseau. Pour un immeuble de 200 unités, vous êtes largement en dessous des limites sur n'importe quelle plateforme. Le PPSK fonctionne-t-il avec WPA3 ? Oui, sur la plupart des plateformes d'entreprise. WPA3-SAE offre une protection plus forte contre les attaques par dictionnaire hors ligne par rapport à WPA2-PSK, donc déployer PPSK sur WPA3 là où vos appareils clients le prennent en charge est la bonne approche. L'exception est UniFi, qui est actuellement uniquement WPA2 pour le PPSK. Puis-je intégrer le PPSK à mon système de gestion immobilière ? Oui, via l'API du fournisseur. Aruba Central, Meraki, Ruckus et Mist exposent tous des API REST pour la gestion des clés PPSK. La plateforme Multi-Tenant WiFi de Purple repose sur ces API et fournit une couche de gestion unique pour tous les fournisseurs de matériel, avec des webhooks pour déclencher automatiquement l'attribution et la révocation des clés depuis votre système de gestion immobilière. Qu'en est-il du GDPR ? Les clés PPSK sont des identifiants, pas des données personnelles en soi. Cependant, si vous liez une clé à un résident désigné - ce que vous ferez, pour des raisons opérationnelles - ce lien constitue une donnée personnelle en vertu du UK GDPR. Stockez-le de manière sécurisée, conservez-le uniquement le temps nécessaire et assurez-vous que votre accord de traitement des données avec votre fournisseur de plateforme WiFi couvre ce point. Purple est certifié ISO 27001, conforme au GDPR et certifié Cyber Essentials. Terminons par les points clés à retenir. Premièrement : le PPSK est le bon modèle d'authentification pour les environnements résidentiels multi-locataires. Il vous offre une isolation par foyer, une compatibilité IoT et une simplicité opérationnelle que les modèles PSK et 802.1X standard ne peuvent égaler simultanément. Deuxièmement : la terminologie varie selon le fournisseur - PPSK, iPSK, ePSK, Réseau Privé Personnel - mais le mécanisme reste le même. Ne laissez pas la confusion terminologique retarder votre décision d'achat. Troisièmement : concevez votre plan de VLAN avant de toucher au matériel. La conception logique est la partie difficile. Le déploiement physique en découle. Quatrièmement : maintenez le nombre de vos SSID en dessous de quatre par radio. Utilisez le PPSK pour regrouper les segments sur un seul SSID plutôt que de multiplier les noms de réseau. Cinquièmement : créez votre flux de distribution de clés avant le lancement officiel. Le jour du déménagement n'est pas le moment de découvrir que votre processus d'intégration présente des lacunes. Si vous souhaitez approfondir l'un de ces sujets - sélection du matériel, conception de VLAN pour une propriété spécifique ou intégration du PPSK à votre système de gestion immobilière - l'équipe Multi-Tenant WiFi de Purple peut vous guider. Vous trouverez le guide écrit complet et les diagrammes d'architecture sur purple.ai. Merci pour votre écoute.