Kepanjangan iPSK: um guia completo para empresas

Bem-vindo à série de briefings técnicos da Purple. Hoje estamos abordando o iPSK - Identity Pre-Shared Key - o que ele realmente significa, como funciona nos bastidores e por que ele é importante se você for um incorporador imobiliário, proprietário ou operador de BTR implantando WiFi em um edifício multi-inquilino. [medium pause] Vamos começar pelo básico. iPSK significa Identity Pre-Shared Key. O termo completo nos mercados de língua indonésia e malaia é "kepanjangan iPSK" - que significa simplesmente "abreviação de iPSK" ou "o que significa iPSK". Se você chegou a este guia porque pesquisou essa frase, você está no lugar certo. Vamos cobrir o panorama completo - a tecnologia, a arquitetura e as decisões práticas de implantação que você precisa tomar neste trimestre. [medium pause] Então. O que é iPSK e por que ele existe? As redes WiFi tradicionais usam uma única chave pré-compartilhada - uma senha para todos no mesmo SSID. Isso funciona bem em uma residência. Mas deixa de funcionar no momento em que você tem centenas de lares compartilhando a mesma infraestrutura. Se um morador compartilhar a senha com alguém que não deveria ter acesso, você terá que redefinir a senha de cada morador do prédio. Isso é operacionalmente doloroso e desconecta todos os dispositivos inteligentes, todos os Chromecasts, todas as caixas de som inteligentes do prédio simultaneamente. O iPSK resolve isso emitindo uma senha de WiFi exclusiva para cada morador - ou cada residência - mantendo todos eles em um único SSID. O ponto de acesso intercepta a tentativa de conexão, envia o endereço MAC do dispositivo para um servidor RADIUS, e o servidor RADIUS responde com a frase secreta correta para aquele dispositivo específico. O ponto de acesso então usa essa frase secreta para concluir o handshake WPA2. Do ponto de vista do morador, ele apenas digitou a senha do WiFi. Do ponto de vista da rede, ele foi autenticado, isolado e atribuído ao seu próprio segmento de rede privada. [medium pause] Vamos falar sobre a terminologia dos fornecedores, porque isso costuma confundir as pessoas. A Cisco Meraki chama de WPN - Wi-Fi Personal Network. A HPE Aruba chama de PPSK - Private Pre-Shared Key. A Ruckus usa o termo DPSK - Dynamic Pre-Shared Key. O Juniper Mist oferece suporte nativo. O conceito subjacente é idêntico em todas as quatro plataformas. O Multi-Tenant WiFi da Purple funciona como uma sobreposição na nuvem sobre todas elas - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Você não precisa substituir seu hardware para implantar o iPSK. [medium pause] Agora vamos entrar na arquitetura. Existem três componentes em uma implantação de iPSK. Primeiro, os pontos de acesso - que são seu hardware físico, seja qual for o que você instalou. Segundo, um servidor RADIUS - que é o mecanismo de autenticação que mantém o mapeamento entre endereços MAC e frases secretas. Terceiro, uma camada de gerenciamento - algo que provisiona as chaves na entrada do morador, as revoga na saída e lida com o autoatendimento para os moradores que precisam adicionar um novo dispositivo. Purple fornece o segundo e o terceiro componentes como um serviço em nuvem. Atuamos como a camada de RADIUS-as-a-Service e fornecemos o portal voltado para o morador para o gerenciamento de chaves. Você traz os pontos de acesso. [medium pause] Quando um morador conecta um novo dispositivo, eis o que acontece em sequência. O dispositivo envia uma solicitação de associação ao SSID. O ponto de acesso encaminha o endereço MAC do dispositivo para o servidor RADIUS do Purple. O Purple busca o endereço MAC, encontra a senha atribuída ao morador e a retorna como um par AV Cisco na resposta RADIUS Access-Accept. O ponto de acesso usa essa senha para concluir o handshake de quatro vias do WPA2. O dispositivo está conectado. Todo o processo leva menos de duzentos milissegundos. Se o endereço MAC do dispositivo não estiver no sistema - por exemplo, um novo dispositivo que o morador ainda não registrou - o servidor RADIUS retorna um Access-Reject. O dispositivo não pode se conectar até que o morador o registre por meio do portal de autoatendimento. [medium pause] Isso nos leva à atribuição de VLAN. Um dos recursos mais poderosos do iPSK com RADIUS é a marcação dinâmica de VLAN. O servidor RADIUS não retorna apenas a senha - ele também pode retornar um ID de VLAN na mesma resposta. Isso significa que o tráfego de cada morador vai para sua própria VLAN de forma automática, sem qualquer configuração manual de switch. O tráfego do Morador A vai para a VLAN 101. O tráfego do Morador B vai para a VLAN 102. A rede de administração do edifício fica na VLAN 10. Dispositivos IoT - fechaduras inteligentes, termostatos, sensores - podem ser colocados em uma VLAN de IoT dedicada com acesso restrito à internet e sem movimentação lateral para os segmentos dos moradores. Esta é a arquitetura que torna o iPSK genuinamente de nível empresarial, em vez de apenas um recurso de conveniência. Vamos analisar um cenário de implantação real. Um empreendimento Build to Rent de 200 unidades em Manchester. O desenvolvedor especificou pontos de acesso Cisco Meraki - um por apartamento, além de unidades nos corredores para roaming. O Purple foi implantado como a camada de RADIUS e gerenciamento. Na mudança, cada morador recebe um código QR por e-mail. Eles o escaneiam e todos os seus dispositivos se conectam automaticamente. Sem chamadas para o helpdesk de TI. Sem folhas de senhas. A chave do morador está vinculada ao seu registro de locação no sistema de gestão de propriedades. Quando eles se mudam, a chave é revogada no painel do Purple. Seus dispositivos param de se conectar. Nenhum outro morador é afetado. O resultado: os chamados de suporte relacionados a WiFi caíram mais de 60% em comparação com o edifício anterior que o desenvolvedor gerenciava, que usava um modelo de senha compartilhada. A ativação do WiFi no dia da mudança passou de um processo de duas horas para menos de cinco minutos por morador. [medium pause] Segundo cenário. Um bloco de acomodação estudantil projetado especificamente com 450 leitos. O desafio aqui é a densidade - de quinze a vinte e cinco dispositivos por quarto, e uma semana de mudança em setembro, onde trezentos estudantes chegam simultaneamente. Com um modelo tradicional de senha compartilhada, a equipe de suporte fica sobrecarregada. Com o iPSK, cada estudante recebe sua chave durante o fluxo de integração pré-chegada. Eles chegam, escaneiam o código QR e estão conectados. O servidor RADIUS lida com a carga de autenticação automaticamente. A infraestrutura da Purple funciona com 99,999% de tempo de atividade - esse é o SLA que publicamos e garantimos. [medium pause] Agora, armadilhas de implementação. Existem três que surgem repetidamente. Primeira: randomização de endereço MAC. Dispositivos iOS e Android modernos randomizam seu endereço MAC por padrão ao buscar redes. Isso quebra as consultas RADIUS baseadas em MAC porque o dispositivo apresenta um MAC diferente cada vez que faz uma varredura. A solução é usar endereços MAC estáveis por rede - o iOS 14 e o Android 10 oferecem suporte para isso. Você precisa comunicar isso aos moradores durante a integração. O portal do morador da Purple lida com isso com instruções claras. Segunda: integração de dispositivos IoT. Dispositivos de casa inteligente - termostatos, fechaduras inteligentes, hubs Zigbee - geralmente não conseguem exibir um código QR ou inserir uma senha por meio de um fluxo padrão. A solução é um SSID de IoT dedicado com um pool iPSK separado, ou um fluxo de provisionamento onde o morador registra o endereço MAC do dispositivo através do portal antes de conectá-lo. A Purple oferece suporte para ambas as abordagens. Terceira: disponibilidade do servidor RADIUS. Se o seu servidor RADIUS cair, as novas conexões de dispositivos falham. Os dispositivos já conectados permanecem conectados porque a sessão WPA2 já está estabelecida, mas as novas associações não serão concluídas. É por isso que o RADIUS-as-a-Service da Purple funciona em uma infraestrutura redundante com essa garantia de 99,999% de tempo de atividade. Não execute o iPSK em um único servidor RADIUS local sem um failover. [medium pause] Vamos encerrar com o caso de negócios, porque isso é o que realmente importa para um incorporador imobiliário ou proprietário. O WiFi como comodidade traz um prêmio de aluguel mensurável no setor de BTR. Pesquisas da British Property Federation estimam isso entre quinze e trinta libras por unidade por mês. Em um edifício de 200 unidades, isso representa entre trinta e seis mil e setenta e duas mil libras de receita anual adicional. Os períodos de vacância são menores quando o WiFi de mudança está pronto no primeiro dia - normalmente de cinco a dez dias a menos por vacância, de acordo com os benchmarks do setor. E o custo de implantar o iPSK como uma sobreposição de software no hardware existente é significativamente menor do que os contratos de banda larga por unidade, que geralmente capturam o valor para o provedor de internet em vez do operador. O caso operacional é igualmente robusto. Uma chave por residente significa uma revogação no momento da saída. Sem redefinições de senha em todo o edifício. Sem tíquetes de suporte de residentes cujo Chromecast parou de funcionar porque o dispositivo de outra pessoa está na mesma sub-rede. A rede se comporta como uma rede doméstica privada para cada residente, enquanto o operador gerencia tudo a partir de um único painel em nuvem. [medium pause] Perguntas rápidas antes de encerrarmos. O iPSK funciona com WPA3? Ainda não na implementação padrão - o WPA3 usa SAE, o que altera o mecanismo de handshake. A maioria dos fornecedores está trabalhando em iPSK compatível com WPA3, mas, em meados de 2025, o WPA2 é o padrão pronto para produção para implantações de iPSK. Posso executar o iPSK sem um servidor RADIUS? O Cisco Meraki suporta até 5.000 iPSKs sem RADIUS no firmware MR 30.1 e superior. Para implantações menores, isso é viável. Para qualquer coisa acima de cem unidades, o RADIUS oferece a automação, a atribuição de VLAN e o gerenciamento de ciclo de vida de que você precisa. Quantas chaves uma implantação de iPSK baseada em RADIUS pode suportar? Praticamente ilimitadas - o limite é o banco de dados do seu servidor RADIUS, não o protocolo. A Purple implantou o iPSK em edifícios com mais de mil unidades sem problemas de desempenho. [medium pause] Para resumir. O iPSK - Identity Pre-Shared Key - oferece a cada residente uma credencial de WiFi exclusiva em um SSID compartilhado. O servidor RADIUS lida com a autenticação, entrega de senha e atribuição de VLAN em uma única viagem de ida e volta. A Purple fornece a camada de RADIUS-as-a-Service e o portal de gerenciamento de residentes, rodando em hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Se você está planejando uma implantação de BTR, acomodação estudantil ou MDU e quer ver como o iPSK se adapta ao seu edifício específico, fale com a equipe da Purple. Nós implantamos isso em mais de 80.000 locais e 350 milhões de usuários únicos. Nós sabemos o que funciona. Obrigado por ouvir.