PPSK na prática: comparando recursos e modelos de implantação

Bem-vindo à série técnica da Purple WiFi. Hoje estamos abordando o ciclo de vida do PPSK - ou seja, Private Pre-Shared Key - comparando seus recursos e modelos de implantação para incorporadoras imobiliárias, proprietários e operadores de build-to-rent. Vamos começar com o contexto. Se você gerencia um edifício residencial - seja um empreendimento BTR de 50 unidades, um bloco de acomodação estudantil ou um espaço de co-living - você quase certamente já se deparou com o mesmo problema de WiFi. Uma senha compartilhada para todo o edifício. Alguém se muda, você altera a chave e, de repente, 200 residentes não conseguem conectar seus dispositivos. Ou pior, você não a altera, e seu ex-inquilino ainda tem acesso. O PSK padrão - Pre-Shared Key - nunca foi projetado para isso. Ele foi projetado para uma residência de quatro pessoas que confiam umas nas outras. Não para um edifício de 300 residentes que não se conhecem. Então, o que é PPSK? O Private Pre-Shared Key dá a cada residente, ou a cada dispositivo, sua própria senha de WiFi exclusiva. Todos se conectam ao mesmo nome de rede - o mesmo SSID - mas cada chave é exclusiva para aquele residente. Quando o residente A se conecta, a rede sabe que é o residente A. Quando ele se muda, você revoga a chave dele. Ninguém mais é afetado. Nenhum outro residente precisa reconectar um único dispositivo. Agora, você pode estar pensando: não é exatamente isso que o 802.1X faz? E você estaria meio certo. O 802.1X, o padrão de autenticação corporativa IEEE, também fornece credenciais individuais. Mas ele exige uma infraestrutura de certificados, um servidor RADIUS e configuração de suplicante no lado do cliente. Os Chromecasts, consoles de PlayStation e termostatos inteligentes dos seus residentes não conseguem usar o 802.1X. Eles não têm a pilha de software para isso. O PPSK funciona com todos os dispositivos que podem se conectar ao WiFi - porque, do ponto de vista do dispositivo, ele está apenas inserindo uma senha. Esta é a essência do ciclo de vida do PPSK. Você obtém responsabilidade individual - o benefício de segurança do 802.1X - sem a sobrecarga de infraestrutura ou a dor de cabeça da compatibilidade de dispositivos. Agora vamos falar sobre o cenário dos fabricantes, pois a terminologia varia. A Aruba chama de MPSK - Multi-PSK. A Cisco Meraki chama de iPSK - Identity PSK - e recentemente adicionou o WiFi Personal Network por cima disso. A Ruckus chama de DPSK - Dynamic PSK. A Extreme Networks, onde a tecnologia foi pioneira, chama de PPSK. A Juniper Mist usa ePSK. O conceito subjacente é idêntico em todos eles. Um SSID, muitas chaves, isolamento por usuário. Na Purple, nós nos posicionamos acima de tudo isso como uma sobreposição em nuvem agnóstica de hardware. Operamos em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Gerenciamos o ciclo de vida das chaves - provisionamento, rotação, revogação - independentemente de quais pontos de acesso estejam no teto. Vamos falar sobre a arquitetura. Em uma implantação PPSK, o ponto de acesso - ou o controlador por trás dele - mantém uma tabela mapeando cada chave para uma VLAN. Quando um dispositivo se conecta com a chave do morador A, o AP atribui esse dispositivo à VLAN do morador A. Os dispositivos do morador B vão para a VLAN do morador B. Na Camada 2, eles são completamente invisíveis entre si. Isso é o que chamamos de bolha WiFi. Cada morador recebe uma rede de área privada - sua própria rede doméstica lógica - mesmo que estejam compartilhando a infraestrutura física. O telefone deles descobre o Chromecast. O alto-falante inteligente se emparelha com as lâmpadas. O console obtém o tipo de NAT Aberto. Funciona exatamente como um roteador doméstico porque, do ponto de vista da rede, é um roteador doméstico - apenas virtual. O servidor RADIUS é opcional em algumas implementações de fornecedores para implantações menores, mas para qualquer coisa acima de algumas dezenas de unidades, você quer o RADIUS no circuito. Ele oferece registro centralizado, atribuição dinâmica de VLAN e a capacidade de integração com seu provedor de identidade - Microsoft Entra ID, Okta ou Google Workspace. A Purple fornece RADIUS-as-a-Service como parte da plataforma, para que você não precise gerenciar seu próprio servidor. Agora, o WPA3 adiciona outra camada aqui. O WPA3-Personal introduziu o SAE - Simultaneous Authentication of Equals - que substitui o antigo handshake de 4 vias. O SAE é resistente a ataques de dicionário offline, o que significa que mesmo que alguém capture o handshake, não poderá quebrar a chave por força bruta offline. Para implantações PPSK, o modo de transição WPA3 - que suporta clientes WPA2 e WPA3 simultaneamente - é o ponto de partida ideal para 2025 e além. A maioria dos pontos de acesso da Cisco Meraki, HPE Aruba e Ruckus já suporta isso hoje. Vamos passar por dois cenários reais de implantação, porque a teoria só leva você até certo ponto. Primeiro cenário: um empreendimento build-to-rent de 200 unidades em Manchester. A incorporadora está pré-cabeando o edifício com pontos de acesso HPE Aruba - um por andar, montado no corredor. Eles querem que os moradores tenham WiFi desde o primeiro dia de locação, sem espera por banda larga, e querem cobrar um valor adicional pelo serviço como parte do pacote de comodidades. A arquitetura aqui é simples. Um SSID em todo o edifício - vamos chamá-lo pelo nome do edifício. A Purple fornece uma chave MPSK exclusiva para cada unidade durante o fluxo de integração pré-locação. O morador recebe sua chave por e-mail antes de se mudar. Ele chega, conecta seu telefone e cada outro dispositivo que ele adicionar usará a mesma chave. Seu Chromecast funciona. Sua Alexa funciona. Seu PlayStation obtém o tipo de NAT Aberto. Quando eles se mudam, o sistema de gestão de propriedades aciona um webhook para a API da Purple. A Purple revoga a chave. O próximo morador recebe uma nova chave. Ninguém mais no prédio é afetado. Todo o ciclo de vida - provisionamento, rotação, revogação - é automatizado. O gerente da propriedade não toca na rede.O resultado comercial: pesquisas da British Property Federation mostram que os operadores de BTR obtêm um prêmio de aluguel de quinze a trinta libras por unidade por mês quando o WiFi é incluído como uma comodidade gerenciada. Os períodos de vacância reduzem de cinco a dez dias porque a conectividade no dia da mudança é garantida. E o custo por porta de uma sobreposição de software em hardware próprio é tipicamente de trinta a cinquenta por cento menor do que os contratos de banda larga por unidade. Segundo cenário: um bloco de acomodação estudantil de 600 leitos construído para esse fim. O desafio aqui é a semana de acolhimento - a primeira semana de setembro, quando seiscentos estudantes chegam simultaneamente, cada um com uma média de sete dispositivos. Laptops, celulares, tablets, consoles, alto-falantes inteligentes. Isso representa mais de quatro mil dispositivos tentando se conectar em 48 horas. Com uma configuração PSK padrão, isso é um pesadelo de suporte. Com PPSK, cada estudante recebe sua chave no e-mail de boas-vindas antes da chegada. Eles chegam, conectam-se uma vez e todos os seus dispositivos ficam em seu segmento privado. O console de jogos obtém o tipo de NAT correto. A smart TV transmite sem travamentos. O laptop se conecta à VPN da universidade sem interferência do tráfego de outros residentes. A principal diferença operacional em relação ao BTR é a rotação anual do grupo. Todo mês de agosto, você provisiona em lote novas chaves para o grupo que está chegando e revoga em lote as chaves do grupo que está saindo. A Purple lida com isso por meio de integração SCIM com o sistema de gestão de estudantes, ou por meio de uma importação de CSV se o sistema não suportar SCIM. De qualquer forma, é uma operação programada, não manual. Agora vou abordar as armadilhas de implementação, pois existem algumas que costumam pegar as pessoas de surpresa. Primeiro: exaustão de VLAN. Cada segmento de residente precisa de sua própria VLAN. Um edifício de 500 unidades precisa de 500 VLANs. A maioria dos switches corporativos suporta 4.096 VLANs sob o padrão 802.1Q, então é improvável que você atinja o limite, mas você precisa planejar sua faixa de VLAN no momento do design. Não deixe isso como uma reflexão tardia. Segundo: mDNS e descoberta de dispositivos. Por padrão, o mDNS - o protocolo que o Chromecast, AirPlay e Sonos usam para descobrir dispositivos - não ultrapassa as fronteiras da VLAN. Você precisa de reflexão ou proxy mDNS configurado em sua controladora ou gateway para permitir a descoberta dentro da VLAN de um residente, bloqueando-a entre VLANs. Todos os principais fornecedores suportam isso, mas nem sempre vem ativado por padrão. Verifique isso antes do go-live. Terceiro: randomização de endereço MAC. Dispositivos iOS e Android modernos randomizam seu endereço MAC por rede para proteger a privacidade. Isso quebra qualquer fluxo de autenticação ou registro de dispositivo baseado em MAC. O PPSK contorna isso completamente - a autenticação é baseada em chave, não em MAC - mas se você estiver executando qualquer regra de filtragem MAC complementar, precisará levar em consideração a randomização.Quarto: comprimento e complexidade da chave. As chaves PPSK devem ter pelo menos 20 caracteres, geradas aleatoriamente, e nunca reutilizadas entre residentes. Uma chave fraca compromete todo o modelo de isolamento. O Purple gera chaves criptograficamente aleatórias por padrão. Se você estiver gerando chaves manualmente ou por meio de uma integração com sistema de gestão de propriedades, imponha um comprimento mínimo no seu fluxo de provisionamento. Quinto: o fluxo de integração de IoT. Dispositivos domésticos inteligentes - termostatos, fechaduras digitais, tomadas inteligentes - geralmente usam um modo de configuração Bluetooth ou WiFi temporário antes de ingressar na rede principal. Suas instruções de integração para os residentes precisam levar isso em consideração. O dispositivo precisa ingressar na rede PPSK do residente, não na rede de gerenciamento do edifício. Um guia de configuração claro e ilustrado reduz significativamente os chamados de suporte. Vamos fazer um Q&A rápido para cobrir as perguntas que ouvimos com mais frequência. Pergunta: Preciso de um servidor RADIUS para PPSK? Resposta: Depende da escala e do fabricante. O iPSK da Cisco Meraki suporta até 50 chaves sem RADIUS, mas escala para 5.000 com RADIUS via WiFi Personal Network. O Aruba MPSK requer RADIUS para atribuição dinâmica de VLAN. Para qualquer implantação acima de 50 unidades, use RADIUS. O Purple oferece RADIUS-as-a-Service, para que você não precise gerenciar o seu próprio. Pergunta: Os residentes podem usar PPSK em todos os seus dispositivos, incluindo consoles de jogos e smart TVs? Resposta: Sim. Essa é a principal vantagem sobre o 802.1X. Qualquer dispositivo que suporte WPA2-Personal - que é todo dispositivo WiFi fabricado nos últimos 15 anos - funciona com PPSK. Sem certificados, sem configuração de suplicante, sem Captive Portal. Apenas uma senha. Pergunta: O que acontece quando um residente perde sua chave ou adquire um celular novo? Resposta: Eles solicitam uma nova chave através do portal ou aplicativo do residente. O Purple emite uma nova chave, e a chave antiga pode, opcionalmente, ser revogada. A nova chave funciona em todos os seus dispositivos. Este é um fluxo de autoatendimento - sem a necessidade de envolvimento da equipe de TI. Pergunta: O PPSK está em conformidade com a GDPR? Resposta: O PPSK em si é um mecanismo de acesso à rede, não uma ferramenta de coleta de dados. A conformidade com a GDPR depende de quais dados você coleta e como os processa. O Purple possui certificação GDPR e ISO 27001. Os logs de WiFi dos residentes devem ser retidos apenas pelo tempo operacionalmente necessário - seis meses é um limite comum. Análises agregadas geralmente são aceitáveis; o rastreamento de comportamento individual dentro da unidade de um residente não é. Pergunta: Como o PPSK se compara ao Passpoint e ao OpenRoaming? Resposta: Casos de uso diferentes. O Passpoint - também conhecido como Hotspot 2.0 - foi projetado para roaming contínuo entre locais e operadoras. O OpenRoaming baseia-se no Passpoint para roaming global. O PPSK é para acesso persistente e baseado em identidade dentro de uma única propriedade ou empreendimento. Eles são complementares, não concorrentes. Um empreendimento BTR pode usar PPSK para residentes e Passpoint para acesso de visitantes em áreas comuns. Deixe-me encerrar com as principais conclusões. Um: PPSK é o modelo de autenticação ideal para WiFi residencial multi-tenant. Ele oferece isolamento por residente, compatibilidade com IoT e gerenciamento automatizado do ciclo de vida - sem a infraestrutura de certificados do 802.1X. Dois: a terminologia do fabricante varia - iPSK, MPSK, DPSK, ePSK - mas o conceito é idêntico. Escolha seu hardware com base nos requisitos do seu edifício e use uma sobreposição agnóstica de hardware como a Purple para gerenciar o ciclo de vida em qualquer fabricante. Três: planeje sua faixa de VLAN, reflexão mDNS e fluxo de integração de IoT antes do go-live. Essas são as três fontes mais comuns de chamados de suporte pós-implantação. Quatro: o PPSK entrega um retorno comercial mensurável. De quinze a trinta libras por unidade por mês em prêmio de aluguel BTR, períodos de vacância de cinco a dez dias mais curtos e um custo por porta de trinta a cinquenta por cento menor em comparação com contratos de banda larga por unidade. Cinco: o modo de transição WPA3 é a meta ideal para novas implantações em 2025 e nos anos seguintes. Ele suporta clientes WPA2 e WPA3, e a proteção SAE fortalece significativamente as chaves contra ataques offline. Se você quiser se aprofundar, o guia de WiFi multi-tenant da Purple aborda o dimensionamento de sub-redes, planejamento de faixas DHCP e modelos de implantação específicos do setor para BTR, alojamento estudantil, habitação social e coworking. Há também uma ferramenta gratuita de design de sub-rede iPSK no site da Purple. Obrigado por ouvir. Se tiver dúvidas, fale com um de nossos arquitetos de rede em purple.ai. Até a próxima.