PPSK 12: confronto tra funzionalità e modelli di implementazione

Benvenuto al briefing tecnico di Purple. Oggi parleremo di PPSK 12 - ovvero Private Pre-Shared Key con una lunghezza minima della chiave di 12 caratteri - confrontando le sue caratteristiche e i modelli di implementazione per sviluppatori immobiliari, proprietari e operatori del settore build-to-rent. Iniziamo con un po' di contesto. Se gestisci un edificio residenziale con 50, 100 o 300 unità, hai un problema di WiFi che né una password condivisa né un'implementazione completa di 802.1X aziendale possono risolvere in modo pulito. Una password condivisa significa che ogni residente si trova sulla stessa rete. Se una persona si trasferisce, cambi la password e comprometti la configurazione della smart home di tutti gli altri residenti. L'802.1X completo è lo standard di riferimento per i dispositivi gestiti aziendali, ma richiede un'infrastruttura a chiave pubblica, la gestione dei certificati e la configurazione del supplicant su ogni dispositivo. I Chromecast, gli smart speaker e le console da gioco dei tuoi residenti non sono semplicemente in grado di farlo. PPSK si colloca precisamente tra questi due estremi. Ogni residente riceve la propria chiave precondivisa univoca - un minimo di 12 caratteri, combinando lettere maiuscole e minuscole, numeri e simboli. Tutti i residenti si connettono allo stesso SSID. Dal punto di vista del residente, l'esperienza è identica a quella di una rete WiFi domestica. Dal tuo punto di vista di operatore, ogni connessione è identificata singolarmente, crittografata singolarmente e revocabile singolarmente. Sezione uno: l'architettura tecnica. Quando un dispositivo si connette a un SSID abilitato per PPSK, il controller wireless LAN intercetta il tentativo di connessione e inoltra l'indirizzo MAC del dispositivo a un server RADIUS. RADIUS - Remote Authentication Dial-In User Service - è il motore di autenticazione. Il server RADIUS cerca l'indirizzo MAC nel suo archivio di identità e restituisce una risposta di Access-Accept. In quella risposta sono incorporati la chiave precondivisa univoca per quel residente e l'assegnazione di una VLAN. Il controller convalida la chiave presentata dal dispositivo confrontandola con quella restituita dal server RADIUS. Se corrispondono, il dispositivo viene autenticato e inserito nel segmento di rete corretto. Il risultato è ciò che chiamiamo una bolla WiFi per residente. Ogni dispositivo sulla chiave del residente A vede ogni altro dispositivo sulla chiave del residente A. Il loro telefono rileva il loro Chromecast. Il loro smart speaker si associa alle loro lampadine. La loro console trova la loro TV. Nessun dispositivo sulla chiave del residente A vede alcun dispositivo su una chiave diversa. I dispositivi del residente B sono invisibili al residente A, anche se si trovano sullo stesso access point fisico. I principali fornitori implementano questa tecnologia in modo leggermente diverso. Cisco Meraki la chiama iPSK - Identity PSK. HPE Aruba la chiama MPSK - Multi-PSK. Ruckus la chiama DPSK - Dynamic PSK. Juniper Mist utilizza PPSK. Il principio alla base è identico per tutti e quattro. I dettagli di implementazione differiscono per la struttura degli attributi RADIUS e per il numero di chiavi univoche che un singolo SSID può supportare. Sulla lunghezza della chiave: il minimo di 12 caratteri non è arbitrario. Le chiavi WPA2-PSK sono derivate utilizzando PBKDF2 con 4.096 iterazioni di HMAC-SHA1. Una chiave più corta di 12 caratteri è vulnerabile ad attacchi di dizionario offline, in particolare con i moderni strumenti di cracking accelerati da GPU. A 12 caratteri con classi di caratteri miste, lo spazio delle chiavi è sufficientemente ampio da rendere gli attacchi di tipo brute-force computazionalmente impraticabili. Alcune piattaforme, tra cui UniFi, impongono questo minimo a livello di interfaccia utente. È consigliabile imporlo nella propria policy di generazione delle chiavi, indipendentemente dal fatto che la piattaforma lo richieda. Sezione due: modelli di deployment. Esistono tre architetture di deployment per PPSK, e la scelta di quella corretta dipende dal portafoglio di immobili e dalla capacità del vostro team. La prima è il cloud RADIUS. I vostri access point si autenticano rispetto a un servizio RADIUS ospitato nel cloud, tipicamente su più zone di disponibilità. Questa è la scelta giusta per portafogli multi-sito - un operatore BTR con proprietà in diverse città, ad esempio. Il cloud RADIUS elimina l'hardware per singolo sito, automatizza la rotazione dei certificati e scala in modo elastico. La piattaforma di Purple offre un uptime del 99.999% sulla sua infrastruttura di autenticazione. Il compromesso è la dipendenza dalla WAN: se la connessione internet in un sito si interrompe, i nuovi dispositivi non possono autenticarsi fino al ripristino della connettività. Mitigate questo aspetto con SD-WAN e caching locale delle credenziali sul controller. La seconda è il RADIUS on-premise. Un server RADIUS - tipicamente Microsoft NPS o FreeRADIUS - viene eseguito su hardware o su una macchina virtuale presso la proprietà. Questo offre una latenza di autenticazione inferiore al millisecondo, la piena sovranità dei dati e nessuna dipendenza dalla WAN. È la scelta giusta per una singola grande proprietà con requisiti rigorosi di residenza dei dati, o per ambienti in cui la connettività internet è inaffidabile. Il costo operativo è più elevato: il vostro team gestisce le patch, la rotazione dei certificati e lo stato del server. La scadenza dei certificati è la causa più comune di interruzioni complete dell'autenticazione nei deployment on-premise. Integrate il rinnovo automatico dei certificati nel vostro runbook fin dal primo giorno. La terza è ibrida. Il cloud RADIUS gestisce gli SSID degli ospiti e dell'IoT. Il RADIUS on-premise gestisce qualsiasi SSID aziendale o del personale che si autentica rispetto a un Active Directory interno. Questo è un modello pragmatico per sviluppi a uso misto - un edificio BTR con negozi al piano terra o spazi di coworking, ad esempio. La piattaforma di Purple supporta nativamente questo modello ibrido, funzionando su access point Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Sezione tre: gestione del ciclo di vita delle chiavi. La tecnologia è la parte più semplice. La gestione del ciclo di vita delle chiavi è il fattore che determina il successo o il fallimento operativo dei deployment. Al momento del trasloco, la chiave univoca del residente viene generata e configurata in automatico - idealmente tramite integrazione API con il vostro sistema di property management. Il residente riceve la chiave tramite un'e-mail di benvenuto o l'app per i residenti. Tutti i loro dispositivi si connettono utilizzando quella singola chiave. Al momento del trasloco in uscita, la chiave viene revocata. Nessun altro residente viene interessato. Nessuna rotazione delle password. Nessun ticket di supporto. A metà locazione, i residenti aggiungono dispositivi. Un portale self-service o un'app per i residenti che rilasci la chiave esistente del residente a un nuovo dispositivo - senza esporre tale chiave ad altri residenti - è l'approccio corretto. La piattaforma di Purple fornisce questo flusso di lavoro pronto all'uso. Il rischio operativo critico è la randomizzazione dell'indirizzo MAC. iOS 14 e successivi, Android 10 e successivi, e Windows 11 randomizzano tutti gli indirizzi MAC per impostazione predefinita per motivi di privacy. Se un dispositivo presenta un MAC randomizzato, il server RADIUS non troverà un record corrispondente e rifiuterà la connessione. La soluzione consiste nel configurare l'SSID per richiedere ai client di utilizzare l'indirizzo MAC permanente del proprio dispositivo, o nell'implementare un flusso di lavoro di pre-registrazione. Questo deve essere incluso nel piano di implementazione fin dal primo giorno, non scoperto durante la messa in servizio. Sezione quattro: WPA3 e considerazioni sulla banda a 6 GHz. Una parola su WPA3, perché è qui che vedo gli operatori commettere errori di pianificazione. Il PPSK, così come attualmente implementato, si affida all'handshake a quattro vie di WPA2-PSK. WPA3 introduce SAE - Simultaneous Authentication of Equals - che modifica il meccanismo di handshake. SAE attualmente supporta una sola chiave per SSID. Ciò significa che un SSID WPA3 puro non può supportare più chiavi pre-condivise univoche. Nella banda a 6 GHz, introdotta con WiFi 6E, WPA3 è obbligatorio. Non è possibile eseguire WPA2 nella banda a 6 GHz. Quindi, se state implementando punti di accesso WiFi 6E o WiFi 7 e desiderate utilizzare la banda a 6 GHz, PPSK non è disponibile in quella banda ad oggi. La raccomandazione pratica per le implementazioni del 2025 e 2026 è una strategia dual-band. Eseguite il vostro SSID PPSK su 2.4 GHz e 5 GHz in modalità WPA2 o in modalità di transizione WPA2/WPA3. Utilizzate un SSID WPA3-Enterprise separato su 6 GHz per i dispositivi gestiti che lo supportano. Questo vi offre l'isolamento per residente di PPSK per l'ampia flotta di dispositivi e la sicurezza avanzata di WPA3 per i dispositivi che possono utilizzarlo. Vendor tra cui Cisco Meraki, HPE Aruba, e Juniper Mist stanno lavorando attivamente a implementazioni PPSK compatibili con WPA3. Sezione cinque: conformità e privacy dei dati. Le implementazioni PPSK in contesti residenziali si collocano in un contesto di privacy più sensibile rispetto al WiFi per gli ospiti. I residenti hanno una relazione continua con voi e l'esposizione dei dati si estende su anni anziché su minuti. L'isolamento dei residenti è di per sé un requisito di privacy ai sensi del GDPR. Avete il dovere di diligenza di impedire a un residente di scoprire o interagire con i dispositivi di un altro residente. PPSK è il meccanismo tecnico che garantisce questo risultato. L'assegnazione della VLAN per residente garantisce l'isolamento a livello Layer 2 anche su infrastrutture fisiche condivise. I registri di autenticazione devono essere conservati solo per il tempo necessario alla sicurezza e alle operazioni. Sei mesi rappresentano un limite comune per le distribuzioni residenziali. Purple memorizza i dati in regioni selezionabili, supportando i requisiti di residenza dei dati nel Regno Unito, nell'UE e negli Stati Uniti. Per gli operatori BTR con inquilini commerciali o di ristorazione al piano terra, lo standard PCI-DSS è rilevante. Il PPSK con assegnazione di VLAN per singolo inquilino consente di dimostrare che i dispositivi di elaborazione dei pagamenti si trovano su un segmento isolato crittograficamente, anche su un'infrastruttura fisica condivisa. Questo rappresenta un vantaggio significativo in termini di conformità rispetto a una distribuzione con password condivisa. Sezione sei: domande rapide. Quante chiavi univoche può supportare un singolo SSID? Questo dipende dal controller. Cisco Meraki supporta fino a 5.000 iPSK per SSID senza RADIUS, e un numero virtualmente illimitato con RADIUS. Ruckus DPSK supporta migliaia di chiavi per zona. In pratica, il fattore limitante è la capacità del database del server RADIUS e le prestazioni delle query, non il controller wireless. Il PPSK funziona con i dispositivi IoT? Sì. I dispositivi IoT - altoparlanti intelligenti, termostati, sensori, serrature - si connettono utilizzando la chiave dell'inquilino esattamente come qualsiasi altro dispositivo. Essi vengono instradati nella VLAN del residente e possono rilevare altri dispositivi associati alla stessa chiave. Questo è il motivo principale per cui il PPSK è l'architettura corretta per le distribuzioni BTR e MDU, dove una media di 15-25 dispositivi per famiglia è ormai la norma. Qual è il caso aziendale? Un servizio WiFi gestito con isolamento per residente garantisce un sovrapprezzo sull'affitto da £15 a £30 per unità al mese nelle ricerche sul BTR della British Property Federation. I periodi di sfitto si riducono da cinque a dieci giorni quando il WiFi per il trasloco è pronto fin dal primo giorno. Il volume dei ticket di assistenza per problemi con Chromecast e smart home scende quasi a zero quando il PPSK è distribuito correttamente. Riepilogo e passaggi successivi. Il PPSK con una lunghezza minima della chiave di 12 caratteri è l'architettura di autenticazione WiFi corretta per installazioni BTR, MDU, alloggi per studenti e case popolari. Offre isolamento per residente, supporto IoT completo e gestione automatizzata del ciclo di vita delle chiavi senza il sovraccarico infrastrutturale di 802.1X. Scegli il cloud RADIUS per portafogli multisito. Scegli il RADIUS on-premise per singole grandi proprietà con requisiti di sovranità dei dati. Utilizza un modello ibrido per sviluppi a uso misto. Pianifica la randomizzazione degli indirizzi MAC fin dal primo giorno. Sviluppa una strategia dual-band per le implementazioni WiFi 6E e WiFi 7 mentre le implementazioni PPSK compatibili con WPA3 giungono a maturazione. Le tre cose da fare questo trimestre: verificare il modello di autenticazione attuale rispetto a questi criteri, valutare l'infrastruttura RADIUS e definire il flusso di lavoro di gestione del ciclo di vita delle chiavi, inclusa l'integrazione con il sistema di gestione immobiliare. La piattaforma WiFi multi-tenant di Purple funziona sugli access point già in tuo possesso, in 80.000 sedi attive, e offre un uptime del 99,999% sulla sua infrastruttura di autenticazione. Grazie per aver partecipato a questo briefing tecnico di Purple.