Uu PPSK hukumonline: confronto tra funzionalità e modelli di implementazione

Benvenuto al Purple Technical Briefing. Oggi parleremo di PPSK WiFi - Private Pre-Shared Key - cos'è, come si confronta con le alternative e dove ha effettivamente senso implementarlo. Iniziamo con il problema che risolve. In una rete WPA2 Personal tradizionale, ogni dispositivo sulla rete condivide la stessa password. Questo va bene per una casa. È un problema per un complesso Build to Rent da 200 unità, uno studentato o un hotel con 300 camere. Quando un residente si trasferisce, o si cambia la password per tutti - scollegando la smart TV, il termostato e la console di ogni altro residente nel processo - o si lascia al vecchio residente l'accesso. Nessuna delle due opzioni è accettabile. PPSK risolve questo problema fornendo a ciascun residente, a ciascun appartamento o a ciascun gruppo di dispositivi la propria chiave WiFi univoca. Si collegano tutti allo stesso SSID - lo stesso nome di rete - ma ogni chiave è associata a una VLAN separata. L'appartamento 12 è sulla VLAN 10. L'appartamento 13 è sulla VLAN 20. I dispositivi IoT sono sulla VLAN 99. L'access point gestisce automaticamente l'associazione tra chiave e VLAN. Nessun server RADIUS richiesto. Nessuna infrastruttura di certificati. Nessun supplicant 802.1X sul dispositivo. Ora parliamo della terminologia, perché varia a seconda del vendor e questo causa una reale confusione sul mercato. Aruba lo chiama PPSK - Private Pre-Shared Key. Cisco Meraki lo chiama iPSK - Identity PSK. Juniper Mist utilizza ePSK. Extreme Networks, che originariamente ha sviluppato il concetto con il marchio Aerohive, lo chiama Private PSK. Ubiquiti UniFi lo chiama semplicemente PPSK. Anche Cambium utilizza ePSK. Il meccanismo alla base è identico per tutti: un unico SSID, più chiavi univoche, ciascuna chiave legata a una VLAN o a un gruppo di criteri. Tecnicamente, ecco cosa succede a livello di associazione. Quando un dispositivo si connette, presenta la sua chiave pre-condivisa durante l'handshake a quattro vie WPA2. L'access point - o il controller cloud alle sue spalle - cerca quella chiave nell'archivio PPSK, identifica a quale VLAN è associata e contrassegna il traffico del dispositivo di conseguenza. Il dispositivo vede una normale connessione WiFi. Non ha idea di essere stato inserito in un segmento isolato. Il suo Chromecast funziona. Il suo smart speaker si accoppia. La sua console ottiene il tipo di NAT corretto. Tutto si comporta come una rete domestica - perché dal punto di vista del dispositivo, lo è. Questa è la distinzione fondamentale rispetto a 802.1X, che è lo standard enterprise per le reti del personale e gli ambienti aziendali. 802.1X richiede un server RADIUS, un identity provider - Microsoft Entra ID, Okta o Google Workspace - e un supplicant su ogni dispositivo. Quel supplicant è il componente software che gestisce lo scambio di autenticazione EAP. Ogni laptop gestito, ogni telefono aziendale ne ha uno. Il frigorifero intelligente del tuo residente no. Il controller HVAC del tuo edificio no. I tuoi sensori IoT no. PPSK funziona con tutti loro perché opera a livello WPA Personal, non a livello WPA Enterprise. Detto questo, PPSK non è un sostituto di 802.1X negli ambienti aziendali. È uno strumento diverso per un problema diverso. Se gestisci una rete per il personale in cui conta la responsabilità individuale, 802.1X è la risposta corretta. Se gestisci una rete residenziale in cui hai bisogno di isolamento per singolo nucleo familiare, supporto IoT e semplicità operativa su scala, PPSK è la risposta corretta. Vediamo i modelli di implementazione. Oggi in produzione esistono tre pattern principali. Il primo è il modello cloud-controller, che è il più comune per le nuove implementazioni. I tuoi access point - che si tratti di Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme o Fortinet - si connettono a una piattaforma di gestione cloud. L'archivio delle chiavi PPSK risiede nel controller cloud. Quando registri un nuovo residente, crei una chiave nel portale, la assegni a una VLAN e il controller invia la policy a ogni access point dell'edificio. Il residente riceve la sua chiave tramite email, SMS o un codice QR in un pacchetto di benvenuto e si connette. Quando si trasferisce, elimini la chiave. I suoi dispositivi smettono di connettersi. Nessun altro viene influenzato. Il secondo modello è PPSK con un backend RADIUS locale. Alcune implementazioni aziendali utilizzano un server RADIUS per memorizzare e convalidare le credenziali PPSK, il che offre logging centralizzato, audit trail e integrazione con la tua piattaforma di gestione delle identità. Questo aggiunge un sovraccarico infrastrutturale ma offre la responsabilità di 802.1X con la compatibilità dei dispositivi di PPSK. Il terzo modello è ibrido: PPSK per residenti e IoT, 802.1X per personale e sistemi di gestione. Questa è l'architettura che Purple consiglia per le implementazioni Build to Rent e per le unità abitative plurifamiliari. I residenti utilizzano PPSK. I sistemi di gestione dell'edificio, la videosorveglianza e il controllo degli accessi ottengono la propria VLAN IoT con PPSK. I dispositivi del team di gestione della proprietà utilizzano 802.1X con Microsoft Entra ID o Okta. Tre modelli di autenticazione distinti, tre VLAN distinte, un'unica infrastruttura fisica. Ora passiamo all'implementazione. Inizia con la tua progettazione logica prima di toccare l'hardware. Definisci il numero di residenti, le categorie di dispositivi IoT e tutti i sistemi del personale o di gestione. Assegna le VLAN. Un'implementazione BTR tipica ha questo aspetto: dalla VLAN 10 fino a quella richiesta dal numero di unità per i residenti, una VLAN per appartamento o una VLAN per piano a seconda della densità. VLAN 99 per l'IoT. VLAN 100 per la gestione dell'edificio. VLAN 200 per il WiFi ospiti nelle aree comuni. In un edificio di 200 unità, si parla di un numero compreso tra 3.000 e 5.000 dispositivi connessi alla rete in qualsiasi momento. Questa è la cifra da 15 a 25 dispositivi per nucleo familiare ricavata dalle ricerche della British Property Federation. Gli scope DHCP devono essere adatti a questo scopo. Utilizza l'indirizzamento privato RFC 1918 con dimensioni di subnet sufficienti per ciascuna VLAN. Una barra 24 ti offre 254 indirizzi utilizzabili. Una barra 23 te ne offre 510. Dimensiona di conseguenza. Sulla scelta dell'hardware: PPSK è supportato su tutte le principali piattaforme di access point aziendali. Cisco Meraki lo chiama iPSK e lo gestisce tramite la dashboard Meraki. HPE Aruba lo implementa nativamente in ArubaOS e Aruba Central. Ruckus lo supporta tramite SmartZone. Juniper Mist utilizza ePSK con gestione RF guidata dall'IA. Ubiquiti UniFi offre PPSK dal 2023, anche se attualmente è limitato a WPA2. Aruba, Ruckus e Meraki supportano tutti PPSK su configurazioni WPA3. Ora i potenziali problemi. Il primo è la proliferazione degli SSID. Ogni SSID trasmesso consuma tempo di trasmissione per i frame di beacon. Mantieni un massimo di quattro SSID per radio. Utilizza PPSK per servire più segmenti di residenti da un singolo SSID invece di creare un SSID separato per ogni appartamento. Il secondo problema è l'insufficiente configurazione delle porte trunk. Progetti uno schema VLAN pulito, distribuisci gli access point e poi il traffico cade silenziosamente perché qualcuno ha dimenticato di consentire le VLAN pertinenti su un collegamento trunk. Convalida ogni porta trunk durante la messa in servizio. Testala con un dispositivo su ciascuna VLAN prima del trasferimento dei residenti. Il terzo problema è la distribuzione delle chiavi. Generare le chiavi è facile. Consegnarle ai residenti in modo sicuro è più difficile. Un codice QR nel pacchetto di benvenuto funziona bene per il giorno del trasloco. Un portale per i residenti è migliore per le operazioni quotidiane. Crea il flusso di lavoro per la distribuzione delle chiavi prima della distribuzione, non dopo. Ora passiamo a domande rapide. Quante chiavi PPSK può gestire un singolo access point? Cisco Meraki supporta fino a 5.000 voci iPSK per rete. Aruba supporta una scala simile. Ubiquiti UniFi supporta fino a 1.000 voci PPSK per rete. Per un edificio di 200 unità, sei ampiamente entro i limiti su qualsiasi piattaforma. PPSK funziona con WPA3? Sì, sulla maggior parte delle piattaforme enterprise. WPA3-SAE offre una protezione più forte contro gli attacchi con dizionario offline. L'eccezione è UniFi, che attualmente supporta solo WPA2 per PPSK. Posso integrare PPSK con il mio sistema di gestione della proprietà? Sì, tramite l'API del fornitore. La piattaforma Multi-Tenant WiFi di Purple si configura come un overlay cloud sopra l'hardware esistente e gestisce il provisioning delle chiavi, l'assegnazione delle VLAN e l'onboarding dei residenti tramite un'unica dashboard - con integrazioni nelle piattaforme di gestione della proprietà per flussi di lavoro automatizzati di ingresso e uscita. Per riassumere. PPSK è il modello di autenticazione corretto per ambienti residenziali multi-tenant, alloggi per studenti e distribuzioni ad alta densità di IoT in cui la compatibilità dei dispositivi conta più dell'identità basata su certificati. Offre l'isolamento della rete per singolo nucleo familiare, supporta ogni tipo di dispositivo e scala fino a migliaia di chiavi senza infrastruttura RADIUS. Il modello ibrido - PPSK per i residenti, 802.1X per il personale - ti offre il meglio di entrambi i mondi su un'unica rete fisica. Le tre cose da fare bene fin dal primo giorno sono: la progettazione della VLAN, il flusso di lavoro per la distribuzione delle chiavi e la configurazione delle porte trunk. Fai bene queste tre cose e il resto verrà da sé. Per saperne di più sulla piattaforma WiFi multi-tenant di Purple e su come gestisce il provisioning PPSK su scala, visita purple dot ai. Grazie per l'ascolto.