Uu PPSK pdf: confronto tra funzionalità e modelli di implementazione

Benvenuto al Technical Briefing di Purple. Oggi parleremo di PPSK - Private Pre-Shared Key WiFi - che cos'è, come si confronta con le alternative e dove ha effettivamente senso distribuirlo in una proprietà residenziale o commerciale multi-tenant. Iniziamo con il problema che risolve. In una rete standard WPA2 Personal, ogni dispositivo condivide la stessa password. Questo va bene per una casa. Diventa un rischio per uno sviluppo build-to-rent da 200 unità, uno studentato o un hotel con 300 camere. Quando un residente si trasferisce, o si cambia la password per tutti - bloccando la smart TV, il termostato e la console di gioco di ogni altro residente nel processo - oppure si lascia l'accesso al vecchio residente. Nessuna delle due opzioni è accettabile. PPSK risolve questo problema assegnando a ciascun residente, a ciascun appartamento o a ciascun gruppo di dispositivi la propria chiave WiFi unica. Tutti si connettono allo stesso SSID - lo stesso nome di rete - ma ogni chiave è associata a una VLAN separata. L'appartamento 12 è sulla VLAN 10. L'appartamento 13 è sulla VLAN 20. I dispositivi IoT sono sulla VLAN 99. L'access point gestisce automaticamente l'associazione tra chiave e VLAN. Nessun server RADIUS richiesto per il modello base. Nessuna infrastruttura di certificati. Nessun supplicant 802.1X sul dispositivo. Ora parliamo della terminologia, perché varia a seconda del fornitore e questo crea una reale confusione sul mercato. Aruba lo chiama PPSK - Private Pre-Shared Key. Cisco Meraki lo chiama iPSK - Identity PSK, o Personal Private Network. Juniper Mist utilizza ePSK. Extreme Networks, che ha originariamente sviluppato il concetto con il marchio Aerohive, lo chiama Private PSK. Ubiquiti UniFi lo chiama semplicemente PPSK. Anche Cambium utilizza ePSK. Il meccanismo di base è identico per tutti: un unico SSID, più chiavi uniche, ciascuna chiave legata a una VLAN o a un gruppo di policy. Tecnicamente, ecco cosa succede a livello di associazione. Quando un dispositivo si connette, presenta la sua chiave pre-condivisa durante l'handshake a quattro vie WPA2. L'access point - o il cloud controller alle sue spalle - cerca quella chiave nell'archivio PPSK, identifica a quale VLAN è associata e tagga di conseguenza il traffico del dispositivo da quel momento in poi. Il dispositivo vede una normale connessione WiFi. Non ha idea di essere stato inserito in un segmento isolato. Il suo Chromecast funziona. Il suo smart speaker si accoppia. La sua console ottiene il tipo di NAT corretto. Tutto si comporta come una rete domestica - perché, dal punto di vista del dispositivo, lo è. Questa è la distinzione fondamentale rispetto a 802.1X, che è lo standard aziendale per le reti del personale e gli ambienti corporate. 802.1X richiede un server RADIUS, un identity provider - Microsoft Entra ID, Okta o Google Workspace - e un supplicant su ogni dispositivo. Quel supplicant è il componente software che gestisce lo scambio di autenticazione EAP. Ogni laptop gestito, ogni telefono aziendale, ne ha uno. Il frigorifero intelligente del tuo residente non ce l'ha. Il controller HVAC del tuo edificio non ce l'ha. I tuoi sensori IoT non ce l'hanno. PPSK funziona con tutti loro perché opera a livello WPA Personal, non a livello WPA Enterprise. Detto questo, PPSK non sostituisce l'802.1X negli ambienti aziendali. Si tratta di uno strumento diverso per un problema diverso. Se gestisci una rete per il personale in cui conta la responsabilità individuale - dove devi sapere che una persona specifica si è autenticata in un momento specifico e devi revocare il suo accesso nel momento stesso in cui lascia l'organizzazione - l'802.1X è la risposta corretta. Se gestisci una rete residenziale in cui hai bisogno di isolamento per singola abitazione, supporto IoT e semplicità operativa su scala, PPSK è la risposta corretta. Vediamo i tre principali modelli di implementazione in produzione oggi. Il primo è il modello cloud-controller, che è il più comune per le nuove implementazioni. I tuoi access point - che si tratti di Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks o Fortinet - si connettono a una piattaforma di gestione cloud. L'archivio delle chiavi PPSK risiede nel cloud controller. Quando registri un nuovo residente, crei una chiave nel portale, la assegni a una VLAN e il controller invia la policy a ogni access point dell'edificio. Il residente riceve la sua chiave - tramite email, SMS o un codice QR in un pacchetto di benvenuto - e si connette. Quando si trasferisce, elimini la chiave. I suoi dispositivi smettono di connettersi. Nessun altro viene influenzato. Il secondo modello di implementazione è PPSK con un backend RADIUS locale. Alcune implementazioni aziendali utilizzano un server RADIUS per memorizzare e convalidare le credenziali PPSK, il che offre logging centralizzato, audit trail e integrazione con la tua piattaforma di gestione delle identità. Questo aggiunge sovraccarico infrastrutturale ma offre la responsabilità dell'802.1X con la compatibilità dei dispositivi di PPSK. È il modello giusto per ambienti misti - ad esempio, uno spazio di coworking in cui sono presenti sia dispositivi aziendali gestiti sia apparecchiature IoT di proprietà dei membri. Il terzo modello è ibrido: PPSK per residenti e IoT, 802.1X per personale e sistemi di gestione. Questa è l'architettura che Purple consiglia per le implementazioni build-to-rent e unità multi-familiari. I residenti utilizzano PPSK. I sistemi di gestione dell'edificio, la videosorveglianza e il controllo degli accessi ottengono la propria VLAN IoT con PPSK. I dispositivi del team di gestione della proprietà utilizzano l'802.1X rispetto a Microsoft Entra ID o Okta. Tre modelli di autenticazione distinti, tre VLAN distinte, un'unica infrastruttura fisica. Ora passiamo all'implementazione. Se stai implementando PPSK per uno sviluppo build-to-rent o una proprietà con unità multi-familiari, ecco la sequenza ideale. Inizia con il tuo design logico prima di toccare l'hardware. Mappa il numero di residenti, le categorie di dispositivi IoT e tutti i sistemi del personale o di gestione. Assegna le VLAN. Un'implementazione BTR tipica si presenta così: VLAN da 10 fino a qualunque sia il numero di unità richiesto per i residenti - una VLAN per appartamento o una VLAN per piano a seconda della densità. VLAN 99 per IoT. VLAN 100 per la gestione dell'edificio. VLAN 200 per la rete WiFi ospiti nelle aree comuni. Poi documenta il tuo schema di indirizzamento IP. In un edificio di 200 unità, si parla di una quota compresa tra tremila e cinquemila dispositivi sulla rete in qualsiasi momento. Questa è la cifra da 15 a 25 dispositivi per nucleo familiare ricavata dalle ricerche della British Property Federation. I tuoi scope DHCP devono essere in grado di soddisfare questa esigenza. Utilizza l'indirizzamento privato RFC 1918 con dimensioni di subnet sufficienti per ciascuna VLAN. Una barra 24 ti offre 254 indirizzi utilizzabili. Una barra 23 te ne offre 510. Ridimensiona di conseguenza. Sulla selezione dell'hardware: PPSK è supportato su tutte le principali piattaforme di access point aziendali. Cisco Meraki lo chiama iPSK e lo gestisce tramite la dashboard Meraki con criteri di chiave per SSID. HPE Aruba lo implementa nativamente in ArubaOS e Aruba Central. Ruckus lo supporta tramite SmartZone e la piattaforma Ruckus Cloud. Juniper Mist utilizza ePSK con gestione RF basata sull'IA. Ubiquiti UniFi supporta PPSK dal 2023, anche se si noti che attualmente è solo WPA2 e non funzionerà sulla banda a 6 gigahertz. Cambium ed Extreme lo supportano entrambi attraverso le rispettive piattaforme cloud. Un vincolo critico da segnalare: l'implementazione PPSK di UniFi è solo WPA2. Se stai specificando access point WiFi 6E e desideri utilizzare la banda a 6 gigahertz per i client PPSK, avrai bisogno di una piattaforma che supporti WPA3-SAE con PPSK, oppure dovrai limitare i client PPSK alle bande a 2,4 e 5 gigahertz. Aruba, Ruckus e Meraki supportano tutti PPSK su configurazioni WPA3. Ora parliamo delle insidie. Questi sono i casi di errore che vedo ripetutamente nelle installazioni in produzione. Il primo è la proliferazione degli SSID. Ogni SSID trasmesso consuma tempo di trasmissione per i frame beacon. In un edificio residenziale denso, se trasmetti sei o otto SSID per access point, stai degradando le prestazioni per tutti. Mantieni un massimo di quattro SSID per radio. Utilizza PPSK per servire più segmenti di residenti da un singolo SSID anziché creare un SSID separato per appartamento o per piano. La seconda insidia è l'insufficiente configurazione della porta trunk. Progetti uno schema VLAN pulito, distribuisci gli access point e poi il traffico si interrompe silenziosamente perché qualcuno ha dimenticato di consentire le VLAN pertinenti su un collegamento trunk tra lo switch di distribuzione e l'access layer. Convalida ogni porta trunk durante la messa in servizio. Documentalo. Testalo con un dispositivo su ciascuna VLAN prima che i residenti si trasferiscano. La terza insidia è la distribuzione delle chiavi. Generare le chiavi è facile. Consegnarle ai residenti in modo sicuro e gestibile dal punto di vista operativo è più difficile. Un codice QR nel pacchetto di benvenuto funziona bene per il giorno del trasloco. Un portale per i residenti in cui possono recuperare la propria chiave e aggiungere nuovi dispositivi è migliore per le operazioni quotidiane. Costruisci il flusso di lavoro per la distribuzione delle chiavi prima della distribuzione, non dopo. Ora passiamo a una sessione rapida di domande e risposte sulle questioni che si presentano più spesso. Quante chiavi PPSK può gestire un singolo access point? La maggior parte delle piattaforme enterprise supporta migliaia di chiavi per SSID. Cisco Meraki supporta fino a 5.000 voci iPSK per rete. Aruba supporta una scala simile. Ubiquiti UniFi supporta fino a 1.000 voci PPSK per rete. Per un edificio di 200 unità, si rientra ampiamente nei limiti su qualsiasi piattaforma. Il PPSK funziona con WPA3? Sì, sulla maggior parte delle piattaforme enterprise. WPA3-SAE offre una protezione più forte contro gli attacchi di dizionario offline rispetto a WPA2-PSK, quindi distribuire il PPSK su WPA3 dove i dispositivi client lo supportano è l'approccio corretto. L'eccezione è UniFi, che attualmente è solo WPA2 per il PPSK. Posso integrare il PPSK con il mio sistema di gestione immobiliare? Sì, tramite l'API del fornitore. Aruba Central, Meraki, Ruckus e Mist espongono tutte API REST per la gestione delle chiavi PPSK. La piattaforma Multi-Tenant WiFi di Purple si colloca al di sopra di queste API e fornisce un unico livello di gestione per tutti i fornitori di hardware, con webhook per attivare automaticamente il provisioning e la revoca delle chiavi dal proprio sistema di gestione immobiliare. E per quanto riguarda il GDPR? Le chiavi PPSK sono credenziali, non dati personali in sé. Tuttavia, se si collega una chiave a un residente nominativo - cosa che si farà, per motivi operativi - tale collegamento costituisce un dato personale ai sensi del UK GDPR. Occorre memorizzarlo in modo sicuro, conservarlo solo per il tempo necessario e assicurarsi che l'accordo sul trattamento dei dati con il fornitore della piattaforma WiFi copra questo aspetto. Purple è certificata ISO 27001, conforme al GDPR e certificata Cyber Essentials. Concludiamo con i punti chiave da ricordare. Primo: il PPSK è il modello di autenticazione corretto per gli ambienti residenziali multi-tenant. Offre isolamento per singola abitazione, compatibilità IoT e semplicità operativa che i sistemi PSK standard e 802.1X non possono eguagliare simultaneamente. Secondo: la terminologia varia a seconda del fornitore - PPSK, iPSK, ePSK, Personal Private Network - ma il meccanismo è lo stesso. Non lasciate che la confusione sui nomi ritardi la vostra decisione di acquisto. Terzo: progettate lo schema VLAN prima di toccare l'hardware. La progettazione logica è la parte difficile. L'implementazione fisica ne consegue. Quarto: mantenete il numero di SSID al di sotto di quattro per radio. Utilizzate il PPSK per consolidare i segmenti su un unico SSID invece di moltiplicare i nomi di rete. Quinto: create il vostro flusso di lavoro per la distribuzione delle chiavi prima della messa in servizio. Il giorno del trasloco non è il momento ideale per scoprire che il processo di onboarding presenta delle lacune. Se desiderate approfondire uno di questi aspetti - selezione dell'hardware, progettazione delle VLAN per una proprietà specifica o integrazione del PPSK con il vostro sistema di gestione immobiliare - il team di Purple Multi-Tenant WiFi può guidarvi nel processo. Troverete la guida scritta completa e gli schemi di architettura su purple.ai. Grazie per l'ascolto.