Pular para o conteúdo principal
Português (Brasil)

Cisco iPSK: um guia completo para empresas

Este guia completo explora a arquitetura, implementação e benefícios de negócios do Cisco iPSK (Identity Pre-Shared Key). Ele fornece aos líderes de TI em BTR, hotelaria e varejo estratégias práticas para implantar redes WiFi seguras, segmentadas e automatizadas sem a complexidade do 802.1X.

📖 6 min de leitura📝 1,472 palavras🔧 2 exemplos práticos3 questões práticas📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
Bem-vindo à série de briefings técnicos da Purple. Hoje estamos falando sobre o Cisco iPSK - Identity Pre-Shared Key - e por que ele se tornou o modelo de segurança WiFi de referência para incorporadores imobiliários, operadores de BTR, hotéis e empresas de varejo de várias unidades.\n\nDeixe-me começar com o problema. Você gerencia um empreendimento Build-to-Rent de 200 unidades. Você quer que cada residente tenha WiFi seguro e privado desde o primeiro dia. Você não quer colocar um roteador em cada apartamento. Você não quer gerenciar 200 redes separadas. E você definitivamente não quer que um residente seja capaz de ver a smart TV de outro residente na rede.\n\nO WPA2-PSK padrão - o modelo de senha compartilhada - falha imediatamente. Uma senha para todo o edifício significa que uma violação afeta a todos. E você não pode revogar o acesso de um único residente sem alterar a senha de todos os 200.\n\nO WPA3-Enterprise com 802.1X é o outro extremo. Muito seguro. Mas requer certificados ou credenciais de usuário e senha para cada dispositivo. Os termostatos inteligentes, consoles de jogos e dispositivos Amazon Alexa de seus residentes simplesmente não conseguem se conectar a uma rede 802.1X. Eles não têm suplicante. Você estaria recebendo chamadas de suporte todos os dias.\n\nO Cisco iPSK fica exatamente no meio. Cada residente recebe sua própria chave pré-compartilhada exclusiva. Para o residente, parece e funciona exatamente como uma senha de WiFi doméstica. Eles a digitam uma vez, e cada dispositivo que possuem se conecta. Nos bastidores, no entanto, o Cisco Wireless LAN Controller envia uma solicitação RADIUS para o Cisco ISE - o Identity Services Engine - contendo o endereço MAC do cliente. O ISE busca esse MAC, encontra o perfil de autorização correspondente e retorna o PSK correto por meio de um atributo Cisco AV-pair. O controlador então valida a conexão usando essa chave individual.\n\nO resultado: um único SSID para todo o edifício, mas cada residente fica isolado em seu próprio segmento de rede privada. A substituição de VLAN via RADIUS significa que o residente A entra na VLAN 101, o residente B na VLAN 102, e os dispositivos IoT do seu edifício - sensores de porta, CFTV, medidores inteligentes - ficam em uma VLAN completamente separada, sem contaminação cruzada.\n\nAgora deixe-me orientá-lo pela arquitetura em mais detalhes, porque é aqui que reside o verdadeiro poder.\n\nO fluxo de autenticação tem quatro etapas. Primeiro, o dispositivo cliente envia uma solicitação de associação ao ponto de acesso. Segundo, o Cisco Wireless LAN Controller - seja um Catalyst 9800 ou uma rede gerenciada pelo painel Cisco Meraki - envia um RADIUS Access-Request ao ISE, carregando o endereço MAC do cliente como nome de usuário e senha. Terceiro, o ISE avalia sua política de autorização. Ele associa o endereço MAC a um grupo de identidade de endpoint, recupera o PSK atribuído e retorna uma resposta Access-Accept contendo dois atributos Cisco AV-pair: psk-mode igual a ascii, e psk igual à frase de identificação real. Quarto, o controlador usa essa frase de identificação retornada para concluir o handshake EAPOL de quatro vias do WPA2 com o cliente.\n\nDo ponto de vista do cliente, isso é indistinguível dem uma conexão padrão WPA2-PSK. A complexidade é inteiramente do lado do servidor. Essa é a elegância do iPSK.\n\nNo Catalyst 9800, a configuração requer quatro coisas. Você ativa a filtragem MAC na WLAN. Você configura uma lista de métodos de autorização AAA apontando para o seu grupo de servidores ISE. Você ativa o override AAA no perfil de política. E você define um PSK padrão na WLAN - este é apenas um valor temporário; nenhum dispositivo realmente o usa, porque o ISE sempre o substitui pela chave individual.\n\nNo Cisco Meraki, o caminho é ligeiramente diferente. Você seleciona Identity PSK com RADIUS nas configurações de controle de acesso. O Meraki suporta dois modos: baseado em MAC, onde o ISE armazena mapeamentos de MAC para PSK, e Easy PSK, introduzido no firmware MR 30.x, que usa atributos EAPOL específicos do fornecedor para passar o PSK diretamente sem pré-registrar cada endereço MAC. O Easy PSK é particularmente útil quando você está lidando com a randomização de MAC em dispositivos iOS 14 e Android 10 - uma dor de cabeça operacional significativa no modelo baseado em MAC.\n\nDeixe-me dar dois cenários do mundo real para tornar isso concreto.\n\nCenário um: um empreendimento Build-to-Rent de 350 unidades. O operador quer que os residentes recebam suas credenciais de WiFi antes do dia da mudança. A plataforma Multi-Tenant WiFi da Purple integra-se com o sistema de gestão de propriedades. Quando um contrato é assinado, o PMS aciona uma chamada de API para a Purple, que gera um iPSK exclusivo e o provisiona no ISE. O residente recebe sua chave por e-mail. Eles entram no primeiro dia, conectam todos os seus dispositivos e a rede está ativa. Quando eles se mudam, a chave é revogada automaticamente. Zero intervenção manual da equipe de instalações. O operador reduziu as chamadas de suporte relacionadas ao WiFi em mais de 60 por cento em comparação com o modelo anterior de senha compartilhada.\n\nCenário dois: um hotel de 180 quartos. O hotel queria eliminar o login do Captive Portal que os hóspedes reclamavam repetidamente. Com o iPSK, cada quarto recebe uma chave exclusiva impressa no cartão da chave ou enviada por e-mail de confirmação da reserva. Os hóspedes conectam-se uma vez. Seu telefone, tablet e laptop se conectam automaticamente em visitas subsequentes dentro da mesma estadia. Os dispositivos IoT no quarto - smart TV, Chromecast, tablet do quarto - ficam em uma VLAN separada, isolada do tráfego de hóspedes. A integração PMS do hotel significa que as chaves são geradas no check-in e revogadas no check-out, sem qualquer etapa manual na recepção.\n\nAgora, uma palavra sobre as limitações - porque nenhuma tecnologia é isenta delas.\n\nA limitação mais significativa com o Cisco iPSK hoje é o WPA3 e a banda de 6 GHz. O WPA3 usa Simultaneous Authentication of Equals - SAE - um handshake mais seguro do que o WPA2-PSK. O SAE atualmente não suporta múltiplas chaves pré-compartilhadas por SSID da maneira que o WPA2 faz. Esta não é uma limitação exclusiva da Cisco. Ela afeta o MPSK da HPE Aruba, o DPSK da Ruckus, o PPSK da Juniper Mist - todos os fornecedores enfrentam a mesma restrição porque ela está enraizada no próprio padrão IEEE 802.11.\n\nA implicação prática: se você está implantando acessos WiFi 6E ou WiFi 7s points e deseja usar a banda de 6 GHz, você não pode executar iPSK nela. A banda de 6 GHz exige WPA3. Suas opções são executar iPSK nas bandas de 2.4 e 5 GHz enquanto usa WPA3-Enterprise em 6 GHz para dispositivos gerenciados, ou esperar que o padrão evolua.\n\nO segundo desafio operacional é a randomização de endereços MAC. Apple iOS 14 e Android 10 introduziram endereços MAC randomizados por rede como um recurso de privacidade. Em uma implantação de iPSK baseada em MAC, a controladora envia o MAC randomizado para o ISE. O ISE não o reconhece. A autenticação falha. O modo Easy PSK da Cisco Meraki resolve isso em grande parte, autenticando via parâmetros EAPOL em vez de busca por MAC.\n\nDeixe-me dar cinco regras práticas antes de encerrarmos.\n\nRegra um: se você tiver mais de 50 dispositivos ou usuários em um único SSID e precisar de controle de acesso por dispositivo, o iPSK é quase certamente o modelo certo. O PSK padrão não pode escalar, e o 802.1X vai quebrar seus dispositivos IoT.\n\nRegra dois: planeje sempre sua arquitetura de VLAN antes de configurar o iPSK. O poder do iPSK é a substituição de VLAN via RADIUS. Se você não projetou suas VLANs - moradores, IoT, equipe, gerência - você terá que adaptar isso mais tarde com um custo significativo.\n\nRegra três: se você estiver no Cisco Meraki e tiver clientes iOS ou Android, use o modo Easy PSK, não o modo baseado em MAC. A randomização de MAC causará falhas de autenticação em escala.\n\nRegra quatro: não implante iPSK sem uma camada de gerenciamento de ciclo de vida. Gerenciar manualmente milhares de chaves no ISE não é sustentável. Integre com seu provedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - ou use uma plataforma como a Purple que automatiza o provisionamento e a revogação por meio do seu sistema de gestão de propriedade ou de RH.\n\nRegra cinco: planeje sua migração para WPA3 agora, mesmo que não esteja implantando 6 GHz hoje. Projete sua rede para que o iPSK no WPA2 lide com dispositivos legados e IoT, enquanto o WPA3-Enterprise lide com endpoints corporativos gerenciados. Um design de SSID híbrido hoje evita uma dolorosa rearquitetura em 18 meses.\n\nPerguntas rápidas agora.\n\nO iPSK pode funcionar sem o Cisco ISE? Sim. O FreeRADIUS e o Microsoft NPS suportam o atributo Tunnel-Password que o iPSK exige. O ISE é a opção com mais recursos, mas não é obrigatório.\n\nQuantas chaves exclusivas um único SSID pode suportar? No Catalyst 9800 com ISE, o limite é efetivamente a capacidade do seu banco de dados RADIUS - dezenas de milhares de entradas. No Cisco Meraki sem RADIUS, o limite é de 50 chaves. Com RADIUS, ele escala para o mesmo nível do ISE.\n\nO iPSK suporta roaming rápido? Sim. O Catalyst 9800 suporta Fast Secure Roaming com iPSK, e o cache de chaves significa que a controladora não precisa consultar o RADIUS a cada evento de roam.\n\nO iPSK é compatível com PCI-DSS? O iPSK em si não garante a conformidade com PCI-DSS, mas suporta os requisitos de segmentação de rede do PCI-DSS 4.0. Os ambientes de dados de portadores de cartão devem ser isolados das redes de convidados e IoT - a capacidade de substituição de VLAN do iPSK é o mecanismo que alcança essa segmentaçãoção. Resumindo. O Cisco iPSK oferece identidade por dispositivo em um único SSID, sem a complexidade dos certificados 802.1X e sem as falhas de segurança de uma senha compartilhada. É o modelo ideal para Build-to-Rent, hotéis, varejo e qualquer ambiente multi-tenant onde você precisa isolar o tráfego, automatizar o ciclo de vida de acesso e suportar todos os tipos de dispositivos - desde um console de videogame até um sensor IoT industrial. As principais decisões são: Catalyst 9800 ou Meraki, ISE ou RADIUS alternativo, baseada em MAC ou Easy PSK, e como você se integra com seu provedor de identidade para automação do ciclo de vida. A plataforma Multi-Tenant WiFi da Purple cuida dessa última etapa - conectando seu sistema de gerenciamento de propriedades ou provedor de identidade à sua infraestrutura Cisco, automatizando o provisionamento e a revogação de chaves em escala, em mais de 80.000 locais ativos. Se você quiser se aprofundar em qualquer um desses pontos - revisão de arquitetura, configuração do ISE ou uma implantação piloto - o link para falar com nossa equipe está no guia. Obrigado por ouvir.

header_image.png

Resumo Executivo

O Cisco Identity Pre-Shared Key (iPSK) resolve o compromisso fundamental de segurança no WiFi corporativo: equilibrar a simplicidade de uma senha compartilhada com a segurança e segmentação do 802.1X. Para gerentes de TI e diretores de operações de locais em ambientes de Build-to-Rent (BTR), hotelaria e varejo, o iPSK oferece um método escalável para isolar o tráfego, proteger dispositivos IoT e automatizar o acesso à rede sem sobrecarregar o suporte.

Ao atribuir uma senha exclusiva para cada usuário ou dispositivo individual em um único SSID, o iPSK permite a segmentação granular de rede por meio de substituição de VLAN via RADIUS. Essa abordagem elimina o risco de uma única senha comprometida afetar todo o edifício, ao mesmo tempo que oferece suporte a 100% dos dispositivos de consumo - incluindo consoles de jogos, smart TVs e sensores IoT legados que não possuem suporte a 802.1X.

Este guia detalha a arquitetura técnica do Cisco iPSK, estratégias de implementação para ambientes Catalyst 9800 e Meraki, e o impacto comercial da rede baseada em identidade para operadores multilocatários.

Análise Técnica Detalhada: Como o Cisco iPSK Funciona

As redes WPA2-Personal tradicionais usam uma única senha estática para todos os clientes conectados. Se um residente compartilhar a senha, a segurança de todo o edifício estará comprometida. Por outro lado, o WPA2-Enterprise (802.1X) exige certificados complexos ou credenciais de usuário/senha, os quais dispositivos IoT "headless" não conseguem suportar.

O Cisco iPSK preenche essa lacuna funcionando como uma rede WPA2-PSK padrão para o dispositivo cliente, enquanto opera como um sistema de autenticação de nível corporativo no backend.

A Arquitetura de Autenticação

Quando um dispositivo cliente tenta se conectar a um SSID habilitado para iPSK, o fluxo de autenticação segue uma sequência específica:

  1. Solicitação de Associação: O dispositivo cliente envia uma solicitação de associação ao ponto de acesso Cisco.
  2. Bypass de Autenticação MAC (MAB): O Cisco Wireless LAN Controller (WLC) intercepta a solicitação e envia um RADIUS Access-Request para o servidor de autenticação (geralmente o Cisco Identity Services Engine - ISE). A solicitação usa o endereço MAC do cliente como usuário e senha.
  3. Avaliação de Políticas: O Cisco ISE avalia sua política de autorização. Ele associa o endereço MAC a um grupo de identidade de endpoint e recupera a chave pré-compartilhada atribuída para aquele dispositivo ou usuário específico.
  4. Resposta RADIUS: O ISE retorna uma resposta Access-Accept contendo atributos específicos do Cisco AV-pair: psk-mode=ascii e psk=[a frase secreta real]. Ele também pode retornar um atributo Tunnel-Private-Group-ID para especificar a VLAN.
  5. 4-Way Handshake: O WLC recebe a PSK exclusiva do ISE e a utiliza para concluir o handshake EAPOL 4-way WPA2 padrão com o dispositivo cliente.

architecture_overview.png

Segmentação de Rede e Substituição de VLAN

A principal vantagem técnica do iPSK é sua capacidade de aplicar a segmentação de rede em um único SSID. Em vez de transmitir SSIDs separados para residentes, funcionários e dispositivos IoT - o que aumenta a utilização do canal e a sobrecarga de gerenciamento - o iPSK usa RADIUS para atribuir dispositivos a VLANs específicas de forma dinâmica.

Quando o ISE retorna a mensagem Access-Accept, ele inclui a atribuição de VLAN. O WLC substitui a VLAN padrão do SSID e coloca o tráfego do cliente no segmento designado. Isso permite uma arquitetura de Rede de Área Privada (PAN), garantindo o isolamento de Camada 2. O smartphone e a smart TV de um residente ficam em sua própria VLAN isolada, totalmente invisíveis para o residente no apartamento adjacente.

Guia de Implementação: Catalyst 9800 e Meraki

A implantação do iPSK requer coordenação entre o controlador sem fio e o servidor RADIUS. O caminho de implementação difere ligeiramente dependendo se você está usando a infraestrutura Cisco Catalyst ou Cisco Meraki.

Configuração do Cisco Catalyst 9800

A série Catalyst 9800 executando o IOS-XE suporta implantações robustas de iPSK com Fast Secure Roaming. A configuração principal requer a ativação da filtragem MAC e da substituição de AAA.

  1. Configurar o Servidor RADIUS: Defina o servidor Cisco ISE e crie uma lista de métodos de autorização AAA apontando para o grupo de servidores.
  2. Configurar a WLAN: Em Segurança de Camada 2, ative a filtragem MAC e defina o gerenciamento de chaves de autenticação (Auth Key Management) para PSK. Você deve inserir uma chave pré-compartilhada padrão na interface do WLC; no entanto, essa chave funciona apenas como um marcador de posição e nunca é usada pelos clientes, pois o ISE a substitui.
  3. Ativar Substituição de AAA: No perfil de política associado à WLAN, ative a Substituição de AAA para permitir que o ISE dite a atribuição de PSK e VLAN.
  4. Configurar o ISE: No Cisco ISE, defina o Dispositivo de Rede, adicione os endereços MAC dos clientes aos Grupos de Identidade de Endpoint e crie Perfis de Autorização que retornam os atributos cisco-av-pair contendo as chaves exclusivas.

Configuração do Cisco Meraki

O Cisco Meraki simplifica o processo de implantação do iPSK por meio de seu painel, oferecendo dois modos operacionais distintos: Baseado em MAC e Easy PSK.

  1. iPSK Baseado em MAC: Este é o modelo de implantação tradicional. Você seleciona "Identity PSK com RADIUS" nas configurações de Controle de Acesso. O AP Meraki envia o endereço MAC do cliente para o servidor RADIUS, que retorna a PSK. Este método requer o pré-registro de cada endereço MAC de dispositivo no banco de dados RADIUS.2. Easy PSK (MR 30.x e mais recente): Para lidar com o desafio da randomização de endereços MAC em smartphones modernos, a Meraki introduziu o Easy PSK. Em vez de depender apenas de consultas MAC, o AP passa os parâmetros EAPOL (incluindo o ANonce e o MIC) diretamente para o servidor RADIUS usando atributos específicos do fornecedor Meraki. O servidor RADIUS executa um ataque de dicionário rápido contra seus iPSKs conhecidos para encontrar a correspondência e retorna a chave correta. Isso elimina a necessidade de pré-registrar endereços MAC.

comparison_chart.png

Melhores Práticas para BTR e Hospitalidade

Implementar o iPSK de forma eficaz requer mais do que configuração técnica; exige uma abordagem estruturada para a gestão do ciclo de vida e a experiência do usuário.

1. Automatize a Gestão do Ciclo de Vida das Chaves

Gerenciar manualmente milhares de chaves exclusivas no Cisco ISE é operacionalmente insustentável. Você deve integrar seu provedor de identidade (IdP) ou Sistema de Gestão de Propriedade (PMS) com sua infraestrutura de rede.

Para ambientes de Varejo e Hospitalidade , aproveite plataformas como o Guest WiFi da Purple para automatizar esse processo. Quando um hóspede faz o check-in em um hotel ou um morador assina um contrato de aluguel em uma propriedade BTR, o PMS aciona uma chamada de API que gera automaticamente o iPSK, provisiona-o no ISE e o envia por e-mail para o usuário. Quando o contrato termina, a chave é revogada instantaneamente.

2. Projete a Arquitetura de VLAN de Forma Antecipada

O valor do iPSK está na segmentação. Antes de configurar os controladores sem fio, mapeie sua estratégia de VLAN. Defina segmentos separados para:

  • Moradores individuais ou quartos de hotel (Redes de Área Privada)
  • Sistemas de gestão predial (HVAC, controle de acesso)
  • Dispositivos operacionais e da equipe
  • Usuários públicos ou temporários de Guest WiFi

3. Aborde a Randomização de MAC Proativamente

O Apple iOS 14 e o Android 10 introduziram endereços MAC randomizados por rede. Em uma implantação de iPSK baseada em MAC, isso quebra a autenticação porque o servidor RADIUS não reconhece o MAC randomizado.

Se estiver usando Meraki, implante o modo Easy PSK para ignorar o requisito de consulta MAC. Se estiver usando o Catalyst 9800, você deve instruir os usuários a desativar a opção "Endereço Wi-Fi Privado" para o SSID específico do edifício, ou utilizar um portal de integração que registra o MAC randomizado durante o fluxo de conexão inicial.

btr_deployment_scenario.png

Solução de Problemas e Mitigação de Riscos

Ao implantar o iPSK, as equipes de TI comumente encontram modos de falha específicos relacionados à compatibilidade com WPA3 e à comunicação RADIUS.

O Desafio do WPA3 e da Banda de 6 GHz

A restrição mais significativa enfrentada pelas implantações de iPSK hoje é a transição para o WPA3 e a banda de 6 GHz (WiFi 6E e WiFi 7). O WPA3 utiliza a Autenticação Simultânea de Iguais (SAE), um protocolo de handshake mais seguro que atualmente não suporta múltiplas chaves pré-compartilhadas por SSID da mesma maneira que o WPA2.

Como a banda de 6 GHz exige o WPA3, não é possível executar o iPSK tradicional em uma rede de 6 GHz. Para mitigar isso, implemente uma estratégia de SSID híbrida:

  • Mantenha o WPA2 iPSK nas bandas de 2,4 GHz e 5 GHz para suportar dispositivos legados e sensores de IoT.
  • Implante WPA3-Enterprise (802.1X) na banda de 6 GHz para endpoints corporativos gerenciados e smartphones modernos que suportam autenticação baseada em certificado.

Problemas de Timeout do RADIUS

Em grandes implantações, especialmente ao usar o Meraki Easy PSK, o servidor RADIUS deve processar atributos EAPOL complexos para encontrar a chave correspondente. Se o servidor RADIUS demorar muito, o handshake EAPOL expira no ponto de acesso.

Certifique-se de que sua infraestrutura RADIUS tenha recursos adequados. Posicione os servidores RADIUS geograficamente próximos aos controladores sem fio para minimizar a latência e monitore os tempos de resposta de Radius-Request para Access-Accept.

ROI e Impacto nos Negócios

A transição para uma arquitetura iPSK proporciona um impacto comercial mensurável para desenvolvedores imobiliários e operadores multi-inquilinos.

Redução de Custos de Suporte: Ao eliminar portais cativos e erros de certificado 802.1X, os operadores de BTR normalmente veem uma redução de 50 a 70% nos chamados de suporte técnico relacionados a WiFi. Os residentes podem conectar seus consoles de videogame e smart TVs de forma simples, exatamente como fariam em casa.

Consolidação de Hardware: O iPSK permite que você atenda a um edifício residencial inteiro com um único SSID gerenciado centralmente. Isso elimina a necessidade de instalar e gerenciar roteadores individuais de nível de consumidor em cada apartamento, reduzindo as despesas de capital e cortando drasticamente a interferência de RF.

Postura de Segurança Aprimorada: Ao isolar o tráfego dos residentes em redes de área privada e segmentar dispositivos de IoT vulneráveis, os operadores se protegem contra ataques de movimentação lateral. Se a lâmpada inteligente de um residente for comprometida, a ameaça será contida dentro de sua VLAN específica, protegendo a infraestrutura mais ampla do edifício e os outros residentes.

Para obter orientações abrangentes sobre implantações multi-inquilinos, consulte nosso Apartment WiFi solutions: a comprehensive guide for businesses .

Definições principais

Identity Pre-Shared Key (iPSK)

Um mecanismo de segurança sem fio que atribui senhas exclusivas a usuários ou dispositivos individuais em um único SSID, respaldado por um servidor RADIUS para autenticação e aplicação de políticas.

Quando as equipes de TI precisam proteger dispositivos IoT ou fornecer acesso simples para residentes sem usar certificados 802.1X complexos.

Private Area Network (PAN)

Um ambiente de rede microssegmentado que isola os dispositivos de um usuário específico de todos os outros dispositivos na mesma infraestrutura física.

Essencial em Build-to-Rent e alojamentos estudantis para garantir que os residentes possam transmitir para suas smart TVs sem que os vizinhos interceptem a transmissão.

VLAN Override

O processo no qual um servidor RADIUS instrui o controlador sem fio a ignorar a VLAN padrão do SSID e, em vez disso, colocar o cliente autenticado em uma VLAN atribuída dinamicamente.

O mecanismo principal que o iPSK usa para segmentar o tráfego, permitindo que funcionários, hóspedes e dispositivos IoT compartilhem um único SSID enquanto permanecem logicamente separados.

MAC Authentication Bypass (MAB)

Um método de autenticação no qual o dispositivo de acesso à rede envia o endereço MAC do cliente para o servidor RADIUS para verificar a identidade e recuperar a política.

Usado em implantações tradicionais de iPSK para identificar o dispositivo antes de retornar a chave pré-compartilhada exclusiva.

Simultaneous Authentication of Equals (SAE)

O protocolo de estabelecimento de chave segura usado no WPA3, projetado para proteger contra ataques de dicionário por força bruta.

A arquitetura do SAE atualmente limita a capacidade de usar várias chaves exclusivas em um único SSID, criando desafios para o iPSK em implantações de WiFi 6E/7.

Cisco AV-Pair

Atributos RADIUS específicos do fornecedor usados para passar dados de configuração proprietários entre o Cisco ISE e o hardware de rede Cisco.

No iPSK, os pares AV 'psk-mode=ascii' e 'psk=[key]' são os atributos exatos que entregam a senha exclusiva ao controlador wireless.

Easy PSK

Um recurso do Cisco Meraki que passa os parâmetros do handshake EAPOL diretamente para o servidor RADIUS para validar a PSK, em vez de depender de buscas de endereço MAC.

A principal solução para implantar iPSK em smartphones modernos que usam endereços MAC aleatórios.

Headless Device

Um dispositivo conectado à internet que não possui uma tela tradicional ou interface de teclado, como um termostato inteligente, sinalização digital ou sensor.

Esses dispositivos não conseguem navegar em portais cativos ou suportar 802.1X, tornando o iPSK a única maneira segura de integrá-los às redes corporativas.

Exemplos práticos

Um empreendimento de Build-to-Rent (BTR) com 350 unidades precisa fornecer WiFi seguro e privado a todos os residentes. Eles querem evitar a instalação de roteadores individuais em cada apartamento para minimizar a interferência de RF, mas os residentes devem conseguir conectar consoles de jogos e smart TVs com segurança, sem ver os dispositivos dos vizinhos.

Implante uma rede sem fio centralizada Cisco usando um único SSID em todo o edifício configurado para iPSK. Integre o Sistema de Gestão de Propriedades (PMS) com o Cisco ISE (ou uma plataforma como o Purple). Quando um residente assina um contrato de aluguel, o sistema gera automaticamente um iPSK exclusivo e o atribui a uma VLAN dedicada para aquele apartamento específico. O residente recebe a chave por e-mail e conecta todos os dispositivos ao único SSID. O Cisco ISE usa a chave exclusiva para direcionar o tráfego do residente para sua VLAN privada.

Comentário do examinador: Esta abordagem elimina o custo de capital e a interferência de RF de 350 roteadores individuais. Ela proporciona a experiência "Instant-On" que os residentes esperam, oferece suporte a dispositivos IoT sem interface de usuário (headless) que não são compatíveis com 802.1X e impõe um isolamento estrito de Camada 2 (Private Area Network) para garantir a privacidade entre os apartamentos.

Um hotel de 180 quartos deseja eliminar o atrito dos logins diários em portais cativos, garantindo ao mesmo tempo que os dispositivos dos hóspedes fiquem isolados das smart TVs e dos sistemas de controle dos quartos do hotel.

Implemente o iPSK na rede WiFi de hóspedes. Gere uma chave exclusiva para cada reserva e forneça-a ao hóspede no momento do check-in. O hóspede conecta seu telefone e laptop usando essa chave, ignorando qualquer Captive Portal. Configure as smart TVs do quarto e os controles de ambiente com seus próprios iPSKs estáticos, atribuídos a uma VLAN de IoT separada. Use a integração com o PMS do hotel para revogar automaticamente a chave do hóspede no check-out.

Comentário do examinador: Esta solução melhora diretamente os índices de satisfação dos hóspedes, proporcionando uma experiência de conectividade semelhante à de casa. Crucialmente, ela protege a infraestrutura do hotel ao segmentar dispositivos IoT vulneráveis longe de dispositivos de hóspedes potencialmente comprometidos, cumprindo as melhores práticas de segurança sem complicar a experiência do usuário.

Questões práticas

Q1. Você está implantando uma nova rede WiFi para um dormitório universitário. Os alunos precisam conectar smartphones, laptops e consoles de videogame. Você planeja usar um único SSID. Qual modelo de segurança você deve escolher e por quê?

Dica: Considere os recursos dos consoles de videogame e o risco de senhas compartilhadas em um ambiente estudantil.

Ver resposta modelo

O Cisco iPSK é a escolha correta. O WPA2-PSK padrão é inseguro para um dormitório, pois o compartilhamento de senhas é inevitável. O WPA3-Enterprise (802.1X) é seguro, mas não suportará os consoles de videogame ou alto-falantes inteligentes dos alunos. O iPSK permite que todos os dispositivos se conectem usando uma senha simples, ao mesmo tempo em que fornece a segmentação de backend necessária para isolar o tráfego de cada aluno.

Q2. Durante uma implantação de iPSK no Cisco Meraki, usuários com novos iPhones relatam que não conseguem se conectar à rede, enquanto usuários com laptops mais antigos se conectam normalmente. Qual é a causa provável e como você a resolve?

Dica: Pense nos recursos de privacidade recentes introduzidos nos sistemas operacionais móveis em relação aos identificadores de rede.

Ver resposta modelo

A causa provável é a randomização de endereços MAC (Endereço Wi-Fi Privado) nos iPhones. Se a rede estiver usando iPSK baseado em MAC, o servidor RADIUS não reconhecerá o MAC aleatório e rejeitará a conexão. Para resolver isso, altere a configuração do Meraki para o modo 'Easy PSK', que valida a PSK usando parâmetros EAPOL em vez de depender do endereço MAC.

Q3. Uma rede de varejo deseja atualizar para pontos de acesso WiFi 6E para utilizar a banda de 6 GHz. Atualmente, eles usam iPSK para seus terminais de ponto de venda (POS) e leitores de código de barras. Para qual desafio de arquitetura eles devem se planejar?

Dica: Considere os protocolos de segurança obrigatórios exigidos para operação no espectro de 6 GHz.

Ver resposta modelo

A banda de 6 GHz exige o uso de WPA3. Atualmente, o handshake WPA3 SAE não suporta nativamente múltiplas chaves pré-compartilhadas por SSID da mesma forma que o WPA2. A rede de varejo deve manter os dispositivos POS nas bandas de 2.4/5 GHz usando WPA2 iPSK, migrar os dispositivos POS para WPA3-Enterprise (se suportado) ou verificar se o firmware específico do seu fornecedor suporta soluções alternativas de WPA3-SAE iPSK proprietárias antes de atualizar.

Continue a ler esta série

Uu PPSK 2023: comparando recursos e modelos de implantação

Este guia de referência técnica compara a arquitetura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) com as implantações tradicionais de PSK compartilhado e 802.1X, com foco específico no cenário de 2023 de implementações de fornecedores e recursos de plataforma. Ele fornece a desenvolvedores imobiliários, operadores de BTR e proprietários de MDU estratégias de implantação práticas, orientações de arquitetura de VLAN e fluxos de trabalho automatizados de gerenciamento de ciclo de vida. O guia abrange três modelos de implantação, estudos de caso do mundo real e as implicações de conformidade de cada abordagem de autenticação.

Ler o guia →

PPSK xaverius: comparando recursos e modelos de implantação

Este guia definitivo examina a arquitetura PPSK xaverius para ambientes multi-inquilinos, como Build to Rent e alojamentos estudantis. Ele compara modelos de implantação, detalha estratégias de implementação e explica como o isolamento de VLAN por unidade oferece uma experiência de WiFi semelhante à residencial, mantendo a segurança corporativa.

Ler o guia →

PPSK mun: comparando recursos e modelos de implantação

Este guia de referência técnica compara a arquitetura Private Pre-Shared Key (PPSK) com as implantações tradicionais de 802.1X e PSK padrão. Ele fornece aos arquitetos de rede e gerentes de TI estratégias de implementação independentes de fornecedor para ambientes residenciais multi-tenant, IoT e BTR.

Ler o guia →