Guia abrangente de iPSK: um guia completo para empresas

Boas-vindas ao briefing técnico da Purple. Hoje falaremos sobre o iPSK, que significa Identity Pre-Shared Key, e por que ele se tornou o modelo definitivo de segurança WiFi para incorporadoras imobiliárias, operadoras de BTR e empreendimentos residenciais multi-inquilinos. Deixe-me começar com o problema que você realmente está tentando resolver. Você gerencia um empreendimento Build-to-Rent. Podem ser 100 unidades, podem ser 500. Você quer que cada morador tenha WiFi seguro e privado desde o primeiro dia. Você não quer instalar um roteador separado em cada apartamento. Você não quer gerenciar centenas de redes separadas. E você absolutamente não pode ter o Morador A navegando na smart TV do Morador B na rede. O WPA2-PSK padrão, o modelo de senha compartilhada, falha imediatamente nesta escala. Uma senha para todo o edifício significa que uma única violação afeta a todos. E você não pode revogar o acesso de um único morador sem alterar a senha de todos eles. Isso é operacionalmente impossível. O outro extremo é o WPA3-Enterprise com 802.1X. Muito seguro. Mas requer certificados digitais ou credenciais de nome de usuário e senha para cada dispositivo. Os consoles de jogos, alto-falantes inteligentes e termostatos de seus moradores simplesmente não conseguem se conectar a uma rede 802.1X. Eles não possuem suplicante. Você estaria recebendo chamadas de suporte todos os dias. O iPSK fica exatamente no meio. Cada morador recebe sua própria chave pré-compartilhada exclusiva. Para o morador, parece e funciona exatamente como uma senha de WiFi doméstica. Eles a digitam uma vez e todos os dispositivos que possuem se conectam. Nos bastidores, no entanto, o ponto de acesso sem fio envia uma solicitação RADIUS para a nuvem Purple, contendo o endereço MAC do cliente. Nosso servidor RADIUS busca esse MAC, encontra o perfil de autorização correspondente e retorna a PSK correta. O ponto de acesso então valida a conexão usando essa chave individual. O resultado: um único SSID para todo o edifício, mas cada morador fica isolado em seu próprio segmento de rede privada. Agora deixe-me orientá-lo pela arquitetura, porque é aqui que reside o verdadeiro poder. O fluxo de autenticação possui quatro etapas. Primeiro, o dispositivo do cliente envia uma solicitação de associação ao ponto de acesso. Segundo, o controlador sem fio - seja ele Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist - envia um RADIUS Access-Request para a nuvem Purple, carregando o endereço MAC do cliente. Terceiro, nosso servidor RADIUS avalia a política de autorização. Ele associa o endereço MAC ao registro do morador, recupera a PSK atribuída e retorna uma resposta Access-Accept contendo o VLAN ID para aquele morador. Quarto, o ponto de acesso direciona o cliente para sua VLAN dedicada. Do ponto de vista do morador, isso é indistinguível de uma conexão WiFi doméstica padrão. A complexidade fica inteiramente no lado do servidor. Essa é a elegância do iPSK. A substituição de VLAN via RADIUS significa que o Residente A fica na VLAN 101, o Residente B na VLAN 102, e os dispositivos IoT do seu prédio, sensores de portas, CFTV, medidores inteligentes, ficam em uma VLAN completamente separada, sem contaminação cruzada. Uma palavra sobre o que chamamos de Rede de Área Privada, ou PAN. Este é o balão virtual criado em torno dos dispositivos de cada residente. Embora centenas de residentes compartilhem a mesma infraestrutura de WiFi, o iPSK garante o isolamento de Camada 2. O telefone do Residente A pode ver seu próprio Chromecast e impressora. O Residente B no apartamento ao lado não consegue ver ou interagir de forma alguma com esses dispositivos. Isso também ativa algo chamado mDNS Reflection, que permite que os dispositivos se descubram dentro de seu próprio segmento privado. Assim, transmitir a Netflix para um Chromecast funciona perfeitamente, exatamente como funcionaria em um roteador doméstico, mas não vaza para o corredor ou para a rede de qualquer outro residente. Deixe-me agora comparar o iPSK com as alternativas, porque a escolha do modelo de autenticação é uma das decisões mais consequentes que você tomará no design da sua rede. O PSK padrão, WPA2-Personal, oferece simplicidade. Todos usam a mesma senha. Mas não há controle central. Se um residente vazar a senha, toda a rede estará em risco. Rotacionar a senha quando um residente sai afeta todos os outros residentes. Em um condomínio com 200 unidades, isso se torna inviável. O 802.1X EAP-TLS é o padrão corporativo de alta segurança. Ele fornece autenticação baseada em certificado por dispositivo. Você pode revogar o acesso individual instantaneamente. Mas requer uma autoridade certificadora, gerenciamento de certificados e um suplicante em cada dispositivo. Consoles de jogos, smart TVs, dispositivos Amazon Alexa, nenhum deles suporta 802.1X. Em um ambiente residencial, isso é inviável. O iPSK oferece a identidade por dispositivo do 802.1X com a simplicidade operacional de uma senha doméstica. Ele suporta 100% dos dispositivos, incluindo todos os dispositivos IoT sem interface de tela (headless) de seus residentes. E escala para milhares de unidades sem adicionar sobrecarga de gerenciamento, porque o ciclo de vida é automatizado. A terminologia do fornecedor varia, e vale a pena conhecer os equivalentes. A HPE Aruba chama isso de MPSK, Multi-PSK. Ruckus e Juniper Mist usam DPSK, Dynamic PSK. O Ubiquiti UniFi chama de PPSK, Private PSK. O conceito é idêntico em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A Purple é implantada como uma sobreposição na nuvem em todas essas plataformas. Você não precisa substituir seus pontos de acesso. Agora deixe-me orientá-lo sobre a implementação, porque é aqui que as implantações costumam falhar. O primeiro e mais comum erro é subdimensionar o escopo DHCP. Engenheiros de rede às vezes atribuem uma sub-rede slash-28 por apartamento para economizar espaço de endereço IP. Isso equivale a 14 endereços utilizáveis. Em 2026, um casal em um apartamento BTR esgotará 14 IPs até terça-feira. Um telefone, um notebook, um tablet, uma smart TV, um console de videogame, uma smart speaker, algumas lâmpadas inteligentes. Você já chega a oito dispositivos antes de receber um amigo em casa. Sempre use por padrão uma sub-rede slash-24 por residente. O segundo detalhe crítico é o isolamento de clientes. Você deve garantir que o isolamento de clientes esteja desativado dentro da VLAN do residente. Se você deixar o isolamento de clientes ativado, você quebra a funcionalidade de casa inteligente que o iPSK foi projetado para habilitar. Dispositivos na mesma chave não se comunicarão entre si, e você passará a semana inteira atendendo chamados de suporte do Chromecast. A terceira consideração é o roaming. Se um residente caminhar de seu apartamento no quarto andar até a academia no térreo, a conexão dele precisa persistir. Isso significa que sua VLAN específica deve ser conectada via trunking ao ponto de acesso na academia, ou você precisa tunelar o tráfego de volta para um controlador central. Este é um descuido comum em implantações iniciais. Agora, o elefante na sala: WPA3 e a banda de 6 GHz. WiFi 6E e WiFi 7 exigem segurança WPA3 na banda de 6 GHz. O WPA3 substitui o antigo handshake de quatro vias por Simultaneous Authentication of Equals, ou SAE. O problema é que o padrão IEEE 802.11 para SAE atualmente não suporta múltiplas senhas por SSID da maneira que o WPA2 faz. Este não é um problema da Cisco Meraki ou da Aruba. É uma limitação de toda a indústria baseada no próprio padrão IEEE. A melhor prática atual é uma abordagem híbrida. Mantenha um SSID iPSK WPA2 nas bandas de 2.4 e 5 GHz para dispositivos legados e hardware IoT. Para a banda de 6 GHz, implante um SSID separado usando 802.1X para endpoints corporativos gerenciados. Há também o desafio da randomização de endereços MAC. O Apple iOS 14 e o Android 10 introduziram endereços MAC randomizados por rede. Em uma implantação iPSK baseada em MAC, o ponto de acesso envia o MAC randomizado para o servidor RADIUS. O servidor não o reconhece. A autenticação falha. O modo Easy PSK da Cisco Meraki resolve isso amplamente ao autenticar via parâmetros EAPOL em vez de busca por MAC. Se você estiver usando Meraki e tiver clientes iOS ou Android, use o modo Easy PSK. Dois cenários do mundo real para tornar isso concreto. Cenário um: um empreendimento Build-to-Rent de 350 unidades. O operador queria que os moradores recebessem suas credenciais de WiFi antes do dia da mudança. A plataforma Multi-Tenant WiFi da Purple integrou-se com o sistema de gestão de propriedades. Quando um contrato era assinado, o PMS acionava uma chamada de API para a Purple, que gerava uma iPSK exclusiva e a provisionava automaticamente. O morador recebia sua chave por e-mail. Eles entravam no primeiro dia, conectavam todos os seus dispositivos e a rede já estava ativa. Quando se mudavam, a chave era revogada automaticamente. Zero intervenção manual da equipe de facilities. O operador reduziu as chamadas de suporte relacionadas ao WiFi em mais de 60% em comparação com o modelo anterior de senha compartilhada. Cenário dois: uma propriedade hoteleira de 180 quartos. O hotel queria eliminar o login por Captive Portal sobre o qual os hóspedes reclamavam repetidamente. Com a iPSK, cada quarto recebia uma chave exclusiva impressa no cartão do quarto ou enviada pelo e-mail de confirmação da reserva. Os hóspedes conectavam-se apenas uma vez. O telefone, tablet e notebook de cada um se conectavam automaticamente em visitas subsequentes na mesma estadia. Os dispositivos IoT no quarto ficavam em uma VLAN separada, isolados do tráfego de hóspedes. As chaves eram geradas no check-in e revogadas no check-out sem etapas manuais na recepção. Perguntas rápidas agora. A iPSK pode funcionar sem Cisco ISE? Sim. FreeRADIUS e Microsoft NPS suportam o atributo Tunnel-Password que a iPSK exige. A Purple atua como o servidor RADIUS, de modo que você não precisa implantar ou gerenciar sua própria infraestrutura RADIUS. A iPSK é compatível com PCI-DSS? A iPSK suporta os requisitos de segmentação de rede do PCI-DSS 4.0. Os ambientes de dados de portadores de cartão devem ser isolados das redes de hóspedes e de IoT. A capacidade de sobreposição de VLAN da iPSK é o mecanismo que alcança essa segmentação. Qual é o caso comercial? Pesquisas da British Property Federation indicam que o WiFi gerenciado gera um prêmio de aluguel de 15 a 30 libras por unidade, por mês, em empreendimentos Build-to-Rent no Reino Unido. Você também elimina o período de vacância de cinco a dez dias enquanto o morador espera por um engenheiro do provedor de internet. Para resumir. A iPSK oferece identidade por dispositivo em um único SSID, sem a complexidade dos certificados 802.1X e sem as falhas de segurança de uma senha compartilhada. É o modelo certo para Build-to-Rent, hotéis, varejo e qualquer ambiente multi-tenant onde você precisa isolar o tráfego, automatizar o ciclo de vida do acesso e oferecer suporte a todos os tipos de dispositivos. Cinco regras antes de ir. Um: se você tiver mais de 50 dispositivos ou usuários em um único SSID e precisar de controle de acesso por dispositivo, a iPSK é quase certamente o modelo correto. Dois: sempre planeje sua arquitetura de VLAN antes de configurar a iPSK. Três: se você estiver no Cisco Meraki com clientes iOS ou Android, use o modo Easy PSK. Quatro: não implante a iPSK sem uma camada de gerenciamento de ciclo de vida. Cinco: planeje sua migração para WPA3 agora.A plataforma Multi-Tenant WiFi da Purple gerencia a automação do ciclo de vida, conectando seu sistema de gestão de propriedades ou provedor de identidade ao seu hardware, automatizando o provisionamento e a revogação de chaves em escala, em mais de 80.000 locais ativos e crescendo. Se quiser se aprofundar, seja para uma revisão de arquitetura, um passo a passo de configuração ou uma implantação piloto, o link para falar com nossa equipe está no guia. Obrigado por ouvir.