PPSK WPA3: confronto tra funzionalità e modelli di implementazione

Benvenuto al Purple Technical Briefing. Sono il tuo presentatore e oggi affronteremo una domanda che si trova sulla scrivania di quasi tutti i network architect che lavorano in immobili multi-tenant, nell'hospitality o nel retail in questo momento: come si confrontano effettivamente PPSK e WPA3 e quale modello di deployment si adatta al tuo ambiente? Partiamo dal contesto. Se sei un promotore immobiliare, un operatore build-to-rent o un proprietario che gestisce un blocco residenziale con infrastruttura WiFi condivisa, avrai probabilmente sentito parlare di entrambi i termini. PPSK, che sta per Private Pre-Shared Key, e WPA3, l'ultima generazione di sicurezza WiFi della Wi-Fi Alliance. Vengono spesso discussi come se fossero tecnologie concorrenti. Non lo sono. Risolvono problemi diversi. E in molti deployment, hai bisogno di entrambi. Quindi definiamo chiaramente i nostri termini prima di andare oltre. WPA3 è uno standard di certificazione di sicurezza, ratificato dalla Wi-Fi Alliance nel 2018. È disponibile in due varianti principali. WPA3-Personal, che sostituisce il vecchio meccanismo Pre-Shared Key con qualcosa chiamato SAE - Simultaneous Authentication of Equals. E WPA3-Enterprise, che si basa sul framework 802.1X e introduce una suite crittografica opzionale a 192 bit per ambienti ad alta sicurezza. Il miglioramento fondamentale in WPA3-Personal è che SAE elimina gli attacchi a dizionario offline. In WPA2, se un utente malintenzionato catturava l'handshake a quattro vie quando un dispositivo si connetteva alla rete, poteva sottrarre quei dati ed eseguire strumenti di cracking brute-force a tempo indeterminato, senza mai toccare nuovamente la tua rete. SAE blocca tutto questo sul nascere. Ogni tentativo di indovinare la password richiede un'interazione attiva con l'access point. Rende il cracking offline praticamente irrealizzabile. WPA3 impone anche i Protected Management Frames, o PMF, definiti in IEEE 802.11w. Questo protegge il traffico di gestione tra dispositivi e access point da attacchi di spoofing e replay. In WPA2, il PMF era opzionale. In WPA3, non è negoziabile. Ora, PPSK. Private Pre-Shared Key è una tecnologia proprietaria - e la parola proprietaria è importante, quindi ci torneremo. Il concetto di base è semplice: invece di far condividere un'unica password a ogni dispositivo su un SSID, ogni dispositivo o ogni utente riceve una passphrase univoca. Diversi vendor la marchiano in modo differente. Cisco la chiama iPSK. Extreme Networks la chiama PPSK. Ruckus la chiama DPSK. Juniper Mist la chiama Multi-PSK. HPE Aruba la chiama MPSK. Cambium la chiama ePSK. Il meccanismo alla base è lo stesso per tutti. Ecco come funziona tecnicamente. Nel WPA2-Personal standard, la Pre-Shared Key viene derivata dalla tua passphrase utilizzando una formula definita nello standard 802.11i. Ogni dispositivo che utilizza la stessa password deriva lo stesso PSK. In un'implementazione PPSK, ogni passphrase univoca deriva un PSK diverso. Quando un dispositivo si connette, l'access point o un server RADIUS prova ciascun PSK memorizzato rispetto al Message Integrity Check nell'handshake a quattro vie finché non trova una corrispondenza. In questo modo il dispositivo viene identificato. Il risultato pratico è che puoi assegnare a ciascun residente in un edificio BTR, a ciascun membro dello staff in un hotel o a ciascuna categoria di dispositivi IoT la propria passphrase univoca e mappare tale passphrase su una VLAN specifica. Il residente dell'appartamento uno riceve la passphrase A, che si mappa sulla VLAN 10. Il residente dell'appartamento due riceve la passphrase B, che si mappa sulla VLAN 20. Il loro traffico è isolato al Layer 2. Condividono un unico SSID, un set di access point, un'unica infrastruttura - ma non possono vedere i dispositivi dell'altro. Ora, ecco dove la tensione tra PPSK e WPA3 diventa strutturalmente importante. E questo è l'aspetto che la maggior parte delle guide trascura. Il PPSK, nella sua forma tradizionale, funziona su WPA2. Il meccanismo multi-PSK si basa sull'handshake a quattro vie definito in 802.11i, lo standard alla base di WPA2. WPA3-Personal sostituisce tale handshake con SAE. I due meccanismi sono fondamentalmente incompatibili a livello di protocollo. Ciò significa che se configuri un SSID WPA3-Personal puro sulla maggior parte degli access point oggi, non puoi eseguire contemporaneamente PPSK su quello stesso SSID. L'handshake SAE non supporta il flusso di lavoro di prova e corrispondenza del multi-PSK. Tuttavia - e questo è importante - il settore sta risolvendo attivamente questo problema. La piattaforma Access Assurance di Juniper Mist ora supporta WPA3 Multi-PSK, utilizzando un approccio basato su RADIUS in cui l'access point opera in modalità WPA3-SAE e il server RADIUS gestisce la ricerca della chiave per singolo dispositivo. La soluzione iPSK di Cisco supporta in modo simile WPA3-SAE con un server RADIUS esterno che memorizza le mappature da indirizzo MAC a PSK. La banda a 6GHz, introdotta con WiFi 6E secondo lo standard 802.11ax, impone WPA3. Pertanto, qualsiasi implementazione destinata ai 6GHz deve trovare una soluzione PPSK compatibile con WPA3. Il risvolto pratico per la tua decisione di implementazione è questo: se utilizzi hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet, verifica il firmware corrente del tuo fornitore per il supporto WPA3 più multi-PSK prima di definire la tua architettura di sicurezza. Lo scenario si sta evolvendo rapidamente. Parliamo di modelli di implementazione. Ci sono tre pattern principali che vediamo sul campo. Il primo è PPSK senza RADIUS, a volte chiamato PPSK locale o PPSK basato su controller. Il pool di PSK è memorizzato direttamente sull'access point o sul controller wireless. Questa è l'implementazione più semplice. Non è richiesto alcun server di autenticazione esterno. Funziona bene per i siti più piccoli - una singola filiale retail, uno spazio di coworking con meno di 500 membri o un piccolo condominio. Il limite è la scalabilità. La maggior parte delle implementazioni basate su controller limita il numero di PSK a poche centinaia o poche migliaia. La gestione delle chiavi diventa manuale. E poiché le chiavi sono memorizzate localmente, la revoca di una chiave compromessa richiede di intervenire direttamente sul controller.Il secondo modello è PPSK con RADIUS. In questo caso, il pool PSK risiede in un server RADIUS esterno. Quando un dispositivo si connette, l'access point inoltra la richiesta di autenticazione al RADIUS, che cerca la PSK corretta per quel dispositivo e la restituisce all'AP. Questo modello scala fino a decine di migliaia di dispositivi. Si integra con gli identity provider - Microsoft Entra ID, Okta, Google Workspace - consentendo di automatizzare il provisioning e il deprovisioning. Quando un inquilino lascia un edificio BTR, si revoca la sua voce nell'identity provider e il suo accesso WiFi scompare in pochi secondi. Nessuna rotazione manuale delle chiavi. Questa è l'architettura su cui è costruita la piattaforma Multi-Tenant WiFi di Purple. Il terzo modello è WPA3-Enterprise con 802.1X. Nessuna PSK. Ciascun dispositivo si autentica utilizzando un certificato o una credenziale tramite EAP-TLS o PEAP. Questo è il gold standard per gli ambienti aziendali, la sanità e ovunque vi siano severi requisiti di conformità come PCI-DSS o ISO 27001. I costi di gestione sono più elevati - è necessaria una Public Key Infrastructure per la gestione dei certificati e ogni dispositivo deve essere registrato. Per un edificio BTR in cui i residenti portano i propri dispositivi, questo è raramente pratico. Per la rete del personale di un hotel o la flotta di dispositivi clinici di un ospedale, è la risposta corretta. Ora consideriamo due scenari reali per rendere il tutto più concreto. Scenario uno. Un complesso build-to-rent da 200 unità. L'operatore desidera che ogni residente abbia il proprio segmento di rete privato, senza visibilità sugli appartamenti vicini. Deve inoltre supportare i dispositivi smart home - termostati, campanelli con videocamera, smart speaker - che in genere supportano solo WPA2. E desidera che i costi di gestione della rete siano il più bassi possibile. L'architettura corretta in questo caso è PPSK con RADIUS su un SSID in modalità di transizione WPA2 o WPA2/WPA3. Ogni residente riceve una passphrase univoca al momento del trasloco, fornita automaticamente tramite il sistema di gestione della proprietà integrato con il server RADIUS. I loro dispositivi - telefoni, laptop, smart TV - si connettono utilizzando quella passphrase e atterrano sulla loro VLAN dedicata. I loro dispositivi IoT si connettono utilizzando una passphrase IoT separata che si mappa su una VLAN IoT limitata senza accesso al segmento residenziale principale. Al momento del trasloco, il sistema di gestione della proprietà avvia il deprovisioning. La loro passphrase viene revocata. L'accesso termina. La piattaforma Multi-Tenant WiFi di Purple gestisce esattamente questo flusso di lavoro, integrandosi con l'hardware di Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. L'overlay cloud consente di gestire l'intero patrimonio da un'unica dashboard, indipendentemente dall'hardware presente sul sito. Scenario due. Un hotel da 150 camere. L'hotel ha bisogno di tre segmenti di rete distinti: WiFi ospiti per i visitatori della struttura, WiFi personale per i dispositivi operativi e una rete di gestione dell'edificio per TVCC, controllo accessi e HVAC. La rete ospiti deve essere senza frizioni. La rete del personale deve essere sicura e verificabile. La rete di gestione dell'edificio deve essere completamente isolata. In questo caso, l'architettura prevede un design a tre SSID. L'SSID ospiti utilizza WPA3-Personal con SAE, o Enhanced Open con Opportunistic Wireless Encryption per un'esperienza davvero senza password, combinato con il Captive Portal di Purple per un onboarding basato sul consenso. L'SSID del personale utilizza WPA3-Enterprise con 802.1X, autenticato tramite Microsoft Entra ID. L'SSID di gestione dell'edificio utilizza PPSK con una VLAN dedicata, isolata da tutto il resto del traffico a livello di firewall. Permettetemi ora di illustrare le trappole di implementazione più comuni, perché è qui che le distribuzioni falliscono. La prima è la compatibilità PMF. Lo standard WPA3 impone i Protected Management Frames. Se si dispone di dispositivi legacy - vecchi scanner di codici a barre, terminali per punti vendita, alcune apparecchiature mediche - che non supportano i PMF, questi non riusciranno a connettersi a un SSID esclusivamente WPA3. Il sintomo è che il dispositivo vede la rete ma non riesce ad associarsi. La soluzione è la modalità di transizione WPA3, che consente client sia WPA2 che WPA3 sullo stesso SSID, oppure un SSID WPA2 dedicato su una VLAN isolata per i dispositivi legacy. La modalità di transizione è una valida strategia di migrazione, ma è vulnerabile agli attacchi di downgrade, quindi va considerata temporanea. La seconda trappola è la proliferazione delle chiavi. In una distribuzione PPSK senza una corretta gestione del ciclo di vita, si accumulano chiavi obsolete. Ex residenti, ex dipendenti, dispositivi dismessi - tutti lasciano PSK orfani nel database RADIUS. Ognuno di essi rappresenta un potenziale vettore di attacco. Automatizzate il provisioning e il deprovisioning fin dal primo giorno e sottoponete a audit trimestrale il database delle PSK. La terza trappola è la pianificazione dei 6GHz. Se si distribuiscono access point WiFi 6E o WiFi 7 e si desidera utilizzare la banda a 6GHz, il WPA3 è obbligatorio. Non è possibile eseguire WPA2 su 6GHz. Quindi, se la vostra strategia PPSK si basa su WPA2, le vostre radio a 6GHz rimarranno inutilizzate o eseguiranno un SSID separato. Pianificate l'architettura di sicurezza prima di finalizzare l'acquisto dell'hardware. Passiamo ora a una rapida sessione di domande e risposte. Domanda: Posso eseguire PPSK e WPA3 sullo stesso SSID? Risposta: Sulla maggior parte dell'hardware attuale, non in modo nativo. Tuttavia, Juniper Mist e Cisco supportano entrambi WPA3-SAE con multi-PSK basato su RADIUS. Verificate il firmware corrente del vostro fornitore. Si prevede un supporto più ampio da parte di tutti i produttori nei prossimi 12-18 mesi. Domanda: Il PPSK è conforme allo standard PCI-DSS? Risposta: Il PPSK può soddisfare i requisiti di segmentazione di rete PCI-DSS se ogni dispositivo dell'ambiente dei dati dei titolari di carta si trova su una propria VLAN isolata e l'accesso è controllato e verificabile. Per gli ambienti con dati dei titolari di carta, WPA3-Enterprise con 802.1X e EAP-TLS rappresenta la scelta a lungo termine più sicura. Domanda: Cosa succede se un residente condivide la propria PPSK con un vicino? Risposta: Il vicino finisce sulla stessa VLAN del residente. Il vicino non può accedere al traffico degli altri residenti. Ma questo significa che l'operatore della struttura sta fornendo il servizio a un utente non autorizzato. Mitiga questo problema associando le PSK agli indirizzi MAC dove l'hardware lo supporta, oppure implementando il monitoraggio dell'utilizzo e gli avvisi di anomalia. In sintesi. PPSK e WPA3 sono complementari, non concorrenti. PPSK risolve il problema dell'isolamento multi-tenant - un solo SSID, credenziali univoche per residente o dispositivo, assegnazione automatica della VLAN. WPA3 risolve il problema della sicurezza dell'autenticazione - la tecnologia SAE elimina gli attacchi a dizionario offline, il PMF protegge i frame di gestione e la suite a 192 bit soddisfa i requisiti di conformità ad alta sicurezza. Per gli operatori BTR e i proprietari immobiliari che oggi distribuiscono un'infrastruttura WiFi condivisa, l'architettura consigliata è PPSK con RADIUS per l'isolamento dei residenti, in esecuzione su WPA2 o in modalità di transizione WPA3 per un'ampia compatibilità con i dispositivi, con un chiaro percorso di migrazione verso PPSK nativo WPA3 man mano che il supporto dei vendor matura. Associa questo a un SSID WPA3-Enterprise dedicato per il personale e i dispositivi operativi, e a una VLAN IoT isolata per i sistemi di smart building. La piattaforma WiFi Multi-Tenant di Purple si sovrappone a tutto questo come overlay cloud indipendente dall'hardware. Gestiamo l'integrazione RADIUS, i flussi di lavoro di provisioning, l'analisi e la reportistica di conformità - in 80.000 sedi attive e 350 milioni di utenti unici. Certificazione ISO 27001, conformità GDPR e CCPA, uptime del 99,999%. Alla prossima.