Vai al contenuto principale
Italiano

Cos'è PPSK: confronto tra funzionalità e modelli di implementazione

Questa guida tecnica di riferimento analizza in modo approfondito l'architettura PPSK (Private Pre-Shared Key), confrontandola con iPSK e 802.1X per supportare i gestori di grandi spazi e i team IT nella scelta del modello di autenticazione corretto. Fornisce strategie operative di implementazione per ambienti multi-tenant, garantendo reti WiFi sicure, isolate e facili da gestire.

📖 5 minuti di lettura📝 1,232 parole🔧 2 esempi pratici3 domande di esercitazione📚 8 definizioni chiave

Ascolta questa guida

Visualizza trascrizione del podcast
Benvenuto al Purple Technical Briefing. Sono il tuo presentatore e oggi approfondiremo il PPSK - Private Pre-Shared Key - cos'è, come si confronta con le tecnologie correlate e, soprattutto, quale modello di implementazione è quello giusto per la tua proprietà. Se sei uno sviluppatore immobiliare, un operatore di build-to-rent o un locatore che gestisce un portafoglio multi-abitativo, questo è il briefing che stavi aspettando. Perché il WiFi non è più un servizio di rete che si aggiunge alla fine di un progetto. È un servizio che influisce direttamente sul valore del canone di locazione, sui periodi di inattività e sui punteggi di soddisfazione dei tuoi residenti. Entriamo nel vivo. Sezione uno: cos'è il PPSK e perché esiste? Ripensa a come la maggior parte degli edifici condivisi gestisce il WiFi oggi. C'è una sola password, condivisa con tutti. Un nuovo residente si trasferisce - gli fornisci la password. Un residente se ne va - ed ecco il problema. Cambi la password per l'intero edificio, interrompendo la connessione di tutti gli altri residenti? O lasci all'ex residente un accesso a tempo indeterminato alla tua rete? Nessuna delle due opzioni è accettabile. Questo è il difetto fondamentale del PSK condiviso su larga scala. Il PPSK risolve questo problema. Il Private Pre-Shared Key offre a ogni residente, a ogni unità, la propria password WiFi unica. Si connettono tutti allo stesso SSID - lo stesso nome di rete - ma ogni password è associata a un'identità di rete distinta. Quando un residente si trasferisce, revochi la sua chiave. Una sola chiave. Nessun altro viene influenzato. Ora, incontrerai diversi nomi per questa tecnologia a seconda del fornitore di hardware con cui stai lavorando. Aruba la chiama PPSK. Cisco Meraki la chiama Personal Private Network. Extreme Networks utilizza anch'essa PPSK. Juniper Mist la chiama ePSK. Ruckus la chiama DPSK - Dynamic PSK. La terminologia varia; il concetto è identico per tutti. Sezione due: l'architettura tecnica - come funziona effettivamente. Ecco il flusso di autenticazione, e capirlo è essenziale per implementarlo correttamente. Quando il dispositivo di un residente si connette al WiFi, l'access point riceve la chiave precondivisa presentata dal dispositivo. In una rete PSK standard, l'access point verifica semplicemente se tale chiave corrisponde a quella configurata sull'SSID. Se corrisponde, il dispositivo si connette. Semplice, ma senza un'identità individuale. In un'implementazione PPSK, l'access point o il controller LAN wireless inoltra la chiave - o l'indirizzo MAC del dispositivo - a un server RADIUS. RADIUS sta per Remote Authentication Dial-In User Service, ed è il protocollo AAA standard del settore definito nella RFC 2865. Il server RADIUS cerca le credenziali presentate nel suo archivio di identità, conferma a quale residente appartengono e restituisce una risposta Access-Accept. All'interno di tale risposta sono incorporati l'assegnazione della VLAN e la policy di larghezza di banda per quello specifico residente. Il risultato è ciò che chiamiamo una bolla WiFi. Ogni dispositivo che utilizza la chiave del Residente A si trova nel segmento di rete privata del Residente A. Il suo telefono rileva il suo Chromecast. Il suo smart speaker si associa alle sue lampadine intelligenti. La sua console di gioco trova la sua TV. Nel frattempo, i dispositivi del Residente B sono completamente invisibili al Residente A, anche se si trovano sullo stesso access point fisico. Questa è l'isolamento Layer 2. Non si tratta solo di una regola di firewall - è una separazione crittografica a livello wireless. Ed è il meccanismo tecnico che rende il WiFi multi-tenant praticabile per le implementazioni residenziali. Sezione tre: PPSK contro iPSK contro 802.1X - il confronto di cui hai effettivamente bisogno. Permettetemi di fornirvi la suddivisione pratica, perché questi tre modelli di autenticazione servono a casi d'uso diversi. Il PPSK, nella sua forma più semplice, memorizza la mappatura chiave-VLAN direttamente sul controller wireless. Non è richiesto alcun server RADIUS esterno. Funziona bene per implementazioni più piccole - diciamo, fino a poche centinaia di unità. Il limite è la scalabilità. La maggior parte dei controller limita il proprio database PPSK locale a un valore compreso tra 512 e 2.000 voci. Per un grande progetto BTR con 400 unità e da 15 a 25 dispositivi per nucleo familiare, supererete quel limite. L'iPSK - Identity PSK - estende il modello richiedendo un server RADIUS per la convalida delle chiavi. Ciò elimina il limite di scalabilità. Con un servizio RADIUS cloud, è possibile supportare decine di migliaia di chiavi univoche. Il server RADIUS consente inoltre l'assegnazione dinamica della VLAN e l'applicazione di policy per utente, il che è essenziale per la conformità e per le offerte di servizi a livelli. La piattaforma di Purple funge da livello di orchestrazione in questo caso - posizionandosi tra il vostro archivio di identità e la vostra infrastruttura RADIUS per automatizzare l'intero ciclo di vita delle chiavi. L'802.1X Enterprise è lo standard di riferimento per le flotte di dispositivi gestiti aziendali. Utilizza certificati digitali o credenziali nome utente-password convalidate rispetto a un servizio di directory come Microsoft Entra ID o Okta. È l'opzione più sicura ed è la scelta giusta quando si controlla ogni dispositivo che si connette alla rete. Ma in un ambiente residenziale, non controllate i dispositivi. I vostri residenti portano i propri smartphone, laptop, smart TV, console di gioco, sensori IoT. Molti di questi dispositivi non supportano affatto l'802.1X. È qui che vincono PPSK e iPSK. Sezione quattro: modelli di implementazione per sviluppatori immobiliari e operatori BTR. Permettetemi di illustrarvi le due principali architetture di implementazione. La prima è il PPSK locale del controller. Il database delle chiavi risiede sul controller LAN wireless. Questo è appropriato per schemi più piccoli - fino a circa 200 unità - in cui si desidera un sovraccarico minimo dell'infrastruttura. Si configura l'SSID, si genera una chiave univoca per unità e si distribuiscono tali chiavi al momento del trasloco. La sfida operativa è la gestione del ciclo di vita: è necessario un processo per generare le chiavi, distribuirle e revocarle al momento del trasloco. Senza automazione, questo diventa un onere manuale. Il secondo modello è iPSK con backend RADIUS e gestione in cloud. Questa è l'architettura che Purple consiglia per qualsiasi progetto con più di 100 unità e per qualsiasi operatore che gestisca più proprietà. Il database delle chiavi risiede in un servizio RADIUS in cloud. Il provisioning e la revoca delle chiavi sono automatizzati tramite l'integrazione con il sistema di gestione della proprietà. All'inizio di una locazione, viene generata una chiave e consegnata al residente. Al termine, la chiave viene revocata automaticamente. Nessun intervento manuale. Nessuna lacuna di sicurezza tra le locazioni. Il livello hardware è agnostico. La piattaforma di Purple funziona su access point Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Puoi distribuire sull'hardware che già possiedi o specificarlo durante la fase di build. L'overlay software gestisce l'intelligenza. Sezione cinque: insidie dell'implementazione e come evitarle. Voglio condividere le lezioni pratiche tratte da distribuzioni reali, perché la tecnologia è semplice ma i dettagli operativi possono cogliere di sorpresa. L'errore più comune è trattare PPSK come un progetto puramente tecnico. La tecnologia è relativamente semplice da configurare. Il problema più difficile è la gestione del ciclo di vita delle chiavi. Come vengono generate le chiavi? Come vengono consegnate ai residenti? E come vengono revocate al termine di una locazione? La risposta a tutte e tre le domande deve essere l'automazione, integrata con il sistema di gestione della proprietà fin dal primo giorno. La seconda insidia è la randomizzazione dell'indirizzo MAC. I sistemi operativi moderni - iOS 14 e successivi, Android 10 e successivi, Windows 11 - randomizzano l'indirizzo MAC del dispositivo per impostazione predefinita per motivi di privacy. In una distribuzione iPSK con backend RADIUS che utilizza la ricerca dell'indirizzo MAC, un MAC randomizzato fallirà l'autenticazione. La soluzione consiste nel configurare l'SSID in modo da richiedere ai client di utilizzare il proprio indirizzo MAC permanente o implementare un flusso di lavoro di preregistrazione. Questo è risolvibile, ma deve essere incluso nel piano di distribuzione fin dall'inizio. Terzo: resilienza RADIUS. La distribuzione PPSK è affidabile solo quanto la tua infrastruttura RADIUS. Se il server RADIUS non è disponibile, nessun nuovo dispositivo può autenticarsi. Progetta per la ridondanza - server RADIUS primari e secondari con un'adeguata configurazione di failover sul controller wireless. E quarto: compatibilità dei dispositivi IoT. La maggior parte dei dispositivi IoT funziona perfettamente con PPSK. Alcuni dispositivi più vecchi presentano particolarità relative all'handshake WPA2. Esegui un test di compatibilità sulla tua flotta di dispositivi specifica prima della messa in servizio. Domande a raffica. Sarò breve. PPSK funziona con WPA3? Sì, con alcune riserve. WPA3-SAE modifica il meccanismo di handshake. La maggior parte dei controller moderni supporta PPSK in modalità di transizione WPA2 e WPA3. Per un ambiente WPA3 puro, verifica la guida all'implementazione specifica del tuo fornitore. Quante chiavi univoche può supportare un singolo SSID? Con un backend RADIUS in cloud, virtualmente illimitate. Il limite pratico è la capacità del database del server RADIUS. Il PPSK locale al controller è in genere limitato a un numero compreso tra 512 e 4.000 voci, a seconda del fornitore. Il PPSK è conforme al GDPR? Il PPSK è un meccanismo di autenticazione di rete, non uno strumento di raccolta dati. La conformità al GDPR dipende da quali dati vengono raccolti durante l'abilitazione e da come vengono archiviati. Purple è certificato ISO 27001, conforme a GDPR e CCPA, e certificato Cyber Essentials. Qual è il premio di affitto per l'inclusione del WiFi gestito come servizio? Secondo i parametri della British Property Federation, gli operatori BTR ottengono in genere un premio da quindici a trenta sterline per unità al mese quando il WiFi è incluso come servizio gestito. Si tratta di un contributo significativo al reddito operativo netto su un piano da 200 unità. Sintesi e prossimi passi. Tre elementi da ricordare da questo briefing. Uno: il PPSK è il modello di autenticazione corretto per il WiFi residenziale multi-tenant. Offre a ogni residente una bolla WiFi privata - il proprio segmento di rete isolato - senza il sovraccarico infrastrutturale di 802.1X Enterprise. Supporta ogni tipo di dispositivo, inclusi i dispositivi IoT e smart home, il che è imprescindibile per il BTR moderno. Due: per qualsiasi piano superiore a 100 unità, distribuire iPSK basato su RADIUS con gestione cloud. Il PPSK locale sul controller non è scalabile e la gestione manuale delle chiavi comporta rischi operativi. Automatizza il provisioning e la revoca delle chiavi tramite l'integrazione del tuo sistema di gestione immobiliare. Tre: l'hardware è agnostico. Purple funziona sugli access point che già possiedi o che hai specificato. Il valore risiede nel livello software - l'orchestrazione, l'analisi e la gestione del ciclo di vita. Se stai pianificando un nuovo piano BTR o stai aggiornando l'infrastruttura WiFi di una proprietà esistente, il momento giusto per progettare l'architettura di autenticazione è adesso - prima che gli access point vengano installati a soffitto. Il retrofitting è possibile, ma è sempre più costoso. Grazie per aver partecipato a questo Briefing Tecnico Purple. Per la guida scritta completa, i diagrammi di architettura e gli esempi pratici di implementazione, visita purple.ai.

header_image.png

Executive Summary

Per gli IT manager e i gestori di immobili che amministrano complessi residenziali (MDU), proprietà build-to-rent (BTR) e spazi aziendali complessi, offrire un WiFi sicuro non è più un optional - è un servizio fondamentale che influisce direttamente sul reddito operativo netto. Le tradizionali password condivise non garantiscono la sicurezza e l'isolamento necessari, mentre le distribuzioni complete 802.1X Enterprise introducono una notevole complessità ed escludono i dispositivi IoT headless.

Private Pre-Shared Key (PPSK) e Identity PSK (iPSK) risolvono questo dilemma. Fornendo passphrase univoche che si associano a singole identità di rete su un unico SSID, queste tecnologie creano "bolle WiFi" isolate per ciascun residente o inquilino. Questa guida esplora l'architettura tecnica di PPSK, la confronta con i modelli di autenticazione alternativi e fornisce strategie di implementazione pratiche per distribuire un'infrastruttura WiFi multi-tenant sicura, scalabile e gestibile utilizzando l'overlay cloud di Purple.

Technical Deep-Dive

Il passaggio da un'architettura WiFi per singolo occupante a una multi-tenant richiede un cambiamento fondamentale nella filosofia di progettazione della rete. L'obiettivo primario è garantire che più inquilini indipendenti coesistano su un'unica infrastruttura fisica senza compromettere la sicurezza, le prestazioni o la privacy. Questo si ottiene attraverso un approccio stratificato all'isolamento e al controllo.

L'architettura di PPSK e iPSK

Quando un dispositivo si connette a una rete standard WPA2-Personal, l'access point convalida la password condivisa. Non esiste un'identità individuale associata alla connessione. Al contrario, una distribuzione PPSK o iPSK intercetta il tentativo di connessione e convalida la chiave univoca rispetto a un archivio di identità.

In un'architettura iPSK basata su RADIUS, il controller LAN wireless inoltra la richiesta di autenticazione a un server RADIUS (Remote Authentication Dial-In User Service). Il server RADIUS cerca le credenziali presentate e restituisce una risposta Access-Accept. Fondamentalmente, questa risposta include specifiche coppie attributo-valore (AVP) che determinano la policy di rete del dispositivo, come l'assegnazione della VLAN e i limiti di larghezza di banda.

Questo meccanismo crea un isolamento a livello Layer 2. Ogni dispositivo che utilizza la chiave univoca del Residente A viene inserito nella VLAN dedicata del Residente A. Il suo smartphone può rilevare la smart TV e lo smart speaker, replicando l'esperienza di una rete domestica. Nel frattempo, i dispositivi del Residente B sono isolati crittograficamente su una VLAN separata, completamente invisibili al Residente A, pur condividendo lo stesso access point fisico.

architecture_overview.png

Confronto tra i modelli di autenticazione

Comprendere le differenze tra PPSK, iPSK e 802.1X è fondamentale per selezionare il modello di implementazione corretto per la tua sede.

  • PPSK Controller-Local: Il database delle chiavi risiede direttamente sul controller LAN wireless. Questo modello è adatto per implementazioni più piccole (in genere inferiori a 200 unità) a causa delle limitazioni hardware sul numero di chiavi memorizzate. Non richiede un server RADIUS esterno, semplificando la configurazione iniziale, ma complica la gestione automatizzata del ciclo di vita delle chiavi.
  • iPSK basato su RADIUS: Questo modello scala fino a decine di migliaia di chiavi uniche delegando l'autenticazione a un servizio cloud RADIUS-as-a-Service o RADIUS. Supporta l'assegnazione dinamica delle VLAN e si integra perfettamente con i sistemi di gestione immobiliare per il provisioning e la revoca automatizzati. Questa è l'architettura consigliata per gli ambienti aziendali multi-tenant.
  • 802.1X Enterprise: Utilizzando certificati digitali o credenziali nome utente/password, 802.1X è l'opzione più sicura per gli ambienti aziendali in cui il reparto IT gestisce tutti i dispositivi di connessione. Tuttavia, non è adatto per strutture residenziali o ricettive in cui gli utenti portano dispositivi non gestiti, in particolare hardware IoT headless come smart speaker e console di gioco, che non dispongono dei supplicant necessari per supportare 802.1X.

comparison_chart.png

Guida all'implementazione

La distribuzione di una rete WiFi multi-tenant robusta richiede un'attenta pianificazione ed esecuzione. Segui questi passaggi per garantire un roll-out di successo.

Passaggio 1: Definire la strategia di segmentazione

Determina il livello di isolamento richiesto. In un ambiente BTR, ogni unità residenziale richiede una VLAN dedicata. In un contesto retail, potrebbero essere necessarie VLAN separate per i terminali dei punti vendita, i dispositivi del personale e l'accesso degli ospiti. Mappa le sottoreti IP e gli scope DHCP necessari per supportare la densità di dispositivi prevista (in genere 15-25 dispositivi per nucleo familiare).

Passaggio 2: Selezionare l'architettura di autenticazione

Per i progetti che superano le 100 unità, distribuisci un'architettura iPSK basata su RADIUS. Ciò garantisce la scalabilità e consente la gestione automatizzata delle chiavi. Assicurati che l'hardware wireless scelto (ad es. Cisco Meraki, HPE Aruba, Ruckus) supporti l'assegnazione dinamica delle VLAN tramite RADIUS AVPs.

Passaggio 3: Automatizzare la gestione del ciclo di vita delle chiavi

Non affidarti a processi manuali per la generazione e la revoca delle chiavi. Integra la tua piattaforma di gestione WiFi con il tuo sistema di gestione immobiliare (PMS). Quando viene creata una nuova locazione nel PMS, l'integrazione dovrebbe generare automaticamente una chiave unica e predisporre la VLAN corrispondente. Al momento del check-out o del trasferimento, la chiave deve essere revocata automaticamente per mantenere la sicurezza.

Passaggio 4: Gestire la randomizzazione degli indirizzi MAC

I sistemi operativi moderni utilizzano di default la randomizzazione degli indirizzi MAC per migliorare la privacy. Poiché iPSK si basa sulle ricerche degli indirizzi MAC nell'archivio delle identità RADIUS, i MAC randomizzati non supereranno l'autenticazione. Configura il tuo SSID per richiedere indirizzi MAC permanenti, oppure implementa un flusso di lavoro di pre-registrazione in cui i residenti registrano i propri dispositivi prima di connettersi.

Best Practice

Per massimizzare il valore e l'affidabilità della tua rete multi-tenant, attieniti a queste best practice standard del settore.

  • Applica la Quality of Service (QoS): Implementa politiche di gestione della larghezza di banda granulari per prevenire il problema del "vicino rumoroso". Assicurati che un residente che scarica file di grandi dimensioni non comprometta l'esperienza degli altri. Imposta limiti espliciti di upstream e downstream per ciascuna VLAN.
  • Progetta per la resilienza RADIUS: La disponibilità della tua rete dipende interamente dall'infrastruttura RADIUS. Distribuisci server RADIUS primari e secondari e configura meccanismi di failover appropriati sui tuoi controller wireless per garantire un'autenticazione continua.
  • Mantieni l'agnosticismo hardware: Evita il vendor lock-in utilizzando un overlay software come Purple. Questo ti consente di gestire l'autenticazione e le policy in ambienti hardware misti (es. Cisco Meraki, HPE Aruba, Ruckus) da un'unica console di gestione.
  • Priorità all'esperienza utente: Il processo di onboarding deve essere fluido. Fornisci ai residenti istruzioni chiare su come connettere i propri dispositivi, in particolare l'hardware IoT senza interfaccia utente. La rete dovrebbe funzionare esattamente come una connessione domestica privata.

Risoluzione dei problemi e mitigazione dei rischi

Anticipare le modalità di guasto comuni ridurrà i ticket di supporto e migliorerà la soddisfazione degli inquilini.

  • Compatibilità dei dispositivi IoT: Sebbene la maggior parte dei moderni dispositivi smart home supporti WPA2-PSK, alcuni hardware legacy potrebbero avere difficoltà con handshake di autenticazione complessi. Conduci test di compatibilità approfonditi con i dispositivi comuni (es. smart TV, assistenti vocali, console di gioco) prima della distribuzione completa.
  • Gestione del traffico broadcast: In ambienti ad alta densità, un traffico broadcast eccessivo (es. mDNS, ARP) può degradare le prestazioni della rete. Implementa tecniche di soppressione del broadcast e assicurati che la riflessione mDNS sia configurata correttamente per consentire il rilevamento dei dispositivi all'interno della VLAN di un residente, bloccandolo al contempo nella rete più ampia.
  • Access Point non autorizzati: I residenti potrebbero tentare di collegare i propri router wireless alla rete, causando interferenze e rischi per la sicurezza. Abilita le funzionalità di rilevamento e contenimento degli AP non autorizzati sui tuoi controller wireless per mitigare questa minaccia.

ROI e impatto aziendale

Una rete WiFi multi-tenant ben progettata trasforma un servizio necessario in una risorsa in grado di generare ricavi.

  • Premi sull'affitto: Secondo i benchmark di settore, gli operatori BTR possono ottenere un premio di £15 - £30 al mese per unità quando il WiFi gestito di alta qualità è incluso come servizio di base.
  • Periodi di sfitto ridotti: Le proprietà dotate di un'esperienza WiFi fluida e pronta all'uso registrano periodi di sfitto più brevi, poiché la connettività è uno dei primi cinque fattori decisionali per i potenziali inquilini.
  • Efficienza operativa: L'automazione della gestione del ciclo di vita delle chiavi riduce il carico di lavoro del personale IT e operativo, eliminando i ripristini manuali delle password e i relativi ticket di assistenza.

Sfruttando la tecnologia PPSK e una solida piattaforma di gestione, i gestori delle strutture possono offrire una rete sicura, isolata e ad alte prestazioni che soddisfa le esigenze dei moderni inquilini, generando al contempo un valore aziendale misurabile.

Briefing in formato Podcast

Ascolta il nostro consulente senior mentre analizza l'architettura, i modelli di implementazione e l'impatto aziendale di PPSK in questo briefing esecutivo di 10 minuti.

Definizioni chiave

PPSK (Private Pre-Shared Key)

Un metodo di autenticazione in cui più password uniche sono valide su un singolo SSID, con ciascuna password associata a un utente specifico o a un gruppo di dispositivi.

Utilizzato per fornire sicurezza personalizzata e segmentazione di rete in ambienti in cui l'802.1X risulta troppo complesso o incompatibile con i dispositivi in uso.

iPSK (Identity PSK)

Un'implementazione enterprise di PPSK che utilizza un server RADIUS esterno per convalidare le chiavi e assegnare dinamicamente policy di rete come le VLAN.

Essenziale per installazioni multi-tenant su larga scala che richiedono una gestione automatizzata delle chiavi e un'applicazione rigorosa delle policy.

VLAN (Virtual Local Area Network)

Un raggruppamento logico di dispositivi di rete che si comportano come se fossero sulla stessa rete fisica, indipendentemente dalla loro effettiva posizione geografica.

La tecnologia fondamentale per creare isolamento tra tenant che condividono gli stessi access point e switch fisici.

RADIUS (Remote Authentication Dial-In User Service)

Un protocollo di rete che fornisce una gestione centralizzata di Autenticazione, Autorizzazione e Accounting (AAA).

Il motore di backend che convalida le credenziali iPSK e stabilisce a quale VLAN debba essere assegnato un dispositivo.

Isolamento Layer 2

Separazione crittografica del traffico di rete a livello di collegamento dati, che impedisce ai dispositivi su VLAN diverse di comunicare direttamente.

Cruciale per garantire la privacy e la sicurezza in ambienti multi-tenant, impedendo lo spostamento laterale tra le reti dei diversi tenant.

Headless Device

Un dispositivo privo di una interfaccia utente tradizionale (schermo e tastiera), come uno smart speaker, un sensore IoT o una console per videogiochi.

Questi dispositivi in genere non possono navigare nei Captive Portal o supportare l'autenticazione 802.1X, rendendo il PPSK il metodo di connessione sicuro ideale.

MAC Address Randomisation

Una funzione di privacy nei moderni sistemi operativi che genera un indirizzo MAC temporaneo quando ci si connette a una rete WiFi.

Una sfida significativa per le distribuzioni iPSK, in quanto impedisce al server RADIUS di identificare coerentemente il dispositivo in base al suo indirizzo hardware.

Captive Portal

Una pagina web che un utente deve visualizzare e con cui deve interagire prima che venga concesso l'accesso a una rete WiFi pubblica.

Appropriato per l'accesso temporaneo degli ospiti per acquisire dati e accettare i termini, ma del tutto inadatto per la connettività residenziale persistente.

Esempi pratici

Una struttura Build-to-Rent (BTR) da 250 unità richiede una soluzione WiFi gestita. Il gestore desidera offrire una connettività pronta all'uso fin dal primo giorno, in cui i dispositivi smart di ciascun residente (TV, altoparlanti, laptop) possano comunicare tra loro, ma rimangano completamente isolati dagli altri appartamenti. Il team IT desidera evitare la gestione manuale delle password.

Implementare un'architettura iPSK basata su RADIUS tramite la piattaforma cloud di Purple. Configurare un unico SSID per l'intero edificio. Integrare Purple con il PMS della struttura. Alla firma del contratto di locazione, l'integrazione genera automaticamente una chiave precondivisa unica e assegna una VLAN dedicata per quell'unità. Il residente riceve la chiave via email. Tutti i dispositivi che si connettono con quella chiave vengono inseriti nella VLAN specifica dell'unità, consentendo il rilevamento dei dispositivi locali (ad es. la trasmissione a una smart TV) e garantendo al contempo l'isolamento a Layer 2 da tutte le altre unità. Al termine della locazione, l'integrazione con il PMS revoca automaticamente la chiave.

Commento dell'esaminatore: Questo approccio risponde sia ai requisiti tecnici per l'isolamento a Layer 2, sia a quelli operativi per la gestione automatizzata del ciclo di vita. Una soluzione PPSK locale sul controller non sarebbe adatta in questo caso a causa della scala (250 unità * 15 dispositivi = 3.750 dispositivi, un valore prossimo al limite dei database locali). L'integrazione con il PMS elimina il carico di lavoro manuale per il provisioning e la revoca delle chiavi.

Un grande complesso commerciale deve fornire il WiFi ai dipendenti dei negozi, ai terminali POS (Point-of-Sale) e ai clienti, utilizzando gli stessi access point fisici. I terminali POS richiedono la massima conformità PCI-DSS e i dispositivi dei dipendenti non possono supportare i certificati 802.1X.

Implementare una strategia multi-SSID combinata con iPSK. Creare un SSID "Retail-Secure" che utilizzi iPSK per i terminali POS e i dispositivi del personale. Rilasciare chiavi specifiche per i dispositivi POS associate a una VLAN altamente limitata e conforme a PCI-DSS con regole del firewall in uscita di tipo "default-deny". Rilasciare chiavi separate per i dispositivi del personale associate a una VLAN dipendenti con accesso a Internet. Creare un SSID "Retail-Guest" separato che utilizzi una rete aperta con un Captive Portal per l'acquisizione dei dati dei clienti e l'accettazione dei termini di servizio.

Commento dell'esaminatore: Questa soluzione applica correttamente diversi modelli di autenticazione a casi d'uso differenti. iPSK fornisce la segmentazione necessaria per i dispositivi POS headless senza il carico di gestione del protocollo 802.1X, mentre il Captive Portal gestisce i requisiti specifici dell'accesso guest pubblico. L'isolamento VLAN garantisce che l'ambiente POS rimanga sicuro e conforme.

Domande di esercitazione

Q1. La tua organizzazione sta distribuendo il WiFi in un nuovo blocco di alloggi per studenti da 300 unità. Gli studenti porteranno laptop, smartphone, PlayStation e smart speaker. La rete deve supportare il roaming continuo e garantire che gli studenti non possano accedere ai dispositivi degli altri. Quale modello di autenticazione dovresti specificare e perché?

Suggerimento: Considera i tipi di dispositivi (gestiti vs. non gestiti) e la scala della distribuzione (300 unità * oltre 10 dispositivi).

Visualizza risposta modello

La scelta corretta è l'iPSK supportato da RADIUS. L'autenticazione 802.1X non è adatta perché gli studenti portano dispositivi non gestiti e headless (PlayStation, smart speaker) che non possono supportare i certificati. Il PPSK locale al controller non è appropriato perché la scala (oltre 3.000 dispositivi) supera i limiti pratici dei database locali e rende impossibile la gestione manuale delle chiavi. L'iPSK consente chiavi uniche per studente, il provisioning automatizzato tramite il portale degli studenti e l'isolamento a livello Layer 2 tramite l'assegnazione dinamica della VLAN.

Q2. Un gestore alberghiero segnala che gli ospiti lamentano l'impossibilità di trasmettere Netflix dai loro smartphone alle smart TV nelle loro camere. L'hotel attualmente utilizza una rete WPA2-Personal standard con un'unica password condivisa e l'isolamento dei client abilitato per proteggere la privacy degli ospiti. Come risolvi il problema?

Suggerimento: L'isolamento dei client impedisce qualsiasi comunicazione peer-to-peer sulla rete wireless.

Visualizza risposta modello

La configurazione attuale utilizza un isolamento dei client rigido, che interrompe i protocolli di rilevamento dei dispositivi locali come mDNS utilizzati da Chromecast. Per risolvere il problema, migra la rete verso un'architettura iPSK. Rilascia una chiave unica per ogni camera d'albergo (integrata con il PMS al check-in). Posiziona la smart TV della camera e i dispositivi dell'ospite sulla stessa VLAN unica. Questo crea una "bolla WiFi" in cui il telefono può rilevare la TV, pur rimanendo completamente isolato dai dispositivi della camera adiacente.

Q3. Stai controllando una proposta di progettazione di rete per uno spazio di coworking. Il progetto prevede l'uso di un singolo SSID con PPSK locale al controller per isolare le diverse aziende. Lo spazio ospita 50 aziende diverse, con un elevato turnover e frequenti collaboratori temporanei. Qual è il principale rischio operativo in questo progetto?

Suggerimento: Concentrati sul ciclo di vita delle chiavi piuttosto che sulle capacità tecniche del controller.

Visualizza risposta modello

Il principale rischio operativo è rappresentato dal sovraccarico manuale e dalla vulnerabilità di sicurezza nella gestione del ciclo di vita delle chiavi. Essendo locale al controller, non vi è alcuna integrazione automatizzata con il sistema di iscrizione dello spazio di coworking. Quando un'azienda se ne va o termina il contratto di un collaboratore, il personale IT deve eliminare manualmente la chiave dal controller. Se questo passaggio manuale viene saltato, gli utenti non autorizzati mantengono l'accesso alla rete. Il progetto dovrebbe essere aggiornato a un sistema iPSK supportato da RADIUS per consentire la revoca automatizzata delle chiavi.

Continua a leggere questa serie

PPSK WPA3: confronto tra funzionalità e modelli di implementazione

Questa guida tecnica di riferimento confronta PPSK e WPA3-SAE, spiegando le loro differenze architetturali e i modelli di implementazione per ambienti multi-tenant. Fornisce indicazioni pratiche per IT manager e sviluppatori immobiliari su come ottenere reti WiFi sicure e isolate utilizzando le soluzioni basate sull'identità di Purple.

Leggi la guida →

PPSK life: confronto tra funzionalità e modelli di implementazione

Questa guida confronta il PPSK (Private Pre-Shared Key) con il PSK standard e l'802.1X, descrivendo dettagliatamente i modelli di implementazione per ambienti multi-tenant. Fornisce ai responsabili IT e ai gestori di immobili gli strumenti per implementare un WiFi sicuro e isolato per i residenti, in grado di supportare i dispositivi smart home e generare un valore aziendale misurabile.

Leggi la guida →

PPSK umpsa: confronto tra funzionalità e modelli di implementazione

Questa guida tecnica descrive in dettaglio l'implementazione di architetture Private Pre-Shared Key (PPSK) e Identity Pre-Shared Key (iPSK) in ambienti multi-tenant ad alta densità. Fornisce strategie di implementazione pratiche per promotori immobiliari e responsabili IT per proteggere le reti dei residenti, supportare i dispositivi IoT e generare un ROI positivo attraverso il WiFi gestito.

Leggi la guida →