UU PPSK 2023: confronto tra funzionalità e modelli di implementazione

UU PPSK 2023: Comparing Features and Deployment Models. A Purple Technical Briefing. Benvenuto. Oggi parleremo di una delle decisioni architetturali più importanti che prenderai durante la progettazione del WiFi per una proprietà residenziale multi-tenant: quale modello di chiave pre-condivisa distribuire. Nello specifico, ci concentreremo su UU PPSK, che sta per Unique per-User Pre-Shared Key, e sul perché è diventata l'architettura preferita per gli operatori di Build to Rent, i fornitori di alloggi per studenti e i proprietari di unità abitative plurifamiliari nel Regno Unito. Iniziamo con il problema. Gestisci un edificio in cui decine o centinaia di famiglie diverse condividono la stessa infrastruttura di rete fisica. Ogni residente ha bisogno di un'esperienza WiFi privata e simile a quella domestica. Il loro Chromecast deve trovare il loro telefono. Il loro smart speaker deve comunicare con le lampadine. E, cosa fondamentale, niente di tutto questo deve essere visibile al residente dell'appartamento accanto. La risposta tradizionale era una password condivisa, che rappresenta un rischio per la sicurezza su larga scala, oppure una distribuzione enterprise 802.1X completa, che richiede un'infrastruttura a chiave pubblica, la gestione dei certificati e un server RADIUS che la maggior parte degli operatori immobiliari semplicemente non ha le risorse IT per gestire. Nessuna delle due opzioni è adatta per un blocco Build to Rent da 200 unità. È qui che entra in gioco il PPSK. PPSK sta per Private Pre-Shared Key. Il concetto è semplice: invece di una password WiFi condivisa per l'intero edificio, ogni residente riceve la propria passphrase univoca. Si connettono allo stesso SSID, allo stesso nome di rete, ma la loro chiave è solo loro. Se si trasferiscono, revochi la loro chiave. Questo ha zero effetti su qualsiasi altro residente. Ora, ci sono tre modelli distinti e comprenderne la differenza è fondamentale per prendere la decisione architetturale corretta. Il primo modello è un PSK condiviso standard. Una password, tutti sulla stessa rete. Questo è ciò che la maggior parte degli edifici utilizza ancora oggi. È semplice da distribuire, ma rappresenta un singolo punto di vulnerabilità. Se un residente condivide la password su un forum, hai perso il controllo della tua rete. Vuoi revocare l'accesso a un fornitore esterno? Devi cambiare la password per tutti. Su larga scala, questo non è gestibile. Il secondo modello è il Group PPSK. In questo caso, assegni una chiave univoca a ciascun gruppo di utenti, forse una chiave per piano o una chiave per tipo di locazione. È migliore di una password condivisa, ma presenta comunque un problema di raggio d'impatto. Se una chiave in un gruppo viene compromessa, l'intero gruppo ne risente. Inoltre, non è ancora possibile isolare i singoli residenti l'uno dall'altro a livello di rete. Il terzo modello, e quello su cui ci concentriamo oggi, è UU PPSK. Chiave pre-condivisa unica per utente (Unique per-User Pre-Shared Key). Chiamata anche iPSK da Cisco Meraki, DPSK da Ruckus e MPSK da HPE Aruba. La terminologia varia a seconda del vendor, ma il concetto è identico. Ogni singolo residente, ogni singolo gruppo di dispositivi, riceve la propria chiave crittograficamente unica. E quella chiave si mappa sulla propria VLAN, sul proprio segmento di rete, completamente isolato da ogni altro residente nell'edificio. Questa è l'architettura che offre ciò che chiamiamo la bolla WiFi. I dispositivi del Residente A possono vedersi tra loro, possono trasmettere contenuti, accoppiarsi, condividere file, esattamente come farebbero su una rete domestica. Ma il Residente A non può vedere un singolo dispositivo appartenente al Residente B, anche se sono entrambi connessi allo stesso access point, sullo stesso SSID, utilizzando la stessa infrastruttura di cavi fisici. Permettetemi di guidarvi attraverso il flusso di autenticazione tecnica, perché è qui che il meccanismo diventa chiaro. Quando il dispositivo di un residente si connette all'SSID, il controller LAN wireless intercetta il tentativo di connessione. Durante l'handshake a quattro vie WPA2, il dispositivo presenta la sua chiave pre-condivisa. Il controller cerca quella chiave nel database PPSK. Restituisce l'ID VLAN univoco assegnato a quel residente. Il controller convalida la chiave e il dispositivo viene autenticato e inserito nella sua VLAN dedicata. Aspetto fondamentale, tale assegnazione di VLAN porta con sé anche la corretta policy di larghezza di banda e le regole del firewall. Quindi il dispositivo non viene solo autenticato. Viene inserito automaticamente nel segmento di rete corretto, da un singolo SSID. Nessuna proliferazione di SSID. Nessun sovraccarico di beacon. Un solo nome di rete, centinaia di reti private isolate al di sotto di esso. Ora, una parola sulla randomizzazione degli indirizzi MAC, perché questo è l'ostacolo che mette in difficoltà la maggior parte delle distribuzioni. A partire da iOS 14, Android 10 e Windows 11, i dispositivi utilizzano indirizzi MAC randomizzati per impostazione predefinita per motivi di privacy. Se la vostra piattaforma di autenticazione esegue una ricerca MAC e il dispositivo presenta un indirizzo randomizzato, la ricerca fallisce e il dispositivo non può connettersi. La soluzione consiste nell'implementare un flusso di lavoro di preregistrazione in cui i residenti registrano il proprio dispositivo prima di connettersi. La piattaforma di Purple gestisce questo aspetto automaticamente come parte del flusso di onboarding dei residenti. Parliamo dei modelli di distribuzione, perché UU PPSK può essere distribuito in tre modi distinti e la scelta giusta dipende dalle dimensioni dell'edificio, dalle risorse IT e dal budget. Il primo è il PPSK locale del controller. In questo caso, le chiavi univoche vengono memorizzate direttamente sul controller wireless, senza la necessità di un server RADIUS esterno. Funziona bene per distribuzioni più piccole, fino a circa 50 unità, ed è il più semplice da gestire. Ubiquiti UniFi lo supporta nativamente. Il limite è la scalabilità. La maggior parte dei controller si limita a poche centinaia di voci PPSK locali e si perde la gestione centralizzata del ciclo di vita che rende UU PPSK operativamente praticabile su larga scala. Il secondo modello è il PPSK supportato da RADIUS. In questo caso, le chiavi sono memorizzate in un server RADIUS esterno e il controller interroga il server RADIUS per ogni nuova connessione. Questo modello scala fino a migliaia di unità. Ruckus SmartZone, HPE Aruba ClearPass e Cisco ISE supportano tutti questo modello. I costi operativi sono più elevati, ma la scalabilità e le capacità di gestione del ciclo di vita sono notevolmente migliori. Il terzo modello, e quello che Purple consiglia per gli operatori del settore Build to Rent e delle unità multi-abitative, è il cloud RADIUS-as-a-Service. In questo scenario, l'infrastruttura RADIUS è ospitata e gestita da Purple, e i punti di accesso vengono collegati ad essa tramite un overlay cloud. Questo garantisce la scalabilità del PPSK supportato da RADIUS senza l'onere operativo di gestire un proprio server RADIUS. La piattaforma di Purple si integra con l'hardware esistente, sia esso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet, e fornisce il livello di orchestrazione per il provisioning delle chiavi, la gestione del ciclo di vita e l'onboarding dei residenti. Il ciclo di vita delle chiavi è completamente automatizzato. Un residente si trasferisce, la sua chiave viene fornita tramite l'integrazione con il sistema di gestione della proprietà. Se ne va, la sua chiave viene revocata all'istante, senza alcun impatto sugli altri residenti. Nessun intervento manuale, nessuna falla nella sicurezza, nessun problema legato alla rotazione delle password. Permettetemi di presentarvi due scenari di implementazione concreti per dare vita a questo concetto. Il primo è uno sviluppo Build to Rent di 250 unità. Lo sviluppatore aveva specificato access point Cisco Meraki in tutto l'edificio. Avevano bisogno che ogni residente avesse un'esperienza WiFi privata con supporto IoT completo, disponibilità al trasferimento il giorno stesso e la capacità di supportare da 15 a 25 dispositivi per nucleo familiare. L'architettura implementata prevedeva un unico SSID in tutto l'edificio, con UU PPSK tramite il servizio cloud RADIUS di Purple. Ogni residente ha ricevuto una chiave unica al momento del trasloco, consegnata tramite l'app per i residenti. La chiave era mappata su una VLAN dedicata con una sottorete privata, offrendo a ciascun nucleo familiare un segmento di rete completamente isolato. La riflessione mDNS è stata abilitata all'interno di ciascuna VLAN, in modo che Chromecast, Apple TV e Sonos funzionassero come previsto. L'edificio è diventato operativo con 250 VLAN residenti attive il primo giorno, con zero configurazione manuale di RADIUS richiesta dal team in loco. Il secondo scenario è un complesso residenziale per studenti appositamente costruito con 400 posti letto. La sfida principale è il turnover annuale della coorte. Ogni agosto, 400 studenti lasciano la struttura e 400 nuovi studenti vi fanno ingresso, spesso nella stessa settimana. Con un modello PSK condiviso, questo comporta una rotazione della password a livello di intero edificio che interessa tutti i residenti di ritorno. Con UU PPSK, significa revocare 400 chiavi e distribuirne 400 nuove, il tutto automatizzato tramite l'integrazione con il sistema di gestione degli studenti. L'implementazione ha utilizzato Ruckus SmartZone con DPSK, supportato dal servizio RADIUS di Purple. Ogni studente ha ricevuto la propria chiave univoca via email durante la registrazione prima dell'arrivo. Il team operativo ha registrato una riduzione del 70% dei ticket di supporto relativi al WiFi nel primo trimestre, principalmente perché i problemi di accoppiamento di Chromecast e smart TV che avevano afflitto la precedente implementazione PSK condivisa sono stati completamente eliminati. Ora permettetemi di illustrare tre regole pratiche fondamentali prima di passare alle domande rapide. Regola uno: se l'edificio ha più di 50 unità, utilizzate UU PPSK supportato da RADIUS, non il PPSK locale del controller. Il limite di scalabilità del PPSK locale del controller causerà problemi entro 12 mesi dall'avvio. Regola due: pianificate la randomizzazione MAC fin dal primo giorno. Integrate un flusso di lavoro di pre-registrazione nel processo di inserimento dei residenti. Non presumete che i dispositivi presentino il loro indirizzo MAC permanente per impostazione predefinita. Regola tre: automatizzate il ciclo di vita delle chiavi. Il valore operativo di UU PPSK rispetto a una PSK condivisa dipende interamente dalla fornitura e dalla revoca automatica delle chiavi. La gestione manuale delle chiavi su larga scala non è praticabile. Integrate il sistema con il vostro gestionale immobiliare fin dall'inizio. Bene, facciamo una carrellata rapida sulle domande che mi vengono rivolte più spesso. UU PPSK funziona con WPA3? Sì, con alcune riserve. WPA3-SAE modifica il meccanismo di handshake. La maggior parte dei controller moderni supporta UU PPSK in modalità di transizione WPA2 e WPA3 per la compatibilità con le versioni precedenti. Se state specificando access point WiFi 6E che impongono WPA3 sulla banda a 6 gigahertz, verificate il supporto specifico del produttore prima di acquistare l'hardware. Quante chiavi univoche può supportare un singolo SSID? Dipende dalla piattaforma del controller. Con un server RADIUS esterno, il limite pratico è la capacità del database RADIUS. Il servizio RADIUS cloud di Purple si scala fino a decine di migliaia di chiavi simultanee. UU PPSK sostituisce 802.1X? No. Per flotte di dispositivi aziendali completamente gestite, 802.1X rimane la risposta corretta. UU PPSK è la risposta corretta per le reti residenziali in cui è necessario l'isolamento per singolo nucleo familiare, il supporto IoT e la semplicità operativa su larga scala. E per quanto riguarda la conformità al GDPR? UU PPSK offre un audit trail completo. Ogni connessione è collegata a una chiave specifica del residente, che a sua volta è collegata a un record di locazione specifico. Con una PSK condivisa, tale responsabilità è impossibile. UU PPSK è l'unica architettura che consente di rispondere con precisione a una richiesta di accesso da parte dell'interessato o a un'indagine delle forze dell'ordine. In sintesi: UU PPSK è l'architettura di autenticazione che rende il WiFi multi-tenant operativamente praticabile su scala residenziale. Offre l'isolamento della rete per singolo residente, automatizza la gestione del ciclo di vita delle chiavi e supporta l'intera gamma di dispositivi IoT di consumo senza richiedere un'infrastruttura di certificati enterprise. Per qualsiasi sviluppo Build to Rent o proprietà multi-dwelling unit con più di 50 unità, è l'architettura che dovreste specificare oggi. Se desiderate scoprire come la soluzione WiFi Multi-Tenant di Purple può funzionare con il vostro hardware esistente, visitate purple.ai o parlate con uno dei nostri architetti di rete. Grazie per l'ascolto.