iPSK ind: um guia abrangente para empresas

Bem-vindo ao Briefing Técnico do Purple. Hoje estamos abordando o iPSK ind - Identity Pre-Shared Key para dispositivos individuais - e por que ele se tornou o padrão de autenticação preferido para incorporadoras imobiliárias, operadoras de build-to-rent e proprietários de unidades multi-residenciais que implantam WiFi gerenciado em grande escala. Se você gerencia WiFi em um empreendimento residencial, um bloco de acomodação estudantil ou uma propriedade de uso misto, quase certamente já enfrentou o mesmo obstáculo. Seus moradores esperam a mesma experiência de WiFi que têm em casa - simples, confiável e privada. Mas sua equipe de rede precisa de controle de acesso individual, segmentação de segurança e a capacidade de revogar o acesso no momento em que o aluguel termina. As opções tradicionais forçam você a escolher uma ou outra. O iPSK ind elimina totalmente esse dilema. Deixe-me dar o contexto primeiro. Existem dois modelos de autenticação de WiFi estabelecidos com os quais a maioria das organizações trabalha há anos. O primeiro é o WPA2-Personal - o que a maioria das pessoas chama de senha compartilhada. Todos na rede usam a mesma frase secreta. É simples, funciona em todos os dispositivos e exige infraestrutura mínima. O problema é que se trata de um ponto único de falha. Se um morador compartilhar a senha, ou se um dispositivo for comprometido, toda a rede estará exposta. E se você precisar revogar o acesso de uma pessoa - por exemplo, um inquilino que se mudou - precisará alterar a senha de todos. Em um empreendimento com duzentos apartamentos, isso simplesmente não é gerenciável. O segundo modelo é o WPA2 ou WPA3 Enterprise, que utiliza o framework de autenticação IEEE 802.1X. Aqui, cada usuário se autentica com credenciais individuais - normalmente um nome de usuário e senha, ou um certificado digital - validados em um servidor RADIUS. É altamente seguro, oferece controle de acesso granular por usuário e é o padrão de excelência para dispositivos corporativos gerenciados. Mas ele apresenta uma fraqueza crítica em ambientes residenciais e hoteleiros: a complexidade. Configurar uma infraestrutura de chave pública, gerenciar certificados e configurar requerentes em todos os dispositivos é uma tarefa complexa. E crucialmente, muitos dispositivos simplesmente não conseguem fazer isso. Consoles de videogame, smart TVs, sensores de IoT, Chromecasts, dispositivos Amazon Echo - esses dispositivos headless não têm mecanismo para lidar com autenticação baseada em certificado. Em um empreendimento build-to-rent, o 802.1X é inviável para uma parcela significativa da frota de dispositivos dos seus moradores. É aqui que entra o iPSK ind. O conceito central é elegante. Cada morador ou dispositivo recebe sua própria chave pré-compartilhada exclusiva, mas todos se conectam ao mesmo SSID - o mesmo nome de rede. Do ponto de vista do morador, a sensação é exatamente a mesma de se conectar à rede WiFi de casa. Eles digitam uma frase secreta e estão conectados. Do ponto de vista da rede, cada conexão é identificada individualmente, criptografada individualmente e controlada individualmente. Você obtém a simplicidade de um modelo de senha compartilhada com a granularidade do controle de acesso de nível corporativo. Agora, permita-me guiá-lo pela arquitetura técnica, pois compreender isso é fundamental para implantá-lo corretamente. Quando um dispositivo tenta se conectar a um SSID habilitado para iPSK, o Wireless LAN Controller - o WLC - intercepta a tentativa de conexão e encaminha o endereço MAC do dispositivo para um servidor RADIUS. É aqui que reside a inteligência. O servidor RADIUS busca esse endereço MAC em seu banco de dados de identidade e retorna uma resposta Access-Accept. De forma crucial, embutida nessa resposta está a chave pré-compartilhada exclusiva atribuída a esse dispositivo ou residente específico. O WLC recebe essa frase secreta e a utiliza para validar a chave que o dispositivo apresentou durante o handshake de quatro vias do WPA2. Se forem iguais, o dispositivo é autenticado. O que torna essa arquitetura genuinamente útil para administradores de propriedades é o que acontece junto com essa autenticação. A resposta RADIUS também pode carregar atribuição de VLAN, política de largura de banda e atributos de controle de acesso. Assim, o dispositivo não apenas recebe sua própria chave de criptografia exclusiva, mas é colocado automaticamente no segmento de rede correto. Residentes na VLAN dez. Dispositivos IoT na VLAN vinte. Equipe e manutenção na VLAN trinta. Tudo a partir de um único SSID, tudo gerenciado centralmente. Os principais fornecedores de hardware implementaram suas próprias versões dessa tecnologia. A Cisco Meraki a chama de iPSK. A HPE Aruba a chama de MPSK. A Ruckus a chama de DPSK - Dynamic PSK. Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet oferecem suporte a implementações equivalentes. O princípio subjacente é idêntico em todas elas. Há um recurso de iPSK ind que é particularmente relevante para implantações multi-tenant, que é o conceito de Private Area Network. O iPSK permite o isolamento de Camada 2 entre residentes. Embora centenas de dispositivos compartilhem a mesma infraestrutura física e o mesmo SSID, o tráfego de cada residente é isolado criptograficamente do tráfego de todos os outros residentes. E com o redirecionamento mDNS ativado, o residente ainda pode descobrir e usar seus próprios dispositivos - transmitindo para o Chromecast, imprimindo em sua impressora portátil - sem qualquer risco de o vizinho ver ou acessar esses dispositivos. Essa é a experiência semelhante à de casa que os residentes em um empreendimento premium de build-to-rent esperam, entregue em uma infraestrutura compartilhada. Permita-me passar para a implementação e, especificamente, para as armadilhas que vejo com mais frequência nas implantações. O erro mais comum é tratar o iPSK ind como um projeto puramente técnico, em vez de operacional. A tecnologia em si é relativamente simples de configurar. Consulta de endereço MAC no WLC, servidor RADIUS com os pares de atributo-valor apropriados, políticas de VLAN. O problema mais difícil é o gerenciamento do ciclo de vida das chaves. Como as chaves são provisionadas? Como são distribuídas aos residentes? E, crucialmente, como são revogadas quando o contrato de locação termina? A resposta para as três perguntas deve ser a automação. Em um empreendimento de aluguel residencial (build-to-rent), a integração com o seu sistema de gestão de propriedades significa que as chaves são geradas quando o contrato de aluguel é confirmado e revogadas automaticamente na data de desocupação. Em um bloco de acomodação estudantil, a integração com o seu sistema de informações de estudantes significa que as chaves são provisionadas na matrícula e expiram no final do ano letivo. A plataforma da Purple fornece essa camada de orquestração, posicionando-se entre o seu provedor de identidade - seja ele Microsoft Entra ID, Okta ou Google Workspace - e a sua infraestrutura RADIUS para automatizar todo o ciclo de vida das chaves sem intervenção manual. O segundo obstáculo é a resiliência do servidor RADIUS. Sua implantação de iPSK é tão confiável quanto a sua infraestrutura RADIUS. Se o servidor RADIUS estiver indisponível, nenhum dispositivo novo conseguirá se autenticar. Planeje para redundância - um servidor RADIUS primário e secundário, com configuração apropriada de failover no WLC. Para grandes empreendimentos, considere um serviço de RADIUS hospedado na nuvem com um SLA de tempo de atividade garantido, em vez de um servidor local. Terceiro: teste sua frota de dispositivos IoT antes de entrar em operação. A maioria dos dispositivos IoT funciona perfeitamente com iPSK, mas alguns dispositivos mais antigos têm peculiaridades em relação a como lidam com o handshake de quatro vias do WPA2. Um teste de compatibilidade pré-implantação, especialmente para qualquer hardware personalizado ou legado, evitará grandes problemas durante o comissionamento. Agora, permita-me responder às perguntas que mais recebo. O iPSK funciona com WPA3? Sim, com ressalvas. O WPA3-SAE altera o mecanismo de handshake, o que afeta a forma como as chaves iPSK são validadas. A maioria das controladoras modernas suporta iPSK em modo de transição WPA2 e WPA3, o que oferece compatibilidade retroativa. O recurso IPSK sem RADIUS da Cisco Meraki atualmente não suporta criptografia WPA3 - você precisa da versão baseada em RADIUS para compatibilidade com WPA3. Quantas chaves exclusivas um único SSID pode suportar? Isso depende da controladora. A Cisco Meraki suporta até cinco mil iPSKs por SSID no firmware MR 30.1 e mais recentes. Na prática, o fator limitante costuma ser a capacidade do banco de dados do seu servidor RADIUS e o desempenho das consultas, não a controladora WiFi em si. O iPSK é compatível com o GDPR? O iPSK em si é um mecanismo de autenticação de rede, não uma ferramenta de coleta de dados. A questão de conformidade com o GDPR se refere a como você armazena e processa os dados de identidade associados a cada chave - o nome do residente, detalhes do contrato de aluguel e informações do dispositivo. Esses dados precisam ser tratados de acordo com os princípios do Artigo 5 do GDPR. A Purple possui certificação ISO 27001, está em conformidade com o GDPR e a CCPA, e possui certificação B Corp, portanto, o tratamento de dados no nível da plataforma está garantido.O iPSK pode substituir um Captive Portal? Na maioria das implantações residenciais, sim. Com o iPSK ind, a identidade é estabelecida no momento do provisionamento da chave, antes mesmo de o residente se conectar. A própria chave é a credencial. Você ainda precisa de um fluxo de trabalho de aceitação dos termos de serviço, mas isso acontece no onboarding, não a cada conexão. Isso remove o maior ponto de atrito no WiFi residencial. Portanto, resumindo. O iPSK ind oferece chaves de criptografia individuais para cada residente e dispositivo, segmentação de tráfego baseada em VLAN, isolamento de Camada 2 entre residentes e gerenciamento automatizado do ciclo de vida das chaves - tudo em um único SSID, em uma infraestrutura independente de hardware. É a escolha certa quando você tem uma frota de dispositivos mista que inclui IoT e dispositivos sem tela (headless), quando precisa de controle de acesso individual sem a complexidade do 802.1X, e quando a experiência do residente é um diferencial para o seu empreendimento. As três coisas fundamentais para acertar em sua implantação: automatizar o gerenciamento do ciclo de vida das chaves desde o primeiro dia, projetar para redundância do RADIUS e tratar a randomização de MAC address no seu fluxo de onboarding. Se você deseja ver como a Purple implanta o iPSK ind em empreendimentos build-to-rent e multifamiliares, o guia de implementação em purple.ai possui diagramas detalhados de arquitetura e referências de configuração específicas de fornecedores. E se você quiser uma análise técnica do seu ambiente específico, nossos arquitetos de rede estão disponíveis para uma consulta sem compromisso. Obrigado por ouvir. Este foi o Purple Technical Briefing.