iPSK: una guida completa per le aziende

[INTRO] Benvenuto al briefing tecnico di Purple. Oggi affronteremo un argomento che si trova proprio all'incrocio tra la sicurezza di rete e l'esperienza utente - le Identity Pre-Shared Keys, o iPSK WiFi. Se sei un IT manager, un progettista di rete o un direttore delle operazioni di una sede, hai quasi certamente affrontato questo dilemma: i tuoi ospiti, residenti o dipendenti hanno bisogno di un WiFi sicuro e affidabile, ma le opzioni tradizionali - una password condivisa o un'implementazione completa di tipo enterprise 802.1X - comportano entrambe seri compromessi. iPSK è la risposta a questo dilemma e, nei prossimi dieci minuti, ti darò un quadro chiaro e pratico di cosa sia, come funzioni e quando dovresti implementarlo. Iniziamo. [SECTION ONE: WHAT IS IPSK, AND WHY DOES IT EXIST?] Per capire iPSK, devi capire il problema che risolve. Torna con la mente ai due modelli di autenticazione WiFi tradizionali. Il primo è WPA2-Personal - quello che la maggior parte delle persone chiama PSK condivisa o semplicemente password del WiFi. Tutti sulla rete utilizzano la stessa passphrase. È semplice, funziona su ogni dispositivo e non richiede alcuna infrastruttura oltre all'access point. Il problema? È un singolo punto di vulnerabilità. Se un ospite condivide la password, o se un dispositivo viene compromesso, l'intera rete è esposta. E se hai bisogno di revocare l'accesso a una sola persona - ad esempio, un collaboratore esterno il cui contratto è terminato - devi cambiare la password per tutti. Su larga scala, in un hotel con trecento camere o in una catena di negozi con cinquanta filiali, questo non è semplicemente gestibile. Il secondo modello è WPA2 o WPA3 Enterprise, che utilizza il framework di autenticazione IEEE 802.1X. In questo caso, ogni utente si autentica con credenziali individuali - solitamente un nome utente e una password, o un certificato digitale - convalidate rispetto a un server RADIUS. È altamente sicuro, offre un controllo granulare degli accessi per utente ed è lo standard di riferimento per i dispositivi aziendali gestiti. Ma ha un punto debole critico: la complessità. Configurare una Public Key Infrastructure, gestire i certificati e configurare i supplicant su ogni dispositivo è un impegno significativo. E soprattutto, molti dispositivi semplicemente non sono in grado di farlo. Console di gioco, smart TV, sensori IoT, Chromecast - questi dispositivi headless non hanno alcun meccanismo per gestire l'autenticazione basata su certificati. In un ambiente ricettivo o multi-tenant, 802.1X è impraticabile per una parte significativa del tuo parco dispositivi. L'Identity PSK si colloca esattamente tra questi due estremi. Il concetto di base è elegante: ogni utente o dispositivo riceve la propria chiave pre-condivisa univoca, ma tutti si connettono allo stesso SSID. Dal punto di vista dell'utente, è esattamente come connettersi a una rete WiFi domestica - inserisce una passphrase ed è online. Dal punto di vista della rete, ogni connessione è identificata singolarmente, crittografata singolarmente e controllabile singolarmente. Ottieni la semplicità di una PSK con la granularità di un controllo degli accessi di livello enterprise. [SECTION TWO: THE TECHNICAL ARCHITECTURE] Lascia che ti illustri il flusso di autenticazione, perché comprenderlo è fondamentale per implementarlo correttamente. Quando un dispositivo tenta di connettersi a un SSID abilitato per iPSK, il controller Wireless LAN intercetta il tentativo di connessione e inoltra l'indirizzo MAC del dispositivo a un server RADIUS. Il server RADIUS cerca l'indirizzo MAC nel proprio archivio di identità e restituisce una risposta Access-Accept. Un dettaglio fondamentale: all'interno di questa risposta è incorporata la coppia di attributi PSK-mode e PSK-password. Il controller riceve questa passphrase univoca e la utilizza per convalidare la chiave presentata dal dispositivo. Se coincidono, il dispositivo viene autenticato e inserito nel segmento di rete appropriato. Ciò che rende questo approccio così potente è ciò che accade contemporaneamente all'autenticazione. La risposta RADIUS può anche trasportare attributi per l'assegnazione della VLAN, policy sulla larghezza di banda e controllo degli accessi. In questo modo, il dispositivo non solo ottiene la propria chiave di crittografia univoca, ma può essere posizionato automaticamente nel segmento di rete corretto - gli ospiti sulla VLAN ospiti, il personale sulla VLAN personale, i dispositivi IoT su una VLAN IoT dedicata - il tutto a partire da un singolo SSID. I principali produttori hanno implementato ognuno la propria versione di questa tecnologia. Cisco la chiama iPSK. Aruba la chiama MPSK. Ruckus la chiama DPSK. Il principio alla base è identico per tutti e tre; cambiano leggermente i dettagli di implementazione, in particolare la struttura degli attributi RADIUS. Una nota sulle reti ad area privata (Private Area Network), poiché questo aspetto è particolarmente rilevante per le implementazioni multi-tenant - hotel, alloggi per studenti, complessi residenziali in affitto. iPSK consente l'isolamento a livello Layer 2 tra gli utenti. Sebbene centinaia di dispositivi condividano la stessa infrastruttura fisica e lo stesso SSID, il traffico di ciascun utente è isolato crittograficamente da quello di tutti gli altri. E con la reflection mDNS abilitata, un residente può comunque rilevare e utilizzare i propri dispositivi - proiettando sullo schermo del proprio televisore o accoppiando il proprio smart speaker - senza alcun rischio che il vicino di casa veda o acceda a tali dispositivi. [SECTION THREE: WHEN SHOULD YOU USE IPSK?] iPSK rappresenta la scelta ideale quando si presentano contemporaneamente tre condizioni: in primo luogo, un parco dispositivi variegato che include dispositivi headless o IoT che non supportano lo standard 802.1X; in secondo luogo, la necessità di controllo degli accessi e tracciabilità a livello individuale - ovvero la possibilità di revocare l'accesso di uno specifico utente senza influire su tutti gli altri; in terzo luogo, un contesto in cui l'esperienza utente è fondamentale - dove richiedere a un utente di configurare un certificato sul proprio dispositivo personale non è semplicemente accettabile. Il settore dell'ospitalità è il caso d'uso tipico. Un hotel da 300 camere registra ogni giorno la connessione di migliaia di dispositivi - smartphone, laptop, smart speaker, chiavette per lo streaming, console di gioco. L'ospite si aspetta di inserire una password una sola volta e che tutto funzioni. iPSK garantisce questo risultato. Il team IT dell'hotel può revocare la chiave di un ospite nel momento stesso in cui effettua il check-out, in modo automatico, grazie all'integrazione con il Property Management System. Nessun intervento manuale, nessuna lacuna di sicurezza. Il settore retail è un altro ambito ideale. Una grande catena di negozi potrebbe avere terminali POS, segnaletica digitale, scanner portatili, tablet per lo staff e la rete WiFi per gli ospiti, tutti in esecuzione sulla stessa infrastruttura fisica. L'iPSK consente di segmentare questi elementi in base al tipo di dispositivo e al ruolo dell'utente, ciascuno con la propria chiave e la propria politica di rete, senza il sovraccarico di una distribuzione 802.1X completa. E per la conformità PCI-DSS, la capacità di dimostrare che i dispositivi di elaborazione dei pagamenti si trovano su un segmento crittograficamente isolato - anche su un SSID condiviso - rappresenta un vantaggio significativo in termini di conformità. I centri congressi e i luoghi per eventi affrontano una sfida diversa: ambienti ad alta densità e ad alta rotazione in cui migliaia di dispositivi si connettono e si disconnettono nel corso di una giornata. L'iPSK con gestione automatizzata del ciclo di vita delle chiavi - fornite al momento della registrazione e revocate al termine dell'evento - è molto più praticabile dal punto di vista operativo rispetto a una password condivisa o a un sistema basato su certificati. Laddove l'iPSK non rappresenta la scelta giusta: se disponete di una flotta aziendale completamente gestita - laptop e telefoni registrati in un MDM, con certificati già distribuiti - allora WPA3-Enterprise con 802.1X offre una postura di sicurezza più solida. L'iPSK non sostituisce l'autenticazione aziendale sugli endpoint gestiti; è lo strumento giusto per gli ambienti in cui non si controllano i dispositivi che si connettono alla rete. [SECTION FOUR: IMPLEMENTATION - PITFALLS AND RECOMMENDATIONS] L'errore più comune è trattare l'iPSK come un progetto puramente tecnico piuttosto che operativo. La tecnologia in sé è relativamente semplice da configurare - filtraggio MAC sul WLC, server RADIUS con le coppie attributo-valore appropriate, politiche VLAN. Il problema più difficile è la gestione del ciclo di vita delle chiavi. In che modo vengono fornite le chiavi? Come vengono distribuite agli utenti? E, aspetto fondamentale, in che modo vengono revocate quando termina il rapporto di un utente con l'organizzazione? La risposta a tutte e tre le domande deve essere l'automazione. In un hotel, l'integrazione con il Property Management System consente di generare le chiavi al check-in e di revocarle al check-out. In un ambiente retail, l'integrazione con il sistema HR o con l'identity provider consente di fornire le chiavi quando un membro del personale viene assunto e di revocarle nel momento in cui lascia l'azienda. La piattaforma di Purple fornisce questo livello di orchestrazione, posizionandosi tra l'identity provider e l'infrastruttura RADIUS per automatizzare l'intero ciclo di vita delle chiavi. Il secondo errore comune è la gestione degli indirizzi MAC. L'iPSK si basa sulle ricerche degli indirizzi MAC nell'archivio delle identità RADIUS. I sistemi operativi moderni - iOS 14 e successivi, Android 10 e successivi, Windows 11 - utilizzano per impostazione predefinita la randomizzazione degli indirizzi MAC per motivi di privacy. Se un dispositivo presenta un indirizzo MAC randomizzato, il server RADIUS non troverà un record corrispondente e rifiuterà la connessione. La soluzione consiste nell'implementare un flusso di lavoro di pre-registrazione in cui gli utenti registrano il proprio dispositivo prima di connettersi. Si tratta di un problema risolvibile, ma deve essere incluso nel piano di implementazione fin dal primo giorno. Terzo: resilienza del server RADIUS. La vostra distribuzione iPSK è affidabile solo quanto lo è la vostra infrastruttura RADIUS. Se il server RADIUS non è disponibile, nessun nuovo dispositivo può autenticarsi. Progettate per la ridondanza - server RADIUS primari e secondari, con un'adeguata configurazione di failover sul WLC. Infine, testate la vostra flotta di dispositivi IoT prima di andare online. Un test di compatibilità dei dispositivi prima della distribuzione, in particolare per qualsiasi hardware personalizzato o legacy, vi risparmierà notevoli problemi. [Q&A RAPIDO] iPSK funziona con WPA3? Sì, con alcune riserve. WPA3-SAE modifica il meccanismo di handshake, il che influisce sul modo in cui vengono convalidate le chiavi iPSK. La maggior parte dei controller moderni supporta iPSK in modalità di transizione WPA2 e WPA3, garantendo la retrocompatibilità. Per un ambiente esclusivamente WPA3, consultate le linee guida di implementazione specifiche del vostro fornitore. Quante chiavi univoche può supportare un singolo SSID? Questo dipende dal controller. Il WLC di Cisco supporta migliaia di voci iPSK univoche. In pratica, il fattore limitante è solitamente la capacità del database del server RADIUS e le prestazioni delle query, non il controller wireless stesso. iPSK è conforme al GDPR? iPSK in sé è un meccanismo di autenticazione di rete, non uno strumento di raccolta dati. La conformità al GDPR dipende da come gestite i dati identificativi associati a tali chiavi. Assicuratevi che i log RADIUS e l'archivio delle identità abbiano policy di conservazione adeguate - eliminate i dati quando termina il rapporto con un utente. [RIASSUNTO E PROSSIMI PASSI] Per riassumere: iPSK colma il divario tra la semplicità di una password condivisa e la sicurezza dello standard 802.1X. Vi consente di rilasciare chiavi univoche a singoli utenti o dispositivi, su un singolo SSID, e di assegnarli a segmenti di rete isolati. È la soluzione definitiva per ambienti multi-tenant, hospitality e distribuzioni IoT. Il vostro prossimo passo: esaminate la vostra attuale architettura di rete. Se state trasmettendo più SSID per segmentare il traffico, o se avete difficoltà a proteggere i dispositivi headless, iPSK è il cambiamento architetturale che dovete adottare. Parlate con il vostro account manager Purple per scoprire come la nostra piattaforma può automatizzare il ciclo di vita delle chiavi per il vostro hardware specifico. Grazie per aver ascoltato il Technical Briefing di Purple.