Uu PPSK: confronto tra funzionalità e modelli di implementazione

UU PPSK: Confronto tra Funzionalità e Modelli di Implementazione Un Podcast di Approfondimento Tecnico Purple Durata stimata: 14 minuti Benvenuti all'approfondimento tecnico di Purple. Vi guiderò attraverso una delle decisioni più importanti che prenderete nella progettazione del WiFi per un immobile residenziale o commerciale multi-tenant: quale modello di chiave pre-condivisa implementare. E nello specifico, ci concentreremo su UU PPSK, che sta per Unique per-User Pre-Shared Key, e sul perché è diventata l'architettura preferita dagli operatori Build to Rent, dai fornitori di alloggi per studenti e dai locatori di MDU nel Regno Unito. Partiamo dal problema. Se siete uno sviluppatore immobiliare o un locatore, gestite un edificio in cui decine o centinaia di nuclei familiari distinti condividono la stessa infrastruttura di rete fisica. Avete bisogno che ogni residente viva un'esperienza WiFi privata e simile a quella domestica. Il loro Chromecast deve trovare il loro telefono. Il loro altoparlante intelligente deve comunicare con le loro lampadine. E, cosa fondamentale, nulla di tutto questo deve essere visibile al residente dell'appartamento accanto. La risposta tradizionale a questo problema era una password condivisa, che è un disastro per la sicurezza su larga scala, oppure un'implementazione Enterprise 802.1X completa, che richiede un'infrastruttura a chiave pubblica, la gestione dei certificati e un server RADIUS che la maggior parte degli operatori immobiliari semplicemente non ha le risorse IT per gestire. Nessuna di queste opzioni è adatta per un blocco BTR da 200 unità. È qui che entra in gioco il PPSK. PPSK sta per Private Pre-Shared Key. Il concetto è semplice: invece di una password WiFi condivisa per l'intero edificio, ogni residente riceve la propria passphrase univoca. Si connettono allo stesso SSID, allo stesso nome di rete, ma la loro chiave è solo loro. Se cambiano casa, si revoca la loro chiave. Questo ha zero impatto su tutti gli altri residenti. Ora, ci sono in realtà tre modelli distinti e comprendere la differenza tra loro è fondamentale per prendere la giusta decisione architetturale. Il primo modello è un PSK condiviso standard. Una password, tutti sulla stessa rete. Questo è ciò che la maggior parte degli edifici utilizza ancora oggi. È semplice da implementare, ma rappresenta un unico punto di vulnerabilità. Se un residente condivide la password su un forum, avete perso il controllo della vostra rete. Volete revocare l'accesso a un fornitore? Dovete cambiare la password per tutti. Su larga scala, questo è semplicemente ingestibile. Il secondo modello è il Group PPSK. In questo caso, si assegna una chiave univoca a ciascun gruppo di utenti, forse una chiave per piano o una chiave per tipo di locazione. È meglio di una password condivisa, ma presenta comunque un problema di raggio d'azione dell'impatto. Se una chiave di un gruppo viene compromessa, l'intero gruppo ne risente. E non è comunque possibile isolare i singoli residenti l'uno dall'altro a livello di rete.Il terzo modello, e quello su cui ci concentriamo oggi, è UU PPSK, Unique per-User Pre-Shared Key, chiamato anche iPSK da Cisco, DPSK da Ruckus e MPSK da HPE Aruba. La terminologia varia a seconda del vendor, ma il concetto è identico. Ogni singolo residente, ogni singolo gruppo di dispositivi, riceve la propria chiave crittograficamente unica. E quella chiave si mappa sulla propria VLAN, sul proprio segmento di rete, completamente isolato da ogni altro residente nell'edificio. Questa è l'architettura che offre ciò che chiamo la bolla WiFi. I dispositivi del Residente A possono vedersi tra loro, possono trasmettere, possono accoppiarsi, possono condividere file, esattamente come farebbero su una rete domestica. Ma il Residente A non può vedere un singolo dispositivo appartenente al Residente B, anche se sono entrambi connessi allo stesso access point, sullo stesso SSID, utilizzando la stessa infrastruttura di cavi fisici. Lasciate che vi guidi attraverso il flusso di autenticazione tecnica, perché è qui che avviene la magia. Quando il dispositivo di un residente si connette all'SSID, il Wireless LAN Controller intercetta il tentativo di connessione e inoltra l'indirizzo MAC del dispositivo a un server RADIUS. Il server RADIUS, che può essere ospitato in cloud, come quello di Purple, cerca quell'indirizzo MAC nel suo archivio di identità. Restituisce una risposta Access-Accept contenente la chiave pre-condivisa unica assegnata a quel residente. Il controller convalida la chiave presentata dal dispositivo rispetto alla chiave restituita. Se corrispondono, il dispositivo viene autenticato e inserito nella VLAN dedicata del residente. In modo fondamentale, quella risposta RADIUS trasporta anche l'assegnazione della VLAN. Quindi il dispositivo non viene solo autenticato. Viene inserito automaticamente nel segmento di rete corretto, con la corretta policy di larghezza di banda, le corrette regole del firewall, tutto da un singolo SSID. Nessuna proliferazione di SSID. Nessun sovraccarico di beacon. Un solo nome di rete, centinaia di reti private isolate al di sotto di esso. Ora, una parola sulla randomizzazione dell'indirizzo MAC, perché questo è l'ostacolo che mette in difficoltà la maggior parte delle distribuzioni. A partire da iOS 14, Android 10 e Windows 11, i dispositivi utilizzano indirizzi MAC randomizzati per impostazione predefinita per motivi di privacy. Se il vostro server RADIUS esegue una ricerca MAC e il dispositivo presenta un indirizzo randomizzato, la ricerca fallisce e il dispositivo non può connettersi. La soluzione consiste nel configurare l'SSID per richiedere che i client utilizzino il loro indirizzo MAC hardware permanente, o nell'implementare un flusso di lavoro di pre-registrazione in cui i residenti registrano il loro dispositivo prima di connettersi. La piattaforma di Purple gestisce questo processo automaticamente come parte del flusso di onboarding dei residenti. Parliamo di modelli di distribuzione, perché UU PPSK può essere distribuito in tre modi distinti, e la scelta corretta dipende dalle dimensioni dell'edificio, dalle risorse IT e dal budget. Il primo è il PPSK locale del controller. In questo caso, le chiavi univoche sono memorizzate direttamente sul controller wireless, senza richiedere un server RADIUS esterno. Questo funziona bene per implementazioni più piccole, fino a circa 200 unità, ed è il più semplice da gestire. Ubiquiti UniFi lo supporta nativamente. Il limite è la scalabilità. La maggior parte dei controller si limita a poche centinaia di voci PPSK locali e si perde la gestione centralizzata del ciclo di vita che rende il PPSK operativamente praticabile su scala. Il secondo modello è il PPSK supportato da RADIUS. In questo caso, le chiavi sono memorizzate in un server RADIUS esterno e il controller interroga il server RADIUS per ogni nuova connessione. Questo modello scala fino a migliaia di unità. TP-Link Omada supporta fino a 4.000 PPSK con un server RADIUS esterno. Ruckus SmartZone, HPE Aruba ClearPass e Cisco ISE supportano tutti questo modello. L'overhead operativo è più elevato, ma la scalabilità e le capacità di gestione del ciclo di vita sono notevolmente migliori. Il terzo modello, e quello che Purple consiglia per gli operatori BTR e MDU, è il cloud RADIUS-as-a-Service. In questo caso, l'infrastruttura RADIUS è ospitata e gestita da Purple e i punti di accesso vengono collegati ad essa tramite un overlay cloud. Questo offre la scalabilità del PPSK supportato da RADIUS senza l'overhead operativo legato alla gestione di un proprio server RADIUS. La piattaforma di Purple si integra con l'hardware esistente, che si tratti di Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet, e fornisce il livello di orchestrazione per il provisioning delle chiavi, la gestione del ciclo di vita e l'onboarding dei residenti. Il ciclo di vita delle chiavi è completamente automatizzato. Un residente si trasferisce, la sua chiave viene fornita tramite l'integrazione con il sistema di gestione della proprietà. Se ne va, la sua chiave viene revocata istantaneamente, senza alcun impatto sugli altri residenti. Nessun intervento manuale, nessuna falla di sicurezza, nessuna complicazione legata alla rotazione delle password. Permettetemi di presentarvi due scenari di implementazione concreti per dare vita a questo concetto. Il primo è uno sviluppo Build to Rent da 250 unità. Lo sviluppatore aveva specificato punti di accesso Cisco Meraki in tutto l'edificio. Aveva bisogno che ogni residente disponesse di un'esperienza WiFi privata con supporto IoT completo, disponibilità al trasloco il giorno stesso e la capacità di supportare da 15 a 25 dispositivi per nucleo familiare. In media, un nucleo familiare BTR connette oggi 18 dispositivi al WiFi, da telefoni e laptop a smart speaker, chiavette per lo streaming e貌 elettrodomestici connessi. L'architettura implementata prevedeva un unico SSID in tutto l'edificio, con PPSK tramite il servizio cloud RADIUS di Purple. Ogni residente ha ricevuto una chiave univoca al momento del trasloco, consegnata tramite l'app per i residenti. La chiave era mappata su una VLAN dedicata con una subnet privata, offrendo a ciascun nucleo familiare un segmento di rete completamente isolato. La riflessione mDNS è stata abilitata all'interno di ciascuna VLAN, in modo che Chromecast, Apple TV e Sonos funzionassero come previsto. L'edificio è diventato operativo con 250 VLAN residenti attive il primo giorno, senza che il team in loco dovesse configurare manualmente il RADIUS. Il secondo scenario riguarda un complesso di alloggi per studenti da 400 posti letto appositamente costruito. La sfida in questo caso è il turnover annuale degli studenti. Ogni anno ad agosto, 400 studenti lasciano la struttura e 400 nuovi studenti vi fanno ingresso, spesso nell'arco della stessa settimana. Con un modello PSK condiviso, ciò comporta una rotazione della password a livello di intero edificio che interessa tutti i residenti che ritornano. Con UU PPSK, significa revocare 400 chiavi e distribuirne 400 nuove, il tutto automatizzato tramite l'integrazione con il sistema di gestione degli studenti. La distribuzione ha utilizzato Ruckus SmartZone con DPSK, supportato dal servizio RADIUS di Purple. Ogni studente ha ricevuto la propria chiave univoca via e-mail durante la registrazione precedente all'arrivo. La chiave era valida per la durata del contratto di locazione e scadeva automaticamente alla data di fine contratto. Il team operativo ha registrato una riduzione del 70% dei ticket di supporto relativi al WiFi nel primo trimestre, principalmente perché i problemi di associazione di Chromecast e smart TV che avevano afflitto la precedente implementazione PSK condivisa sono stati completamente eliminati. Ora vorrei soffermarmi sull'aspetto della conformità, poiché questo è un fattore rilevante per i gestori immobiliari in modi che a volte vengono sottovalutati. Il GDPR richiede che si possa dimostrare la responsabilità del trattamento dei dati. Nel contesto del WiFi, ciò significa essere in grado di identificare quale residente ha generato un determinato traffico di rete e poter rispondere a una richiesta di accesso dell'interessato o a una richiesta delle forze dell'ordine con dati accurati e specifici del residente. Con un PSK condiviso, questo è impossibile. Ogni dispositivo sulla rete appare identico dal punto di vista del server RADIUS. Con UU PPSK, ogni connessione è associata a una chiave specifica del residente, che a sua volta è collegata a un record di locazione specifico. In questo modo, il percorso di controllo è completo. Vorrei fornirvi tre regole pratiche prima di passare alle domande a raffica. Regola uno: se l'edificio ha più di 50 unità, utilizzate UU PPSK supportato da RADIUS, non il PPSK locale del controller. Il limite di scalabilità del PPSK locale del controller causerà problemi entro 12 mesi dall'attivazione. Regola due: pianificate la randomizzazione MAC fin dal primo giorno. Integrate un flusso di lavoro di preregistrazione nel processo di onboarding dei residenti. Non date per scontato che i dispositivi presentino il loro indirizzo MAC permanente per impostazione predefinita. Regola tre: automatizzate il ciclo di vita delle chiavi. Il valore operativo di UU PPSK rispetto a un PSK condiviso dipende interamente dal fatto che le chiavi vengano fornite e revocate automaticamente. La gestione manuale delle chiavi su larga scala non è praticabile. Integrate il sistema con il vostro sistema di gestione immobiliare o con il sistema di gestione degli studenti fin dall'inizio. Bene, passiamo a una serie di domande a raffica tra quelle che mi vengono poste più frequentemente. UU PPSK funziona con WPA3? Sì, con alcune riserve. WPA3-SAE modifica il meccanismo di handshake. La maggior parte dei controller moderni supporta UU PPSK in modalità di transizione WPA2 e WPA3 per la compatibilità con le versioni precedenti. Verificate la documentazione specifica del vostro fornitore prima di definire una distribuzione esclusivamente WPA3.Quante chiavi univoche può supportare un singolo SSID? Questo dipende dalla piattaforma del controller. Con un server RADIUS esterno, il limite pratico è la capacità del database RADIUS. Il servizio cloud RADIUS di Purple scala fino a decine di migliaia di chiavi simultanee. UU PPSK sostituisce l'802.1X? No. Per flotte di dispositivi aziendali completamente gestite con endpoint registrati MDM e infrastruttura di certificati già esistente, WPA3-Enterprise con 802.1X rappresenta la postura di sicurezza più forte. UU PPSK è lo strumento giusto per gli ambienti in cui non si controllano i dispositivi che si connettono alla rete, che è esattamente la situazione nei deployment BTR, alloggi per studenti e MDU. Su quale hardware funziona? L'overlay cloud di Purple supporta Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Non è necessario sostituire gli access point esistenti. Per riassumere: UU PPSK è l'architettura di autenticazione che rende il WiFi multi-tenant operativamente praticabile su scala residenziale. Offre isolamento di rete per singolo residente, supporto IoT completo, gestione automatizzata del ciclo di vita delle chiavi e un audit trail conforme al GDPR, il tutto da un singolo SSID sull'hardware esistente. I tre modelli di deployment - controller-local, RADIUS-backed e cloud RADIUS-as-a-Service - si adattano a diverse dimensioni di edifici e livelli di risorse IT. Per qualsiasi struttura superiore a 50 unità, il cloud RADIUS-as-a-Service è la scelta giusta. Elimina il sovraccarico operativo della gestione della propria infrastruttura RADIUS, offrendo al contempo la scalabilità e le capacità di gestione del ciclo di vita necessarie. La piattaforma WiFi Multi-Tenant di Purple offre esattamente questo. Fondata nel 2012, operiamo in oltre 80.000 sedi attive e la nostra piattaforma ha elaborato 440 milioni di accessi solo nel 2024. Siamo certificati ISO 27001, conformi al GDPR e agnostici rispetto all'hardware. Se stai pianificando un deployment BTR, alloggi per studenti o MDU e vuoi capire come UU PPSK si adatta alla tua architettura specifica, le guide collegate in questo briefing sono un buon punto di partenza. Grazie per l'attenzione. Alla prossima.