Cisco iPSK: una guida completa per le aziende

Benvenuto nella serie di briefing tecnici di Purple. Oggi parliamo di Cisco iPSK - Identity Pre-Shared Key - e del perché è diventato il modello di sicurezza WiFi di riferimento per i costruttori immobiliari, gli operatori BTR, gli hotel e le aziende retail multisito.\n\nPermettimi di iniziare dal problema. Gestisci un complesso Build-to-Rent di 200 unità. Desideri che ogni residente disponga di un WiFi sicuro e privato fin dal primo giorno. Non vuoi installare un router in ogni appartamento. Non vuoi gestire 200 reti separate. E non vuoi assolutamente che un residente possa vedere la smart TV di un altro residente sulla rete.\n\nIl protocollo standard WPA2-PSK - il modello con password condivisa - fallisce immediatamente. Una sola password per l'intero edificio significa che una singola violazione colpisce tutti. E non puoi revocare l'accesso a un singolo residente senza cambiare la password per tutti e 200.\n\nIl protocollo WPA3-Enterprise con 802.1X rappresenta l'estremo opposto. Molto sicuro. Ma richiede certificati o credenziali nome utente - password per ogni dispositivo. I termostati intelligenti dei tuoi residenti, le console di gioco e i dispositivi Amazon Alexa semplicemente non possono connettersi a una rete 802.1X. Non dispongono di un supplicant. Dovresti gestire chiamate di assistenza ogni giorno.\n\nCisco iPSK si colloca esattamente nel mezzo. Ogni residente riceve la propria chiave pre-condivisa univoca. Per il residente, l'esperienza è identica a quella di una password WiFi domestica. La inserisce una volta e tutti i suoi dispositivi si connettono. Dietro le quinte, tuttavia, il Cisco Wireless LAN Controller invia una richiesta RADIUS a Cisco ISE - l'Identity Services Engine - contenente l'indirizzo MAC del client. ISE cerca quell'indirizzo MAC, trova il profilo di autorizzazione corrispondente e restituisce la PSK corretta tramite un attributo Cisco AV-pair. Il controller convalida quindi la connessione utilizzando quella chiave individuale.\n\nIl risultato: un unico SSID per l'intero edificio, ma ogni residente è isolato nel proprio segmento di rete privato. L'override della VLAN tramite RADIUS significa che il residente A finisce sulla VLAN 101, il residente B sulla VLAN 102 e i dispositivi IoT dell'edificio - sensori delle porte, telecamere a circuito chiuso, contatori intelligenti - risiedono su una VLAN completamente separata senza alcuna contaminazione incrociata.\n\nOra ti guiderò attraverso l'architettura in modo più dettagliato, perché è qui che risiede il vero potenziale.\n\nIl flusso di autenticazione prevede quattro passaggi. In primo luogo, il dispositivo client invia una richiesta di associazione all'access point. In secondo luogo, il Cisco Wireless LAN Controller - che si tratti di un Catalyst 9800 o di una rete gestita tramite la dashboard di Cisco Meraki - invia un Access-Request RADIUS a ISE, contenente l'indirizzo MAC del client come nome utente e password. In terzo luogo, ISE valuta i suoi criteri di autorizzazione. Associa l'indirizzo MAC a un gruppo di identità dell'endpoint, recupera la PSK assegnata e restituisce una risposta Access-Accept contenente due attributi Cisco AV-pair: psk-mode uguale ad ascii, e psk uguale alla passphrase effettiva. In quarto luogo, il controller utilizza la passphrase restituita per completare l'handshake EAPOL a quattro vie WPA2 con il client.\n\nDal punto di vista del client, questo processo è indistinguibile dam una connessione standard WPA2-PSK. La complessità è interamente lato server. Questa è l'eleganza di iPSK.\n\nSul Catalyst 9800, la configurazione richiede quattro elementi. Si abilita il filtraggio MAC sulla WLAN. Si configura un elenco di metodi di autorizzazione AAA che punta al gruppo di server ISE. Si abilita l'override AAA sul profilo dei criteri. E si imposta una PSK predefinita sulla WLAN - questo è solo un valore segnaposto; nessun dispositivo lo utilizza effettivamente, poiché ISE lo sovrascrive sempre con la chiave individuale.\n\nSu Cisco Meraki, il percorso è leggermente diverso. Si seleziona Identity PSK con RADIUS dalle impostazioni di controllo dell'accesso. Meraki supporta due modalità: basata su MAC, in cui ISE memorizza le mappature da MAC a PSK, ed Easy PSK, introdotta nel firmware MR 30.x, che utilizza attributi EAPOL specifici del fornitore per passare direttamente la PSK senza pre-registrare ogni indirizzo MAC. Easy PSK è particolarmente utile quando si ha a che fare con la randomizzazione del MAC sui dispositivi iOS 14 e Android 10 - un problema operativo significativo nel modello basato su MAC.\n\nPermettetemi di presentarvi due scenari del mondo reale per rendere questo concetto concreto.\n\nScenario uno: uno sviluppo Build-to-Rent da 350 unità. L'operatore desidera che i residenti ricevano le proprie credenziali WiFi prima del giorno del trasloco. La piattaforma Multi-Tenant WiFi di Purple si integra con il sistema di gestione immobiliare. Quando viene firmato un contratto di locazione, il PMS attiva una chiamata API a Purple, che genera una iPSK univoca e la fornisce in ISE. Il residente riceve la chiave via e-mail. Entra il primo giorno, connette tutti i suoi dispositivi e la rete è attiva. Quando si trasferisce, la chiave viene revocata automaticamente. Zero interventi manuali da parte del team di gestione della struttura. L'operatore ha ridotto le chiamate di supporto relative al WiFi di oltre il 60 percento rispetto al precedente modello con password condivisa.\n\nScenario due: una struttura alberghiera da 180 camere. L'hotel voleva eliminare l'accesso tramite Captive Portal di cui gli ospiti si lamentavano ripetutamente. Con iPSK, ogni camera riceve una chiave univoca stampata sulla chiave magnetica o inviata tramite l'e-mail di conferma della prenotazione. Gli ospiti si connettono una volta. Il loro telefono, tablet e laptop si collegano tutti automaticamente durante le visite successive nell'ambito dello stesso soggiorno. I dispositivi IoT in camera - smart TV, Chromecast, tablet in camera - risiedono su una VLAN separata, isolata dal traffico degli ospiti. L'integrazione con il PMS dell'hotel consente di generare le chiavi al check-in e di revocarle al check-out senza passaggi manuali alla reception.\n\nOra, una parola sui limiti - perché nessuna tecnologia ne è priva.\n\nIl vincolo più significativo con Cisco iPSK oggi è WPA3 e la banda a 6 GHz. WPA3 utilizza Simultaneous Authentication of Equals - SAE - un handshake più sicuro rispetto a WPA2-PSK. Attualmente SAE non supporta più chiavi pre-condivise per SSID nel modo in cui lo fa WPA2. Questo non è un limite specifico di Cisco. Interessa MPSK di HPE Aruba, DPSK di Ruckus, PPSK di Juniper Mist - ogni fornitore affronta lo stesso vincolo perché è radicato nello standard IEEE 802.11 stesso.\n\nL'implicazione pratica: se state distribuendo punti di accesso WiFi 6E o WiFi 7s points e desideri utilizzare la banda a 6 GHz, non puoi eseguire iPSK su di essa. La banda a 6 GHz impone il WPA3. Le tue opzioni sono eseguire iPSK sulle bande a 2.4 e 5 GHz utilizzando WPA3-Enterprise a 6 GHz per i dispositivi gestiti, oppure attendere l'evoluzione dello standard.\n\nLa seconda sfida operativa è la randomizzazione dell'indirizzo MAC. Apple iOS 14 e Android 10 hanno introdotto gli indirizzi MAC randomizzati per rete come funzionalità di privacy. In una distribuzione iPSK basata su MAC, il controller invia il MAC randomizzato a ISE. ISE non lo riconosce. L'autenticazione fallisce. La modalità Easy PSK di Cisco Meraki risolve ampiamente questo problema autenticando tramite i parametri EAPOL anziché tramite la ricerca MAC.\n\nLasciami fornire cinque regole pratiche prima di concludere.\n\nRegola uno: se hai più di 50 dispositivi o utenti su un singolo SSID e hai bisogno di un controllo degli accessi per singolo dispositivo, iPSK è quasi certamente il modello giusto. Il PSK standard non può scalare e l'802.1X bloccherà i tuoi dispositivi IoT.\n\nRegola due: pianifica sempre l'architettura VLAN prima di configurare iPSK. La potenza di iPSK è l'override della VLAN tramite RADIUS. Se non hai progettato le tue VLAN - residenti, IoT, personale, gestione - dovrai adattarle in seguito con costi significativi.\n\nRegola tre: se utilizzi Cisco Meraki e hai client iOS o Android, utilizza la modalità Easy PSK, non la modalità basata su MAC. La randomizzazione del MAC causerà fallimenti di autenticazione su scala.\n\nRegola quattro: non distribuire iPSK senza un livello di gestione del ciclo di vita. Gestire manualmente migliaia di chiavi in ISE non è sostenibile. Integra con il tuo provider di identità - Microsoft Entra ID, Okta o Google Workspace - o utilizza una piattaforma come Purple che automatizza il provisioning e la revoca tramite il tuo sistema di gestione immobiliare o HR.\n\nRegola cinque: pianifica ora la migrazione a WPA3, anche se non distribuisci i 6 GHz oggi. Progetta la tua rete in modo che iPSK su WPA2 gestisca i dispositivi legacy e IoT, mentre WPA3-Enterprise gestisca gli endpoint aziendali gestiti. Un design SSID ibrido oggi evita una dolorosa riarchitettura tra 18 mesi.\n\nDomande rapide ora.\n\niPSK può funzionare senza Cisco ISE? Sì. FreeRADIUS e Microsoft NPS supportano entrambi l'attributo Tunnel-Password richiesto da iPSK. ISE è l'opzione più ricca di funzionalità, ma non è obbligatoria.\n\nQuante chiavi univoche può supportare un singolo SSID? Sul Catalyst 9800 con ISE, il limite è effettivamente la capacità del database RADIUS - decine di migliaia di voci. Su Cisco Meraki senza RADIUS, il limite è di 50 chiavi. Con RADIUS, scala allo stesso livello di ISE.\n\niPSK supporta il roaming veloce? Sì. Il Catalyst 9800 supporta il Fast Secure Roaming con iPSK, e il caching delle chiavi significa che il controller non deve interrogare RADIUS a ogni evento di roaming.\n\niPSK è conforme a PCI-DSS? iPSK di per sé non garantisce la conformità PCI-DSS, ma supporta i requisiti di segmentazione della rete di PCI-DSS 4.0. Gli ambienti con dati dei titolari di carta devono essere isolati dalle reti ospiti e IoT - la funzionalità di override VLAN di iPSK è il meccanismo che realizza questa segmentazionezione. In sintesi. Cisco iPSK offre un'identità per singolo dispositivo su un unico SSID, senza la complessità dei certificati 802.1X e senza le falle di sicurezza di una password condivisa. È il modello ideale per Build-to-Rent, hotel, retail e qualsiasi ambiente multi-tenant in cui è necessario isolare il traffico, automatizzare il ciclo di vita degli accessi e supportare ogni tipo di dispositivo, dalle console di gioco ai sensori IoT industriali. Le decisioni chiave riguardano: Catalyst 9800 o Meraki, ISE o un RADIUS alternativo, l'approccio basato su MAC o Easy PSK, e la modalità di integrazione con il proprio identity provider per l'automazione del ciclo di vita. La piattaforma Multi-Tenant WiFi di Purple gestisce quest'ultimo aspetto - collegando il sistema di gestione immobiliare o l'identity provider all'infrastruttura Cisco, automatizzando il provisioning e la revoca delle chiavi su scala, in oltre 80.000 sedi attive. Se desideri approfondire uno di questi aspetti - analisi dell'architettura, configurazione di ISE o un'implementazione pilota - il link per parlare con il nostro team è presente nella guida. Grazie per l'attenzione.