Vai al contenuto principale
Italiano

Cisco iPSK: una guida completa per le aziende

Questa guida completa esplora l'architettura, l'implementazione e i vantaggi aziendali di Cisco iPSK (Identity Pre-Shared Key). Fornisce ai leader IT nei settori BTR, hospitality e retail strategie pratiche per implementare reti WiFi sicure, segmentate e automatizzate senza la complessità dello standard 802.1X.

📖 6 minuti di lettura📝 1,472 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto nella serie di briefing tecnici di Purple. Oggi parliamo di Cisco iPSK - Identity Pre-Shared Key - e del perché è diventato il modello di sicurezza WiFi di riferimento per i costruttori immobiliari, gli operatori BTR, gli hotel e le aziende retail multisito.\n\nPermettimi di iniziare dal problema. Gestisci un complesso Build-to-Rent di 200 unità. Desideri che ogni residente disponga di un WiFi sicuro e privato fin dal primo giorno. Non vuoi installare un router in ogni appartamento. Non vuoi gestire 200 reti separate. E non vuoi assolutamente che un residente possa vedere la smart TV di un altro residente sulla rete.\n\nIl protocollo standard WPA2-PSK - il modello con password condivisa - fallisce immediatamente. Una sola password per l'intero edificio significa che una singola violazione colpisce tutti. E non puoi revocare l'accesso a un singolo residente senza cambiare la password per tutti e 200.\n\nIl protocollo WPA3-Enterprise con 802.1X rappresenta l'estremo opposto. Molto sicuro. Ma richiede certificati o credenziali nome utente - password per ogni dispositivo. I termostati intelligenti dei tuoi residenti, le console di gioco e i dispositivi Amazon Alexa semplicemente non possono connettersi a una rete 802.1X. Non dispongono di un supplicant. Dovresti gestire chiamate di assistenza ogni giorno.\n\nCisco iPSK si colloca esattamente nel mezzo. Ogni residente riceve la propria chiave pre-condivisa univoca. Per il residente, l'esperienza è identica a quella di una password WiFi domestica. La inserisce una volta e tutti i suoi dispositivi si connettono. Dietro le quinte, tuttavia, il Cisco Wireless LAN Controller invia una richiesta RADIUS a Cisco ISE - l'Identity Services Engine - contenente l'indirizzo MAC del client. ISE cerca quell'indirizzo MAC, trova il profilo di autorizzazione corrispondente e restituisce la PSK corretta tramite un attributo Cisco AV-pair. Il controller convalida quindi la connessione utilizzando quella chiave individuale.\n\nIl risultato: un unico SSID per l'intero edificio, ma ogni residente è isolato nel proprio segmento di rete privato. L'override della VLAN tramite RADIUS significa che il residente A finisce sulla VLAN 101, il residente B sulla VLAN 102 e i dispositivi IoT dell'edificio - sensori delle porte, telecamere a circuito chiuso, contatori intelligenti - risiedono su una VLAN completamente separata senza alcuna contaminazione incrociata.\n\nOra ti guiderò attraverso l'architettura in modo più dettagliato, perché è qui che risiede il vero potenziale.\n\nIl flusso di autenticazione prevede quattro passaggi. In primo luogo, il dispositivo client invia una richiesta di associazione all'access point. In secondo luogo, il Cisco Wireless LAN Controller - che si tratti di un Catalyst 9800 o di una rete gestita tramite la dashboard di Cisco Meraki - invia un Access-Request RADIUS a ISE, contenente l'indirizzo MAC del client come nome utente e password. In terzo luogo, ISE valuta i suoi criteri di autorizzazione. Associa l'indirizzo MAC a un gruppo di identità dell'endpoint, recupera la PSK assegnata e restituisce una risposta Access-Accept contenente due attributi Cisco AV-pair: psk-mode uguale ad ascii, e psk uguale alla passphrase effettiva. In quarto luogo, il controller utilizza la passphrase restituita per completare l'handshake EAPOL a quattro vie WPA2 con il client.\n\nDal punto di vista del client, questo processo è indistinguibile dam una connessione standard WPA2-PSK. La complessità è interamente lato server. Questa è l'eleganza di iPSK.\n\nSul Catalyst 9800, la configurazione richiede quattro elementi. Si abilita il filtraggio MAC sulla WLAN. Si configura un elenco di metodi di autorizzazione AAA che punta al gruppo di server ISE. Si abilita l'override AAA sul profilo dei criteri. E si imposta una PSK predefinita sulla WLAN - questo è solo un valore segnaposto; nessun dispositivo lo utilizza effettivamente, poiché ISE lo sovrascrive sempre con la chiave individuale.\n\nSu Cisco Meraki, il percorso è leggermente diverso. Si seleziona Identity PSK con RADIUS dalle impostazioni di controllo dell'accesso. Meraki supporta due modalità: basata su MAC, in cui ISE memorizza le mappature da MAC a PSK, ed Easy PSK, introdotta nel firmware MR 30.x, che utilizza attributi EAPOL specifici del fornitore per passare direttamente la PSK senza pre-registrare ogni indirizzo MAC. Easy PSK è particolarmente utile quando si ha a che fare con la randomizzazione del MAC sui dispositivi iOS 14 e Android 10 - un problema operativo significativo nel modello basato su MAC.\n\nPermettetemi di presentarvi due scenari del mondo reale per rendere questo concetto concreto.\n\nScenario uno: uno sviluppo Build-to-Rent da 350 unità. L'operatore desidera che i residenti ricevano le proprie credenziali WiFi prima del giorno del trasloco. La piattaforma Multi-Tenant WiFi di Purple si integra con il sistema di gestione immobiliare. Quando viene firmato un contratto di locazione, il PMS attiva una chiamata API a Purple, che genera una iPSK univoca e la fornisce in ISE. Il residente riceve la chiave via e-mail. Entra il primo giorno, connette tutti i suoi dispositivi e la rete è attiva. Quando si trasferisce, la chiave viene revocata automaticamente. Zero interventi manuali da parte del team di gestione della struttura. L'operatore ha ridotto le chiamate di supporto relative al WiFi di oltre il 60 percento rispetto al precedente modello con password condivisa.\n\nScenario due: una struttura alberghiera da 180 camere. L'hotel voleva eliminare l'accesso tramite Captive Portal di cui gli ospiti si lamentavano ripetutamente. Con iPSK, ogni camera riceve una chiave univoca stampata sulla chiave magnetica o inviata tramite l'e-mail di conferma della prenotazione. Gli ospiti si connettono una volta. Il loro telefono, tablet e laptop si collegano tutti automaticamente durante le visite successive nell'ambito dello stesso soggiorno. I dispositivi IoT in camera - smart TV, Chromecast, tablet in camera - risiedono su una VLAN separata, isolata dal traffico degli ospiti. L'integrazione con il PMS dell'hotel consente di generare le chiavi al check-in e di revocarle al check-out senza passaggi manuali alla reception.\n\nOra, una parola sui limiti - perché nessuna tecnologia ne è priva.\n\nIl vincolo più significativo con Cisco iPSK oggi è WPA3 e la banda a 6 GHz. WPA3 utilizza Simultaneous Authentication of Equals - SAE - un handshake più sicuro rispetto a WPA2-PSK. Attualmente SAE non supporta più chiavi pre-condivise per SSID nel modo in cui lo fa WPA2. Questo non è un limite specifico di Cisco. Interessa MPSK di HPE Aruba, DPSK di Ruckus, PPSK di Juniper Mist - ogni fornitore affronta lo stesso vincolo perché è radicato nello standard IEEE 802.11 stesso.\n\nL'implicazione pratica: se state distribuendo punti di accesso WiFi 6E o WiFi 7s points e desideri utilizzare la banda a 6 GHz, non puoi eseguire iPSK su di essa. La banda a 6 GHz impone il WPA3. Le tue opzioni sono eseguire iPSK sulle bande a 2.4 e 5 GHz utilizzando WPA3-Enterprise a 6 GHz per i dispositivi gestiti, oppure attendere l'evoluzione dello standard.\n\nLa seconda sfida operativa è la randomizzazione dell'indirizzo MAC. Apple iOS 14 e Android 10 hanno introdotto gli indirizzi MAC randomizzati per rete come funzionalità di privacy. In una distribuzione iPSK basata su MAC, il controller invia il MAC randomizzato a ISE. ISE non lo riconosce. L'autenticazione fallisce. La modalità Easy PSK di Cisco Meraki risolve ampiamente questo problema autenticando tramite i parametri EAPOL anziché tramite la ricerca MAC.\n\nLasciami fornire cinque regole pratiche prima di concludere.\n\nRegola uno: se hai più di 50 dispositivi o utenti su un singolo SSID e hai bisogno di un controllo degli accessi per singolo dispositivo, iPSK è quasi certamente il modello giusto. Il PSK standard non può scalare e l'802.1X bloccherà i tuoi dispositivi IoT.\n\nRegola due: pianifica sempre l'architettura VLAN prima di configurare iPSK. La potenza di iPSK è l'override della VLAN tramite RADIUS. Se non hai progettato le tue VLAN - residenti, IoT, personale, gestione - dovrai adattarle in seguito con costi significativi.\n\nRegola tre: se utilizzi Cisco Meraki e hai client iOS o Android, utilizza la modalità Easy PSK, non la modalità basata su MAC. La randomizzazione del MAC causerà fallimenti di autenticazione su scala.\n\nRegola quattro: non distribuire iPSK senza un livello di gestione del ciclo di vita. Gestire manualmente migliaia di chiavi in ISE non è sostenibile. Integra con il tuo provider di identità - Microsoft Entra ID, Okta o Google Workspace - o utilizza una piattaforma come Purple che automatizza il provisioning e la revoca tramite il tuo sistema di gestione immobiliare o HR.\n\nRegola cinque: pianifica ora la migrazione a WPA3, anche se non distribuisci i 6 GHz oggi. Progetta la tua rete in modo che iPSK su WPA2 gestisca i dispositivi legacy e IoT, mentre WPA3-Enterprise gestisca gli endpoint aziendali gestiti. Un design SSID ibrido oggi evita una dolorosa riarchitettura tra 18 mesi.\n\nDomande rapide ora.\n\niPSK può funzionare senza Cisco ISE? Sì. FreeRADIUS e Microsoft NPS supportano entrambi l'attributo Tunnel-Password richiesto da iPSK. ISE è l'opzione più ricca di funzionalità, ma non è obbligatoria.\n\nQuante chiavi univoche può supportare un singolo SSID? Sul Catalyst 9800 con ISE, il limite è effettivamente la capacità del database RADIUS - decine di migliaia di voci. Su Cisco Meraki senza RADIUS, il limite è di 50 chiavi. Con RADIUS, scala allo stesso livello di ISE.\n\niPSK supporta il roaming veloce? Sì. Il Catalyst 9800 supporta il Fast Secure Roaming con iPSK, e il caching delle chiavi significa che il controller non deve interrogare RADIUS a ogni evento di roaming.\n\niPSK è conforme a PCI-DSS? iPSK di per sé non garantisce la conformità PCI-DSS, ma supporta i requisiti di segmentazione della rete di PCI-DSS 4.0. Gli ambienti con dati dei titolari di carta devono essere isolati dalle reti ospiti e IoT - la funzionalità di override VLAN di iPSK è il meccanismo che realizza questa segmentazionezione. In sintesi. Cisco iPSK offre un'identità per singolo dispositivo su un unico SSID, senza la complessità dei certificati 802.1X e senza le falle di sicurezza di una password condivisa. È il modello ideale per Build-to-Rent, hotel, retail e qualsiasi ambiente multi-tenant in cui è necessario isolare il traffico, automatizzare il ciclo di vita degli accessi e supportare ogni tipo di dispositivo, dalle console di gioco ai sensori IoT industriali. Le decisioni chiave riguardano: Catalyst 9800 o Meraki, ISE o un RADIUS alternativo, l'approccio basato su MAC o Easy PSK, e la modalità di integrazione con il proprio identity provider per l'automazione del ciclo di vita. La piattaforma Multi-Tenant WiFi di Purple gestisce quest'ultimo aspetto - collegando il sistema di gestione immobiliare o l'identity provider all'infrastruttura Cisco, automatizzando il provisioning e la revoca delle chiavi su scala, in oltre 80.000 sedi attive. Se desideri approfondire uno di questi aspetti - analisi dell'architettura, configurazione di ISE o un'implementazione pilota - il link per parlare con il nostro team è presente nella guida. Grazie per l'attenzione.

header_image.png

Executive Summary

Cisco Identity Pre-Shared Key (iPSK) risolve il compromesso fondamentale in materia di sicurezza nel WiFi aziendale: bilanciare la semplicità di una password condivisa con la sicurezza e la segmentazione del protocollo 802.1X. Per i responsabili IT e i direttori operativi nei settori Build-to-Rent (BTR), ospitalità e retail, iPSK offre un metodo scalabile per isolare il traffico, proteggere i dispositivi IoT e automatizzare l'accesso alla rete senza sovraccaricare l'helpdesk.

Assegnando un codice di accesso unico a ogni singolo utente o dispositivo su un unico SSID, iPSK consente una segmentazione granulare della rete tramite l'override della VLAN via RADIUS. Questo approccio elimina il rischio che una singola password compromessa comprometta l'intero edificio, supportando al contempo il 100% dei dispositivi di consumo - inclusi console di gioco, smart TV e sensori IoT legacy che non dispongono di supplicant 802.1X.

Questa guida illustra in dettaglio l'architettura tecnica di Cisco iPSK, le strategie di implementazione per gli ambienti Catalyst 9800 e Meraki e l'impatto aziendale del networking basato sull'identità per gli operatori multi-tenant.

Approfondimento Tecnico: Come Funziona Cisco iPSK

Le reti WPA2-Personal tradizionali utilizzano un'unica password statica per tutti i client connessi. Se un residente condivide la password, la sicurezza dell'intero edificio è compromessa. Al contrario, WPA2-Enterprise (802.1X) richiede certificati complessi o credenziali nome utente/password che i dispositivi IoT "headless" non possono supportare.

Cisco iPSK colma questo divario funzionando come una normale rete WPA2-PSK per il dispositivo client, pur operando come un sistema di autenticazione di livello aziendale sul backend.

L'Architettura di Autenticazione

Quando un dispositivo client tenta di connettersi a un SSID abilitato a iPSK, il flusso di autenticazione segue una sequenza specifica:

  1. Richiesta di Associazione: Il dispositivo client invia una richiesta di associazione all'access point Cisco.
  2. MAC Authentication Bypass (MAB): Il Cisco Wireless LAN Controller (WLC) intercetta la richiesta e invia un RADIUS Access-Request al server di autenticazione (solitamente Cisco Identity Services Engine - ISE). La richiesta utilizza l'indirizzo MAC del client sia come nome utente che come password.
  3. Valutazione della Policy: Cisco ISE valuta la sua policy di autorizzazione. Associa l'indirizzo MAC a un gruppo di identità endpoint e recupera la chiave pre-condivisa assegnata a quel dispositivo o utente specifico.
  4. Risposta RADIUS: ISE restituisce una risposta Access-Accept contenente specifici attributi Cisco AV-pair: psk-mode=ascii e psk=[la passphrase effettiva]. Può anche restituire un attributo Tunnel-Private-Group-ID per specificare la VLAN.
  5. 4-Way Handshake: Il WLC riceve l'iPSK unico da ISE e lo usa per completare il handshake standard 4-way EAPOL WPA2 con il dispositivo client.

architecture_overview.png

Segmentazione della rete e VLAN Override

Il principale vantaggio tecnico di iPSK è la sua capacità di imporre la segmentazione della rete su un singolo SSID. Invece di trasmettere SSID separati per residenti, personale e dispositivi IoT - il che aumenta l'utilizzo del canale e i costi di gestione - iPSK utilizza il RADIUS per assegnare in modo dinamico i dispositivi a VLAN specifiche.

Quando ISE restituisce il messaggio Access-Accept, include l'assegnazione della VLAN. Il WLC sovrascrive la VLAN predefinita dell'SSID e inserisce il traffico del client nel segmento designato. Ciò consente un'architettura PAN (Private Area Network), garantendo l'isolamento di Layer 2. Lo smartphone e la smart TV di un residente si trovano sulla propria VLAN isolata, completamente invisibili al residente dell'appartamento adiacente.

Guida all'implementazione: Catalyst 9800 e Meraki

La distribuzione di iPSK richiede il coordinamento tra il controller wireless e il server RADIUS. Il percorso di implementazione differisce leggermente a seconda che si utilizzi l'infrastruttura Cisco Catalyst o Cisco Meraki.

Configurazione di Cisco Catalyst 9800

La serie Catalyst 9800 che esegue IOS-XE supporta distribuzioni iPSK affidabili con Fast Secure Roaming. La configurazione principale richiede l'abilitazione del filtraggio MAC e dell'override AAA.

  1. Configurare il server RADIUS: Definire il server Cisco ISE e creare un elenco di metodi di autorizzazione AAA che punti al gruppo di server.
  2. Configurare la WLAN: In Sicurezza di Layer 2, abilitare il filtraggio MAC e impostare la gestione delle chiavi di autenticazione su PSK. È necessario inserire una chiave precondivisa predefinita nell'interfaccia del WLC; tuttavia, questa chiave funge solo da segnaposto e non viene mai utilizzata dai client, poiché ISE la sovrascrive.
  3. Abilitare AAA Override: Nel profilo dei criteri associato alla WLAN, abilitare AAA Override per consentire a ISE di dettare l'iPSK e l'assegnazione della VLAN.
  4. Configurare ISE: In Cisco ISE, definire il Network Device, aggiungere gli indirizzi MAC dei client ai gruppi di identità degli endpoint e creare profili di autorizzazione che restituiscano gli attributi cisco-av-pair contenenti le chiavi uniche.

Configurazione di Cisco Meraki

Cisco Meraki semplifica il processo di implementazione di iPSK attraverso la sua dashboard, offrendo due distinte modalità operative: basata su MAC ed Easy PSK.

  1. iPSK basato su MAC: Questo è il modello di distribuzione tradizionale. Selezionare "Identity PSK con RADIUS" nelle impostazioni di Controllo Accessi. L'AP Meraki invia l'indirizzo MAC del client al server RADIUS, che restituisce l'iPSK. Questo metodo richiede la pre-registrazione di ogni indirizzo MAC del dispositivo nel database RADIUS.
  2. Easy PSK (MR 30.x e più recenti): Per affrontare la sfida della randomizzazione degli indirizzi MAC negli smartphone moderni, Meraki ha introdotto Easy PSK. Invece di affidarsi esclusivamente alle ricerche MAC, l'AP passa i parametri EAPOL (inclusi ANonce e MIC) direttamente al server RADIUS utilizzando attributi specifici del fornitore Meraki. Il server RADIUS esegue un rapido attacco a dizionario contro i suoi iPSK noti per trovare la corrispondenza e restituisce la chiave corretta. Questo elimina la necessità di preregistrare gli indirizzi MAC.

comparison_chart.png

Best Practice per BTR e Hospitality

Implementare iPSK in modo efficace richiede molto più di una configurazione tecnica; richiede un approccio strutturato alla gestione del ciclo di vita e all'esperienza utente.

1. Automatizzare la gestione del ciclo di vita delle chiavi

Gestire manualmente migliaia di chiavi uniche in Cisco ISE è operativamente insostenibile. È necessario integrare l'identity provider (IdP) o il Property Management System (PMS) con l'infrastruttura di rete.

Per gli ambienti Retail e Hospitality , sfrutta piattaforme come il Guest WiFi di Purple per automatizzare questo processo. Quando un ospite effettua il check-in in un hotel o un residente firma un contratto di locazione in una proprietà BTR, il PMS attiva una chiamata API che genera automaticamente l'iPSK, lo predispone in ISE e lo invia via e-mail all'utente. Al termine della locazione, la chiave viene istantaneamente revocata.

2. Progettare l'architettura VLAN fin dall'inizio

Il valore di iPSK risiede nella segmentazione. Prima di configurare i controller wireless, mappa la tua strategia VLAN. Definisci segmenti separati per:

  • Singoli residenti o camere d'albergo (Private Area Network)
  • Sistemi di gestione dell'edificio (HVAC, controllo accessi)
  • Dispositivi del personale e operativi
  • Utenti pubblici o transitori del Guest WiFi

3. Gestire la randomizzazione dei MAC in modo proattivo

Apple iOS 14 e Android 10 hanno introdotto indirizzi MAC randomizzati per rete. In una distribuzione iPSK basata su MAC, questo interrompe l'autenticazione perché il server RADIUS non riconosce il MAC randomizzato.

Se utilizzi Meraki, implementa la modalità Easy PSK per bypassare il requisito di ricerca del MAC. Se utilizzi Catalyst 9800, devi istruire gli utenti a disabilitare l'opzione "Indirizzo Wi-Fi privato" per lo SSID specifico dell'edificio, oppure utilizzare un portale di onboarding che registri il MAC randomizzato durante il flusso di connessione iniziale.

btr_deployment_scenario.png

Risoluzione dei problemi e mitigazione dei rischi

Durante la distribuzione di iPSK, i team IT riscontrano comunemente modalità di errore specifiche relative alla compatibilità WPA3 e alla comunicazione RADIUS.

La sfida di WPA3 e 6 GHz

Il vincolo più significativo per le implementazioni iPSK oggi è la transizione a WPA3 e alla banda a 6 GHz (WiFi 6E e WiFi 7). WPA3 utilizza la Simultaneous Authentication of Equals (SAE), un protocollo di handshake più sicuro che attualmente non supporta chiavi precondivise multiple per lo stesso SSID nello stesso modo di WPA2.

Poiché la banda a 6 GHz impone WPA3, non è possibile eseguire l'iPSK tradizionale su una rete a 6 GHz. Per mitigare questo problema, implementa una strategia SSID ibrida:

  • Mantieni WPA2 iPSK sulle bande a 2,4 GHz e 5 GHz per supportare i dispositivi legacy e i sensori IoT.
  • Distribuisci WPA3-Enterprise (802.1X) sulla banda a 6 GHz per gli endpoint aziendali gestiti e gli smartphone moderni che supportano l'autenticazione basata su certificati.

Problemi di Timeout RADIUS

Nelle grandi installazioni, in particolare quando si utilizza Meraki Easy PSK, il server RADIUS deve elaborare attributi EAPOL complessi per trovare la chiave corrispondente. Se il server RADIUS impiega troppo tempo, l'handshake EAPOL va in timeout sull'access point.

Assicurati che la tua infrastruttura RADIUS sia adeguatamente dotata di risorse. Posiziona i server RADIUS geograficamente vicini ai controller wireless per ridurre al minimo la latenza e monitora i tempi di risposta da Radius-Request ad Access-Accept.

ROI e Impatto Aziendale

La transizione a un'architettura iPSK offre un impatto aziendale misurabile per gli sviluppatori immobiliari e gli operatori multi-tenant.

Riduzione dei Costi di Supporto: Eliminando i Captive Portal e gli errori dei certificati 802.1X, gli operatori BTR registrano in genere una riduzione del 50-70% dei ticket di assistenza relativi al WiFi. I residenti possono connettere le loro console di gioco e smart TV in modo fluido, esattamente come farebbero a casa.

Consolidamento dell'Hardware: iPSK consente di servire un intero edificio residenziale con un unico SSID gestito centralmente. Ciò elimina la necessità di installare e gestire singoli router di livello consumer in ogni appartamento, riducendo le spese in conto capitale e tagliando drasticamente le interferenze RF.

Miglioramento della Sicurezza: Isolando il traffico dei residenti in Private Area Networks e segmentando i dispositivi IoT vulnerabili, gli operatori si proteggono dagli attacchi con movimento laterale. Se la lampadina intelligente di un residente viene compromessa, la minaccia viene contenuta all'interno della sua specifica VLAN, salvaguardando l'infrastruttura dell'edificio più ampia e gli altri residenti.

Per una guida completa sulle implementazioni multi-tenant, consulta le nostre Soluzioni WiFi per appartamenti: una guida completa per le aziende .

Definizioni chiave

Identity Pre-Shared Key (iPSK)

Un meccanismo di sicurezza wireless che assegna codici di accesso unici a singoli utenti o dispositivi su un singolo SSID, supportato da un server RADIUS per l'autenticazione e l'applicazione delle policy.

Quando i team IT devono proteggere i dispositivi IoT o fornire un accesso semplice ai residenti senza utilizzare complessi certificati 802.1X.

Private Area Network (PAN)

Un ambiente di rete microsegmentato che isola i dispositivi di uno specifico utente da tutti gli altri dispositivi sulla stessa infrastruttura fisica.

Essenziale nel Build-to-Rent e negli alloggi per studenti per garantire che i residenti possano trasmettere alle loro smart TV senza che i vicini intercettino il flusso.

VLAN Override

Il processo in cui un server RADIUS istruisce il controller wireless a ignorare la VLAN predefinita dell'SSID e a posizionare invece il client autenticato su una VLAN assegnata dinamicamente.

Il meccanismo principale utilizzato da iPSK per segmentare il traffico, consentendo a personale, ospiti e dispositivi IoT di condividere un unico SSID pur rimanendo logicamente separati.

MAC Authentication Bypass (MAB)

Un metodo di autenticazione in cui il dispositivo di accesso alla rete invia l'indirizzo MAC del client al server RADIUS per verificarne l'identità e recuperare la policy.

Utilizzato nelle distribuzioni iPSK tradizionali per identificare il dispositivo prima di restituire la chiave pre-condivisa unica.

Simultaneous Authentication of Equals (SAE)

Il protocollo di stabilimento sicuro della chiave utilizzato in WPA3, progettato per proteggere dagli attacchi di dizionario a forza bruta.

L'architettura di SAE limita attualmente la possibilità di utilizzare più chiavi uniche su un singolo SSID, creando sfide per iPSK nelle distribuzioni WiFi 6E/7.

Cisco AV-Pair

Attributi RADIUS specifici del fornitore utilizzati per passare dati di configurazione proprietari tra Cisco ISE e l'hardware di rete Cisco.

In iPSK, le coppie di attributi "psk-mode=ascii" e "psk=[key]" sono gli attributi esatti che trasmettono la password univoca al controller wireless.

Easy PSK

Una funzionalità Cisco Meraki che passa i parametri dell'handshake EAPOL direttamente al server RADIUS per convalidare la PSK, invece di affidarsi alla ricerca dell'indirizzo MAC.

La soluzione principale per distribuire iPSK sugli smartphone moderni che utilizzano indirizzi MAC randomizzati.

Dispositivo Headless

Un dispositivo connesso a Internet privo di un display tradizionale o di un'interfaccia tastiera, come un termostato intelligente, una segnaletica digitale o un sensore.

Questi dispositivi non possono navigare nei Captive Portal o supportare 802.1X, rendendo iPSK l'unico modo sicuro per integrarli nelle reti aziendali.

Esempi pratici

Un complesso Build-to-Rent (BTR) da 350 unità deve fornire una rete WiFi privata e sicura a tutti i residenti. Vogliono evitare di installare singoli router in ogni appartamento per ridurre al minimo le interferenze RF, ma i residenti devono essere in grado di connettere console di gioco e smart TV in modo sicuro senza vedere i dispositivi dei vicini.

Implementare una rete wireless Cisco centralizzata utilizzando un unico SSID a livello di edificio configurato per iPSK. Integrare il Property Management System (PMS) con Cisco ISE (o una piattaforma come Purple). Quando un residente firma un contratto di locazione, il sistema genera automaticamente una iPSK unica e la assegna a una VLAN dedicata per quello specifico appartamento. Il residente riceve la chiave via email e connette tutti i dispositivi al singolo SSID. Cisco ISE utilizza la chiave unica per instradare il traffico del residente sulla sua VLAN privata.

Commento dell'esaminatore: Questo approccio elimina i costi di capitale e le interferenze RF di 350 singoli router. Offre l'esperienza "Instant-On" che i residenti si aspettano, supporta i dispositivi IoT headless che non sono in grado di gestire lo standard 802.1X e impone un rigido isolamento di livello 2 (Private Area Network) per garantire la privacy tra gli appartamenti.

Un hotel da 180 camere desidera eliminare l'attrito dei login giornalieri al Captive Portal, assicurando al contempo che i dispositivi degli ospiti siano isolati dalle smart TV e dai sistemi di controllo delle camere dell'hotel.

Implementare iPSK sulla rete WiFi degli ospiti. Generare una chiave unica per ogni prenotazione e fornirla all'ospite al momento del check-in. L'ospite connette il proprio telefono e laptop utilizzando questa chiave, aggirando qualsiasi Captive Portal. Configurare le smart TV in camera e i controlli ambientali con le proprie iPSK statiche, assegnate a una VLAN IoT separata. Utilizzare l'integrazione con il PMS dell'hotel per revocare automaticamente la chiave dell'ospite al momento del check-out.

Commento dell'esaminatore: Questa soluzione migliora direttamente i punteggi di soddisfazione degli ospiti offrendo un'esperienza di connettività "come a casa". Aspetto fondamentale, mette in sicurezza l'infrastruttura dell'hotel segmentando i dispositivi IoT vulnerabili lontano dai dispositivi degli ospiti potenzialmente compromessi, soddisfacendo le migliori pratiche di sicurezza senza complicare l'esperienza dell'utente.

Domande di esercitazione

Q1. Stai distribuendo una nuova rete WiFi per un dormitorio universitario. Gli studenti devono connettere smartphone, laptop e console di gioco. Prevedi di utilizzare un unico SSID. Quale modello di sicurezza dovresti scegliere e perché?

Suggerimento: Considera le funzionalità delle console di gioco e il rischio di password condivise in un ambiente studentesco.

Visualizza risposta modello

La scelta corretta è Cisco iPSK. Una WPA2-PSK standard non è sicura per un dormitorio, poiché la condivisione delle password è inevitabile. WPA3-Enterprise (802.1X) è sicura ma non supporterà le console di gioco o gli altoparlanti intelligenti degli studenti. iPSK consente a tutti i dispositivi di connettersi utilizzando un codice di accesso semplice, fornendo al contempo la segmentazione backend necessaria per isolare il traffico di ciascun studente.

Q2. Durante una distribuzione di iPSK su Cisco Meraki, gli utenti con i nuovi iPhone segnalano di non riuscire a connettersi alla rete, mentre gli utenti con laptop più vecchi si connettono senza problemi. Qual è la causa probabile e come si risolve?

Suggerimento: Pensa alle recenti funzionalità di privacy introdotte nei sistemi operativi mobili relative agli identificatori di rete.

Visualizza risposta modello

La causa probabile è la randomizzazione dell'indirizzo MAC (Indirizzo Wi-Fi privato) sugli iPhone. Se la rete utilizza iPSK basato su MAC, il server RADIUS non riconoscerà il MAC randomizzato e rifiuterà la connessione. Per risolvere questo problema, passa la configurazione Meraki alla modalità "Easy PSK", che convalida la PSK utilizzando i parametri EAPOL invece di affidarsi all'indirizzo MAC.

Q3. Una catena di vendita al dettaglio desidera aggiornare i propri punti di accesso a WiFi 6E per utilizzare la banda a 6 GHz. Attualmente utilizzano iPSK per i loro terminali POS (point-of-sale) e scanner di codici a barre. Quale sfida architetturale devono pianificare?

Suggerimento: Considera i protocolli di sicurezza obbligatori richiesti per il funzionamento nello spettro a 6 GHz.

Visualizza risposta modello

La banda a 6 GHz impone l'uso di WPA3. Attualmente, l'handshake WPA3 SAE non supporta nativamente chiavi precondivise multiple per SSID nello stesso modo in cui lo fa WPA2. La catena di vendita al dettaglio deve mantenere i dispositivi POS sulle bande a 2.4/5 GHz utilizzando WPA2 iPSK, migrare i dispositivi POS a WPA3-Enterprise (se supportato) o verificare se il firmware del proprio fornitore specifico supporta soluzioni alternative iPSK WPA3-SAE proprietarie prima di procedere all'aggiornamento.

Continua a leggere questa serie

UU PPSK 2023: confronto tra funzionalità e modelli di implementazione

Questa guida di riferimento tecnica confronta l'architettura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) con le tradizionali implementazioni PSK condivise e 802.1X, con un focus specifico sul panorama del 2023 relativo alle implementazioni dei vendor e alle funzionalità delle piattaforme. Fornisce a sviluppatori immobiliari, operatori BTR e proprietari di MDU strategie di implementazione pratiche, linee guida sull'architettura VLAN e workflow automatizzati per la gestione del ciclo di vita. La guida copre tre modelli di implementazione, casi di studio reali e le implicazioni di conformità di ciascun approccio di autenticazione.

Leggi la guida →

PPSK xaverius: confronto tra funzionalità e modelli di implementazione

Questa guida autorevole esamina l'architettura PPSK xaverius per ambienti multi-tenant come il Build to Rent e gli alloggi per studenti. Confronta i modelli di implementazione, dettaglia le strategie di applicazione e spiega come l'isolamento VLAN per unità offra un'esperienza WiFi simile a quella domestica mantenendo la sicurezza aziendale.

Leggi la guida →

PPSK mun: confronto tra funzionalità e modelli di implementazione

Questa guida di riferimento tecnica confronta l'architettura Private Pre-Shared Key (PPSK) con le implementazioni tradizionali 802.1X e PSK standard. Fornisce ad architetti di rete e IT manager strategie di implementazione indipendenti dai vendor per ambienti residenziali multi-tenant, IoT e BTR.

Leggi la guida →