PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK (e supporto WPA3)

Un confronto completo delle implementazioni PSK per dispositivo tra Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Extreme, Fortinet e Ubiquiti UniFi. Scopri come WPA3-SAE influisce sulle strategie delle chiavi per dispositivo e quando distribuire le modalità di transizione rispetto al passaggio a 802.1X.

📖 6 minuti di lettura📝 1,350 parole🔧 2 esempi pratici❓ 3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast

PSK per dispositivo per fornitore: confronto tra iPSK, DPSK, MPSK e PPSK e supporto WPA3. Un briefing tecnico Purple.

Introduzione e contesto.

Benvenuti alla serie di briefing tecnici Purple. Oggi vi guiderò attraverso uno degli argomenti più importanti dal punto di vista pratico, e spesso fraintesi, nel panorama del WiFi aziendale attuale: le chiavi precondivise per dispositivo. Nello specifico, confronteremo il modo in cui ciascuno dei principali fornitori implementa questa funzionalità, come la definisce, come funziona effettivamente dietro le quinte e, aspetto fondamentale, cosa succede quando si tenta di passare a WPA3.

Se siete responsabili IT, architetti di rete o direttori delle operazioni di una struttura che gestisce il WiFi in un complesso alberghiero, una catena di vendita al dettaglio, uno stadio o un campus del settore pubblico, questo briefing fa al caso vostro. Probabilmente vi sarete già imbattuti in questa serie di acronimi: iPSK, DPSK, MPSK, PPSK. Si riferiscono tutti allo stesso concetto – assegnare a ciascun dispositivo o utente una propria password univoca su un singolo SSID – ma le implementazioni differiscono in modo significativo, e queste differenze contano quando pianificate il vostro prossimo aggiornamento dell'infrastruttura.

Iniziamo con i concetti fondamentali, per poi esaminare ciascun fornitore e concludere con la questione WPA3 con cui tutti si stanno confrontando in questo momento.

Approfondimento tecnico.

Quindi, cos'è la PSK per dispositivo e perché esiste?

Il WPA2-Personal tradizionale utilizza un'unica passphrase condivisa per un intero SSID. Tutti sulla rete ospiti utilizzano la stessa password. Ciò crea due problemi. In primo luogo, non è possibile revocare l'accesso a un singolo dispositivo senza modificare la password per tutti gli altri. In secondo luogo, non si ha alcuna visibilità o applicazione delle policy per singolo dispositivo. La PSK per dispositivo risolve entrambi i problemi. Ciascun dispositivo o utente riceve una credenziale univoca. È possibile revocarne una senza toccare le altre. È possibile assegnare VLAN, policy di larghezza di banda o pianificazioni di accesso diverse per ciascuna chiave. Rappresenta la via di mezzo tra la semplicità del WPA2-Personal e la complessità di un'autenticazione aziendale 802.1X completa.

Ora vediamo come ciascun fornitore implementa questa tecnologia.

Cisco Meraki la chiama iPSK - Identity Pre-Shared Key. Meraki supports due modalità. Senza RADIUS, è possibile configurare fino a cinque PSK univoche direttamente nella dashboard di Meraki, ciascuna mappata su una VLAN. È rapido da configurare e non richiede alcuna infrastruttura esterna. Con RADIUS – tipicamente Cisco ISE – è possibile scalare fino a migliaia di chiavi. Il client si associa, l'AP invia l'indirizzo MAC e un suggerimento PSK al server RADIUS, il server restituisce la chiave per dispositivo corretta e l'handshake standard a quattro vie WPA2 si completa utilizzando quella chiave come Pairwise Master Key. L'aspetto chiave qui è che il server RADIUS esegue la ricerca, non l'AP. L'AP si limita a facilitare lo scambio.

HPE Aruba la chiama MPSK - Multiple Pre-Shared Key. Aruba Central e Aruba Instant supportano MPSK in due modalità: MPSK Local, in cui le chiavi sono memorizzate sul controller o sul cluster di AP, e MPSK con ClearPass, il motore di policy e RADIUS di Aruba. ClearPass può contenere decine di migliaia di chiavi, assegnare VLAN dinamiche e applicare policy basate sui ruoli per ciascuna chiave. Il flusso di autenticazione è essenzialmente lo stesso della modalità RADIUS di Meraki: la ricerca basata su MAC restituisce la chiave per dispositivo prima dell'handshake a quattro vie.

Ruckus – ora parte di CommScope – la chiama DPSK, Dynamic Pre-Shared Key. Questa è probabilmente l'implementazione più matura sul mercato. Ruckus DPSK è disponibile fin dai primi giorni di SmartZone. In modalità locale, il servizio DPSK viene eseguito sul controller e contiene il database delle chiavi. In modalità RADIUS, si integra con Cloudpath, la piattaforma di controllo degli accessi alla rete di Ruckus. Ciò che rende Ruckus degno di nota è DPSK3 – la loro estensione WPA3 di DPSK, su cui torneremo a breve. DPSK3 è disponibile sugli access point Wi-Fi 6, 6E e 7 con firmware 7.0 o successivo, e opera in modalità mista WPA2 / WPA3.

Juniper Mist la chiama PPSK – Private Pre-Shared Key – o talvolta Multi-PSK. Mist memorizza le chiavi nel cloud, nel database delle chiavi dell'organizzazione o del sito Mist, con un limite di 5,000 chiavi per sito. Le chiavi possono essere assegnate per utente, per dispositivo o per gruppo. Mist si integra anche con il suo servizio Access Assurance – il NAC nativo del cloud – che aggiunge la ricerca PSK basata su RADIUS. Aspetto fondamentale, Juniper ha annunciato il supporto WPA3 RADIUS PSK tramite Access Assurance, consentendo a un singolo SSID WPA3-Personal di servire più passphrase. Questa è una delle implementazioni più orientate al futuro sul mercato.

Extreme Networks – che ha acquisito Aerohive – la chiama PPSK, Private Pre-Shared Key, tramite ExtremeCloud IQ. L'implementazione di Extreme supporta la memorizzazione locale delle chiavi sull'AP stesso, utile per filiali o siti remoti con connettività limitata. Supporta anche la ricerca basata su RADIUS tramite il servizio RADIUS cloud di ExtremeCloud IQ. È disponibile l'associazione MAC (MAC binding), che collega una PPSK a un indirizzo MAC di un dispositivo specifico per una maggiore sicurezza.

Fortinet la chiama MPSK, Multiple Pre-Shared Key, gestita tramite FortiAP e il controller wireless FortiGate. L'implementazione di Fortinet è degna di nota perché supporta esplicitamente le modalità di sicurezza WPA3-SAE e WPA3-SAE Transition nei suoi profili MPSK – a partire dal firmware FortiAP 8.0. È possibile creare un profilo MPSK con chiavi WPA3-SAE, assegnarle a un VAP e abilitare l'assegnazione dinamica della VLAN per chiave. Questa è una delle implementazioni MPSK WPA3 più pulite oggi disponibili.

Ubiquiti UniFi la chiama Private Pre-Shared Keys, o Private PSK. L'implementazione di UniFi è solo locale – le chiavi sono memorizzate nel controller UniFi Network, non in un server RADIUS esterno. È possibile assegnare VLAN diverse per chiave e impostare limiti di client per chiave. Il limite significativo: a partire da metà 2026, UniFi Private PSK funziona solo su reti WPA2 su 2,4 GHz e 5 GHz. WPA3 e 6 GHz non sono supportati. Per distribuzioni più piccole va bene, ma è un vincolo che vale la pena conoscere prima di impegnarsi con un'infrastruttura UniFi su larga scala.

Ora, la questione WPA3. È qui che la situazione si fa tecnicamente interessante.

Il WPA2-Personal utilizza un handshake a quattro vie. Il client e l'AP derivano una Pairwise Transient Key da una Pairwise Master Key condivisa, che a sua volta deriva dalla passphrase. Poiché la derivazione della PMK avviene dopo la ricerca RADIUS, l'AP può sostituire una chiave per dispositivo in quel momento. Allo standard non importa: vede semplicemente una PMK valida.

Il WPA3-Personal sostituisce l'handshake a quattro vie con SAE – Simultaneous Authentication of Equals. SAE è un protocollo basato su Diffie-Hellman. Entrambe le parti si impegnano su un elemento di password condiviso derivato dalla passphrase prima che l'associazione venga completata. La differenza fondamentale: la password deve essere nota a entrambe le parti prima che inizi lo scambio SAE. Non esiste alcun punto nel protocollo in cui un server RADIUS possa inserire una chiave diversa per dispositivo. L'AP e il client stanno già eseguendo uno scambio crittografico con un singolo valore condiviso.

Questo è il motivo per cui WPA3 attualmente consente solo una chiave per SSID nella sua forma standard. Non si tratta di un limite del firmware. È un vincolo del protocollo.

Le soluzioni alternative rientrano in tre categorie.

In primo luogo, la modalità di transizione WPA3 – chiamata anche modalità mista WPA2 / WPA3. L'SSID annuncia sia WPA2-PSK che WPA3-SAE. I client WPA2 utilizzano l'handshake a quattro vie e possono ricevere chiavi per dispositivo tramite RADIUS. I client WPA3 utilizzano SAE con un'unica password condivisa. Questo è l'approccio più diffuso oggi ed è supportato da Cisco Meraki, HPE Aruba, Ruckus e altri.

In secondo luogo, le estensioni proprietarie. Ruckus DPSK3 è l'esempio più chiaro. Funzionando in modalità mista WPA2 / WPA3 con Cloudpath come backend RADIUS, DPSK3 consente ai dispositivi compatibili con WPA3 di utilizzare SAE mentre il sistema gestisce l'associazione delle chiavi per dispositivo tramite l'integrazione con Cloudpath. L'approccio di Juniper con Access Assurance WPA3 RADIUS PSK è simile. La modalità MPSK di Fortinet con WPA3-SAE Transition consente di combinare chiavi WPA2-Personal e WPA3-SAE nello stesso profilo MPSK.

In terzo luogo, il passaggio a 802.1X. Per gli endpoint gestiti – laptop aziendali, dispositivi del personale, qualsiasi cosa su cui sia possibile installare un certificato – WPA3-Enterprise con EAP-TLS è la risposta ideale. È completamente compatibile con WPA3 e 6 GHz, fornisce un'identità per dispositivo e si integra con Microsoft Entra ID, Okta e Google Workspace. Il compromesso è rappresentato dalla complessità di distribuzione e dalla necessità di un'infrastruttura di certificati.

Raccomandazioni di implementazione e insidie.

Quindi, cosa si dovrebbe fare concretamente?

Se gestite un complesso alberghiero con un mix di dispositivi degli ospiti, sensori IoT e dispositivi del personale, la risposta pragmatica nel 2026 è un design SSID ibrido. Mantenete un SSID WPA2-Personal con PSK per dispositivo per i dispositivi IoT legacy e degli ospiti. Eseguite un SSID WPA3-Enterprise per i dispositivi del personale che controllate. Utilizzate la modalità di transizione sul vostro SSID ospiti principale per supportare sia i client WPA2 e WPA3 senza frammentare il numero di SSID.

Se utilizzate Ruckus e disponete di hardware Wi-Fi 6 o più recente, vale la pena valutare DPSK3 in modalità mista WPA2 / WPA3 con Cloudpath. Vi offre la soluzione più vicina a una PSK per dispositivo WPA3 nativa oggi disponibile.

Se utilizzate Fortinet, il profilo MPSK con WPA3-SAE Transition è semplice da configurare e offre un percorso di migrazione pulito.

Se utilizzate UniFi, chiarite con i vostri stakeholder che la Private PSK è solo WPA2. Per le strutture che distribuiscono Wi-Fi 6E o Wi-Fi 7 con radio a 6 GHz, avrete bisogno di una strategia di autenticazione diversa per quella banda.

L'insidia più grande che riscontriamo è che i team presumono che l'abilitazione di WPA3 su un SSID PSK per dispositivo esistente funzioni e basta. Non sarà così. Eseguite prima un test in un sito pilota. Verificate le versioni del firmware dei vostri AP – DPSK3 richiede il firmware 7.0 o successivo su Ruckus, ad esempio. E verificate la compatibilità del vostro server RADIUS – Ruckus DPSK3 in modalità mista richiede specificamente Cloudpath, non un server RADIUS generico.

Una seconda insidia è la proliferazione incontrollata delle chiavi. La PSK per dispositivo è eccellente per la tracciabilità, ma solo se si dispone di un processo per revocare le chiavi quando i dispositivi vengono dismessi. Senza una gestione del ciclo di vita, vi ritroverete con migliaia di chiavi orfane e nessuna traccia di controllo. Integrate il provisioning delle chiavi con il flusso di lavoro di gestione dei dispositivi fin dal primo giorno.

Domande e risposte rapide.

Posso utilizzare la PSK per dispositivo su un SSID a 6 GHz? No. La banda a 6 GHz impone solo WPA3, e WPA3 non supporta nativamente la PSK per dispositivo. Utilizzate 802.1X o un SSID separato a 2,4 / 5 GHz per i dispositivi che necessitano di PSK per dispositivo.

La PSK per dispositivo soddisfa i requisiti PCI DSS? La PSK per dispositivo su WPA2 può soddisfare i requisiti di segmentazione della rete PCI DSS 4.0 se ciascuna chiave è mappata su una VLAN isolata. Tuttavia, PCI DSS raccomanda vivamente l'802.1X per gli ambienti con dati dei titolari di carta. Verificate con il vostro QSA.

Qual è il numero massimo di chiavi per SSID? Varia in modo significativo. Cisco Meraki con ISE supporta distribuzioni molto grandi. Ruckus DPSK supporta decine di migliaia di chiavi. Juniper Mist ha un limite di 5.000 per sito. UniFi è effettivamente limitato dalla memoria del controller. Verificate sempre la documentazione del fornitore per la vostra specifica versione del firmware.

In che modo Purple si inserisce in questo contesto? Purple si pone come overlay cloud sopra l'hardware esistente. Ci integriamo con Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Per le distribuzioni WiFi ospiti e WiFi del personale, Purple gestisce il livello di identità – autenticazione, acquisizione dati, gestione del consenso – e restituisce l'assegnazione della VLAN o della policy appropriata all'hardware tramite RADIUS o API. Manterrete la vostra infrastruttura PSK per dispositivo esistente; Purple aggiunge il livello di identità e analisi dei dati.

Sintesi e prossimi passi.

Ricapitoliamo.

La PSK per dispositivo – che la si chiami iPSK, DPSK, MPSK o PPSK – è una funzionalità matura e ben supportata da tutti i principali fornitori di WiFi aziendale. Le implementazioni differiscono per il luogo in cui vengono memorizzate le chiavi, la scalabilità e l'integrazione con RADIUS.

Il protocollo SAE di WPA3 crea un reale vincolo tecnico per la PSK per dispositivo. Lo standard non la supporta nativamente. Le risposte pratiche oggi sono la modalità di transizione, estensioni proprietarie come DPSK3 o il passaggio a 802.1X per i dispositivi che lo supportano.

La sintesi per fornitore: Cisco Meraki iPSK funziona bene con ISE in modalità RADIUS; il supporto WPA3 avviene tramite modalità di transizione. HPE Aruba MPSK con ClearPass è altamente scalabile; WPA3 MPSK è in fase di sviluppo attivo. Ruckus DPSK3 è la soluzione PSK per dispositivo WPA3 più matura disponibile. Juniper Mist Access Assurance aggiunge WPA3 RADIUS PSK. Fortinet MPSK supporta esplicitamente WPA3-SAE nei suoi profili MPSK. Extreme PPSK è solido per le modalità locale e RADIUS. UniFi Private PSK è solo WPA2 e solo locale.

Per i prossimi passi: verificate la vostra attuale distribuzione PSK per dispositivo, identificate quali dispositivi sono compatibili con WPA3 e progettate una strategia SSID ibrida che serva entrambi. Se state pianificando un aggiornamento dell'hardware, date la priorità agli AP Wi-Fi 6 o Wi-Fi 7 con supporto confermato per DPSK3 o WPA3 MPSK.

Se desiderate comprendere come Purple si integra con il vostro specifico fornitore di hardware per aggiungere la gestione dell'identità e l'analisi dei dati alla vostra distribuzione PSK per dispositivo, visitate purple.ai o parlate con il vostro team commerciale.

Questo è tutto per questo briefing. Grazie per l'ascolto.

Punti chiave

✓La PSK per dispositivo fornisce password univoche per dispositivo su un singolo SSID, consentendo la revoca e l'assegnazione dinamica della VLAN.
✓I principali fornitori la supportano con nomi diversi: Cisco iPSK, Aruba MPSK, Ruckus DPSK, Mist PPSK.
✓Il protocollo SAE di WPA3 interrompe la PSK per dispositivo nativa perché la password deve essere nota prima dell'inizio dell'handshake.
✓La modalità di transizione WPA3 (modalità mista WPA2/WPA3) è la soluzione alternativa più comune, che consente ai client WPA2 di utilizzare chiavi per dispositivo.
✓Ruckus DPSK3 e Juniper Access Assurance offrono soluzioni proprietarie di PSK per dispositivo WPA3.
✓Per i dispositivi aziendali gestiti, la migrazione a WPA3-Enterprise (802.1X) è la strategia a lungo termine consigliata.

Executive Summary

Per-device Pre-Shared Key (PSK) is the essential transition technology for enterprise networks that need per-device visibility without the complexity of full 802.1X authentication. While vendors use different names - Cisco Meraki iPSK, HPE Aruba MPSK, Ruckus DPSK, Juniper Mist PPSK - the fundamental goal is identical: assigning a unique password to every device on a single SSID.

However, the move to WPA3 introduces a significant architectural constraint. WPA3 replaces the traditional WPA2 four-way handshake with Simultaneous Authentication of Equals (SAE). SAE requires the password to be known by both the access point and the client before the exchange begins, which breaks the standard RADIUS-based lookup mechanism used by most per-device PSK implementations. This guide details how each major vendor handles per-device PSK, how they store and look up keys, and how they address the WPA3-SAE challenge - from WPA3 transition modes to proprietary extensions like Ruckus DPSK3.

Technical Deep-Dive

The Architecture of Per-Device PSK

Traditional WPA2-Personal uses a single shared passphrase for an entire SSID. Every device uses the same password, which means you cannot revoke access for one device without changing the password for everyone. Furthermore, you have no per-device visibility or policy enforcement.

Per-device PSK solves this by issuing a unique credential to each device or user. You can revoke one key without touching the others. You can assign different VLANs, bandwidth policies, or access schedules per key.

The technical mechanism relies on the WPA2 four-way handshake. When a client associates, the access point sends the client's MAC address to a RADIUS server (or a local database) in an Access-Request message. The RADIUS server returns an Access-Accept message containing the specific key for that device. The access point then completes the four-way handshake using that specific key to derive the Pairwise Master Key (PMK).

The WPA3-SAE Challenge

WPA3-Personal replaces the four-way handshake with SAE. SAE is a Diffie-Hellman-based protocol where both sides commit to a shared password element derived from the passphrase before the association completes.

The critical difference is that the password must be known to both sides before the SAE exchange begins. There is no point in the protocol where a RADIUS server can inject a different key per device. The access point and client are already executing a cryptographic exchange based on a single shared value. This is a protocol constraint defined by the IEEE 802.11 standard, not a vendor limitation.

Vendor Implementations Compared

Every major enterprise vendor supports per-device PSK, but their implementations and WPA3 readiness vary.

Cisco Meraki (iPSK) Cisco Meraki calls it Identity Pre-Shared Key (iPSK). It supports two modes. Without RADIUS, you can configure up to five unique PSKs directly in the Meraki dashboard. With RADIUS - typically Cisco ISE - you can scale to 100,000 keys. The RADIUS server performs the lookup and returns the per-device key. For WPA3, Meraki relies on WPA3 transition mode (WPA2/WPA3 mixed mode), where WPA2 clients use the four-way handshake and receive per-device keys, while WPA3 clients use SAE with a single shared password.

HPE Aruba (MPSK) HPE Aruba calls it Multiple Pre-Shared Key (MPSK). Aruba supports MPSK Local, where keys are stored on the controller, and MPSK with ClearPass, which acts as the RADIUS and policy engine. ClearPass can hold tens of thousands of keys and assign dynamic VLANs. Like Meraki, WPA3 support is currently handled via transition mode.

Ruckus (DPSK and DPSK3) Ruckus calls it Dynamic Pre-Shared Key (DPSK). It is one of the most mature implementations, available since the early SmartZone days. In RADIUS mode, it integrates with Cloudpath. Ruckus is notable for DPSK3, their WPA3 extension. DPSK3 operates in WPA2/WPA3 mixed mode and requires Cloudpath as the RADIUS backend. It allows WPA3-capable devices to use SAE while the system manages per-device key binding through the Cloudpath integration.

Juniper Mist (PPSK / Multi-PSK) Juniper Mist calls it Private Pre-Shared Key (PPSK) or Multi-PSK. Mist stores keys in the cloud database, with a limit of 5,000 keys per site. Keys can be assigned per user, per device, or per group. Mist integrates with its Access Assurance service, which adds RADIUS-based PSK lookup. Juniper supports WPA3 RADIUS PSK through Access Assurance, allowing a single WPA3-Personal SSID to serve multiple passphrases.

Extreme Networks (PPSK) Extreme Networks calls it Private Pre-Shared Key (PPSK) through ExtremeCloud IQ. It supports local key storage on the access point itself, which is useful for remote sites, as well as RADIUS-based lookup via ExtremeCloud IQ's cloud RADIUS service. Extreme supports MAC binding to tie a PPSK to a specific device.

Fortinet (MPSK) Fortinet calls it Multiple Pre-Shared Key (MPSK), managed through FortiAP and the FortiGate wireless controller. Fortinet explicitly supports WPA3-SAE and WPA3-SAE Transition security modes in its MPSK profiles. You can create an MPSK profile with WPA3-SAE keys, assign them to a VAP, and enable dynamic VLAN assignment.

Ubiquiti UniFi (Private PSK) Ubiquiti UniFi calls it Private Pre-Shared Keys. The implementation is local only; keys are stored in the UniFi Network controller. You can assign different VLANs per key. However, UniFi Private PSK only works on WPA2 networks on 2.4 GHz and 5 GHz. WPA3 and 6 GHz are not supported.

Implementation Guide

When deploying per-device PSK, follow these steps to ensure a secure and scalable architecture.

Audit Your Device Landscape: Identify which devices support WPA3 and which rely on WPA2. Legacy IoT devices will likely require WPA2 for the foreseeable future.
Select the Right SSID Strategy: For a mixed environment, deploy a hybrid SSID design. Maintain a WPA2-Personal SSID with per-device PSK for legacy IoT and guest devices. Deploy a WPA3-Enterprise SSID for managed staff devices.
Implement Transition Mode Carefully: If you use WPA3 transition mode on your primary guest SSID, ensure your access points and RADIUS servers are correctly configured to handle the mixed authentication flows.
Integrate Identity Management: Do not manage keys manually. Integrate your key provisioning with your device management workflow or an identity provider like Microsoft Entra ID or Okta.
Configure Dynamic VLANs: Map each per-device PSK to a specific VLAN to enforce network segmentation. This is critical for isolating IoT devices from guest traffic.

Best Practices

Enforce Lifecycle Management: Per-device PSK requires strict lifecycle management. You must have a process to revoke keys when devices are decommissioned to prevent key sprawl.
Use 802.1X for Managed Endpoints: For corporate laptops and staff devices, move to WPA3-Enterprise with EAP-TLS. It provides stronger security and native compatibility with zero-trust models.
Test WPA3 Upgrades: Never enable WPA3 on an existing per-device PSK SSID without testing in a pilot site. Verify firmware versions and RADIUS server compatibility.
Leverage Purple for Identity: Integrate Purple to handle the identity layer. Purple sits as a cloud overlay, providing authentication, data capture, and consent management, and passes the appropriate VLAN assignment back to your hardware via RADIUS. See Enterprise WiFi Security: A Complete Guide for 2026 for more details.

Troubleshooting & Risk Mitigation

Clients Failing to Connect on WPA3: If legacy devices fail to connect to a WPA3 transition mode SSID, it is often due to incompatible wireless drivers. Ensure client drivers are updated. If the issue persists, move legacy devices to a dedicated WPA2-only SSID.
RADIUS Timeouts: If the access point times out waiting for the per-device key from the RADIUS server, check the network path and ensure the RADIUS server is scaled to handle the authentication load.
VLAN Assignment Failures: If a device connects but receives the wrong IP address, verify the VLAN mapping in the RADIUS Access-Accept message and ensure the VLAN exists on the access point and switch port.

ROI & Business Impact

Implementing per-device PSK delivers measurable business value by reducing support tickets and improving security.

Reduced Helpdesk Load: Automating key provisioning and revocation eliminates manual password resets.
Improved Security Posture: Isolating devices onto separate VLANs based on their unique key reduces the blast radius of a compromised device.
Enhanced Visibility: Per-device keys provide granular visibility into network utilisation, allowing you to identify bandwidth hogs and optimise capacity planning.

Definizioni chiave

PSK per dispositivo

Un meccanismo di sicurezza che assegna una chiave precondivisa (Pre-Shared Key) univoca a ciascun dispositivo o utente su un singolo SSID, consentendo la revoca individuale e l'assegnazione dinamica delle policy.

Utilizzato quando i team IT necessitano di visibilità e controllo per dispositivo senza distribuire un'autenticazione 802.1X completa.

WPA3-SAE

Simultaneous Authentication of Equals. Il protocollo sicuro di stabilimento delle chiavi utilizzato in WPA3-Personal, che sostituisce l'handshake a quattro vie di WPA2.

Rilevante quando si esegue l'aggiornamento a WPA3 o si distribuiscono reti a 6 GHz, poiché cambia radicalmente il modo in cui vengono autenticate le password.

Modalità di transizione

Una configurazione in modalità mista in cui un SSID annuncia il supporto sia per WPA2-PSK che per WPA3-SAE, consentendo ai client legacy e moderni di connettersi allo stesso nome di rete.

L'approccio standard per la migrazione delle reti esistenti a WPA3 senza escludere i dispositivi legacy.

Associazione MAC (MAC Binding)

Il processo di associazione di una specifica PSK per dispositivo con l'indirizzo MAC hardware di un dispositivo specifico, impedendo l'uso della chiave su un altro dispositivo.

Utilizzato per impedire la condivisione delle credenziali e garantire un controllo degli accessi rigoroso per i dispositivi IoT.

Assegnazione dinamica della VLAN

La capacità di assegnare un dispositivo a una Virtual LAN specifica in base alle sue credenziali di autenticazione (come la sua PSK per dispositivo), anziché all'SSID a cui si connette.

Essenziale per la segmentazione della rete, consente all'IT di isolare il traffico degli ospiti da quello aziendale sullo stesso access point.

iPSK

Identity Pre-Shared Key. L'implementazione di Cisco Meraki della PSK per dispositivo.

Incontrato durante la gestione delle reti wireless Cisco Meraki.

DPSK

Dynamic Pre-Shared Key. L'implementazione di Ruckus della PSK per dispositivo, con DPSK3 che rappresenta la versione compatibile con WPA3.

Incontrato durante la gestione delle reti wireless Ruckus.

MPSK

Multiple Pre-Shared Key. Il termine utilizzato da HPE Aruba e Fortinet per le loro implementazioni di PSK per dispositivo.

Incontrato durante la gestione delle reti wireless HPE Aruba o Fortinet.

Esempi pratici

Un hotel da 200 camere deve fornire un servizio WiFi ospiti sicuro e isolare le smart TV in ogni camera. Attualmente utilizza un'unica password WPA2-Personal per tutti gli ospiti e i dispositivi.

Distribuisci la PSK per dispositivo utilizzando un backend RADIUS. Integra Purple per acquisire i dati degli ospiti ed emettere una PSK univoca per ciascun ospite al momento della registrazione. Per le smart TV, genera una PSK univoca per ogni TV e mappala su una VLAN IoT dedicata. Configura le PSK degli ospiti per mapparle su una VLAN ospiti separata con isolamento dei client abilitato.

Commento dell'esaminatore: Questo approccio protegge la rete isolando i dispositivi IoT dal traffico degli ospiti. L'uso di Purple automatizza il provisioning delle chiavi degli ospiti, riducendo i ticket di assistenza, mentre la VLAN IoT dedicata garantisce che le smart TV non siano accessibili dagli ospiti.

Un campus universitario sta effettuando l'aggiornamento a Wi-Fi 6E e deve supportare WPA3 sulla banda a 6 GHz, ma ha migliaia di dispositivi IoT legacy che supportano solo WPA2.

Implementa un design SSID ibrido. Crea un SSID WPA3-Enterprise per i laptop e gli smartphone di studenti e personale, utilizzando 802.1X per l'autenticazione. Crea un SSID WPA2-Personal separato con PSK per dispositivo sulle bande a 2,4 GHz e 5 GHz specificamente per i dispositivi IoT legacy.

Commento dell'esaminatore: Questo design soddisfa il requisito WPA3 per la banda a 6 GHz mantenendo la compatibilità con i dispositivi legacy. Evita le complessità della modalità di transizione WPA3 e fornisce un percorso di migrazione chiaro verso 802.1X per gli endpoint gestiti.

Domande di esercitazione

Q1. Stai distribuendo access point Wi-Fi 6E e devi supportare client a 6 GHz. La tua rete a 5 GHz esistente utilizza iPSK per i dispositivi IoT. Puoi estendere la configurazione iPSK alla banda a 6 GHz?

Suggerimento: Considera i protocolli di sicurezza obbligatori per la banda a 6 GHz.

Visualizza risposta modello

No. La banda a 6 GHz impone WPA3 e WPA3-SAE non supporta nativamente la PSK per dispositivo (iPSK). È necessario mantenere i dispositivi IoT su un SSID WPA2 a 2,4/5 GHz o migrarli a 802.1X se supportato.

Q2. Una catena di vendita al dettaglio utilizza Aruba MPSK per assegnare chiavi univoche ai terminali dei punti vendita. Desidera aggiornare il proprio SSID principale a WPA3 per una migliore sicurezza. Qual è l'approccio consigliato?

Suggerimento: Aruba MPSK richiede l'handshake a quattro vie WPA2.

Visualizza risposta modello

Abilita la modalità di transizione WPA3 (modalità mista WPA2/WPA3) sull'SSID. I terminali dei punti vendita continueranno a connettersi utilizzando WPA2 e MPSK, mentre i dispositivi più recenti potranno connettersi utilizzando WPA3-SAE con una password condivisa.

Q3. Gestisci una rete Ruckus e desideri distribuire la PSK per dispositivo per i client WPA3. Quale configurazione specifica è richiesta?

Suggerimento: Considera l'estensione proprietaria offerta da Ruckus e i suoi requisiti di backend.

Visualizza risposta modello

È necessario distribuire Ruckus DPSK3. Ciò richiede access point Wi-Fi 6 o più recenti con firmware 7.0 o successivo, la configurazione dell'SSID per la modalità mista WPA2/WPA3 e l'uso di Ruckus Cloudpath come server RADIUS.

Continua a leggere questa serie

Server RADIUS: una guida completa per le aziende

Questa guida fornisce a IT manager, architetti di rete e CTO un riferimento tecnico definitivo sull'autenticazione tramite server RADIUS per il WiFi aziendale. Copre il framework AAA, l'architettura 802.1X, la selezione del metodo EAP, i compromessi tra implementazioni cloud e on-premises e l'assegnazione dinamica della VLAN. I gestori di location nei settori dell'ospitalità, del retail, degli eventi e del settore pubblico troveranno indicazioni pratiche per l'implementazione, casi di studio reali e i framework decisionali necessari per migrare da chiavi pre-condivise non sicure a un'architettura di controllo degli accessi alla rete sicura e basata sull'identità.

Aruba ClearPass vs. Purple WiFi: Confronto delle Funzionalità e Co-implementazione

Una guida tecnica completa che dettaglia l'architettura di co-implementazione di Aruba ClearPass e Purple WiFi. Copre la configurazione del proxy RADIUS, l'assegnazione dinamica della VLAN e le best practice per fornire reti guest sicure e basate sull'analisi dei dati insieme al NAC aziendale.

Cisco ISE vs. Purple WiFi: Come si Confrontano e Come Lavorano Insieme

Questa guida spiega come Cisco ISE e Purple WiFi ricoprano ruoli distinti ma complementari nelle reti aziendali. Spiega dettagliatamente come utilizzare Cisco ISE per l'accesso aziendale sicuro 802.1X, sfruttando al contempo Purple per il guest WiFi conforme al GDPR, l'analisi di marketing e l'integrazione CRM.