Uu PPSK 2023 : comparaison des fonctionnalités et des modèles de déploiement

UU PPSK 2023 : Comparatif des fonctionnalités et des modèles de déploiement. Un guide technique de Purple. Bienvenue. Aujourd'hui, nous allons aborder l'une des décisions architecturales les plus importantes lors de la conception du WiFi pour une propriété résidentielle multi-locataires : le choix du modèle de clé pré-partagée à déployer. Plus précisément, nous nous concentrons sur l'UU PPSK, qui signifie clé pré-partagée unique par utilisateur (Unique per-User Pre-Shared Key), et pourquoi elle est devenue l'architecture de choix pour les opérateurs de logements locatifs privés (Build to Rent), les résidences étudiantes et les bailleurs d'immeubles collectifs au Royaume-Uni. Commençons par le problème. Vous gérez un bâtiment où des dizaines ou des centaines de foyers distincts partagent la même infrastructure réseau physique. Chaque résident a besoin d'une expérience WiFi privée, comme à la maison. Leur Chromecast doit pouvoir détecter leur téléphone. Leur enceinte connectée doit pouvoir communiquer avec leurs ampoules intelligentes. Et surtout, rien de tout cela ne doit être visible pour le résident de l'appartement d'à côté. La solution traditionnelle consistait soit à utiliser un mot de passe partagé, ce qui pose un problème de sécurité à grande échelle, soit à déployer une architecture d'entreprise 802.1X complète, ce qui nécessite une infrastructure à clés publiques (PKI), la gestion des certificats et un serveur RADIUS que la plupart des gestionnaires immobiliers n'ont tout simplement pas les ressources informatiques nécessaires pour administrer. Aucune de ces options ne convient à un immeuble résidentiel de 200 appartements. C'est là que le PPSK intervient. PPSK signifie clé pré-partagée privée (Private Pre-Shared Key). Le concept est simple : au lieu d'un seul mot de passe WiFi partagé pour tout le bâtiment, chaque résident reçoit sa propre clé d'accès unique. Ils se connectent au même SSID, le même nom de réseau, mais leur clé leur appartient exclusivement. S'ils déménagent, vous révoquez leur clé. Cela n'a aucun impact sur les autres résidents. Il existe trois modèles distincts, et comprendre la différence est essentiel pour prendre la bonne décision architecturale. Le premier modèle est le PSK partagé standard. Un seul mot de passe, tout le monde sur le même réseau. C'est ce que la plupart des bâtiments utilisent encore aujourd'hui. C'est simple à déployer, mais c'est un point de défaillance unique. Si un résident partage le mot de passe sur un forum, vous perdez le contrôle de votre réseau. Vous souhaitez supprimer l'accès d'un sous-traitant ? Vous devez changer le mot de passe de tout le monde. À grande échelle, ce n'est pas gérable. Le deuxième modèle est le PPSK de groupe. Ici, vous attribuez une clé unique à chaque groupe d'utilisateurs, par exemple une clé par étage ou une clé par type de bail. C'est mieux qu'un mot de passe partagé, mais cela pose toujours un problème de zone d'impact en cas d'incident. Si une clé d'un groupe est compromise, tout le groupe est affecté. Vous ne pouvez toujours pas isoler les résidents les uns des autres au niveau de la couche réseau. Le troisième modèle, et celui sur lequel nous nous concentrons aujourd'hui, est le UU PPSK. Unique per-User Pre-Shared Key (clé prépartagée unique par utilisateur). Également appelé iPSK par Cisco Meraki, DPSK par Ruckus, et MPSK par HPE Aruba. La terminologie varie selon le fournisseur, mais le concept est identique. Chaque résident, chaque groupe d'appareils, obtient sa propre clé cryptographique unique. Et cette clé est associée à son propre VLAN, son propre segment de réseau, complètement isolé de tous les autres résidents du bâtiment. C'est cette architecture qui offre ce que nous appelons la bulle WiFi. Les appareils du résident A peuvent se voir, ils peuvent diffuser, s'associer, partager des fichiers, exactement comme ils le feraient sur un réseau domestique. Mais le résident A ne peut voir aucun appareil appartenant au résident B, même s'ils sont tous deux connectés au même point d'accès, sur le même SSID, en utilisant la même infrastructure de câblage physique. Laissez-moi vous présenter le flux d'authentification technique, car c'est là que le mécanisme devient clair. Lorsqu'un appareil de résident se connecte au SSID, le contrôleur LAN sans fil intercepte la tentative de connexion. Pendant la poignée de main à quatre voies WPA2, l'appareil présente sa clé prépartagée. Le contrôleur recherche cette clé dans la base de données PPSK. Il renvoie l'ID de VLAN unique attribué à ce résident. Le contrôleur valide la clé, et l'appareil est authentifié et placé sur son VLAN dédié. De plus, cette attribution de VLAN applique également la bonne politique de bande passante et les bonnes règles de pare-feu. L'appareil n'est donc pas seulement authentifié. Il est automatiquement placé sur le bon segment de réseau, à partir d'un seul SSID. Pas de prolifération de SSID. Pas de surcharge de balise. Un seul nom de réseau, des centaines de réseaux privés isolés en dessous. Un mot maintenant sur la randomisation des adresses MAC, car c'est le piège qui fait échouer la plupart des déploiements. Depuis iOS 14, Android 10, et Windows 11, les appareils utilisent par défaut des adresses MAC aléatoires pour des raisons de confidentialité. Si votre plateforme d'authentification effectue une recherche MAC et que l'appareil présente une adresse aléatoire, la recherche échoue et l'appareil ne peut pas se connecter. La solution consiste à mettre en œuvre un flux de pré-enregistrement où les résidents enregistrent leur appareil avant de se connecter. La plateforme de Purple gère cela automatiquement dans le cadre du parcours d'intégration du résident. Parlons des modèles de déploiement, car le UU PPSK peut être déployé de trois manières distinctes, et le bon choix dépend de la taille de votre bâtiment, de vos ressources informatiques et de votre budget. Le premier est le PPSK local au contrôleur. Ici, les clés uniques sont stockées directement sur le contrôleur sans fil, sans serveur RADIUS externe requis. Cela fonctionne bien pour les petits déploiements, jusqu'à environ 50 unités, et c'est le plus simple à exploiter. Ubiquiti UniFi prend cela en charge de manière native. La limite réside dans l'évolutivité. La plupart des contrôleurs sont limités à quelques centaines d'entrées PPSK locales, et vous perdez la gestion centralisée du cycle de vie qui rend le UU PPSK viable à grande échelle. Le second modèle est le PPSK basé sur RADIUS. Ici, les clés sont stockées dans un serveur RADIUS externe, et le contrôleur interroge le serveur RADIUS pour chaque nouvelle connexion. Cela s'adapte à des milliers d'unités. Ruckus SmartZone, HPE Aruba ClearPass et Cisco ISE prennent tous en charge ce modèle. La charge opérationnelle est plus élevée, mais l'évolutivité et les capacités de gestion du cycle de vie sont nettement supérieures. Le troisième modèle, et celui que Purple recommande pour les opérateurs de logements locatifs à l'année (Build to Rent) et de bâtiments multi-résidentiels, est le cloud RADIUS-as-a-Service. Ici, l'infrastructure RADIUS est hébergée et gérée par Purple, et vous y connectez vos points d'accès via une superposition cloud. Cela vous offre l'évolutivité du PPSK basé sur RADIUS sans la charge opérationnelle liée à la gestion de votre propre serveur RADIUS. La plateforme de Purple s'intègre au-dessus de votre matériel existant, qu'il s'agisse de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet, et fournit la couche d'orchestration pour le provisionnement des clés, la gestion du cycle de vie et l'intégration des résidents. Le cycle de vie des clés est entièrement automatisé. Un résident emménage, sa clé est provisionnée via l'intégration du système de gestion immobilière. Il déménage, sa clé est révoquée instantanément, sans aucun impact sur les autres résidents. Aucune intervention manuelle, aucune faille de sécurité, aucun problème de rotation des mots de passe. Laissez-moi vous présenter deux scénarios de déploiement concrets pour illustrer cela. Le premier est un projet immobilier Build to Rent de 250 logements. Le promoteur avait spécifié des points d'accès Cisco Meraki dans tout le bâtiment. Il avait besoin que chaque résident bénéficie d'une expérience WiFi privée avec une prise en charge complète de l'IoT, une disponibilité dès le premier jour de l'emménagement, et la capacité de prendre en charge 15 à 25 appareils par foyer. L'architecture déployée consistait en un seul SSID pour tout le bâtiment, avec UU PPSK via le service cloud RADIUS de Purple. Chaque résident a reçu une clé unique lors de son emménagement, envoyée via l'application des résidents. La clé était associée à un VLAN dédié avec un sous-réseau privé, offrant à chaque foyer un segment de réseau entièrement isolé. La réflexion mDNS a été activée au sein de chaque VLAN, de sorte que Chromecast, Apple TV et Sonos fonctionnaient tous comme prévu. Le bâtiment a été mis en service avec 250 VLAN de résidents actifs dès le premier jour, avec zéro configuration RADIUS manuelle requise de la part de l'équipe sur site.Le deuxième scénario est un immeuble de résidences étudiantes de 400 lits spécialement conçu à cet effet. Le défi ici réside dans le renouvellement annuel de la cohorte. Chaque mois d'août, 400 étudiants déménagent et 400 nouveaux étudiants emménagent, souvent au cours de la même semaine. Avec un modèle PSK partagé, cela implique une rotation des mots de passe à l'échelle du bâtiment affectant chaque résident restant. Avec l'UU PPSK, cela signifie révoquer 400 clés et en provisionner 400 nouvelles, le tout automatisé via l'intégration du système de gestion des étudiants. Le déploiement a utilisé Ruckus SmartZone avec DPSK, soutenu par le service RADIUS de Purple. Chaque étudiant a reçu sa clé unique par e-mail lors de l'inscription préalable à son arrivée. L'équipe opérationnelle a signalé une réduction de 70 % des tickets d'assistance liés au WiFi au cours du premier trimestre, principalement parce que les problèmes d'association de Chromecast et de smart TV qui avaient perturbé le déploiement précédent de PSK partagé ont été complètement éliminés. Permettez-moi maintenant de couvrir trois règles empiriques pratiques avant de passer aux questions rapides. Règle numéro un : si votre bâtiment compte plus de 50 unités, utilisez l'UU PPSK soutenu par RADIUS, et non le PPSK local au contrôleur. Le plafond d'évolutivité du PPSK local au contrôleur vous posera des problèmes dans les 12 mois suivant la mise en service. Règle numéro deux : planifiez la randomisation MAC dès le premier jour. Intégrez un flux de travail de pré-enregistrement dans votre processus d'intégration des résidents. Ne supposez pas que les appareils présenteront leur adresse MAC permanente par défaut. Règle numéro trois : automatisez le cycle de vie des clés. La valeur opérationnelle de l'UU PPSK par rapport à un PSK partagé dépend entièrement du provisionnement et de la révocation automatiques des clés. La gestion manuelle des clés à grande échelle n'est pas viable. Intégrez votre système de gestion immobilière dès le départ. Très bien, passons à une série de questions rapides parmi celles que l'on me pose le plus souvent. L'UU PPSK fonctionne-t-il avec WPA3 ? Oui, avec des réserves. WPA3-SAE modifie le mécanisme de handshake. La plupart des contrôleurs modernes prennent en charge l'UU PPSK en mode de transition WPA2 et WPA3 pour la compatibilité ascendante. Si vous spécifiez des points d'accès WiFi 6E qui imposent WPA3 sur la bande 6 GHz, vérifiez la prise en charge spécifique de votre fournisseur avant d'acheter le matériel. Combien de clés uniques un seul SSID peut-il prendre en charge ? Cela dépend de votre plateforme de contrôleur. Avec un serveur RADIUS externe, la limite pratique est la capacité de votre base de données RADIUS. Le service cloud RADIUS de Purple s'adapte à des dizaines de milliers de clés simultanées. L'UU PPSK est-il un substitut à 802.1X ? Non. Pour les parcs d'appareils d'entreprise entièrement gérés, 802.1X reste la bonne réponse. L'UU PPSK est la bonne réponse pour les réseaux résidentiels où vous avez besoin d'une isolation par foyer, d'une prise en charge de l'IoT et d'une simplicité opérationnelle à grande échelle. Qu'en est-il de la conformité au GDPR ? L'UU PPSK vous offre une piste d'audit complète. Chaque connexion est liée à une clé de résident spécifique, elle-même liée à un dossier de location spécifique. Avec un PSK partagé, cette responsabilité est impossible. L'UU PPSK est la seule architecture qui vous permet de répondre avec précision à une demande d'accès d'un sujet ou à une enquête des forces de l'ordre. En résumé : UU PPSK est l'architecture d'authentification qui rend le WiFi multi-locataire viable sur le plan opérationnel à l'échelle résidentielle. Elle assure l'isolation du réseau par résident, automatise la gestion du cycle de vie des clés et prend en charge toute la gamme d'appareils IoT grand public sans nécessiter d'infrastructure de certificats d'entreprise. Pour tout développement Build to Rent ou immeuble collectif de plus de 50 unités, c'est l'architecture que vous devriez spécifier dès aujourd'hui. Si vous souhaitez découvrir comment la solution WiFi Multi-Tenant de Purple peut fonctionner avec votre matériel existant, visitez purple dot ai ou contactez l'un de nos architectes réseau. Merci pour votre écoute.