PPSK life: confronto tra funzionalità e modelli di implementazione

Benvenuto nella serie tecnica Purple WiFi. Oggi parleremo della vita con le PPSK - ovvero Private Pre-Shared Key - confrontando le sue caratteristiche e i modelli di implementazione per costruttori, proprietari immobiliari e operatori del settore build-to-rent. Iniziamo con un po' di contesto. Se gestisci un edificio residenziale - che si tratti di un complesso BTR da 50 unità, di uno studentato o di uno spazio di co-living - ti sarai quasi certamente scontrato con lo stesso problema di WiFi. Un'unica password condivisa per l'intero edificio. Qualcuno si trasferisce, cambi la chiave e improvvisamente 200 residenti non riescono più a connettere i propri dispositivi. O peggio, non la cambi e il tuo ex inquilino ha ancora accesso alla rete. La PSK standard - Pre-Shared Key - non è mai stata progettata per questo. È stata concepita per un nucleo familiare di quattro persone che si fidano l'una dell'altra. Non per un edificio di 300 residenti estranei tra loro. Quindi, cos'è la PPSK? La Private Pre-Shared Key assegna a ogni singolo residente, o a ogni singolo dispositivo, una password WiFi unica. Tutti si connettono allo stesso nome di rete - lo stesso SSID - ma ogni chiave è unica per quel residente. Quando il residente A si connette, la rete sa che si tratta del residente A. Quando si trasferisce, revochi la sua chiave. Nessun altro ne risente. Nessun altro residente dovrà riconnettere un solo dispositivo. Ora, potresti pensare - non è esattamente quello che fa l'802.1X? E avresti parzialmente ragione. L'802.1X, lo standard di autenticazione enterprise IEEE, fornisce credenziali individuali. Ma richiede un'infrastruttura di certificati, un server RADIUS e la configurazione del supplicant lato client. I Chromecast, le console PlayStation e i termostati intelligenti dei tuoi residenti non supportano l'802.1X. Non hanno lo stack software necessario. La PPSK funziona con qualsiasi dispositivo in grado di connettersi al WiFi - perché, dal punto di vista del dispositivo, si tratta solo di inserire una password. Questo è il concetto fondamentale della vita con le PPSK. Ottieni la responsabilità individuale - il vantaggio di sicurezza dell'802.1X - senza i costi dell'infrastruttura o i problemi di compatibilità dei dispositivi. Parliamo ora del panorama dei vendor, perché la terminologia varia. Aruba la chiama MPSK - Multi-PSK. Cisco Meraki la definisce iPSK - Identity PSK - e vi ha recentemente aggiunto sopra la WiFi Personal Network. Ruckus la chiama DPSK - Dynamic PSK. Extreme Networks, dove la tecnologia è stata introdotta per la prima volta, la chiama PPSK. Juniper Mist utilizza ePSK. Il concetto di base è identico per tutti. Un unico SSID, molte chiavi, isolamento per singolo utente. In Purple, ci posizioniamo al di sopra di tutto questo come una piattaforma cloud overlay indipendente dall'hardware. Funzioniamo su Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Gestiamo l'intero ciclo di vita delle chiavi - provisioning, rotazione, revoca - indipendentemente da quali access point siano installati sul soffitto. Analizziamo l'architettura. In un'implementazione PPSK, l'access point - o il controller alle sue spalle - gestisce una tabella che associa ciascuna chiave a una VLAN. Quando un dispositivo si connette con la chiave del residente A, l'AP assegna quel dispositivo alla VLAN del residente A. I dispositivi del residente B finiscono sulla VLAN del residente B. Al Layer 2, sono completamente invisibili tra loro. Questo è ciò che chiamiamo la bolla WiFi. Ogni residente ottiene una rete locale privata - la propria rete domestica logica - anche se condivide l'infrastruttura fisica. Il loro telefono rileva il Chromecast. Il loro smart speaker si associa alle lampadine. La loro console ottiene un tipo NAT Aperto. Funziona esattamente come un router domestico, perché dal punto di vista della rete, è un router domestico - solo virtuale. Il server RADIUS è opzionale in alcune implementazioni dei vendor per installazioni più piccole, ma per qualsiasi scenario superiore a poche decine di unità, è preferibile inserire RADIUS nel flusso. Offre logging centralizzato, assegnazione dinamica della VLAN e la possibilità di integrarsi con il proprio identity provider - Microsoft Entra ID, Okta o Google Workspace. Purple fornisce RADIUS-as-a-Service come parte della piattaforma, in modo da non dover gestire un proprio server. Ora, WPA3 aggiunge un ulteriore livello. WPA3-Personal ha introdotto l'SAE - Simultaneous Authentication of Equals - che sostituisce il vecchio handshake a 4 vie. L'SAE è resistente agli attacchi offline con dizionario, il che significa che anche se qualcuno intercetta l'handshake, non può forzare la chiave offline tramite brute-force. Per le implementazioni PPSK, la modalità di transizione WPA3 - che supporta contemporaneamente i client WPA2 e WPA3 - è il punto di partenza ideale per il 2025 e oltre. La maggior parte degli access point di Cisco Meraki, HPE Aruba e Ruckus supporta già questa funzionalità. Esaminiamo due scenari di implementazione reali, perché la teoria è utile solo fino a un certo punto. Primo scenario: un complesso residenziale in affitto da 200 unità a Manchester. Lo sviluppatore sta precablando l'edificio con access point HPE Aruba - uno per piano, montato nei corridoi. Vuole che i residenti abbiano il WiFi fin dal primo giorno del loro contratto di locazione, senza attese per la banda larga, e vuole applicare una tariffa premium per il servizio come parte del pacchetto di servizi offerti. L'architettura qui è semplice. Un unico SSID per tutto l'edificio - chiamiamolo con il nome dell'edificio stesso. Purple fornisce una chiave MPSK unica per ogni unità durante il flusso di onboarding precedente all'inizio della locazione. Il residente riceve la chiave via email prima di trasferirsi. Arriva, connette il telefono e tutti gli altri dispositivi che aggiunge utilizzano la stessa chiave. Il suo Chromecast funziona. La sua Alexa funziona. La sua PlayStation ottiene un tipo NAT Aperto. Al momento del rilascio dell'immobile, il sistema di gestione immobiliare attiva un webhook verso l'API di Purple. Purple revoca la chiave. Il residente successivo riceve una nuova chiave. Nessun altro nell'edificio viene impattato. L'intero ciclo di vita - provisioning, rotazione, revoca - è automatizzato. Il gestore della proprietà non deve intervenire sulla rete. Il risultato commerciale: una ricerca della British Property Federation mostra che gli operatori BTR ottengono un premio sull'affitto da quindici a trenta sterline per unità al mese quando il WiFi è incluso come servizio gestito. I periodi di inattività si riducono da cinque a dieci giorni perché la connettività nel giorno del trasloco è garantita. E il costo per porta di un overlay software sull'hardware di proprietà è in genere inferiore dal trenta al cinquanta percento rispetto ai contratti a banda larga per singola unità. Secondo scenario: uno studentato appositamente costruito da 600 posti letto. La sfida qui è la settimana di accoglienza - la prima settimana di settembre, quando arrivano simultaneamente seicento studenti, ognuno con una media di sette dispositivi. Laptop, telefoni, tablet, console, smart speaker. Si tratta di oltre quattromila dispositivi che tentano di connettersi in 48 ore. Con una configurazione PSK standard, questo è un incubo per l'assistenza. Con PPSK, ogni studente riceve la propria chiave nella email di benvenuto prima dell'arrivo. Arrivano, si connettono una volta e tutti i loro dispositivi si trovano sul loro segmento privato. La console di gioco ottiene il tipo di NAT corretto. La smart TV trasmette in streaming senza buffering. Il laptop si connette alla VPN universitaria senza interferenze dal traffico degli altri residenti. La differenza operativa chiave rispetto al BTR è la rotazione annuale degli studenti. Ogni agosto, si esegue il provisioning massivo delle nuove chiavi per la coorte in entrata e si revocano massivamente le chiavi di quella in uscita. Purple gestisce questo processo tramite integrazione SCIM con il sistema di gestione degli studenti, o tramite un'importazione CSV se il sistema non supporta lo SCIM. In entrambi i casi, si tratta di un'operazione pianificata, non manuale. Ora vorrei parlare dei problemi di implementazione, perché ce ne sono alcuni che colgono le persone alla sprovvista. Primo: l'esaurimento delle VLAN. Ogni segmento di residenti ha bisogno della propria VLAN. Un edificio di 500 unità ha bisogno di 500 VLAN. La maggior parte degli switch enterprise supporta 4.096 VLAN secondo lo standard 802.1X, quindi è improbabile che si raggiunga il limite, ma è necessario pianificare l'intervallo VLAN in fase di progettazione. Non lasciatelo come un ripensamento. Secondo: mDNS e rilevamento dei dispositivi. Per impostazione predefinita, mDNS - il protocollo utilizzato da Chromecast, AirPlay e Sonos per rilevare i dispositivi - non supera i limiti della VLAN. È necessario configurare il reflection o il proxy mDNS sul controller o sul gateway per consentire il rilevamento all'interno della VLAN di un residente, bloccandolo al contempo tra le VLAN. Tutti i principali fornitori supportano questa funzionalità, ma non è sempre abilitata per impostazione predefinita. Verificatela prima della messa in servizio. Terzo: la randomizzazione degli indirizzi MAC. I moderni dispositivi iOS e Android randomizzano il proprio indirizzo MAC per rete per proteggere la privacy. Questo interrompe qualsiasi flusso di autenticazione basato su MAC o di registrazione dei dispositivi. PPSK aggira completamente questo problema - l'autenticazione è basata sulla chiave, non sul MAC - ma se si eseguono regole di filtraggio MAC supplementari, è necessario tenere conto della randomizzazione. Quarto: lunghezza e complessità delle chiavi. Le chiavi PPSK devono essere lunghe almeno 20 caratteri, generate in modo casuale e mai riutilizzate tra i residenti. Una chiave debole compromette l'intero modello di isolamento. Purple genera chiavi crittograficamente casuali per impostazione predefinita. Se generi le chiavi manualmente o tramite un'integrazione con il sistema di gestione della proprietà, applica una lunghezza minima nel tuo flusso di lavoro di provisioning. Quinto: il flusso di onboarding IoT. I dispositivi per la casa intelligente - termostati, serrature, prese intelligenti - spesso utilizzano una modalità di configurazione Bluetooth o WiFi temporanea prima di connettersi alla rete principale. Le istruzioni di onboarding per i residenti devono tenerne conto. Il dispositivo deve connettersi alla rete PPSK del residente, non alla rete di gestione dell'edificio. Una guida alla configurazione chiara e illustrata riduce notevolmente i ticket di supporto. Facciamo una sessione rapida di domande e risposte per coprire i dubbi che sentiamo più spesso. Domanda: Ho bisogno di un server RADIUS per PPSK? Risposta: Dipende dalla scala e dal fornitore. iPSK di Cisco Meraki supporta fino a 50 chiavi senza RADIUS, ma arriva a 5.000 con RADIUS tramite WiFi Personal Network. Aruba MPSK richiede RADIUS per l'assegnazione dinamica delle VLAN. Per qualsiasi implementazione superiore a 50 unità, utilizza RADIUS. Purple fornisce RADIUS-as-a-Service, quindi non è necessario gestirne uno proprio. Domanda: I residenti possono utilizzare PPSK su tutti i loro dispositivi, incluse console da gioco e smart TV? Risposta: Sì. Questo è il vantaggio principale rispetto a 802.1X. Qualsiasi dispositivo che supporti WPA2-Personal - ovvero ogni dispositivo WiFi prodotto negli ultimi 15 anni - funziona con PPSK. Niente certificati, nessuna configurazione del supplicant, nessun Captive Portal. Solo una password. Domanda: Cosa succede se un residente perde la chiave o acquista un nuovo telefono? Risposta: Richiede una nuova chiave tramite il portale o l'app dei residenti. Purple emette una nuova chiave e la vecchia chiave può essere facoltativamente revocata. La nuova chiave funziona su tutti i suoi dispositivi. Questo è un flusso self-service - non è richiesto l'intervento dell'IT. Domanda: PPSK è conforme al GDPR? Risposta: PPSK in sé è un meccanismo di accesso alla rete, non uno strumento di raccolta dati. La conformità al GDPR dipende da quali dati raccogli e da come li elabori. Purple è certificato GDPR e ISO 27001. I registri WiFi dei residenti devono essere conservati solo per il tempo operativamente necessario - sei mesi è un limite comune. Le analisi aggregate vanno generalmente bene; il tracciamento del comportamento individuale all'interno dell'unità di un residente no. Domanda: Come si confronta PPSK con Passpoint e OpenRoaming? Risposta: Casi d'uso differenti. Passpoint - noto anche come Hotspot 2.0 - è progettato per il roaming continuo tra sedi e operatori. OpenRoaming si basa su Passpoint per il roaming globale. PPSK è per l'accesso persistente e basato sull'identità all'interno di una singola proprietà o immobile. Sono complementari, non concorrenti. Uno sviluppo BTR potrebbe utilizzare PPSK per i residenti e Passpoint per l'accesso dei visitatori nelle aree comuni. Permettetemi di concludere con i punti chiave da ricordare. Uno: PPSK è il modello di autenticazione corretto per il WiFi residenziale multi-tenant. Offre isolamento per residente, compatibilità IoT e gestione automatizzata del ciclo di vita - senza l'infrastruttura di certificati di 802.1X. Due: la terminologia dei vendor varia - iPSK, MPSK, DPSK, ePSK - ma il concetto è identico. Scegli l'hardware in base ai requisiti dell'edificio e usa un overlay agnostico rispetto all'hardware come Purple per gestire il ciclo di vita su qualsiasi vendor. Tre: pianifica l'intervallo VLAN, la reflection mDNS e il flusso di onboarding IoT prima del go-live. Queste sono le tre fonti più comuni di ticket di supporto post-implementazione. Quattro: PPSK offre un ritorno commerciale misurabile. Da quindici a trenta sterline per unità al mese di premio sull'affitto BTR, periodi di sfitto più brevi da cinque a dieci giorni e un costo per porta inferiore dal trenta al cinquanta percento rispetto ai contratti a banda larga per singola unità. Cinque: la modalità di transizione WPA3 è l'obiettivo corretto per le nuove implementazioni nel 2025 e oltre. Supporta sia i client WPA2 che WPA3, e la protezione SAE rafforza significativamente le chiavi contro gli attacchi offline. Se desideri approfondire, la guida al WiFi multi-tenant di Purple copre il dimensionamento delle subnet, la pianificazione degli intervalli DHCP e i modelli di implementazione specifici per settore per BTR, alloggi per studenti, edilizia sociale e coworking. C'è anche uno strumento gratuito di progettazione di subnet iPSK sul sito web di Purple. Grazie per l'ascolto. Se hai domande, contatta uno dei nostri network architect su purple dot ai. Alla prossima.