PPSK umpsa: confronto tra funzionalità e modelli di implementazione

[0:00 - 1:00] Introduzione e Contesto Benvenuti al Technical Briefing di Purple. Oggi parleremo di PPSK - Private Pre-Shared Key - in particolare nel contesto di installazioni residenziali multi-tenant e a uso misto. Se siete promotori immobiliari, operatori build-to-rent o gestite un portafoglio di alloggi per studenti, questo argomento è direttamente rilevante per le decisioni che dovrete prendere quest'anno. Iniziamo con le basi, perché la terminologia qui è davvero confusa. La tecnologia PPSK ha diversi nomi a seconda del fornitore con cui si parla. Aruba la chiama PPSK. Cisco Meraki la chiama Personal Private Network. Extreme Networks utilizza il termine Private PSK. Juniper Mist e Cambium utilizzano ePSK. Ubiquiti UniFi la chiama Private Pre-Shared Keys. Descrivono tutti lo stesso concetto: invece di condividere una singola password per ogni utente, ogni utente o gruppo riceve una credenziale univoca. [1:00 - 6:00] Approfondimento Tecnico Ora, perché questo è importante? Pensate a una tradizionale password condivisa sulla rete WiFi di un edificio. Ogni residente usa la stessa chiave. Quando qualcuno si trasferisce, avete due scelte: o lasciate attivo il suo accesso, il che rappresenta un problema di sicurezza, o cambiate la password per tutti, il che disconnette i dispositivi di tutti gli altri residenti finché non si riconnettono. Nessuna delle due opzioni è accettabile su scala. La tecnologia PPSK elimina completamente questo problema. Revocate una chiave, un residente perde l'accesso. Tutti gli altri non ne risentono affatto. Ci sono tre distinti modelli di distribuzione che vale la pena comprendere, e scegliere quello sbagliato per il vostro contesto vi costerà caro dal punto di vista operativo. Il primo è il PSK condiviso standard - la tradizionale password singola per tutti. È il più semplice da configurare e va benissimo per una rete domestica. In un edificio multi-tenant, è essenzialmente inutilizzabile su qualsiasi scala significativa. Una password trapelata compromette l'intera rete. Nessun isolamento VLAN tra i residenti. Nessuna revoca individuale. Evitatelo. Il secondo modello è il PPSK a livello di gruppo. In questo caso, si assegna una password univoca a ciascun gruppo - ad esempio a ciascun piano, a ciascun reparto di un edificio di uffici o a ciascuna proprietà di un portafoglio. Questo offre una segmentazione VLAN a livello di gruppo e la revoca a livello di gruppo. Funziona bene per eventi, conferenze e ambienti di ufficio in cui si desidera una separazione dei reparti senza la complessità per singolo utente. Il sovraccarico operativo è basso e non è necessariamente necessario un server RADIUS - molti access point gestiscono il PPSK di gruppo in modo nativo. Il terzo modello - e quello che consigliamo per BTR, alloggi per studenti e qualsiasi installazione residenziale - è l'iPSK per utente. Identity Pre-Shared Key. Ogni singolo residente riceve la propria credenziale univoca. Tutti i loro dispositivi utilizzano quella singola credenziale, che li inserisce nella propria VLAN privata - la loro bolla WiFi personale. Il loro telefono vede la loro smart TV, il loro laptop vede il loro Chromecast, il loro smart speaker si associa alle loro luci. Ma non possono vedere i dispositivi di nessun altro residente, anche se sono tutti sullo stesso access point fisico e sullo stesso SSID. Questa è l'architettura che rende il WiFi gestito un servizio residenziale davvero efficace. L'esperienza del residente è identica a quella di avere il proprio router a banda larga domestico. L'operatore mantiene il pieno controllo dell'infrastruttura. Permettetemi di illustrarvi l'architettura tecnica, poiché comprenderla vi aiuterà a porre le domande giuste a fornitori e integratori. In una distribuzione PPSK senza RADIUS, l'access point stesso contiene un database locale di chiavi e le relative assegnazioni VLAN. Quando un dispositivo si connette, l'AP cerca la chiave, identifica a quale VLAN è associata e vi posiziona il dispositivo. Questo sistema funziona bene per installazioni più piccole - fino a poche centinaia di chiavi sulla maggior parte degli access point aziendali. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet supportano tutti una variante di questa tecnologia. Per distribuzioni più grandi - un edificio BTR da duecento unità, un complesso di alloggi per studenti da mille posti letto - è preferibile un sistema PPSK supportato da un server RADIUS. L'access point inoltra la credenziale al server RADIUS, che la convalida rispetto a una directory, restituisce l'assegnazione VLAN appropriata e l'AP posiziona il dispositivo di conseguenza. Questo sistema si adatta a decine di migliaia di chiavi, si integra con identity provider come Microsoft Entra ID, Okta o Google Workspace e offre una registrazione centralizzata dei log di controllo - un aspetto fondamentale per la conformità al GDPR. A proposito di conformità - questo è un ambito in cui la scelta del modello di distribuzione ha reali implicazioni legali. Ai sensi del GDPR, si ha l'obbligo di proteggere i dati dei residenti. Se il residente A può vedere il traffico di rete del residente B, si tratta di un problema di protezione dei dati. L'isolamento VLAN per singolo utente, fornito tramite iPSK, è il meccanismo tecnico che soddisfa tale obbligo. Non si tratta solo di una funzionalità opzionale; è un requisito di conformità in qualsiasi contesto residenziale in cui si trattano dati personali. Il PCI-DSS è rilevante se si hanno attività di elaborazione dei pagamenti sulla stessa infrastruttura di rete - ad esempio, una componente commerciale in uno sviluppo a uso misto. La segmentazione VLAN isola il traffico di pagamento da quello residenziale, il che rappresenta un requisito fondamentale del PCI-DSS. Lo standard IEEE 802.1X è la norma alla base del controllo degli accessi alla rete basato su porta e, sebbene l'802.1X completo con EAP-TLS e certificati rappresenti lo standard di riferimento per la sicurezza aziendale, il PPSK con RADIUS costituisce una via di mezzo pragmatica che offre la maggior parte dei vantaggi in termini di sicurezza con una complessità di distribuzione significativamente inferiore. [6:00 - 8:00] Raccomandazioni di implementazione ed errori da evitare Ora vi presenterò due scenari concreti, poiché la teoria ha i suoi limiti. Scenario uno: una torre build-to-rent da duecentocinquanta unità in un centro città. Lo sviluppatore desidera che il WiFi sia incluso nell'affitto mensile come servizio premium. I residenti si aspettano che i loro dispositivi smart home funzionino - Sonos, Philips Hue, Amazon Echo, smart TV, console di gioco. Si aspettano di poter aggiungere nuovi dispositivi senza dover chiamare un helpdesk. E si aspettano che il vicino non sia in grado di vedere il loro traffico di rete. La giusta architettura in questo caso è un singolo SSID in tutto l'edificio, supportato da iPSK con RADIUS. Ogni residente riceve una chiave unica al momento del trasloco - consegnata tramite un'app per i residenti o un codice QR nel pacchetto di benvenuto. Tutti i loro dispositivi utilizzano quella chiave. Il server RADIUS mappa la chiave su una VLAN dedicata per unità. Quando si trasferiscono, la chiave viene revocata nella piattaforma di gestione. Il residente successivo riceve una nuova chiave. Nessun cambio di password, nessuna interruzione per gli altri residenti. L'hardware funziona su qualsiasi access point già specificato - Cisco Meraki, HPE Aruba, Ruckus o Ubiquiti UniFi sono tutti comuni in questo settore. La piattaforma di Purple si propone come un overlay cloud, gestendo il ciclo di vita delle chiavi, le assegnazioni delle VLAN e l'onboarding dei residenti senza richiedere un aggiornamento radicale dell'infrastruttura fisica. Scenario due: uno sviluppo a destinazione mista con vendita al dettaglio al piano terra, uno spazio di coworking al secondo e terzo piano e residenziale dal quarto piano in su. Ci sono tre popolazioni di utenti distinte con requisiti di rete completamente diversi. Il settore retail necessita di un isolamento dei pagamenti conforme agli standard PCI. I membri del coworking hanno bisogno di affidabilità di livello aziendale e compatibilità VPN. I residenti hanno bisogno dell'esperienza di rete domestica appena descritta. In questo caso, in genere si eseguono tre SSID - uno per popolazione - oppure si utilizza un singolo SSID con PPSK e assegnazione VLAN basata sui ruoli per separare i tre gruppi. L'approccio a tre SSID è più pulito dal punto di vista operativo e si adatta in modo più naturale ai diversi flussi di onboarding. Il personale del settore retail utilizza l'802.1X con credenziali aziendali. I membri del coworking ottengono un PPSK a livello di gruppo per azienda. I residenti ottengono un iPSK per unità. Tutte e tre le popolazioni condividono la stessa infrastruttura fisica di access point, ma il loro traffico non si interseca mai. Permettetemi di illustrare i problemi di implementazione più comuni, perché vedo ripetutamente gli stessi errori. Il primo è sottovalutare la densità dei dispositivi. Un edificio di duecento unità non ha duecento dispositivi sul WiFi. Ne ha da tremila a cinquemila. La media attuale è compresa tra quindici e venticinque dispositivi per nucleo familiare, e questo numero cresce ogni anno con l'aumento dell'adozione della domotica. L'ambito DHCP, il dimensionamento della sottorete VLAN e la pianificazione della capacità degli access point devono tutti tenere conto di questo aspetto. Il secondo errore è la scelta di PPSK senza RADIUS per una distribuzione di grandi dimensioni per risparmiare sui costi, per poi scoprire che il database delle chiavi locali dell'access point ha un limite rigido. Per qualsiasi progetto superiore a cento unità, prevedete un budget per un server RADIUS fin dall'inizio. I servizi RADIUS ospitati nel cloud eliminano l'onere dell'infrastruttura on-premise. Il terzo errore consiste nel trascurare la banda a due virgola quattro gigahertz. Si desidera indirizzare i residenti verso le bande a cinque gigahertz e sei gigahertz per ottenere prestazioni ottimali. Tuttavia, i dispositivi IoT - prese intelligenti, sensori più vecchi, alcuni altoparlanti intelligenti - spesso supportano solo la banda a due virgola quattro gigahertz. La configurazione PPSK deve gestire entrambe le bande. Il quarto errore comune è il workflow di trasferimento (move-out). PPSK offre i suoi vantaggi operativi solo se il processo di revoca delle chiavi viene effettivamente eseguito al momento del trasferimento. Se il tuo sistema di gestione immobiliare non si integra con la tua piattaforma di gestione di rete, le chiavi si accumulano. Automatizza il workflow di revoca attraverso un'integrazione tra il tuo sistema di gestione degli affitti e la tua piattaforma di gestione WiFi. [8:00 - 9:00] Domande e Risposte Rapide Ora, alcune domande rapide che mi vengono poste regolarmente. Devo sostituire i miei access point esistenti per distribuire PPSK? Nella maggior parte dei casi, no. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet supportano tutti varianti PPSK o iPSK sul firmware attuale. PPSK è sicuro quanto 802.1X con i certificati? No. Un sistema 802.1X completo con EAP-TLS e certificati digitali è più sicuro. Ma per le distribuzioni residenziali in cui si registrano residenti non tecnici con dispositivi consumer, PPSK con RADIUS è la scelta pragmatica che offre una sicurezza adeguata con una complessità operativa gestibile. E per quanto riguarda WPA3? PPSK può essere eseguito su WPA3-Personal, e dovresti abilitarlo laddove l'hardware del tuo access point lo supporti. L'esecuzione di una modalità di transizione che supporti sia i client WPA2 che WPA3 sullo stesso SSID è l'approccio standard durante il periodo di transizione. [9:00 - 10:00] Sintesi e Prossimi Passi Per concludere: il quadro decisionale è semplice. Se stai distribuendo il WiFi in un contesto residenziale multi-tenant - BTR, alloggi per studenti, edilizia sociale - desideri iPSK per utente con RADIUS. Se stai effettuando la distribuzione per eventi, conferenze o segmentazione dei dipartimenti d'ufficio, PPSK a livello di gruppo senza RADIUS è spesso sufficiente. Se utilizzi ancora una singola password condivisa per un edificio multi-tenant, questo deve cambiare quest'anno. I vantaggi operativi sono misurabili. Una distribuzione BTR gestita con iPSK vede in genere i volumi dei ticket di supporto ridursi di oltre il novanta percento rispetto alle distribuzioni non gestite o PSK condivise. La gestione delle credenziali di trasferimento passa da un evento dirompente a livello di intero edificio a una singola voce di database. Grazie per aver ascoltato il Purple Technical Briefing. Se desideri approfondire l'architettura, visita purple dot ai. Se hai domande sulla tua specifica distribuzione, parla con uno dei nostri architetti di rete.