Nama ff iPSK: um guia completo para empresas

Este guia explica a arquitetura Identity Pre-Shared Key (iPSK) para incorporadoras imobiliárias, operadoras de BTR e proprietários que implantam WiFi multi-inquilino. Ele aborda a integração RADIUS, atribuição dinâmica de VLAN, isolamento de Camada 2 e gerenciamento automatizado do ciclo de vida de credenciais. Também detalha o caso de negócios para eliminar roteadores de consumo por unidade e fornecer uma experiência residencial instantânea em escala.

📖 8 min de leitura📝 1,954 palavras🔧 2 exemplos práticos❓ 4 questões práticas📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

INTRODUÇÃO E CONTEXTO (aproximadamente 1 minuto)

Bem-vindo à série de briefings técnicos da Purple. Hoje, estamos abordando o Identity Pre-Shared Key, ou iPSK. Se você é um incorporador imobiliário, um operador de BTR ou um proprietário que gerencia edifícios multi-inquilinos, isso é diretamente relevante para sua próxima decisão de rede.

Deixe-me contextualizar. Você tem um empreendimento Build-to-Rent de 300 unidades. Você quer oferecer WiFi gerenciado como uma comodidade premium. Você não quer colocar um roteador doméstico em cada apartamento. E você absolutamente não quer que os residentes do Apartamento 101 consigam ver os dispositivos que pertencem aos residentes do Apartamento 202. A pergunta é: como fazer tudo isso em uma única rede gerenciável? A resposta é iPSK.

APROFUNDAMENTO TÉCNICO (aproximadamente 5 minutos)

A segurança de WiFi tradicional oferece duas opções. Opção um: uma rede pessoal padrão WPA2. Todos compartilham a mesma senha. É simples, mas no momento em que uma pessoa vaza essa senha, toda a rede fica comprometida. E se você quiser revogar o acesso de uma pessoa, terá que alterar a senha de todos. Isso é completamente inviável em escala.

Opção dois: WPA2 ou WPA3 Enterprise, usando o padrão 802.1X. Esta é uma segurança de nível corporativo adequada. Cada usuário tem um nome de usuário e senha exclusivos ou um certificado digital. A TI pode revogar o acesso individual instantaneamente. O problema é que muitos dispositivos simplesmente não conseguem se conectar a ela. Consoles de jogos, smart TVs, impressoras sem fio, dispositivos Amazon Echo, Chromecasts. Nenhum deles consegue processar as telas de login complexas ou os certificados digitais exigidos pelo 802.1X.

O iPSK fica precisamente entre essas duas opções. Ele oferece a cada usuário ou dispositivo individual sua própria senha exclusiva, mas a experiência do dispositivo é idêntica à conexão com um roteador doméstico. Você apenas digita uma senha. Sem certificados, sem telas de login complexas, sem Captive Portals. A complexidade é tratada inteiramente no backend.

Veja como funciona a arquitetura técnica. Quando um dispositivo cliente se conecta à rede WiFi usando sua chave pré-compartilhada exclusiva, o ponto de acesso não concede simplesmente o acesso. Em vez disso, ele envia uma solicitação de autenticação RADIUS para um servidor central. RADIUS significa Remote Authentication Dial-In User Service. É a espinha dorsal da autenticação de rede corporativa. O servidor RADIUS verifica as credenciais em seu banco de dados de chaves configuradas. Se houver uma correspondência, ele envia de volta uma mensagem de aceitação de acesso. Criticamente, essa mensagem também contém uma atribuição de VLAN - uma Virtual Local Area Network.

Essa atribuição de VLAN é a chave para tudo. Quando o morador da Unidade 101 se conecta, a rede coloca todos os seus dispositivos na VLAN 101. Quando o morador da Unidade 202 se conecta, seus dispositivos vão para a VLAN 202. A infraestrutura de rede força o que é chamado de isolamento de Layer 2 entre essas VLANs. Isso significa que, embora ambos os moradores estejam na mesma rede WiFi física, seus dispositivos são completamente invisíveis uns para os outros. Isso cria o que chamamos de Rede de Área Privada, ou PAN, para cada morador.

Como cada morador tem sua própria VLAN isolada, você pode habilitar a reflexão mDNS dentro daquela VLAN específica. O mDNS é o protocolo que permite que os dispositivos se descubram em uma rede local - é o que faz o AirPlay, o Chromecast e a impressão sem fio funcionarem. Ao habilitar a reflexão mDNS dentro da VLAN privada de cada morador, você permite que seus próprios dispositivos se comuniquem, permanecendo completamente isolados dos dispositivos de todos os outros.

Os principais fornecedores de hardware WiFi corporativo suportam essa tecnologia, mas usam nomes diferentes para ela. A Cisco Meraki a chama de iPSK. A HPE Aruba a chama de MPSK. A Ruckus usa o termo DPSK. Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet suportam variações de autenticação de chave pré-compartilhada por dispositivo. A Purple é agnóstica em relação ao hardware e se integra a todas essas plataformas.

Gerenciar manualmente centenas ou milhares de chaves exclusivas não é viável para nenhuma equipe de TI. A Purple se integra ao seu provedor de identidade - Microsoft Entra ID, Okta ou Google Workspace. Quando um novo morador assina um contrato de locação, a Purple gera automaticamente um iPSK exclusivo, atribui uma VLAN e entrega as credenciais ao morador. Quando o contrato termina, a chave é revogada de forma automática.

RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aproximadamente 2 minutos)

Há uma nuance técnica importante aqui. Revogar uma chave no banco de dados RADIUS não desconecta imediatamente um dispositivo que já está associado à rede. A autenticação RADIUS ocorre apenas durante o handshake de conexão inicial. Para forçar a desconexão imediata, seu sistema de gerenciamento precisa enviar uma mensagem de Alteração de Autorização - um CoA - diretamente para o controlador sem fio. Certifique-se de que sua plataforma de gerenciamento suporte CoA.

Agora, os principais erros a serem evitados. Primeiro: a randomização do endereço MAC. Os smartphones modernos randomizam seu endereço MAC para proteger a privacidade do usuário. Se a sua implementação de iPSK depender do MAC Address Bypass, a randomização interromperá a autenticação. Certifique-se de que sua infraestrutura use a verificação iPSK moderna baseada em EAPOL. Segundo: desempenho do RADIUS. O iPSK impõe uma carga computacional mais pesada no servidor RADIUS devido às verificações de dicionário necessárias durante o handshake EAPOL. Use um serviço RADIUS de alto desempenho hospedado na nuvem. Terceiro: compatibilidade com WPA3. Atualmente, o iPSK opera em WPA2. Se você estiver implantando pontos de acesso WiFi 6E ou WiFi 7 na banda de 6 GHz, precisará de uma estratégia WPA3-Enterprise separada para esses clientes.

PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto)

O iPSK é compatível com dispositivos IoT? Sim. Consoles de videogame, termostatos inteligentes e impressoras sem fio se conectam usando uma senha simples, exatamente como fariam em uma rede doméstica.

O iPSK funciona com qualquer hardware? Sim. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet suportam PSK por dispositivo. A Purple oferece uma camada de gerenciamento agnóstica de hardware para todos eles.

O iPSK está em conformidade com o GDPR? Sim, quando implementado corretamente. A rede atribui credenciais a indivíduos identificáveis, e essas credenciais são revogadas quando o indivíduo sai. Isso cria uma trilha de auditoria clara de acesso à rede.

RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto)

Para resumir. O iPSK é o padrão definitivo para conectividade WiFi multi-tenant. Ele oferece às equipes de TI o controle da autenticação corporativa, com a simplicidade de um roteador doméstico para os residentes. Ele suporta todos os tipos de dispositivos, permite o isolamento de rede por residente via atribuição dinâmica de VLAN e se expande por meio do gerenciamento automatizado do ciclo de vida integrado ao seu provedor de identidade.

Se você está planejando um empreendimento BTR, um projeto de acomodação estudantil ou qualquer propriedade multi-tenant, o iPSK deve ser a base do design da sua rede. A Purple implementou essa arquitetura em mais de 80.000 locais globalmente, e podemos ajudar você a projetar, implementar e gerenciar tudo desde o primeiro dia. Para mais informações, acesse purple ponto ai ou fale com um de nossos arquitetos de rede. Obrigado por nos ouvir.

Principais conclusões

✓O iPSK atribui uma senha exclusiva para cada usuário ou dispositivo em um único SSID, preenchendo a lacuna entre a simplicidade do WPA2-Personal e o controle do WPA2-Enterprise.
✓A atribuição dinâmica de VLAN via RADIUS cria uma Rede de Área Privada para cada morador, oferecendo isolamento de Camada 2 equivalente a um roteador residencial privado.
✓O iPSK suporta 100% dos dispositivos, incluindo consoles de jogos, smart TVs e hardware IoT que não conseguem processar certificados 802.1X.
✓O gerenciamento automatizado do ciclo de vida por meio de uma integração com provedor de identidade é essencial em escala - o gerenciamento manual de chaves falha além de um punhado de unidades.
✓A configuração do Change of Authorization (CoA) é necessária para forçar a desconexão imediata quando uma chave é revogada - a revogação apenas no RADIUS não derruba as sessões ativas.
✓O iPSK opera em WPA2; planeje uma estratégia WPA3-Enterprise separada para pontos de acesso da banda de 6 GHz se estiver implantando WiFi 6E ou WiFi 7.
✓A eliminação de roteadores domésticos por unidade reduz os custos de hardware, remove a interferência de RF e oferece uma experiência instantânea para o residente desde o primeiro dia.

Resumo executivo

A segurança tradicional de WiFi força uma escolha entre duas opções inadequadas. O WPA2-Personal padrão é simples, mas não oferece responsabilidade individual - uma senha vazada compromete toda a rede. O WPA2/3-Enterprise (IEEE 802.1X) oferece controle por usuário, mas quebra a conectividade de consoles de videogame, smart TVs e dispositivos IoT que não conseguem processar certificados digitais.

O Identity Pre-Shared Key (iPSK) resolve essa tensão. Ele atribui uma senha exclusiva a cada usuário ou dispositivo individual em um único SSID, permitindo a atribuição dinâmica de VLAN e isolamento de Camada 2 por meio de um servidor RADIUS central. Para operadores de Build-to-Rent (BTR), incorporadoras imobiliárias e proprietários, o iPSK é o padrão definitivo para conectividade multi-inquilino. Ele suporta 100% dos dispositivos dos residentes, cria uma Rede de Área Privada (PAN) para cada unidade e escala por meio de gerenciamento automatizado de ciclo de vida integrado com provedores de identidade como Microsoft Entra ID, Okta ou Google Workspace. A Purple automatiza todo esse fluxo de trabalho em mais de 80.000 locais ativos, integrando-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Mergulho técnico profundo

O funcionamento do Identity PSK

O iPSK modifica o handshake EAPOL padrão de quatro vias do WPA2. Quando um dispositivo cliente se associa a um ponto de acesso usando uma chave pré-compartilhada específica, o ponto de acesso não concede o acesso imediatamente. Em vez disso, ele envia uma mensagem RADIUS-REQUEST para o servidor de autenticação central. Essa solicitação contém atributos específicos do fornecedor - para Cisco Meraki, estes são os atributos Meraki-IPSK, incluindo Meraki-IPSK-Anonce e Meraki-IPSK-EAPOL. O servidor RADIUS executa uma verificação de dicionário em seu banco de dados de iPSKs configurados. Se uma correspondência for encontrada, ele responde com uma mensagem ACCESS-ACCEPT contendo o atributo Tunnel-Password e, crucialmente, uma atribuição dinâmica de VLAN via Tunnel-Private-Group-Id.

Essa arquitetura não requer infraestrutura de certificados. O dispositivo cliente vê uma rede WPA2-Personal padrão e se conecta com uma senha. A complexidade é tratada inteiramente entre o ponto de acesso e o servidor RADIUS.

Isolamento de Camada 2 e Redes de Área Privada

Em um ambiente multi-inquilino, um único SSID em centenas de apartamentos é eficiente para o planejamento de RF, mas cria sérios riscos de segurança sem a segmentação adequada. O iPSK permite a criação de uma Rede de Área Privada (PAN) para cada residente. Quando um morador se autentica com seu iPSK exclusivo, o servidor RADIUS atribui seus dispositivos a uma VLAN específica. A infraestrutura de rede impõe o isolamento de Camada 2 entre essas VLANs. O iPhone do Morador A pode ver sua própria impressora ou Chromecast, mas o Morador B no apartamento ao lado não consegue descobrir ou interagir com esses dispositivos. Essa micro-segmentação é fundamental para a conformidade com a GDPR e para manter a confiança dos moradores.

Como cada morador tem sua própria VLAN isolada, você pode ativar a reflexão mDNS dentro daquela VLAN específica. O mDNS é o protocolo que permite AirPlay, transmissão de Chromecast e impressão sem fio. Ativar a reflexão mDNS dentro da VLAN privada de cada morador permite que seus próprios dispositivos se comuniquem entre si, enquanto permanecem completamente isolados de todos os outros moradores. O resultado é uma experiência semelhante à de uma residência em uma infraestrutura compartilhada.

Implementações de fabricantes de hardware

Fabricantes de hardware corporativo usam terminologias diferentes para PSK por dispositivo, mas a mecânica RADIUS subjacente é consistente. A tabela abaixo mapeia os nomes dos fabricantes para a implementação canônica:

Fabricante	Nome do Recurso	Notas
Cisco Meraki	iPSK (Identity PSK)	Suporta Easy PSK via parâmetros EAPOL a partir do MR 32.1.3+
HPE Aruba	MPSK (Multi-PSK)	Suporta nativamente até 256 PSKs por SSID
Ruckus	DPSK (Dynamic PSK)	A geração DPSK3 suporta implantações MDU de alta densidade
Juniper Mist	PSK por usuário	Gerenciado em nuvem via Mist AI
Ubiquiti UniFi	PPSK (Private PSK)	VLAN atribuída por RADIUS suportada a partir de firmware recente
Cambium	PSK por cliente	Suportado na plataforma de nuvem cnMaestro
Extreme	iPSK	Suportado via ExtremeCloud IQ
Fortinet	MPSK	Suportado em FortiAP com FortiGate RADIUS

A Purple é agnóstica em relação ao hardware e se integra a todas essas plataformas como uma sobreposição de nuvem, fornecendo uma camada de gerenciamento unificada, independentemente de qual hardware você tenha implantado.

Considerações sobre WPA3 e a banda de 6 GHz

O iPSK opera atualmente em WPA2. O WPA3 usa Autenticação Simultânea de Iguais (SAE), que não é compatível com a abordagem padrão de verificação de dicionário do iPSK. Se você estiver implantando pontos de acesso WiFi 6E ou WiFi 7 que operam na banda de 6 GHz - que exige WPA3 - você precisa de uma estratégia separada para esses clientes. A abordagem prática é manter o WPA2 iPSK nas bandas de 2.4 GHz e 5 GHz para ampla compatibilidade de dispositivos, enquanto usa WPA3-Enterprise para dispositivos compatíveis com 6 GHz. Consulte o nosso guia relacionado Uu PPSK: comparing features and deployment models para uma comparação mais detalhada das implementações de PSK por dispositivo e planejamento de transição para WPA3.

Guia de implantação

Passo 1: Configuração do servidor RADIUS

A base de uma implantação de iPSK é uma infraestrutura RADIUS robusta. O servidor deve suportar os atributos específicos do fabricante exigidos pelos seus pontos de acesso. Para Cisco Meraki, configure o dicionário de atributos Meraki-IPSK. Para HPE Aruba, configure o atributo Aruba-MPSK-Passphrase. O servidor RADIUS deve ser altamente disponível - uma interrupção do RADIUS impedirá novas autenticações de clientes. Use um serviço RADIUS hospedado na nuvem com instâncias redundantes em vez de um único servidor local.

Passo 2: Provisionamento de SSID e VLAN

Configure um único SSID em toda a propriedade. Ative o iPSK com autenticação RADIUS na controladora sem fio ou no painel de gerenciamento na nuvem. Defina o pool de VLAN para atribuição dinâmica - por exemplo, VLAN 100 a VLAN 600 para um empreendimento de 500 unidades. Certifique-se de que os switches de rede principais estejam configurados para realizar o trunking de todas essas VLANs para os pontos de acesso, e que o roteamento inter-VLAN seja estritamente controlado pela política de firewall para manter o isolamento.

Para o padrão de design de três SSIDs - Resident WiFi, Staff WiFi e IoT WiFi - consulte nosso artigo relacionado Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Passo 3: Integração do provedor de identidade

O gerenciamento manual de chaves não é escalável além de algumas unidades. Integre sua plataforma de gerenciamento de rede com um Provedor de Identidade (IdP). O Purple se integra com Microsoft Entra ID, Okta e Google Workspace. Quando um novo morador assina um contrato e é adicionado ao seu sistema de gestão de propriedades, a integração gera automaticamente um iPSK exclusivo, atribui uma VLAN e envia as credenciais por e-mail para o morador antes da data de mudança. Quando o contrato termina e o morador é removido do sistema, o Purple revoga a chave automaticamente.

Passo 4: Configuração de Change of Authorization (CoA)

A revogação da chave no banco de dados RADIUS não desconecta imediatamente um dispositivo já associado. A autenticação RADIUS ocorre apenas durante o handshake de conexão inicial. Para forçar a desconexão imediata no término do contrato, configure sua plataforma de gerenciamento para enviar uma mensagem de Change of Authorization (CoA) diretamente para a controladora sem fio. Isso instrui a controladora a derrubar a sessão do cliente imediatamente. Verifique se o CoA está funcionando de ponta a ponta em seu ambiente de teste antes do go-live.

Passo 5: Integração de dispositivos e experiência do morador

Os moradores conectam seus smartphones, laptops e smart TVs usando seu iPSK exclusivo. A rede os coloca automaticamente em sua Rede de Área Privada. Para dispositivos sem interface gráfica - consoles de videogame, termostatos inteligentes, impressoras sem fio - o morador insere o iPSK durante o processo padrão de configuração de WiFi no dispositivo. Sem Captive Portal, sem certificado, sem chamados de suporte técnico.

Para implantações em hospitalidade , o iPSK elimina a reclamação mais comum dos hóspedes: o login recorrente no Captive Portal. Para ambientes de varejo , ele permite a segmentação segura de dispositivos da equipe na mesma infraestrutura física que o Guest WiFi . Para ambientes de saúde , ele isola dispositivos IoT médicos confidenciais em uma VLAN dedicada, ao mesmo tempo em que oferece conectividade simples para pacientes e visitantes.

Melhores práticas

Automatize o gerenciamento do ciclo de vida. Nunca gerencie chaves manualmente. Use uma camada de orquestração como o Purple para automatizar a criação e a revogação de chaves com base em datas de locação ou status de contratação. O gerenciamento manual falha em escala e cria brechas de segurança quando os residentes saem.

Imponha um isolamento estrito de Camada 2. Fornecer chaves exclusivas é apenas metade da solução. Verifique se o isolamento de Camada 2 está funcionando corretamente usando ferramentas de varredura de rede para confirmar que os dispositivos em VLANs diferentes não conseguem se descobrir via mDNS ou tráfego de broadcast. Esta é a etapa mais comumente ignorada nas implantações iniciais.

Planeje para a randomização de endereços MAC. Os smartphones modernos randomizam seu endereço MAC para proteger a privacidade do usuário. Se a sua implantação de iPSK depender estritamente de MAC Address Bypass (MAB), a randomização interromperá a autenticação. Certifique-se de que sua infraestrutura use a verificação de iPSK baseada em EAPOL, que não exige o pré-registro de endereços MAC.

Monitore o desempenho do RADIUS. O iPSK impõe uma carga mais pesada ao servidor RADIUS do que o 802.1X padrão devido às verificações de dicionário necessárias durante o handshake EAPOL. Monitore a latência de autenticação e dimensione a infraestrutura RADIUS de acordo. Em implantações com dezenas de milhares de chaves, certifique-se de que o banco de dados RADIUS esteja indexado corretamente.

Referência IEEE 802.1X e PCI-DSS. Para propriedades que incluem varejo ou espaços de coworking, a segmentação de rede fornecida pelo iPSK apoia a conformidade com o PCI-DSS, isolando os ambientes de cartões de pagamento do tráfego geral dos residentes. Documente sua segmentação de VLAN e controles de acesso RADIUS como parte de sua trilha de auditoria PCI-DSS.

Solução de problemas e mitigação de riscos

Timeouts de autenticação

Se o servidor RADIUS demorar muito para processar os parâmetros EAPOL e encontrar um iPSK correspondente, o dispositivo cliente sofrerá timeout e não conseguirá se conectar. Isso é comum em implantações com dezenas de milhares de chaves. Mitigue isso garantindo que o banco de dados RADIUS esteja indexado no campo PSK e usando um serviço de cloud RADIUS de alto desempenho. A documentação do Cisco Meraki observa que um timeout do handshake EAPOL após a mensagem dois é um comportamento esperado durante a busca inicial - o AP reinicia o handshake assim que o servidor RADIUS retorna o PMK.

Falhas de atribuição de VLAN

Se um cliente se conectar, mas não receber um endereço IP, o servidor RADIUS pode estar falhando em passar os atributos de VLAN corretos, ou o switch de rede pode não ter a VLAN atribuída configurada. Verifique o atributo Tunnel-Private-Group-Id na mensagem ACCESS-ACCEPT do RADIUS usando uma captura de pacotes, e verifique se a porta do switch está fazendo o trunking da VLAN atribuída para o ponto de acesso.

A randomização de MAC quebrando o iPSK baseado em MAB

Se os residentes relatarem falhas de conexão intermitentes, particularmente após atualizações do iOS ou Android, a randomização de MAC é a causa mais provável. Migre para a verificação de iPSK baseada em EAPOL (Cisco Easy PSK a partir do MR 32.1.3+) que não requer endereços MAC pré-registrados.

Dispositivos se conectando, mas não alcançando a VLAN correta

Em implantações Cisco Meraki, a substituição de VLAN via RADIUS exige que o SSID seja configurado no modo Bridge com a marcação de VLAN habilitada e a substituição de RADIUS definida como "Override VLAN tag". Verifique esta configuração se os clientes estiverem caindo na VLAN padrão do SSID em vez da VLAN atribuída.

ROI e impacto nos negócios

O iPSK entrega valor de negócios mensurável para incorporadores imobiliários e proprietários em três dimensões.

Redução de custos de hardware. Eliminar roteadores individuais de nível de consumo de cada apartamento remove uma despesa de capital e operacional significativa. Um empreendimento de 250 unidades implantando um roteador de consumo por unidade a £80 cada representa £20.000 apenas em hardware, além dos custos contínuos de substituição e suporte. A infraestrutura compartilhada com iPSK elimina isso completamente.

Melhoria do ambiente de RF. Cada roteador de consumo transmite seu próprio SSID, criando redes WiFi concorrentes que degradam a qualidade do sinal para todos os residentes. Remover roteadores individuais e substituí-los por uma implantação de pontos de acesso planejada profissionalmente reduz a interferência e melhora a taxa de transferência para cada residente.

Satisfação e retenção de residentes. Os residentes recebem seu iPSK exclusivo antes da mudança, fornecendo WiFi instantâneo desde o primeiro dia. Isso remove a reclamação de conectividade mais comum em empreendimentos BTR. O WiFi gerenciado com um nível de serviço claro é cada vez mais um diferencial no mercado de BTR, onde os residentes comparam as comodidades diretamente.

Eficiência operacional. O provisionamento e a revogação automatizados de credenciais eliminam os chamados de suporte relacionados a redefinições de senha, configuração de mudança de entrada e procedimentos de mudança de saída. A plataforma de WiFi Analytics da Purple fornece dados de uso e monitoramento da saúde da rede, dando aos gerentes de propriedade visibilidade sobre sua infraestrutura sem exigir equipe de TI dedicada no local.

Para operadores de transporte e do setor público que gerenciam ambientes multi-tenant, a mesma arquitetura se aplica. O SLA de 99,999% de tempo de atividade da Purple, a certificação ISO 27001 e a conformidade com o GDPR a tornam uma escolha confiável para ambientes regulamentados onde a disponibilidade da rede e a proteção de dados são inegociáveis.

Definições principais

Identity Pre-Shared Key (iPSK)

Um protocolo de segurança que atribui uma senha de WiFi exclusiva a usuários ou dispositivos individuais em um único SSID, permitindo controle de acesso granular, atribuição dinâmica de VLAN e revogação individual de credenciais sem a necessidade de certificados digitais.

Usado para proteger redes multi-inquilino e IoT onde o WPA2-Enterprise é muito complexo ou incompatível com dispositivos sem interface de usuário.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gerenciamento centralizado de Autenticação, Autorização e Auditoria (AAA) para acesso à rede.

O servidor de backend que processa as solicitações de autenticação iPSK, executa a verificação do dicionário PSK e retorna as atribuições de VLAN dinâmicas.

Private Area Network (PAN)

Um ambiente de rede micro-segmentado que isola os dispositivos de um residente específico do restante da rede, simulando a experiência de um roteador doméstico privado em uma infraestrutura compartilhada.

Crítico para a privacidade dos residentes em implantações de BTR e alojamento estudantil. Ativado combinando iPSK com atribuição de VLAN dinâmica e reflexão mDNS.

Isolamento de Layer 2

Uma medida de segurança de rede que impede que dispositivos no mesmo segmento de rede local se comuniquem diretamente entre si na camada de enlace de dados.

Usado em conjunto com o iPSK para garantir que um dispositivo comprometido em um apartamento não possa descobrir ou atacar dispositivos em outro, mesmo no mesmo ponto de acesso físico.

Atribuição de VLAN dinâmica

O processo de colocar um usuário ou dispositivo em uma Virtual Local Area Network específica com base em sua identidade ou credenciais durante o processo de autenticação RADIUS.

O mecanismo que o iPSK usa para separar o tráfego de diferentes residentes no mesmo ponto de acesso físico. Transportado no atributo RADIUS Tunnel-Private-Group-Id.

EAPOL

Extensible Authentication Protocol over LAN. O protocolo usado no handshake de quatro vias do WPA2 para estabelecer uma comunicação segura entre um dispositivo cliente e um ponto de acesso.

Implementações modernas de iPSK passam parâmetros EAPOL para o servidor RADIUS para verificar a chave pré-compartilhada sem exigir o pré-registro do endereço MAC, resolvendo o problema de randomização de MAC.

Change of Authorization (CoA)

Uma extensão RADIUS (RFC 5176) que permite que um servidor RADIUS ou plataforma de gerenciamento envie uma mensagem para um controlador sem fio instruindo-o a desconectar uma sessão de cliente ativa.

Essencial para a revogação imediata de credenciais. Sem o CoA, um iPSK revogado só entra em vigor quando o dispositivo se desconecta e tenta se reconectar.

Dispositivo headless

Um dispositivo conectado à rede que não possui tela ou navegador web, como um console de videogame, termostato inteligente, impressora sem fio ou alto-falante inteligente.

Esses dispositivos não conseguem navegar em portais cativos ou processar certificados 802.1X, tornando o iPSK o único método de autenticação segura viável para eles em uma rede corporativa.

Build-to-Rent (BTR)

Desenvolvimentos residenciais construídos especificamente para o mercado de aluguel, normalmente gerenciados por um único operador que fornece comodidades, incluindo WiFi gerenciado.

Um mercado primário para implantações de iPSK. Os operadores de BTR usam o iPSK para fornecer WiFi isolado e instantâneo por residente como uma comodidade premium, sem implantar roteadores individuais em cada unidade.

Reflexão mDNS

Uma configuração de rede que encaminha o tráfego DNS multicast dentro de uma VLAN específica, permitindo que protocolos de descoberta de dispositivos como AirPlay, Chromecast e Bonjour funcionem dentro de um segmento de rede isolado.

Necessário para permitir que os residentes transmitam vídeos para suas smart TVs ou imprimam em suas impressoras sem fio dentro de sua Private Area Network, mantendo o isolamento de outros residentes.

Exemplos práticos

Um empreendimento Build-to-Rent de 250 unidades precisa fornecer WiFi seguro para os residentes. O operador deseja evitar a instalação de roteadores individuais em cada apartamento para reduzir a interferência de RF e os custos de hardware. Os residentes precisam conectar smart TVs, consoles de videogame e dispositivos domésticos inteligentes. Os residentes não devem conseguir visualizar dispositivos em outros apartamentos.

Implante um único SSID em toda a propriedade usando pontos de acesso Cisco Meraki configurados para Identity PSK com autenticação RADIUS. Integre o sistema de gestão de propriedades com o Purple para gerar automaticamente um iPSK exclusivo para cada contrato de locação. Quando um residente se conecta, o servidor RADIUS o atribui a uma VLAN dedicada - por exemplo, VLAN 101 para a Unidade 101. Configure os switches principais para isolar essas VLANs na Camada 2. Habilite a reflexão mDNS dentro de cada VLAN de residente para suportar AirPlay, Chromecast e impressão sem fio dentro da unidade. Configure a Alteração de Autorização (CoA) para encerrar as sessões do cliente imediatamente no término do contrato. Integre o Purple com o sistema de gestão de propriedades para que as credenciais sejam provisionadas antes da mudança e revogadas automaticamente na desocupação.

Comentário do examinador: Esta abordagem atende a todos os requisitos. O SSID único reduz a sobrecarga de RF em comparação com roteadores de apartamentos individuais. O iPSK suporta consoles de videogame e smart TVs que falhariam em uma rede 802.1X. A atribuição dinâmica de VLAN garante o isolamento completo entre os apartamentos. O gerenciamento automatizado do ciclo de vida via Purple elimina o gerenciamento manual de chaves e as brechas de segurança que ele cria. A configuração de CoA garante que as chaves revogadas entrem em vigor imediatamente, em vez de esperar que o dispositivo se desconecte e reconecte.

Um bloco de acomodação estudantil universitária abriga 800 alunos, cada um trazendo uma média de sete dispositivos, incluindo notebooks, telefones, consoles de videogame e alto-falantes inteligentes. O departamento de TI está recebendo um alto volume de chamados de suporte de alunos impossibilitados de conectar suas impressoras sem fio e alto-falantes inteligentes à rede WPA2-Enterprise do campus.

Mantenha a rede 802.1X existente para notebooks e telefones. Crie um SSID secundário configurado para iPSK especificamente para dispositivos IoT sem interface de usuário. Os alunos usam um portal de autoatendimento para gerar um iPSK exclusivo para seus dispositivos. O servidor RADIUS atribui esses dispositivos a uma VLAN de IoT específica do aluno, isolando-os dos dispositivos de outros alunos e permitindo que se comuniquem com os próprios dispositivos do aluno via reflexão mDNS. Integre o portal com o provedor de identidade da universidade - Microsoft Entra ID ou Google Workspace - para que as credenciais fiquem vinculadas à conta universitária do aluno e sejam revogadas automaticamente ao final de sua matrícula.

Comentário do examinador: Esta abordagem híbrida mantém a alta segurança para os dispositivos de computação primários, ao mesmo tempo que oferece uma solução pragmática para o hardware de IoT. Ela elimina a carga de suporte técnico ao capacitar os alunos a integrar seus próprios dispositivos sem interface de forma segura. O isolamento de VLAN garante que um dispositivo de IoT comprometido em um quarto não possa atacar dispositivos em outro. A integração com o provedor de identidade garante que as credenciais sejam revogadas automaticamente no final de cada ano letivo.

Questões práticas

Q1. Você está projetando a rede para um bloco de acomodação estudantil de 500 unidades. Os alunos precisam conectar notebooks, telefones e consoles de videogame. A equipe de TI deseja a revogação de credenciais individuais e não pode dar suporte a uma fila de helpdesk para problemas de certificados. Como você estrutura a autenticação?

Dica: Considere as capacidades dos consoles de videogame em comparação com os requisitos de segurança para notebooks. Pense se um SSID ou dois é mais apropriado.

Ver resposta modelo

Implante um único SSID usando iPSK com autenticação RADIUS. Isso permite que notebooks e celulares se conectem com segurança, além de suportar dispositivos sem interface gráfica (headless), como consoles de videogame, que não conseguem processar certificados 802.1X. Use atribuição dinâmica de VLAN para isolar os dispositivos de cada estudante. Integre com o provedor de identidade da universidade para que as credenciais sejam provisionadas na matrícula e revogadas automaticamente no final de cada ano letivo. Isso elimina a sobrecarga de gerenciamento de certificados, oferecendo capacidade de revogação individual.

Q2. Um morador relata que não consegue transmitir vídeo do smartphone para a smart TV. Ambos os dispositivos constam como conectados à rede WiFi. O morador está no Apartamento 204 de um empreendimento BTR de 200 unidades. Qual é a causa mais provável e como você resolve isso?

Dica: Pense em como o isolamento de Camada 2 afeta os protocolos de descoberta de dispositivos, como o mDNS. Considere se o problema está entre VLANs ou dentro da mesma VLAN.

Ver resposta modelo

A causa mais provável é que o smartphone e a smart TV estejam atribuídos a VLANs diferentes, ou que o redirecionamento mDNS não esteja ativado na VLAN do morador. Primeiro, verifique se ambos os dispositivos se autenticaram com o mesmo iPSK e foram atribuídos à mesma VLAN consultando os logs de acesso RADIUS. Se estiverem em VLANs diferentes, o morador pode ter usado credenciais diferentes para cada dispositivo - corrija isso garantindo que ambos os dispositivos usem o mesmo iPSK. Se estiverem na mesma VLAN mas a transmissão ainda falhar, ative o redirecionamento mDNS para essa VLAN na controladora sem fio para permitir o tráfego de descoberta do AirPlay e Chromecast.

Q3. Seu sistema de gestão de propriedades revoga o iPSK de um morador quando o contrato de locação termina à meia-noite. Na manhã seguinte, o gerente da propriedade relata que os dispositivos do ex-morador ainda estão conectados à rede. Por quê, e o que você faz?

Dica: Considere com que frequência um dispositivo realmente se autentica no servidor RADIUS após a conexão inicial. Pense em qual mecanismo força a desconexão imediata.

Ver resposta modelo

A autenticação RADIUS ocorre apenas durante o handshake de conexão inicial. Uma vez que o dispositivo está associado à rede, ele não se reautentica continuamente. Revogar o iPSK no banco de dados RADIUS impede conexões futuras, mas não desconecta sessões ativas. Para forçar a desconexão imediata, o sistema de gestão deve enviar uma mensagem de Change of Authorization (CoA) - definida na RFC 5176 - diretamente para a controladora sem fio. Isso instrui a controladora a derrubar as sessões ativas dos clientes para aquela VLAN ou endereço MAC imediatamente. Verifique se sua plataforma de gestão suporta CoA e se está configurada para enviar mensagens de desconexão na revogação de credenciais, e não apenas na próxima tentativa de autenticação.

Q4. Você está planejando uma implantação de WiFi 6E para um novo empreendimento BTR. Os pontos de acesso suportam a banda de 6 GHz, que exige WPA3. Você deseja usar iPSK para o isolamento dos moradores. Como você lida com a restrição de compatibilidade do WPA3?

Dica: O iPSK opera em WPA2. O WPA3 usa SAE. Considere uma estratégia de banda dupla.

Ver resposta modelo

O iPSK não é compatível com WPA3-SAE, que é obrigatório na banda de 6 GHz. Implante uma estratégia de SSID duplo: um SSID nas bandas de 2.4 GHz e 5 GHz usando WPA2 com iPSK para ampla compatibilidade de dispositivos, incluindo IoT e dispositivos legados. Um segundo SSID na banda de 6 GHz usando WPA3-Enterprise (802.1X) para notebooks e celulares modernos que o suportem. Use a mesma infraestrutura RADIUS para ambos, com o SSID 802.1X usando EAP-TLS ou PEAP para autenticação baseada em certificado ou credencial. Isso garante que dispositivos legados e sem interface gráfica continuem funcionando no SSID iPSK, enquanto dispositivos compatíveis com 6 GHz se beneficiam da segurança do WPA3.

Continue a ler esta série

Nama ff keren iPSK: um guia completo para empresas

Este guia explica como implantar o iPSK (Identity Pre-Shared Key) em ambientes multi-tenant, como empreendimentos Build to Rent, acomodações estudantis e propriedades MDU. Ele aborda a arquitetura baseada em RADIUS que oferece a cada residente uma bolha de WiFi privada e isolada em um único SSID compartilhado, além de detalhar as etapas de implementação, integrações de hardware e o caso comercial para tratar o WiFi como uma comodidade gerenciada.

Solução de Managed WiFi: um guia completo para empresas

Este guia de referência técnica autorizado explica como projetar, implantar e escalar uma solução de Managed WiFi em ambientes multi-tenant, incluindo propriedades build-to-rent, hotéis, complexos comerciais e estádios. Ele aborda segmentação de VLAN, arquitetura PSK por dispositivo, design de rede baseado em identidade e conformidade com PCI-DSS e GDPR - fornecendo aos gerentes de TI, arquitetos de rede e diretores de operações de locais as estruturas práticas de que precisam para tomar decisões neste trimestre.

Serviços de WiFi gerenciados em Dubai: um guia abrangente para empresas

Este guia oferece a gerentes de TI, arquitetos de rede e incorporadores imobiliários uma estrutura prática para implantar serviços de WiFi gerenciados em Dubai. Ele aborda o isolamento de múltiplos inquilinos usando iPSK, arquitetura de segmentação de VLAN, conformidade com TDRA e UAE PDPL, e o caso comercial para tratar a conectividade como uma comodidade gerenciada em ambientes de hotelaria, varejo e BTR.