Uu PPSK hukumonline : comparaison des fonctionnalités et des modèles de déploiement

Bienvenue dans ce briefing technique Purple. Aujourd'hui, nous allons aborder le PPSK WiFi - Private Pre-Shared Key - sa définition, sa comparaison avec les autres solutions et ses cas d'usage réels. Commençons par le problème qu'il résout. Dans un réseau WPA2 Personnel traditionnel, chaque appareil connecté partage le même mot de passe. C'est parfait pour un domicile. C'est un risque de sécurité pour une résidence de co-living de 200 appartements, une résidence étudiante ou un hôtel de 300 chambres. Lorsqu'un résident déménage, soit vous changez le mot de passe pour tout le monde - en déconnectant au passage la télévision connectée, le thermostat et la console de tous les autres résidents - soit vous laissez l'ancien résident accéder au réseau. Aucune de ces options n'est acceptable. Le PPSK résout ce problème en attribuant à chaque résident, chaque appartement ou chaque groupe d'appareils sa propre clé WiFi unique. Ils se connectent tous au même SSID - le même nom de réseau - mais chaque clé est associée à un VLAN distinct. L'appartement 12 est sur le VLAN 10. L'appartement 13 est sur le VLAN 20. Les appareils IoT sont sur le VLAN 99. Le point d'accès gère automatiquement l'association entre la clé et le VLAN. Aucun serveur RADIUS requis. Aucune infrastructure de certificats. Aucun supplicant 802.1X sur l'appareil. Parlons maintenant de la terminologie, car elle varie selon les constructeurs, ce qui crée une réelle confusion sur le marché. Aruba l'appelle PPSK - Private Pre-Shared Key. Cisco Meraki l'appelle iPSK - Identity PSK. Juniper Mist utilise le terme ePSK. Extreme Networks, qui a initialement développé ce concept sous la marque Aerohive, l'appelle Private PSK. Ubiquiti UniFi l'appelle simplement PPSK. Cambium utilise également le terme ePSK. Le mécanisme sous-jacent est identique pour tous : un seul SSID, plusieurs clés uniques, chaque clé étant liée à un VLAN ou à un groupe de politiques. Techniquement, voici ce qui se passe au niveau de la couche d'association. Lorsqu'un appareil se connecte, il présente sa clé pré-partagée lors de l'authentification WPA2 (four-way handshake). Le point d'accès - ou le contrôleur cloud sous-jacent - recherche cette clé dans la base de données PPSK, identifie le VLAN correspondant et étiquette le trafic de l'appareil en conséquence. L'appareil bénéficie d'une connexion WiFi classique. Il ne sait absolument pas qu'il a été placé dans un segment isolé. Son Chromecast fonctionne. Son enceinte connectée s'associe. Sa console de jeux obtient le bon type de NAT. Tout fonctionne comme sur un réseau domestique - car du point de vue de l'appareil, c'est le cas. C'est la différence fondamentale avec la norme 802.1X, qui est le standard d'entreprise pour les réseaux du personnel et les environnements professionnels. Le 802.1X nécessite un serveur RADIUS, un fournisseur d'identité - Microsoft Entra ID, Okta ou Google Workspace - et un supplicant sur chaque appareil. Ce supplicant est le composant logiciel qui gère l'échange d'authentification EAP. Chaque ordinateur portable géré, chaque téléphone d'entreprise en possède un. Le réfrigérateur connecté de votre résident n'en a pas. Le contrôleur CVC de votre bâtiment n'en a pas. Vos capteurs IoT n'en ont pas. Le PPSK fonctionne avec tous ces appareils car il s'exécute au niveau de la couche WPA Personnel, et non de la couche WPA Entreprise. Cela dit, PPSK ne remplace pas 802.1X dans les environnements d'entreprise. C'est un outil différent pour un problème différent. Si vous gérez un réseau pour le personnel où la responsabilité individuelle est primordiale, 802.1X est la bonne réponse. Si vous gérez un réseau résidentiel où vous avez besoin d'une isolation par foyer, d'un support IoT et d'une simplicité opérationnelle à grande échelle, PPSK est la bonne réponse. Examinons les modèles de déploiement. Il existe trois modèles principaux en production aujourd'hui. Le premier est le modèle cloud-controller, qui est le plus courant pour les nouveaux déploiements. Vos points d'accès - qu'il s'agisse de Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet - se connectent à une plateforme de gestion cloud. Le magasin de clés PPSK réside dans le contrôleur cloud. Lorsque vous accueillez un nouveau résident, vous créez une clé dans le portail, vous l'associez à un VLAN, et le contrôleur pousse la politique sur chaque point d'accès du bâtiment. Le résident reçoit sa clé par e-mail, SMS ou code QR dans un pack de bienvenue, et se connecte. Lorsqu'il déménage, vous supprimez la clé. Ses appareils cessent de se connecter. Personne d'autre n'est affecté. Le deuxième modèle est le PPSK avec un backend RADIUS local. Certains déploiements d'entreprise utilisent un serveur RADIUS pour stocker et valider les identifiants PPSK, ce qui vous offre une journalisation centralisée, des pistes d'audit et une intégration avec votre plateforme de gestion des identités. Cela ajoute des coûts d'infrastructure mais vous offre la responsabilité du 802.1X avec la compatibilité des appareils du PPSK. Le troisième modèle est hybride : PPSK pour les résidents et l'IoT, 802.1X pour le personnel et les systèmes de gestion. C'est l'architecture que Purple recommande pour les déploiements Build to Rent et les immeubles collectifs. Les résidents bénéficient du PPSK. Les systèmes de gestion du bâtiment, la vidéosurveillance et le contrôle d'accès disposent de leur propre VLAN IoT avec PPSK. Les appareils de l'équipe de gestion immobilière utilisent 802.1X avec Microsoft Entra ID ou Okta. Trois modèles d'authentification distincts, trois VLAN distincts, une seule infrastructure physique. Passons maintenant à la mise en œuvre. Commencez par votre conception logique avant de toucher au matériel. Cartographiez votre nombre de résidents, vos catégories d'appareils IoT et tous les systèmes du personnel ou de gestion. Attribuez les VLAN. Un déploiement BTR type ressemble à ceci : du VLAN 10 jusqu'au nombre requis pour vos résidents, un VLAN par appartement ou un VLAN par étage selon votre densité. VLAN 99 pour l'IoT. VLAN 100 pour la gestion du bâtiment. VLAN 200 pour le WiFi invité dans les zones communes. Dans un bâtiment de 200 appartements, vous envisagez 3 000 à 5 000 appareils sur le réseau à tout moment. C'est le chiffre de 15 à 25 appareils par foyer issu des recherches de la British Property Federation. Vos plages DHCP doivent s'adapter à cela. Utilisez l'adressage privé RFC 1918 avec des tailles de sous-réseau suffisantes par VLAN. Un slash 24 vous donne 254 adresses utilisables. Un slash 23 vous en donne 510. Dimensionnez en conséquence. Sur le choix du matériel : PPSK est pris en charge sur toutes les principales plateformes de points d'accès d'entreprise. Cisco Meraki l'appelle iPSK et le gère via le tableau de bord Meraki. HPE Aruba l'intègre nativement dans ArubaOS et Aruba Central. Ruckus le prend en charge via SmartZone. Juniper Mist utilise ePSK avec une gestion RF optimisée par l'IA. Ubiquiti UniFi propose le PPSK depuis 2023, bien qu'il soit actuellement limité à la sécurité WPA2. Aruba, Ruckus et Meraki prennent tous en charge le PPSK sur les configurations WPA3. Passons maintenant aux pièges à éviter. Le premier est la prolifération des SSID. Chaque SSID que vous diffusez consomme de la bande passante hertzienne pour les trames de balise. Limitez-vous à un maximum de quatre SSID par radio. Utilisez le PPSK pour desservir plusieurs segments de résidents à partir d'un seul SSID plutôt que de créer un SSID distinct par appartement. Le deuxième piège est la configuration insuffisante des ports trunk. Vous concevez un schéma VLAN propre, vous déployez les points d'accès, puis le trafic s'interrompt silencieusement parce que quelqu'un a oublié d'autoriser les VLAN concernés sur une liaison trunk. Validez chaque port trunk lors de la mise en service. Testez-le avec un appareil sur chaque VLAN avant l'arrivée des résidents. Le troisième piège est la distribution des clés. Générer des clés est facile. Les acheminer en toute sécurité vers les résidents est plus difficile. Un code QR dans le pack d'accueil fonctionne très bien pour le jour de l'emménagement. Un portail pour les résidents est préférable pour les opérations courantes. Créez le flux de distribution des clés avant de déployer, pas après. Passons maintenant à des questions rapides. Combien de clés PPSK un seul point d'accès peut-il gérer ? Cisco Meraki prend en charge jusqu'à 5 000 entrées iPSK par réseau. Aruba prend en charge une échelle similaire. Ubiquiti UniFi prend en charge jusqu'à 1 000 entrées PPSK par réseau. Pour un bâtiment de 200 logements, vous êtes largement dans les limites, quelle que soit la plateforme. Le PPSK fonctionne-t-il avec le WPA3 ? Oui, sur la plupart des plateformes d'entreprise. Le WPA3-SAE offre une protection renforcée contre les attaques par dictionnaire hors ligne. L'exception est UniFi, qui est actuellement limité au WPA2 pour le PPSK. Puis-je intégrer le PPSK à mon système de gestion immobilière ? Oui, via l'API du fournisseur. La plateforme Multi-Tenant WiFi de Purple se présente comme une surcouche cloud sur votre matériel existant et gère l'attribution des clés, l'affectation des VLAN et l'accueil des résidents via un tableau de bord unique - avec des intégrations dans les plateformes de gestion immobilière pour automatiser les flux d'arrivée et de départ. En résumé. Le PPSK est le bon modèle d'authentification pour les environnements résidentiels multi-locataires, les logements étudiants et les déploiements riches en IoT où la compatibilité des appareils importe plus que l'identité basée sur les certificats. Il offre une isolation réseau par foyer, prend en charge tous les types d'appareils et s'adapte à des milliers de clés sans infrastructure RADIUS. Le modèle hybride - PPSK pour les résidents, 802.1X pour le personnel - vous offre le meilleur des deux mondes sur un seul réseau physique. Les trois points à valider dès le premier jour sont : la conception de votre VLAN, votre flux de distribution des clés et la configuration de vos ports trunk. Maîtrisez ces trois aspects, et le reste suivra. Pour en savoir plus sur la plateforme WiFi multi-tenant de Purple et la façon dont elle gère le provisionnement PPSK à grande échelle, rendez-vous sur purple dot ai. Merci pour votre écoute.