Vai al contenuto principale
Italiano

PPSK 12: confronto tra funzionalità e modelli di implementazione

Questa guida di riferimento tecnica autorevole analizza l'architettura PPSK 12, confrontando i modelli di implementazione cloud, on-premise e ibridi. Offre ai responsabili IT e ai direttori delle operazioni delle strutture una guida pratica sull'implementazione dell'isolamento WiFi per residente in ambienti build-to-rent, MDU e hospitality.

📖 5 minuti di lettura📝 1,146 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto al briefing tecnico di Purple. Oggi parleremo di PPSK 12 - ovvero Private Pre-Shared Key con una lunghezza minima della chiave di 12 caratteri - confrontando le sue caratteristiche e i modelli di implementazione per sviluppatori immobiliari, proprietari e operatori del settore build-to-rent. Iniziamo con un po' di contesto. Se gestisci un edificio residenziale con 50, 100 o 300 unità, hai un problema di WiFi che né una password condivisa né un'implementazione completa di 802.1X aziendale possono risolvere in modo pulito. Una password condivisa significa che ogni residente si trova sulla stessa rete. Se una persona si trasferisce, cambi la password e comprometti la configurazione della smart home di tutti gli altri residenti. L'802.1X completo è lo standard di riferimento per i dispositivi gestiti aziendali, ma richiede un'infrastruttura a chiave pubblica, la gestione dei certificati e la configurazione del supplicant su ogni dispositivo. I Chromecast, gli smart speaker e le console da gioco dei tuoi residenti non sono semplicemente in grado di farlo. PPSK si colloca precisamente tra questi due estremi. Ogni residente riceve la propria chiave precondivisa univoca - un minimo di 12 caratteri, combinando lettere maiuscole e minuscole, numeri e simboli. Tutti i residenti si connettono allo stesso SSID. Dal punto di vista del residente, l'esperienza è identica a quella di una rete WiFi domestica. Dal tuo punto di vista di operatore, ogni connessione è identificata singolarmente, crittografata singolarmente e revocabile singolarmente. Sezione uno: l'architettura tecnica. Quando un dispositivo si connette a un SSID abilitato per PPSK, il controller wireless LAN intercetta il tentativo di connessione e inoltra l'indirizzo MAC del dispositivo a un server RADIUS. RADIUS - Remote Authentication Dial-In User Service - è il motore di autenticazione. Il server RADIUS cerca l'indirizzo MAC nel suo archivio di identità e restituisce una risposta di Access-Accept. In quella risposta sono incorporati la chiave precondivisa univoca per quel residente e l'assegnazione di una VLAN. Il controller convalida la chiave presentata dal dispositivo confrontandola con quella restituita dal server RADIUS. Se corrispondono, il dispositivo viene autenticato e inserito nel segmento di rete corretto. Il risultato è ciò che chiamiamo una bolla WiFi per residente. Ogni dispositivo sulla chiave del residente A vede ogni altro dispositivo sulla chiave del residente A. Il loro telefono rileva il loro Chromecast. Il loro smart speaker si associa alle loro lampadine. La loro console trova la loro TV. Nessun dispositivo sulla chiave del residente A vede alcun dispositivo su una chiave diversa. I dispositivi del residente B sono invisibili al residente A, anche se si trovano sullo stesso access point fisico. I principali fornitori implementano questa tecnologia in modo leggermente diverso. Cisco Meraki la chiama iPSK - Identity PSK. HPE Aruba la chiama MPSK - Multi-PSK. Ruckus la chiama DPSK - Dynamic PSK. Juniper Mist utilizza PPSK. Il principio alla base è identico per tutti e quattro. I dettagli di implementazione differiscono per la struttura degli attributi RADIUS e per il numero di chiavi univoche che un singolo SSID può supportare. Sulla lunghezza della chiave: il minimo di 12 caratteri non è arbitrario. Le chiavi WPA2-PSK sono derivate utilizzando PBKDF2 con 4.096 iterazioni di HMAC-SHA1. Una chiave più corta di 12 caratteri è vulnerabile ad attacchi di dizionario offline, in particolare con i moderni strumenti di cracking accelerati da GPU. A 12 caratteri con classi di caratteri miste, lo spazio delle chiavi è sufficientemente ampio da rendere gli attacchi di tipo brute-force computazionalmente impraticabili. Alcune piattaforme, tra cui UniFi, impongono questo minimo a livello di interfaccia utente. È consigliabile imporlo nella propria policy di generazione delle chiavi, indipendentemente dal fatto che la piattaforma lo richieda. Sezione due: modelli di deployment. Esistono tre architetture di deployment per PPSK, e la scelta di quella corretta dipende dal portafoglio di immobili e dalla capacità del vostro team. La prima è il cloud RADIUS. I vostri access point si autenticano rispetto a un servizio RADIUS ospitato nel cloud, tipicamente su più zone di disponibilità. Questa è la scelta giusta per portafogli multi-sito - un operatore BTR con proprietà in diverse città, ad esempio. Il cloud RADIUS elimina l'hardware per singolo sito, automatizza la rotazione dei certificati e scala in modo elastico. La piattaforma di Purple offre un uptime del 99.999% sulla sua infrastruttura di autenticazione. Il compromesso è la dipendenza dalla WAN: se la connessione internet in un sito si interrompe, i nuovi dispositivi non possono autenticarsi fino al ripristino della connettività. Mitigate questo aspetto con SD-WAN e caching locale delle credenziali sul controller. La seconda è il RADIUS on-premise. Un server RADIUS - tipicamente Microsoft NPS o FreeRADIUS - viene eseguito su hardware o su una macchina virtuale presso la proprietà. Questo offre una latenza di autenticazione inferiore al millisecondo, la piena sovranità dei dati e nessuna dipendenza dalla WAN. È la scelta giusta per una singola grande proprietà con requisiti rigorosi di residenza dei dati, o per ambienti in cui la connettività internet è inaffidabile. Il costo operativo è più elevato: il vostro team gestisce le patch, la rotazione dei certificati e lo stato del server. La scadenza dei certificati è la causa più comune di interruzioni complete dell'autenticazione nei deployment on-premise. Integrate il rinnovo automatico dei certificati nel vostro runbook fin dal primo giorno. La terza è ibrida. Il cloud RADIUS gestisce gli SSID degli ospiti e dell'IoT. Il RADIUS on-premise gestisce qualsiasi SSID aziendale o del personale che si autentica rispetto a un Active Directory interno. Questo è un modello pragmatico per sviluppi a uso misto - un edificio BTR con negozi al piano terra o spazi di coworking, ad esempio. La piattaforma di Purple supporta nativamente questo modello ibrido, funzionando su access point Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Sezione tre: gestione del ciclo di vita delle chiavi. La tecnologia è la parte più semplice. La gestione del ciclo di vita delle chiavi è il fattore che determina il successo o il fallimento operativo dei deployment. Al momento del trasloco, la chiave univoca del residente viene generata e configurata in automatico - idealmente tramite integrazione API con il vostro sistema di property management. Il residente riceve la chiave tramite un'e-mail di benvenuto o l'app per i residenti. Tutti i loro dispositivi si connettono utilizzando quella singola chiave. Al momento del trasloco in uscita, la chiave viene revocata. Nessun altro residente viene interessato. Nessuna rotazione delle password. Nessun ticket di supporto. A metà locazione, i residenti aggiungono dispositivi. Un portale self-service o un'app per i residenti che rilasci la chiave esistente del residente a un nuovo dispositivo - senza esporre tale chiave ad altri residenti - è l'approccio corretto. La piattaforma di Purple fornisce questo flusso di lavoro pronto all'uso. Il rischio operativo critico è la randomizzazione dell'indirizzo MAC. iOS 14 e successivi, Android 10 e successivi, e Windows 11 randomizzano tutti gli indirizzi MAC per impostazione predefinita per motivi di privacy. Se un dispositivo presenta un MAC randomizzato, il server RADIUS non troverà un record corrispondente e rifiuterà la connessione. La soluzione consiste nel configurare l'SSID per richiedere ai client di utilizzare l'indirizzo MAC permanente del proprio dispositivo, o nell'implementare un flusso di lavoro di pre-registrazione. Questo deve essere incluso nel piano di implementazione fin dal primo giorno, non scoperto durante la messa in servizio. Sezione quattro: WPA3 e considerazioni sulla banda a 6 GHz. Una parola su WPA3, perché è qui che vedo gli operatori commettere errori di pianificazione. Il PPSK, così come attualmente implementato, si affida all'handshake a quattro vie di WPA2-PSK. WPA3 introduce SAE - Simultaneous Authentication of Equals - che modifica il meccanismo di handshake. SAE attualmente supporta una sola chiave per SSID. Ciò significa che un SSID WPA3 puro non può supportare più chiavi pre-condivise univoche. Nella banda a 6 GHz, introdotta con WiFi 6E, WPA3 è obbligatorio. Non è possibile eseguire WPA2 nella banda a 6 GHz. Quindi, se state implementando punti di accesso WiFi 6E o WiFi 7 e desiderate utilizzare la banda a 6 GHz, PPSK non è disponibile in quella banda ad oggi. La raccomandazione pratica per le implementazioni del 2025 e 2026 è una strategia dual-band. Eseguite il vostro SSID PPSK su 2.4 GHz e 5 GHz in modalità WPA2 o in modalità di transizione WPA2/WPA3. Utilizzate un SSID WPA3-Enterprise separato su 6 GHz per i dispositivi gestiti che lo supportano. Questo vi offre l'isolamento per residente di PPSK per l'ampia flotta di dispositivi e la sicurezza avanzata di WPA3 per i dispositivi che possono utilizzarlo. Vendor tra cui Cisco Meraki, HPE Aruba, e Juniper Mist stanno lavorando attivamente a implementazioni PPSK compatibili con WPA3. Sezione cinque: conformità e privacy dei dati. Le implementazioni PPSK in contesti residenziali si collocano in un contesto di privacy più sensibile rispetto al WiFi per gli ospiti. I residenti hanno una relazione continua con voi e l'esposizione dei dati si estende su anni anziché su minuti. L'isolamento dei residenti è di per sé un requisito di privacy ai sensi del GDPR. Avete il dovere di diligenza di impedire a un residente di scoprire o interagire con i dispositivi di un altro residente. PPSK è il meccanismo tecnico che garantisce questo risultato. L'assegnazione della VLAN per residente garantisce l'isolamento a livello Layer 2 anche su infrastrutture fisiche condivise. I registri di autenticazione devono essere conservati solo per il tempo necessario alla sicurezza e alle operazioni. Sei mesi rappresentano un limite comune per le distribuzioni residenziali. Purple memorizza i dati in regioni selezionabili, supportando i requisiti di residenza dei dati nel Regno Unito, nell'UE e negli Stati Uniti. Per gli operatori BTR con inquilini commerciali o di ristorazione al piano terra, lo standard PCI-DSS è rilevante. Il PPSK con assegnazione di VLAN per singolo inquilino consente di dimostrare che i dispositivi di elaborazione dei pagamenti si trovano su un segmento isolato crittograficamente, anche su un'infrastruttura fisica condivisa. Questo rappresenta un vantaggio significativo in termini di conformità rispetto a una distribuzione con password condivisa. Sezione sei: domande rapide. Quante chiavi univoche può supportare un singolo SSID? Questo dipende dal controller. Cisco Meraki supporta fino a 5.000 iPSK per SSID senza RADIUS, e un numero virtualmente illimitato con RADIUS. Ruckus DPSK supporta migliaia di chiavi per zona. In pratica, il fattore limitante è la capacità del database del server RADIUS e le prestazioni delle query, non il controller wireless. Il PPSK funziona con i dispositivi IoT? Sì. I dispositivi IoT - altoparlanti intelligenti, termostati, sensori, serrature - si connettono utilizzando la chiave dell'inquilino esattamente come qualsiasi altro dispositivo. Essi vengono instradati nella VLAN del residente e possono rilevare altri dispositivi associati alla stessa chiave. Questo è il motivo principale per cui il PPSK è l'architettura corretta per le distribuzioni BTR e MDU, dove una media di 15-25 dispositivi per famiglia è ormai la norma. Qual è il caso aziendale? Un servizio WiFi gestito con isolamento per residente garantisce un sovrapprezzo sull'affitto da £15 a £30 per unità al mese nelle ricerche sul BTR della British Property Federation. I periodi di sfitto si riducono da cinque a dieci giorni quando il WiFi per il trasloco è pronto fin dal primo giorno. Il volume dei ticket di assistenza per problemi con Chromecast e smart home scende quasi a zero quando il PPSK è distribuito correttamente. Riepilogo e passaggi successivi. Il PPSK con una lunghezza minima della chiave di 12 caratteri è l'architettura di autenticazione WiFi corretta per installazioni BTR, MDU, alloggi per studenti e case popolari. Offre isolamento per residente, supporto IoT completo e gestione automatizzata del ciclo di vita delle chiavi senza il sovraccarico infrastrutturale di 802.1X. Scegli il cloud RADIUS per portafogli multisito. Scegli il RADIUS on-premise per singole grandi proprietà con requisiti di sovranità dei dati. Utilizza un modello ibrido per sviluppi a uso misto. Pianifica la randomizzazione degli indirizzi MAC fin dal primo giorno. Sviluppa una strategia dual-band per le implementazioni WiFi 6E e WiFi 7 mentre le implementazioni PPSK compatibili con WPA3 giungono a maturazione. Le tre cose da fare questo trimestre: verificare il modello di autenticazione attuale rispetto a questi criteri, valutare l'infrastruttura RADIUS e definire il flusso di lavoro di gestione del ciclo di vita delle chiavi, inclusa l'integrazione con il sistema di gestione immobiliare. La piattaforma WiFi multi-tenant di Purple funziona sugli access point già in tuo possesso, in 80.000 sedi attive, e offre un uptime del 99,999% sulla sua infrastruttura di autenticazione. Grazie per aver partecipato a questo briefing tecnico di Purple.

header_image.png

Sintesi Esecutiva

Per i responsabili IT e gli architetti di rete che gestiscono immobili destinati all'affitto (BTR), unità abitative plurifamiliari (MDU) e strutture ricettive, offrire una rete WiFi sicura e affidabile rappresenta una sfida strutturale. Una password condivisa espone tutti i residenti tra loro, mentre un'implementazione completa di tipo 802.1X enterprise risulta troppo complessa per i dispositivi IoT consumer. La tecnologia Private Pre-Shared Key (PPSK) con una lunghezza minima di 12 caratteri risolve questo problema fornendo a ciascun residente una chiave unica su un SSID condiviso, creando un segmento di rete isolato per ogni unità.

Questa guida illustra in dettaglio l'architettura tecnica di PPSK 12, confronta i modelli di implementazione cloud, on-premise e ibridi e fornisce strategie di implementazione pratiche. Imparerete a gestire il ciclo di vita delle chiavi, a gestire la transizione a WPA3 e 6 GHz e a garantire la conformità agli standard di privacy dei dati. Purple fornisce il livello di orchestrazione per automatizzare queste implementazioni su access point Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet.

Ascolta il Briefing

Approfondimento Tecnico: L'Architettura PPSK 12

La tecnologia Private Pre-Shared Key (PPSK), nota anche come iPSK per Cisco Meraki, MPSK per HPE Aruba e DPSK per Ruckus, è un'architettura di autenticazione che colma il divario tra la semplicità d'uso consumer e la sicurezza di livello enterprise. Consente il funzionamento di più chiavi pre-condivise uniche su un singolo SSID.

Il Flusso di Autenticazione

Quando un dispositivo si connette a un SSID abilitato per PPSK, il processo di autenticazione differisce notevolmente da una rete standard WPA2-Personal:

  1. Tentativo di Connessione: Il dispositivo presenta la sua chiave pre-condivisa unica all'access point.
  2. Inoltro MAC: Il controller LAN wireless intercetta la richiesta e inoltra l'indirizzo MAC del dispositivo al server RADIUS.
  3. Ricerca Identità: Il server RADIUS interroga il proprio database per l'indirizzo MAC. Se lo trova, restituisce una risposta Access-Accept contenente la specifica chiave pre-condivisa assegnata a quel residente, insieme a un attributo di assegnazione della VLAN.
  4. Validazione: Il controller confronta la chiave fornita dal dispositivo con quella restituita dal server RADIUS. Se corrispondono, la connessione viene autorizzata.
  5. Segmentazione: Il dispositivo viene inserito nella VLAN assegnata, creando un segmento di rete isolato crittograficamente.

ppsk_authentication_flow.png

Lo Standard Minimo di 12 Caratteri

La specifica di un minimo di 12 caratteri per la chiave precondivisa è un controllo di sicurezza critico. Le chiavi WPA2-PSK sono derivate utilizzando l'algoritmo PBKDF2 con 4.096 iterazioni di HMAC-SHA1. Una chiave standard a 8 caratteri è vulnerabile agli attacchi di tipo dizionario offline che utilizzano moderni strumenti di cracking accelerati da GPU. Imponendo un minimo di 12 caratteri che includa un mix di maiuscole, minuscole, numeri e simboli, lo spazio delle chiavi si espande in modo esponenziale, rendendo gli attacchi brute force computazionalmente impraticabili.

Confronto tra Modelli di Distribuzione

La scelta della corretta architettura RADIUS determina la resilienza e la scalabilità della distribuzione. Esistono tre modelli principali da valutare.

deployment_models_comparison.png

Cloud RADIUS

In un modello cloud RADIUS, gli access point si autenticano rispetto a un servizio di autenticazione distribuito a livello globale.

  • Vantaggi: Elimina i requisiti hardware per singolo sito, automatizza la rotazione dei certificati e fornisce una scalabilità elastica. Purple offre un uptime del 99,999% sulla sua infrastruttura di autenticazione cloud. È la scelta ottimale per gli operatori BTR multi-sito e le catene di vendita al dettaglio.
  • Svantaggi: Introduce una stretta dipendenza dalla connessione WAN del sito. Se il collegamento internet fallisce, i nuovi dispositivi non possono autenticarsi.
  • Mitigazione: Distribuire SD-WAN per la ridondanza dei collegamenti e configurare il caching locale delle credenziali sul controller wireless per superare le interruzioni temporanee.

On-Premise RADIUS

Una distribuzione on-premise comporta l'esecuzione di un server RADIUS (come Microsoft NPS o FreeRADIUS) localmente su hardware o su una macchina virtuale presso la sede.

  • Vantaggi: Offre una latenza di autenticazione inferiore al millisecondo e garantisce la completa sovranità dei dati. Elimina la dipendenza dalla WAN, rendendolo adatto a singole sedi su scala massiccia come stadi o proprietà con connettività internet inaffidabile.
  • Svantaggi: Richiede un notevole sovraccarico tecnico per gestire le patch, lo stato di salute dei server e la rotazione dei certificati.
  • Mitigazione: Implementare protocolli automatizzati di rinnovo dei certificati, poiché la scadenza dei certificati è la causa principale di interruzioni complete dell'autenticazione negli ambienti on-premise.

Architettura Ibrida

Il modello ibrido instrada il traffico IoT di ospiti e residenti verso un servizio cloud RADIUS, indirizzando al contempo l'autenticazione aziendale o del personale a un Active Directory on-premise. Questo approccio è altamente efficace per gli sviluppi a uso misto, come una torre residenziale con spazi commerciali o di coworking al piano terra.

Guida all'Implementazione: Gestione del Ciclo di Vita delle Chiavi

La configurazione tecnica di PPSK è semplice; la sfida operativa risiede nella gestione del ciclo di vita delle chiavi. Il provisioning manuale delle chiavi non è scalabile e introduce rischi per la sicurezza.

Provisioning e Revoca Automatizzati

Integrate il vostro livello di orchestrazione di rete con il vostro Property Management System (PMS). All'inizio di una locazione, il sistema dovrebbe generare automaticamente una chiave univoca a 12 caratteri e distribuirla al residente tramite e-mail o un'app per i residenti. Al termine della locazione, l'API deve revocare automaticamente la chiave. Purple automatizza questo flusso di lavoro, garantendo che la revoca dell'accesso di un residente abbia zero impatto sui suoi vicini.

Gestione dell'Aggiunta di Dispositivi

I residenti acquisteranno nuovi dispositivi a metà locazione. Implementate un portale self-service che consenta ai residenti di recuperare in modo sicuro la propria chiave esistente per connettere nuovi dispositivi. Ciò elimina i ticket di supporto per l'onboarding ordinario dei dispositivi.

Gestione della Randomizzazione degli Indirizzi MAC

I sistemi operativi moderni (iOS 14+, Android 10+, Windows 11) utilizzano la randomizzazione dell'indirizzo MAC per impostazione predefinita. Poiché il PPSK si basa sulla ricerca degli indirizzi MAC nel database RADIUS, un MAC randomizzato comporterà un errore di autenticazione. È necessario configurare la rete per richiedere ai dispositivi di utilizzare il loro indirizzo MAC hardware permanente per l'SSID del residente, oppure implementare un flusso di lavoro di preregistrazione che acquisisca il MAC randomizzato durante l'onboarding.

WPA3 e la Transizione a 6 GHz

I progettisti di rete che pianificano gli aggiornamenti devono gestire un conflitto strutturale tra PPSK e WPA3. WPA3 sostituisce l'handshake a quattro vie di WPA2 con la Simultaneous Authentication of Equals (SAE). Attualmente, lo standard SAE supporta solo una singola chiave per SSID. Di conseguenza, una rete WPA3 pura non può supportare nativamente il PPSK.

Questo diventa un problema bloccante quando si distribuisce il WiFi 6E o il WiFi 7, poiché il WPA3 è obbligatorio nella banda a 6 GHz.

La Raccomandazione: adottare una strategia dual band. Distribuite il vostro SSID PPSK sulle bande a 2.4 GHz e 5 GHz utilizzando WPA2 o la modalità di transizione WPA2/WPA3 per supportare la maggior parte dei dispositivi dei residenti, incluso l'hardware IoT legacy. Distribuite un SSID WPA3-Enterprise separato sulla banda a 6 GHz per i dispositivi moderni e gestiti che richiedono una maggiore sicurezza. I fornitori di hardware stanno sviluppando attivamente implementazioni PPSK compatibili con WPA3, ma l'approccio dual band è l'architettura più stabile per le implementazioni attuali.

ROI e Impatto Aziendale

La distribuzione di PPSK 12 trasforma il WiFi da un servizio di base in un comfort gestito con rendimenti misurabili.

  • Premio di Affitto: le ricerche della British Property Federation indicano che un servizio WiFi gestito e di alta qualità consente di ottenere un aumento del canone di affitto da £15 a £30 al mese per unità immobiliare nei complessi BTR.
  • Efficienza Operativa: eliminando la rotazione delle password condivise e risolvendo i problemi di individuazione di Chromecast tramite l'isolamento della VLAN per unità, gli operatori registrano una drastica riduzione dei ticket di supporto IT.
  • Riduzione dei Periodi di Sfitto: fornire un accesso a internet pronto all'uso fin dal primo giorno riduce i periodi di sfitto da 5 a 10 giorni rispetto all'attesa dell'installazione della banda larga consumer. Purple fornisce l'overlay software necessario per orchestrare PPSK 12 sul tuo hardware esistente, offrendo isolamento di livello enterprise e gestione automatizzata del ciclo di vita senza sostituire i tuoi access point.

Definizioni chiave

PPSK (Private Pre-Shared Key)

Un metodo di autenticazione che consente di utilizzare più password univoche su un singolo nome di rete WiFi (SSID), identificando e isolando i singoli utenti.

Utilizzato per fornire controllo degli accessi e segmentazione di livello enterprise in ambienti in cui i dispositivi non supportano i certificati 802.1X.

RADIUS

Remote Authentication Dial-In User Service. Un protocollo di rete che fornisce una gestione centralizzata di autenticazione, autorizzazione e tracciamento degli accessi.

Il motore che memorizza le chiavi PPSK e comunica all'access point se un dispositivo è autorizzato a connettersi e a quale VLAN appartiene.

VLAN (Virtual Local Area Network)

Una sottorete logica che raggruppa un insieme di dispositivi, isolando il loro traffico da altri dispositivi sulla stessa rete fisica.

PPSK utilizza le VLAN per garantire che la smart TV del Residente A non possa essere vista o controllata dal Residente B.

Dispositivo Headless

Un dispositivo privo di uno schermo o di un'interfaccia tastiera tradizionale, come un altoparlante intelligente, un termostato o un sensore IoT.

Questi dispositivi in genere non supportano l'autenticazione 802.1X, rendendo PPSK l'unico modo sicuro per connetterli a una rete aziendale.

La randomizzazione dell'indirizzo MAC

Una funzionalità di privacy presente nei moderni sistemi operativi che genera un indirizzo hardware temporaneo per il dispositivo quando si connette a una rete.

Questo processo compromette l'autenticazione PPSK, che si basa su un indirizzo MAC stabile per trovare la chiave corretta. Gli operatori devono richiedere ai dispositivi di utilizzare il proprio indirizzo MAC permanente.

WPA3 SAE

Simultaneous Authentication of Equals. Il nuovo meccanismo di handshake più sicuro introdotto nello standard WPA3.

SAE supporta attualmente solo una chiave per SSID, il che significa che una rete WPA3 pura non può eseguire PPSK in modo nativo. Ciò richiede agli operatori di utilizzare strategie dual-band.

MDU (Multi-Dwelling Unit)

Un edificio contenente più unità abitative separate, come un condominio o un alloggio per studenti.

L'ambiente target principale per le distribuzioni PPSK, in quanto richiede sia un'elevata densità di dispositivi che un rigoroso isolamento degli inquilini.

Layer 2 Isolation

Una misura di sicurezza che impedisce ai dispositivi sullo stesso segmento di rete locale di comunicare direttamente tra loro.

PPSK utilizza questo meccanismo per garantire la privacy tra i residenti che condividono lo stesso access point fisico.

Esempi pratici

Un operatore Build-to-Rent con 250 unità deve implementare il WiFi per i residenti. Attualmente utilizza un'unica password condivisa per l'intero edificio. I residenti lamentano l'impossibilità di effettuare il casting sicuro sulle proprie smart TV, mentre il team IT dedica 10 ore a settimana alla gestione della rotazione delle password al momento del check-out degli inquilini.

Implementare un'architettura Cloud RADIUS PPSK. Configurare il controller LAN wireless per inoltrare gli indirizzi MAC al Cloud RADIUS di Purple. Integrare l'API di Purple con il sistema di gestione della proprietà (PMS) dell'operatore. Alla firma di un nuovo contratto di locazione, il sistema genera automaticamente una chiave univoca di 12 caratteri e assegna una VLAN dedicata per quell'appartamento. Il residente riceve la chiave tramite l'app di benvenuto.

Commento dell'esaminatore: Questo approccio risolve contemporaneamente entrambi i problemi. La VLAN dedicata crea una "bolla WiFi", consentendo al telefono del residente di rilevare la propria smart TV pur rimanendo invisibile all'appartamento adiacente. L'integrazione con il PMS elimina il carico di lavoro IT manuale per la rotazione delle password, poiché le chiavi vengono revocate automaticamente al termine della locazione senza influire sugli altri residenti.

Uno sviluppo a destinazione d'uso mista comprende 100 appartamenti residenziali sopra uno spazio di coworking aziendale al piano terra. L'operatore deve proteggere entrambi gli ambienti utilizzando gli stessi access point fisici Cisco Meraki.

Implementare un'architettura RADIUS ibrida. Configurare gli access point per trasmettere due SSID principali. L'SSID residenziale utilizza iPSK (l'implementazione PPSK di Meraki) autenticato tramite un servizio Cloud RADIUS per gestire l'elevato volume di dispositivi IoT consumer. L'SSID di coworking utilizza 802.1X WPA3-Enterprise, autenticandosi tramite un server Active Directory on-premise per proteggere i laptop aziendali.

Commento dell'esaminatore: Questo design massimizza l'utilità dell'infrastruttura fisica condivisa. Applica il corretto modello di sicurezza a ciascun gruppo di utenti: connettività semplice e isolata per i residenti e i loro dispositivi headless, e un'autenticazione rigorosa basata su certificati per gli utenti aziendali nello spazio di coworking.

Domande di esercitazione

Q1. Un operatore BTR con 15 proprietà nel Regno Unito desidera distribuire PPSK. Dispone di un team IT centrale snello composto da due ingegneri. Quale modello di distribuzione RADIUS dovrebbe scegliere?

Suggerimento: Considera il sovraccarico operativo della gestione dei server in più sedi fisiche.

Visualizza risposta modello

Cloud RADIUS. Con 15 siti distribuiti e un piccolo team IT, il sovraccarico operativo per l'applicazione di patch e la gestione di 15 server RADIUS on-premise è ingestibile. Cloud RADIUS offre una gestione centralizzata, una scalabilità automatizzata e rimuove l'onere della manutenzione dell'hardware.

Q2. Stai distribuendo nuovi access point WiFi 6E in un blocco di alloggi per studenti. Il cliente desidera utilizzare la banda a 6 GHz per tutti i dispositivi che utilizzano PPSK. Cosa consigli?

Suggerimento: Ricorda la relazione tra la banda a 6 GHz, WPA3 e il meccanismo di handshake SAE.

Visualizza risposta modello

Informa il cliente che al momento questo non è possibile. La banda a 6 GHz impone la sicurezza WPA3. WPA3 utilizza l'handshake SAE, che attualmente supporta solo una singola chiave per SSID e pertanto non supporta PPSK. Consiglia una strategia dual band: PPSK su 2.4/5 GHz utilizzando WPA2 e un SSID WPA3-Enterprise separato su 6 GHz per i dispositivi compatibili.

Q3. Un residente segnala che il suo smart speaker non riesce a connettersi alla rete PPSK, nonostante abbia inserito la chiave corretta di 12 caratteri. Il suo smartphone si è connesso senza problemi. Qual è la causa più probabile?

Suggerimento: Pensa alle moderne funzioni di privacy del sistema operativo e al modo in cui RADIUS identifica i dispositivi.

Visualizza risposta modello

È probabile che lo smart speaker utilizzi la randomizzazione dell'indirizzo MAC. Poiché PPSK si basa sul server RADIUS che cerca l'indirizzo MAC specifico del dispositivo per restituire la chiave corretta, un MAC randomizzato non corrisponderà al record del database. Il residente deve configurare il dispositivo per utilizzare il suo indirizzo MAC hardware permanente.

Continua a leggere questa serie

Logo iPSK: una guida completa per le aziende

Questa guida spiega come la tecnologia Identity Pre-Shared Key (iPSK) risolva la sfida di sicurezza fondamentale negli ambienti WiFi multi-tenant: offrire isolamento di livello enterprise e controllo per singolo utente senza compromettere la compatibilità con i dispositivi IoT, le console di gioco e la tecnologia smart home. Copre l'intera architettura tecnica, le strategie di implementazione e il business case per promotori immobiliari, operatori BTR e team IT dell'ospitalità.

Leggi la guida →

Servizi gestiti WiFi: una guida completa per le aziende

I servizi gestiti WiFi trasferiscono l'intero ciclo di vita delle reti wireless aziendali - dalla progettazione RF e l'approvvigionamento dell'hardware fino al monitoraggio quotidiano e alla gestione del firmware - a un provider specializzato. Questa guida spiega le architetture gestite in cloud, le strategie di segmentazione VLAN e gli standard di autenticazione che supportano distribuzioni affidabili e sicure in hotel, catene di vendita al dettaglio, complessi residenziali BTR (Build-to-Rent) e spazi del settore pubblico. I promotori immobiliari, i proprietari e gli operatori BTR troveranno indicazioni pratiche su come isolare il traffico dei residenti, configurare i dispositivi smart e trasformare la connettività in una risorsa aziendale misurabile.

Leggi la guida →

Spectrum managed WiFi customer service: a comprehensive guide for businesses

Questa guida completa illustra come gli operatori build-to-rent e i promotori immobiliari possono distribuire spectrum managed WiFi per offrire ai residenti un'esperienza di rete sicura e isolata. Copre l'architettura tecnica di cloud RADIUS, l'isolamento VLAN e iPSK, insieme a strategie di implementazione pratica per ridurre i costi di assistenza.

Leggi la guida →