PPSK-kiosk : comparaison des fonctionnalités et des modèles de déploiement

Bienvenue dans ce briefing technique Purple. Aujourd'hui, nous abordons les déploiements de bornes PPSK - de quoi il s'agit, comment ils se comparent aux alternatives et où ils sont réellement pertinents à déployer. Commençons par le problème. Dans un réseau WPA2 Personnel traditionnel, chaque appareil partage le même mot de passe. C'est parfait à la maison. C'est un risque de sécurité dans un complexe de logements locatifs de 200 unités, un hôtel de 300 chambres ou un centre de congrès accueillant des événements consécutifs. Lorsqu'un résident déménage ou qu'un client libère sa chambre, soit vous changez le mot de passe pour tout le monde - ce qui déconnecte tous les autres appareils du bâtiment - soit vous laissez l'ancien identifiant actif. Aucune de ces options n'est acceptable. PPSK résout ce problème en attribuant à chaque résident, chaque appartement ou chaque groupe d'appareils sa propre clé WiFi unique. Ils se connectent tous au même SSID - le même nom de réseau - mais chaque clé est associée à un VLAN distinct. L'appartement 12 est sur le VLAN 10. L'appartement 13 est sur le VLAN 20. Les appareils IoT sont sur le VLAN 99. Le point d'accès gère automatiquement l'association entre la clé et le VLAN. Aucun serveur RADIUS requis. Aucune infrastructure de certificats. Aucun suppliant 802.1X sur l'appareil. Maintenant, l'élément borne est ce qui rend cela particulièrement intéressant sur le plan opérationnel pour les promoteurs immobiliers et les gestionnaires de sites. Une borne PPSK est un terminal en libre-service - généralement une tablette sur un support fixe - placée dans un hall d'accueil, une réception ou un espace commun. Un visiteur ou un nouveau résident s'en approche, saisit son nom ou scanne un QR code, et la borne génère et délivre une PPSK unique sur-le-champ. La clé est liée à son profil d'identité, possède une date d'expiration définie et est associée au VLAN correspondant à son niveau d'accès. Aucune intervention du personnel d'accueil. Aucun ticket informatique. Aucun mot de passe partagé écrit sur un tableau blanc. Parlons de la terminologie, car elle varie selon les constructeurs, ce qui crée une réelle confusion. Aruba l'appelle PPSK - Private Pre-Shared Key. Cisco Meraki l'appelle iPSK - Identity PSK. Juniper Mist utilise ePSK. Extreme Networks, qui a initialement développé le concept sous la marque Aerohive, l'appelle Private PSK. Ubiquiti UniFi l'appelle simplement PPSK. Cambium utilise également ePSK. Le mécanisme sous-jacent est identique pour tous : un seul SSID, plusieurs clés uniques, chaque clé étant liée à un VLAN ou à un groupe de politiques. Techniquement, voici ce qui se passe au niveau de la couche d'association. Lorsqu'un appareil se connecte, il présente sa clé pré-partagée lors de la poignée de main à quatre voies WPA2. Le point d'accès - ou le contrôleur cloud sous-jacent - recherche cette clé dans la base de données PPSK, identifie le VLAN auquel elle correspond et étiquette le trafic de l'appareil en conséquence à partir de ce moment-là. L'appareil voit une connexion WiFi normale. Il n'a aucune idée qu'il a été placé dans un segment isolé. Son Chromecast fonctionne. Son enceinte connectée s'associe. Sa console obtient le bon type de NAT. Tout se comporte comme sur un réseau domestique - car du point de vue de l'appareil, c'est le cas. C'est la différence clé avec 802.1X, qui est la norme d'entreprise pour les réseaux du personnel et les environnements d'entreprise. 802.1X nécessite un serveur RADIUS, un fournisseur d'identité - Microsoft Entra ID, Okta ou Google Workspace - et un supplicant sur chaque appareil. Ce supplicant est le composant logiciel qui gère l'échange d'authentification EAP. Chaque ordinateur portable géré, chaque téléphone d'entreprise, en possède un. Le réfrigérateur intelligent de votre résident n'en a pas. Le contrôleur CVC de votre bâtiment n'en a pas. Vos capteurs IoT n'en ont pas. Le PPSK fonctionne avec tous ces appareils car il opère au niveau de la couche WPA Personal, et non de la couche WPA Enterprise. Cela dit, le PPSK ne remplace pas le 802.1X dans les environnements d'entreprise. C'est un outil différent pour un problème différent. Si vous gérez un réseau pour le personnel où la responsabilité individuelle est importante, 802.1X est la bonne réponse. Si vous gérez un réseau résidentiel où vous avez besoin d'une isolation par foyer, d'un support IoT et d'une simplicité opérationnelle à grande échelle, le PPSK est la bonne réponse. Examinons les trois modèles de déploiement en production aujourd'hui. Le premier est le modèle de contrôleur cloud. Vos points d'accès - qu'il s'agisse de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet - se connectent à une plateforme de gestion cloud. Le stockage des clés PPSK réside dans le contrôleur cloud. Lorsque vous accueillez un nouveau résident, vous créez une clé dans le portail, vous l'attribuez à un VLAN et le contrôleur diffuse la politique sur chaque point d'accès du bâtiment. Le résident reçoit sa clé par e-mail, SMS ou via un code QR dans un pack d'accueil, puis se connecte. Lorsqu'il déménage, vous supprimez la clé. Ses appareils cessent de se connecter. Personne d'autre n'est affecté. Le deuxième modèle est le PPSK avec un backend RADIUS local. Certains déploiements d'entreprise utilisent un serveur RADIUS pour stocker et valider les identifiants PPSK, ce qui vous offre une journalisation centralisée, des pistes d'audit et une intégration avec votre plateforme de gestion des identités. Cela ajoute des frais d'infrastructure mais vous offre la responsabilité du 802.1X avec la compatibilité des appareils du PPSK. Le troisième modèle est hybride : PPSK pour les résidents et l'IoT, 802.1X pour le personnel et les systèmes de gestion. C'est l'architecture que Purple recommande pour les déploiements de logements locatifs et d'immeubles collectifs. Les résidents bénéficient du PPSK. Les systèmes de gestion technique du bâtiment, la vidéosurveillance et le contrôle d'accès disposent de leur propre VLAN IoT avec PPSK. Les appareils de l'équipe de gestion immobilière utilisent le 802.1X avec Microsoft Entra ID ou Okta. Trois modèles d'authentification distincts, trois VLAN distincts, une seule infrastructure physique. Voyons maintenant les pièges à éviter. Ce sont les modes de défaillance que je constate à plusieurs reprises dans les déploiements en production. Le premier est la prolifération des SSID. Chaque SSID que vous diffusez consomme du temps d'antenne pour les trames de balise. Dans un immeuble résidentiel dense, si vous diffusez six ou huit SSIDs par point d'accès, vous dégradez les performances pour tout le monde. Limitez-vous à un maximum de quatre SSIDs par radio. Utilisez PPSK pour desservir plusieurs segments de résidents à partir d'un seul SSID plutôt que de créer un SSID distinct par appartement ou par étage. Le deuxième piège est la configuration insuffisante des ports trunk. Vous concevez un plan de VLAN propre, vous déployez les points d'accès, puis le trafic chute silencieusement parce que quelqu'un a oublié d'autoriser les VLANs concernés sur une liaison trunk entre le commutateur de distribution et la couche d'accès. Validez chaque port trunk lors de la mise en service. Documentez-le. Testez-le avec un appareil sur chaque VLAN avant l'arrivée des résidents. Le troisième piège est la distribution des clés. Générer des clés est simple. Les transmettre aux résidents de manière sécurisée et gérable sur le plan opérationnel est plus difficile. Un code QR dans le pack de bienvenue fonctionne bien pour le jour de l'emménagement. Un portail résident où ils peuvent récupérer leur clé et ajouter de nouveaux appareils est préférable pour les opérations courantes. Créez le flux de travail de distribution des clés avant de déployer, pas après. Laissez-moi vous donner deux scénarios réels qui illustrent cela en pratique. Scénario un : un développement Build to Rent de 180 unités dans un centre-ville. L'opérateur souhaitait que le WiFi soit inclus dans le loyer en tant qu'équipement, avec une activation le jour de l'emménagement et une prise en charge complète de la maison intelligente. Ils ont déployé des points d'accès HPE Aruba gérés via Aruba Central. Chaque appartement reçoit une clé PPSK unique générée lors de la signature du bail. La clé est envoyée par e-mail au résident avec un code QR. Ils le scannent, tous leurs appareils se connectent, et leur Chromecast, enceinte connectée et console fonctionnent immédiatement. Lorsqu'un résident déménage, le gestionnaire immobilier supprime la clé dans le portail. Le nouveau résident reçoit une nouvelle clé à son arrivée. L'opérateur a signalé une réduction de 30 % des tickets d'assistance liés au WiFi par rapport à leur précédent déploiement à mot de passe partagé. Scénario deux : une résidence étudiante de 400 lits construite à cet effet. Le défi ici est la semaine d'emménagement de la cohorte, avec des centaines d'étudiants arrivant simultanément, essayant tous de connecter des dizaines d'appareils à la fois. L'opérateur a utilisé des points d'accès Ruckus avec SmartZone, en déployant PPSK avec une clé par chambre. Les clés ont été pré-générées et incluses dans le pack de bienvenue envoyé avant l'arrivée. Les étudiants ont scanné le code QR à leur arrivée et ont été connectés en quelques secondes. Le réseau a géré la vague d'emménagement sans dégradation car le trafic de chaque étudiant était isolé dans son propre segment VLAN. Passons maintenant à une séance de questions-réponses rapide sur les sujets qui reviennent le plus souvent. Combien de clés PPSK un seul point d'accès peut-il gérer ? La plupart des plateformes d'entreprise prennent en charge des milliers de clés par SSID. Cisco Meraki prend en charge jusqu'à 5 000 entrées iPSK par réseau. Aruba prend en charge une échelle similaire. Ubiquiti UniFi prend en charge jusqu'à 1 000 entrées PPSK par réseau. Pour un bâtiment de 200 unités, vous êtes largement dans les limites sur n'importe quelle plateforme. Est-ce que le PPSK fonctionne avec le WPA3 ? Oui, sur la plupart des plateformes d'entreprise. Le WPA3-SAE offre une protection plus forte contre les attaques par dictionnaire hors ligne par rapport au WPA2-PSK, donc déployer le PPSK sur WPA3 là où vos appareils clients le prennent en charge est la bonne approche. L'exception est UniFi, qui est actuellement en WPA2 uniquement pour le PPSK. Puis-je intégrer le PPSK avec mon système de gestion immobilière ? Oui, via l'API du fournisseur. Aruba Central, Meraki, Ruckus et Mist exposent tous des API REST pour la gestion des clés PPSK. La plateforme de Purple se positionne comme une superposition cloud et gère les appels API vers le matériel sous-jacent, de sorte que votre système de gestion immobilière communique avec un seul point de terminaison, quel que soit le fournisseur de points d'accès que vous utilisez. Qu'en est-il de la conformité GDPR ? La génération de clés PPSK collecte des données d'identité - nom, e-mail, numéro d'appartement. Ces données nécessitent une base légale en vertu du UK GDPR, une politique de conservation claire et un stockage sécurisé. Purple stocke les données dans les régions UE, UK ou US de votre choix, avec des périodes de conservation configurables et une capture de consentement intégrée dans le flux d'intégration. En résumé. Le PPSK-kiosk est la bonne architecture lorsque vous avez besoin d'une isolation WiFi par utilisateur ou par foyer, de la prise en charge des appareils IoT et d'une intégration en libre-service à grande échelle. Il fonctionne sur du matériel que vous possédez probablement déjà - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet. Il ne remplace pas le 802.1X pour les réseaux du personnel où des pistes d'audit individuelles sont nécessaires. Et l'élément borne - le terminal en libre-service - est ce qui le rend opérationnel à l'échelle d'un développement résidentiel locatif (BTR) de 200 unités ou d'une conférence de 500 délégués. Si vous planifiez un déploiement et souhaitez discuter de l'architecture, l'équipe de Purple travaille sur plus de 80 000 sites et peut associer le bon modèle à votre type de propriété spécifique. Le lien se trouve dans le guide. Merci pour votre écoute.