iPSK: um guia completo para empresas

[INTRO] Boas-vindas ao Purple Technical Briefing. Hoje vamos abordar um tema que está exatamente na interseção entre segurança de rede e experiência do usuário - as chaves pré-compartilhadas de identidade, ou iPSK WiFi. Se você é um gerente de TI, arquiteto de rede ou diretor de operações de um local, com certeza já enfrentou este dilema: seus convidados, moradores ou funcionários precisam de um WiFi seguro e confiável, mas as opções tradicionais - uma senha compartilhada ou uma implantação corporativa completa de 802.1X - trazem sérias desvantagens. O iPSK é a resposta para esse dilema e, nos próximos dez minutos, vou apresentar uma visão clara e prática do que ele é, como funciona e quando você deve implantá-lo. Vamos começar. [SECTION ONE: WHAT IS IPSK, AND WHY DOES IT EXIST?] Para entender o iPSK, você precisa compreender o problema que ele resolve. Lembre-se dos dois modelos tradicionais de autenticação WiFi. O primeiro é o WPA2-Personal - o que a maioria das pessoas chama de PSK compartilhado ou simplesmente uma senha de WiFi. Todos na rede usam a mesma senha. É simples, funciona em qualquer dispositivo e não exige infraestrutura além do ponto de acesso. O problema? É um ponto único de falha. Se um convidado compartilhar a senha ou se um dispositivo for comprometido, toda a rede fica exposta. E se você precisar revogar o acesso de uma pessoa - por exemplo, um prestador de serviço cujo contrato terminou - terá que alterar a senha de todos. Em larga escala, em um hotel com trezentos quartos ou em uma rede de varejo com cinquenta filiais, isso é simplesmente inviável. O segundo modelo é o WPA2 ou WPA3 Enterprise, que utiliza a estrutura de autenticação IEEE 802.1X. Aqui, cada usuário se autentica com credenciais individuais - normalmente um nome de usuário e senha, ou um certificado digital - validados em um servidor RADIUS. É altamente seguro, oferece controle de acesso granular por usuário e é o padrão de excelência para dispositivos corporativos gerenciados. Mas ele tem uma fraqueza crítica: a complexidade. Configurar uma infraestrutura de chaves públicas, gerenciar certificados e configurar suplicantes em todos os dispositivos é uma tarefa complexa. E o mais importante: muitos dispositivos simplesmente não conseguem fazer isso. Consoles de videogame, smart TVs, sensores de IoT, Chromecasts - esses dispositivos sem tela não têm mecanismos para lidar com a autenticação baseada em certificados. Em um ambiente de hospitalidade ou multi-tenant, o 802.1X é inviável para uma parcela significativa da sua frota de dispositivos. O Identity PSK situa-se precisamente entre esses dois extremos. O conceito central é elegante: cada usuário ou dispositivo recebe sua própria chave pré-compartilhada exclusiva, mas todos se conectam ao mesmo SSID. Do ponto de vista do usuário, a sensação é exatamente a mesma de se conectar a uma rede WiFi doméstica - eles inserem uma senha e pronto. Do ponto de vista da rede, cada conexão é identificada de forma individual, criptografada individualmente e controlável de forma individual. Você obtém a simplicidade do PSK com a granularidade do controle de acesso corporativo. [SECTION TWO: THE TECHNICAL ARCHITECTURE] Permita-me orientá-lo através do fluxo de autenticação, porque entender isso é fundamental para implantá-lo corretamente. Quando um dispositivo tenta se conectar a um SSID habilitado para iPSK, o Wireless LAN Controller intercepta a tentativa de conexão e encaminha o endereço MAC do dispositivo para um servidor RADIUS. O servidor RADIUS busca esse endereço MAC em seu repositório de identidades e retorna uma resposta Access-Accept. Criticamente, incorporado nessa resposta está o par de atributos PSK-mode e PSK-password. O WLC recebe essa senha exclusiva e a usa para validar a chave apresentada pelo dispositivo. Se elas coincidirem, o dispositivo é autenticado e colocado no segmento de rede apropriado. O que torna isso poderoso é o que acontece juntamente com essa autenticação. A resposta RADIUS também pode carregar atribuição de VLAN, política de largura de banda e atributos de controle de acesso. Assim, o dispositivo não apenas obtém sua própria chave de criptografia exclusiva, mas também pode ser colocado automaticamente no segmento de rede correto - visitantes na VLAN de visitantes, funcionários na VLAN de funcionários, dispositivos de IoT em uma VLAN de IoT dedicada - tudo a partir de um único SSID. Os principais fornecedores implementaram sua própria versão dessa tecnologia. A Cisco chama de iPSK. A Aruba chama de MPSK. A Ruckus chama de DPSK. O princípio subjacente é idêntico em todas as três; os detalhes de implementação diferem ligeiramente, especialmente em relação a como os atributos RADIUS são estruturados. Uma palavra sobre Redes de Área Privada, porque isso é particularmente relevante para implantações multi-inquilino - hotéis, acomodações estudantis, residenciais para locação. O iPSK permite o isolamento de Camada 2 entre usuários. Embora centenas de dispositivos compartilhem a mesma infraestrutura física e o mesmo SSID, o tráfego de cada usuário é isolado criptograficamente do tráfego de todos os outros usuários. E com a reflexão mDNS ativada, um morador ainda pode descobrir e usar seus próprios dispositivos - transmitindo para a televisão, emparelhando com seu alto-falante inteligente - sem qualquer risco de seu vizinho ver ou acessar esses dispositivos. [SECTION THREE: WHEN SHOULD YOU USE IPSK?] O iPSK é a escolha certa quando você tem três condições presentes simultaneamente: primeiro, uma frota diversificada de dispositivos que inclui dispositivos sem tela ou IoT que não suportam 802.1X; segundo, a necessidade de controle de acesso individual e auditabilidade - a capacidade de revogar o acesso de um usuário específico sem afetar mais ninguém; e terceiro, um ambiente onde a experiência do usuário importa - onde pedir para alguém configurar um certificado em seu dispositivo pessoal simplesmente não é aceitável. O setor de hotelaria é o caso de uso clássico. Um hotel de 300 quartos tem milhares de dispositivos se conectando diariamente - smartphones, notebooks, alto-falantes inteligentes, dongles de streaming, consoles de jogos. O hóspede espera digitar uma senha uma vez e ter tudo funcionando. O iPSK oferece isso. A equipe de TI do hotel pode revogar a chave de um hóspede no momento do checkout, de forma automática, por meio da integração com o Property Management System. Sem intervenção manual, sem lacunas de segurança. O setor de varejo é outro segmento ideal. Uma grande rede de varejo pode ter terminais de PDV, sinalização digital, scanners portáteis, tablets de funcionários e WiFi para visitantes, tudo rodando na mesma infraestrutura física. O iPSK permite segmentar esses dispositivos por tipo de aparelho e função do usuário, cada um com sua própria chave e política de rede, sem a sobrecarga de uma implantação completa de 802.1X. E para a conformidade com o PCI-DSS, a capacidade de demonstrar que os dispositivos de processamento de pagamentos estão em um segmento isolado criptograficamente - mesmo em um SSID compartilhado - é uma vantagem significativa de conformidade. Centros de convenções e locais de eventos enfrentam um desafio diferente: ambientes de alta densidade e alta rotatividade, onde milhares de dispositivos se conectam e desconectam ao longo do dia. O iPSK com gerenciamento automatizado de ciclo de vida de chaves - provisionado no registro e revogado no final do evento - é muito mais viável operacionalmente do que uma senha compartilhada ou um sistema baseado em certificados. Onde o iPSK não é a escolha certa: se você tem uma frota corporativa totalmente gerenciada - laptops e telefones registrados em MDM, com certificados já implantados - então o WPA3-Enterprise com 802.1X é a postura de segurança mais forte. O iPSK não substitui a autenticação empresarial em endpoints gerenciados; ele é a ferramenta certa para ambientes onde você não controla os dispositivos que se conectam à sua rede. [SECTION FOUR: IMPLEMENTATION — PITFALLS AND RECOMMENDATIONS] O erro mais comum é tratar o iPSK como um projeto puramente técnico, em vez de um operacional. A tecnologia em si é relativamente simples de configurar - filtragem de MAC no WLC, servidor RADIUS com os pares de atributos e valores apropriados, políticas de VLAN. O problema mais difícil é o gerenciamento do ciclo de vida das chaves. Como as chaves são provisionadas? Como são distribuídas aos usuários? E, fundamentalmente, como são revogadas quando o relacionamento de um usuário com sua organização termina? A resposta para todas as três perguntas deve ser a automação. Em um hotel, a integração com o seu Sistema de Gestão de Propriedade significa que as chaves são geradas no check-in e revogadas no check-out. Em um ambiente de varejo, a integração com seu sistema de RH ou provedor de identidade significa que as chaves são provisionadas quando um funcionário entra e revogadas no momento em que ele sai. A plataforma da Purple fornece essa camada de orquestração, posicionando-se entre seu provedor de identidade e sua infraestrutura RADIUS para automatizar todo o ciclo de vida das chaves. O segundo ponto de atenção é o gerenciamento de endereços MAC. O iPSK depende de consultas de endereços MAC no repositório de identidade do RADIUS. Os sistemas operacionais modernos - iOS 14 e posterior, Android 10 e posterior, Windows 11 - usam a randomização de endereços MAC por padrão por motivos de privacidade. Se um dispositivo apresentar um endereço MAC randomizado, seu servidor RADIUS não encontrará um registro correspondente e rejeitará a conexão. A solução é implementar um fluxo de trabalho de pré-registro onde os usuários registram seus dispositivos antes de se conectarem. Este é um problema que pode ser resolvido, mas precisa estar em seu plano de implantação desde o primeiro dia. Terceiro: resiliência do servidor RADIUS. Sua implantação de iPSK é tão confiável quanto sua infraestrutura RADIUS. Se o servidor RADIUS estiver indisponível, nenhum novo dispositivo poderá se autenticar. Planeje para redundância - servidores RADIUS primários e secundários, com configuração apropriada de failover no WLC. Finalmente, teste sua frota de dispositivos IoT antes de entrar em operação. Um teste de compatibilidade de dispositivos pré-implantação, especialmente para qualquer hardware personalizado ou legado, poupará dores de cabeça significativas. [RAPID-FIRE Q&A] O iPSK funciona com WPA3? Sim, com ressalvas. O WPA3-SAE altera o mecanismo de handshake, o que afeta como as chaves iPSK são validadas. A maioria dos controladores modernos suporta iPSK em modo de transição WPA2 e WPA3, o que oferece compatibilidade reversa. Para um ambiente WPA3 puro, verifique as diretrizes de implementação específicas do seu fornecedor. Quantas chaves exclusivas um único SSID pode suportar? Isso depende do controlador. O WLC da Cisco suporta milhares de entradas iPSK exclusivas. Na prática, o fator limitante geralmente é a capacidade do banco de dados e o desempenho de consulta do seu servidor RADIUS, não o controlador sem fio em si. O iPSK está em conformidade com a GDPR? O iPSK em si é um mecanismo de autenticação de rede, não uma ferramenta de coleta de dados. A conformidade com a GDPR se resume a como você gerencia os dados de identidade associados a essas chaves. Garanta que seus logs de RADIUS e repositório de identidade tenham políticas de retenção apropriadas - elimine os dados quando o relacionamento de um usuário terminar. [SUMMARY AND NEXT STEPS] Resumindo: o iPSK preenche a lacuna entre a simplicidade de uma senha compartilhada e a segurança do 802.1X. Ele permite que você emita chaves exclusivas para usuários ou dispositivos individuais, em um único SSID, e os atribua a segmentos de rede isolados. É a solução definitiva para ambientes multi-tenant, hotelaria e implantações de IoT. Seu próximo passo: revise sua arquitetura de rede atual. Se você estiver transmitindo múltiplos SSIDs para segmentar o tráfego, ou lutando para proteger dispositivos headless, o iPSK é a mudança de arquitetura que você precisa fazer. Fale com seu gerente de contas Purple para discutir como nossa plataforma pode automatizar o ciclo de vida das chaves para seu hardware específico. Obrigado por ouvir o Purple Technical Briefing.