Guida completa all'iPSK: una guida completa per le aziende

Executive summary

La sicurezza WiFi tradizionale costringe a scegliere tra due opzioni inadeguate. Lo standard WPA2-Personal è semplice ma non offre alcuna responsabilità individuale. Una singola password trapelata compromette l'intera rete e la revoca dell'accesso per un singolo residente comporta la modifica della password per tutti. Il WPA2-Enterprise o WPA3-Enterprise che utilizza lo standard IEEE 802.1X offre il controllo per singolo utente ma interrompe la connettività per console di gioco, smart TV e dispositivi IoT che non sono in grado di elaborare certificati digitali.

La tecnologia Identity Pre-Shared Key (iPSK) risolve questa tensione. Assegna una password univoca a ogni singolo utente o dispositivo su un unico SSID, consentendo l'assegnazione dinamica della VLAN e l'isolamento di Layer 2 tramite un server RADIUS centrale. Per gli operatori Build-to-Rent (BTR), gli sviluppatori immobiliari e i locatori, iPSK rappresenta lo standard definitivo per la connettività multi-tenant. Supporta il 100% dei dispositivi dei residenti, crea una Private Area Network per ogni unità e si adatta a qualsiasi scala attraverso una gestione automatizzata del ciclo di vita integrata con provider di identità come Microsoft Entra ID, Okta o Google Workspace. Purple automatizza l'intero flusso di lavoro in oltre 80.000 sedi attive, integrandolo con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Technical deep-dive

Meccanismi di Identity PSK

La tecnologia iPSK modifica l'handshake EAPOL standard a quattro vie di WPA2. Quando un dispositivo client si associa a un access point utilizzando una chiave precondivisa specifica, l'access point non concede l'accesso immediatamente. Invia invece un messaggio di richiesta RADIUS al server di autenticazione centrale. Questa richiesta contiene attributi specifici del fornitore. Per Cisco Meraki, si tratta degli attributi Meraki-IPSK. Il server RADIUS esegue un controllo del dizionario rispetto al proprio database di iPSK configurati. Se viene trovata una corrispondenza, risponde con un messaggio di accept dell'accesso contenente la passphrase e, soprattutto, un'assegnazione dinamica della VLAN tramite l'attributo Tunnel-Private-Group-Id.

Questa architettura non richiede alcuna infrastruttura di certificati. Il dispositivo client vede una rete WPA2-Personal standard e si connette con una password. La complessità viene gestita interamente tra l'access point e il server RADIUS. Questo è il motivo per cui iPSK supporta il 100% dei dispositivi di consumo - console di gioco, smart TV, stampanti wireless e sensori IoT si connettono tutti utilizzando la stessa semplice esperienza di password che usano a casa.

Isolamento Layer 2 e Private Area Networks

In un ambiente multi-tenant, un singolo SSID su centinaia di appartamenti è efficiente per la pianificazione RF ma crea gravi rischi per la sicurezza senza una corretta segmentazione. iPSK consente la creazione di una Private Area Network (PAN) per ciascun residente.

Quando un residente si autentica con la sua iPSK unica, il server RADIUS assegna i suoi dispositivi a una VLAN specifica. L'infrastruttura di rete applica l'isolamento di Livello 2 tra queste VLAN. L'iPhone di un residente può vedere la propria stampante o Chromecast, ma il residente dell'appartamento accanto non può individuare o interagire con tali dispositivi. Questa micro-segmentazione è fondamentale per la conformità GDPR e per mantenere la fiducia dei residenti.

Poiché ogni residente ha la propria VLAN isolata, è possibile abilitare la riflessione mDNS all'interno di quella specifica VLAN. mDNS è il protocollo che abilita AirPlay, lo streaming Chromecast e la stampa wireless. L'abilitazione della riflessione mDNS all'interno della VLAN privata di ciascun residente consente ai propri dispositivi di comunicare tra loro, pur rimanendo completamente isolati da tutti gli altri residenti. Il risultato è un'esperienza simile a quella domestica su un'infrastruttura condivisa.

Implementazioni dei vendor hardware

Tutti i principali vendor di hardware WiFi aziendali supportano la PSK per singolo dispositivo, ma con nomi di prodotto diversi. La tabella seguente mappa la terminologia dei vendor con la tecnologia sottostante.

Purple è indipendente dall'hardware e fornisce un livello di gestione unificato su tutte queste piattaforme. Non si è vincolati a un singolo vendor ed è possibile migrare l'hardware senza dover ricostruire l'infrastruttura di autenticazione.

Guida all'implementazione

La distribuzione di iPSK richiede il coordinamento tra l'infrastruttura wireless, il server RADIUS e il provider di identità. Seguire questa sequenza per eseguire la distribuzione in modo corretto.

Passo 1 - Pianificare l'architettura VLAN. Allocare una VLAN per ogni unità abitativa. In un complesso di 300 unità, sono necessarie 300 VLAN. Lo standard standard 802.1Q supporta 4.094 VLAN, il che è sufficiente per la maggior parte dei progetti BTR. Per distribuzioni più ampie, pianificare overlay VXLAN.

Passo 2 - Distribuire il server RADIUS. Purple fornisce un servizio RADIUS ospitato in cloud con un tempo di attività del 99,999%. Indirizzare i controller wireless verso l'endpoint RADIUS di Purple. Configurare il segreto condiviso tra gli access point e il server RADIUS.

Step 3 - Configura il tuo controller wireless. Crea un singolo SSID con sicurezza WPA2-PSK. Abilita l'opzione iPSK o PPSK specifica del fornitore. Abilita l'override AAA in modo che la risposta RADIUS possa assegnare dinamicamente le VLAN. Disabilita l'isolamento dei client a livello di SSID - l'isolamento viene gestito per VLAN.

Step 4 - Integra il tuo identity provider. Connetti Purple a Microsoft Entra ID, Okta o Google Workspace. Purple legge la directory dei residenti e assegna automaticamente un iPSK e una VLAN univoci per ciascun residente.

Step 5 - Configura il Change of Authorization (CoA). Imposta il CoA tra Purple e i tuoi controller wireless. Questo consente a Purple di inviare un messaggio di disconnessione quando il contratto di locazione di un residente termina, forzando l'interruzione immediata della sessione.

Step 6 - Abilita la riflessione mDNS per VLAN. Configura i tuoi switch di rete e i controller wireless per riflettere il traffico mDNS entro i limiti di ciascuna VLAN. Questo abilita AirPlay, Chromecast e la stampa wireless all'interno di ciascun appartamento senza diffondere il traffico di discovery in tutto l'edificio.

Per saperne di più sulla progettazione della tua architettura WiFi complessiva, consulta la nostra guida su tre SSID per dominarli tutti: guest, Passpoint e IoT WiFi .

Best practices

Evita errori di randomizzazione dell'indirizzo MAC. I moderni smartphone randomizzano il proprio indirizzo MAC per proteggere la privacy dell'utente. Se la tua implementazione iPSK si basa sul MAC Address Bypass (MAB), la randomizzazione interromperà l'autenticazione. Assicurati che la tua infrastruttura utilizzi la moderna verifica iPSK basata su EAPOL, in cui la password stessa funge da autenticatore anziché l'indirizzo MAC.

Pianifica le prestazioni RADIUS. L'iPSK impone un carico computazionale maggiore sul server RADIUS rispetto al PSK standard a causa dei controlli di dizionario richiesti durante l'handshake EAPOL. Utilizza un servizio RADIUS ad alte prestazioni ospitato in cloud. L'infrastruttura RADIUS di Purple è progettata per questo carico di lavoro e mantiene un uptime del 99.999% in oltre 80.000 sedi.

Affronta tempestivamente la compatibilità WPA3. Attualmente l'iPSK funziona su WPA2. Se stai implementando punti di accesso WiFi 6E o WiFi 7 sulla banda a 6 GHz, avrai bisogno di una strategia WPA3-Enterprise separata per tali client. La banda a 6 GHz impone la sicurezza WPA3, che attualmente non supporta l'iPSK allo stesso modo. Pianifica una strategia dual-band: WPA2 iPSK su 2.4 GHz e 5 GHz, WPA3-Enterprise su 6 GHz.

Automatizza la consegna delle credenziali. Non inviare le password via email in formato testo non crittografato. Purple consegna le credenziali ai residenti tramite un portale sicuro e personalizzato con il brand o tramite l'app Purple. Questo crea un record tracciabile della consegna delle credenziali e garantisce che i residenti possano reimpostare le password in autonomia senza contattare l'assistenza.

Verifica la riflessione mDNS prima del lancio. Il reclamo più comune da parte dei residenti dopo un'implementazione iPSK è che il loro Chromecast o AirPlay non funziona. Testa la riflessione mDNS in ciascuna VLAN in fase di messa in servizio. Utilizza un laptop e un Chromecast sulla stessa VLAN del residente e verifica che la trasmissione funzioni prima della consegna. Per una guida correlata su come la tua rete WiFi crea una prima impressione per i residenti, consulta come fare un'ottima prima impressione con il tuo WiFi per ospiti .

Risoluzione dei problemi e mitigazione dei rischi

Sessioni obsolete dopo la revoca delle chiavi. Il tipo di guasto più comune in una distribuzione iPSK. La revoca di una chiave nel database RADIUS impedisce connessioni future ma non interrompe le sessioni attive. Configura CoA sui tuoi controller wireless e assicurati che Purple invii un messaggio di disconnessione CoA ad ogni evento di revoca delle chiavi.

Esaurimento delle VLAN. In distribuzioni multi-tenant molto grandi, puoi esaurire il limite di 4.094 VLAN. Mitiga questo problema utilizzando overlay VXLAN o condividendo le VLAN tra unità non adiacenti dove il rischio di contaminazione incrociata è trascurabile.

Indisponibilità del server RADIUS. Se il tuo server RADIUS va offline, nessun nuovo dispositivo può connettersi. Configura il failover RADIUS con un server secondario. Il servizio cloud RADIUS di Purple include ridondanza integrata e uno SLA di uptime del 99,999%.

Ritardi nella sincronizzazione delle chiavi. Quando un nuovo residente si trasferisce, può esserci un ritardo tra la firma del contratto di locazione nel sistema di gestione immobiliare e il provisioning dell'iPSK in RADIUS. Integra il tuo sistema di gestione immobiliare direttamente con l'API di Purple per automatizzare il provisioning ed eliminare questo intervallo.

ROI e impatto sul business

L'eliminazione dei router consumer per singola unità trasforma l'economia del WiFi multi-tenant. Un tipico sviluppo BTR da 300 unità potrebbe spendere da £150 a £200 per unità in router consumer, per un totale di un massimo di £60.000 in hardware che deve essere sostituito ogni tre-cinque anni. Gli access point aziendali centralizzati nei corridoi e nelle aree comuni riducono i costi hardware ed eliminano i costi operativi per la sostituzione dei router consumer rotti negli appartamenti occupati.

Ancora più importante, offri un'esperienza residente instant-on. I residenti si connettono al WiFi nel momento in cui varcano la soglia, utilizzando credenziali fornite in modo sicuro prima del giorno del trasloco. Questo servizio premium aumenta la soddisfazione degli inquilini e supporta rendimenti locativi più elevati. Secondo le ricerche del settore immobiliare, il WiFi gestito è ora citato dai residenti come uno dei primi tre servizi che si aspettano in uno sviluppo BTR.

La soluzione Multi-Tenant WiFi di Purple isola il traffico in modo sicuro e supporta i dispositivi smart dei residenti, supportata da 29 miliardi di punti dati raccolti attraverso la nostra rete globale. La nostra piattaforma di WiFi Analytics offre ai gestori immobiliari visibilità sull'utilizzo della rete, aiutandoti a dimensionare correttamente il tuo investimento infrastrutturale e a dimostrare il valore del servizio di WiFi gestito agli investitori. Per gli operatori BTR che desiderano estendere il coinvolgimento dei residenti oltre la connettività, la piattaforma Guest WiFi di Purple si integra con i sistemi di gestione immobiliare per inviare comunicazioni mirate e programmi di fidelizzazione. Consulta anche la nostra guida su come utilizzare gli SMS massivi per il marketing per aumentare le visite di ritorno per tattiche pratiche sulla fidelizzazione dei residenti.