Guia de iPSK: um guia completo para empresas

Resumo executivo

A segurança de WiFi tradicional força uma escolha entre duas opções inadequadas. O WPA2-Personal padrão é simples, mas não oferece responsabilidade individual. Uma única senha vazada compromete toda a rede, e revogar o acesso de um único morador significa alterar a senha de todos. O WPA2-Enterprise ou WPA3-Enterprise usando IEEE 802.1X oferece controle por usuário, mas interrompe a conectividade de consoles de videogame, smart TVs e dispositivos IoT que não conseguem processar certificados digitais.

O Identity Pre-Shared Key (iPSK) resolve esse conflito. Ele atribui uma senha exclusiva para cada usuário ou dispositivo individual em um único SSID, permitindo a atribuição dinâmica de VLAN e isolamento de Camada 2 por meio de um servidor RADIUS central. Para operadoras de Build-to-Rent (BTR), incorporadoras imobiliárias e proprietários, o iPSK é o padrão definitivo para conectividade multi-tenant. Ele oferece suporte a 100% dos dispositivos dos moradores, cria uma Rede de Área Privada para cada unidade e ganha escala por meio do gerenciamento automatizado de ciclo de vida integrado a provedores de identidade como Microsoft Entra ID, Okta ou Google Workspace. A Purple automatiza todo esse fluxo de trabalho em mais de 80.000 locais ativos, integrando-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Detalhamento técnico

O funcionamento do Identity PSK

O iPSK modifica o handshake EAPOL padrão de quatro vias do WPA2. Quando um dispositivo cliente se associa a um ponto de acesso usando uma chave pré-compartilhada específica, o ponto de acesso não concede o acesso imediatamente. Em vez disso, ele envia uma mensagem de solicitação RADIUS para o servidor de autenticação central. Essa solicitação contém atributos específicos do fornecedor. Para o Cisco Meraki, esses são os atributos Meraki-IPSK. O servidor RADIUS executa uma verificação de dicionário em seu banco de dados de iPSKs configurados. Se uma correspondência for encontrada, ele responde com uma mensagem de aceitação de acesso contendo a senha e, fundamentalmente, uma atribuição dinâmica de VLAN por meio do atributo Tunnel-Private-Group-Id.

Essa arquitetura não requer infraestrutura de certificados. O dispositivo cliente visualiza uma rede WPA2-Personal padrão e se conecta com uma senha. A complexidade é tratada inteiramente entre o ponto de acesso e o servidor RADIUS. É por isso que o iPSK oferece suporte a 100% dos dispositivos de consumo - consoles de videogame, smart TVs, impressoras sem fio e sensores IoT se conectam usando a mesma experiência simples de senha que usam em casa.

Isolamento de Camada 2 e Redes de Área Privada

Em um ambiente multi-tenant, um único SSID em centenas de apartamentos é eficiente para o planejamento de RF, mas cria sérios riscos de segurança sem a segmentação adequada. O iPSK permite a criação de uma Rede de Área Privada (PAN) para cada morador.

Quando um morador se autentica com seu iPSK exclusivo, o servidor RADIUS atribui seus dispositivos a uma VLAN específica. A infraestrutura de rede impõe o isolamento de Camada 2 entre essas VLANs. O iPhone de um morador pode ver sua própria impressora ou Chromecast, mas o morador do apartamento ao lado não consegue descobrir ou interagir com esses dispositivos. Essa microsegmentação é fundamental para a conformidade com a GDPR e para manter a confiança dos moradores.

Como cada morador possui sua própria VLAN isolada, você pode habilitar o reflexo mDNS dentro dessa VLAN específica. O mDNS é o protocolo que permite AirPlay, transmissão do Chromecast e impressão sem fio. Habilitar o reflexo mDNS dentro da VLAN privada de cada morador permite que seus próprios dispositivos se comuniquem entre si, enquanto permanecem completamente isolados de todos os outros moradores. O resultado é uma experiência semelhante à de uma casa em uma infraestrutura compartilhada.

Implementações de fornecedores de hardware

Todos os principais fornecedores de hardware WiFi corporativo oferecem suporte a PSK por dispositivo, mas sob diferentes nomes de produtos. A tabela abaixo mapeia a terminologia do fornecedor para a tecnologia subjacente.

A Purple é agnóstica em relação ao hardware e fornece uma camada de gerenciamento unificada em todas essas plataformas. Você não fica preso a um único fornecedor e pode migrar de hardware sem precisar reconstruir sua infraestrutura de autenticação.

Guia de implementação

A implantação do iPSK requer coordenação entre sua infraestrutura sem fio, seu servidor RADIUS e seu provedor de identidade. Siga esta sequência para implantar corretamente.

Etapa 1 - Planeje sua arquitetura de VLAN. Aloque uma VLAN por unidade residencial. Em um empreendimento de 300 unidades, você precisará de 300 VLANs. O padrão 802.1Q suporta 4.094 VLANs, o que é suficiente para a maioria dos empreendimentos BTR. Para implantações maiores, planeje overlays de VXLAN.

Etapa 2 - Implante seu servidor RADIUS. A Purple fornece um serviço RADIUS hospedado na nuvem com 99,999% de tempo de atividade. Aponte seus controladores sem fio para o endpoint do RADIUS da Purple. Configure o segredo compartilhado entre seus pontos de acesso e o servidor RADIUS.

Passo 3 - Configure seu controlador wireless. Crie um único SSID com segurança WPA2-PSK. Ative o seletor de iPSK ou PPSK específico do fabricante. Ative a substituição de AAA para que a resposta RADIUS possa atribuir VLANs dinamicamente. Desative o isolamento de clientes no nível do SSID - o isolamento é gerenciado por VLAN.

Passo 4 - Integre seu provedor de identidade. Conecte o Purple ao Microsoft Entra ID, Okta ou Google Workspace. O Purple lê o diretório de residentes e provisiona automaticamente um iPSK exclusivo e uma atribuição de VLAN para cada residente.

Passo 5 - Configure a Alteração de Autorização (CoA). Configure a CoA entre o Purple e seus controladores wireless. Isso permite que o Purple envie uma mensagem de desconexão quando o contrato de um residente termina, forçando o encerramento imediato da sessão.

Passo 6 - Ative a reflexão mDNS por VLAN. Configure seus switches de rede e controladores wireless para refletir o tráfego mDNS dentro de cada limite de VLAN. Isso permite o AirPlay, Chromecast e impressão wireless dentro de cada apartamento sem vazar o tráfego de descoberta pelo edifício.

Para saber mais sobre como projetar sua arquitetura global de WiFi, consulte nosso guia sobre três SSIDs para governar todos: guest, Passpoint e IoT WiFi .

Boas práticas

Evite falhas de randomização de endereço MAC. Os smartphones modernos randomizam seu endereço MAC para proteger a privacidade do usuário. Se a sua implementação de iPSK depender do MAC Address Bypass (MAB), a randomização interromperá a autenticação. Certifique-se de que sua infraestrutura use a verificação iPSK moderna baseada em EAPOL, onde a própria senha é o autenticador, em vez do endereço MAC.

Planeje o desempenho do RADIUS. O iPSK impõe uma carga computacional maior no servidor RADIUS do que o PSK padrão devido às verificações de dicionário necessárias durante o handshake EAPOL. Use um serviço RADIUS de alto desempenho hospedado na nuvem. A infraestrutura RADIUS do Purple foi criada para essa carga de trabalho e mantém 99,999% de uptime em mais de 80.000 locais.

Aborde a compatibilidade com WPA3 logo no início. O iPSK atualmente opera no WPA2. Se você estiver implantando pontos de acesso WiFi 6E ou WiFi 7 na banda de 6 GHz, precisará de uma estratégia WPA3-Enterprise separada para esses clientes. A banda de 6 GHz exige segurança WPA3, que atualmente não oferece suporte ao iPSK da mesma maneira. Planeje uma estratégia de banda dupla: WPA2 iPSK em 2.4 GHz e 5 GHz, WPA3-Enterprise em 6 GHz.

Automatize a entrega de credenciais. Não envie senhas por e-mail em texto sem formatação. O Purple entrega credenciais aos residentes por meio de um portal seguro e personalizado ou por meio do aplicativo Purple. Isso cria um registro auditável de entrega de credenciais e garante que os residentes possam realizar a redefinição de senhas por conta própria, sem precisar entrar em contato com o suporte.

Teste a reflexão mDNS antes do go-live. A reclamação mais comum dos residentes após uma implantação de iPSK é que o Chromecast ou AirPlay não funciona. Teste a reflexão mDNS em cada VLAN durante o comissionamento. Use um laptop e um Chromecast na mesma VLAN do residente e verifique se a transmissão funciona antes da entrega.Para obter orientações relacionadas sobre como a sua rede WiFi cria uma primeira impressão para os moradores, consulte como causar uma excelente primeira impressão com o seu WiFi de visitantes .

Solução de problemas e mitigação de riscos

Sessões obsoletas após a revogação da chave. O modo de falha mais comum em uma implantação de iPSK. Revogar uma chave no banco de dados RADIUS impede conexões futuras, mas não encerra as sessões ativas. Configure CoA em seus controladores sem fio e garanta que o Purple envie uma mensagem de desconexão de CoA em cada evento de revogação de chave.

Esgotamento de VLAN. Em implantações multi-tenant muito grandes, você pode esgotar o limite de 4.094 VLANs. Mitigue isso usando sobreposições de VXLAN ou compartilhando VLANs entre unidades não adjacentes onde o risco de contaminação cruzada é insignificante.

Indisponibilidade do servidor RADIUS. Se o seu servidor RADIUS ficar offline, nenhum novo dispositivo poderá se conectar. Configure o failover do RADIUS com um servidor secundário. O serviço de RADIUS em nuvem da Purple inclui redundância integrada e um SLA de 99,999% de tempo de atividade.

Atrasos na sincronização de chaves. Quando um novo morador se muda, pode haver um atraso entre a assinatura do contrato no sistema de gestão de propriedades e o provisionamento do iPSK no RADIUS. Integre seu sistema de gestão de propriedades diretamente com a API da Purple para automatizar o provisionamento e eliminar essa lacuna.

ROI e impacto nos negócios

Eliminar os roteadores de consumo por unidade transforma a economia do WiFi multi-tenant. Um empreendimento típico de BTR de 300 unidades pode gastar de £150 a £200 por unidade em roteadores de consumo, totalizando até £60.000 em hardware que precisa ser substituído a cada três a cinco anos. Pontos de acesso empresariais centralizados em corredores e áreas comuns reduzem os custos de hardware e eliminam as despesas operacionais de substituição de roteadores de consumo quebrados em apartamentos ocupados.

Mais importante ainda, você oferece uma experiência de morador instantânea. Os moradores se conectam ao WiFi no momento em que entram pela porta, usando credenciais enviadas com segurança antes do dia da mudança. Essa comodidade premium aumenta a satisfação dos inquilinos e apoia rendimentos de aluguel mais altos. De acordo com pesquisas do setor imobiliário, o WiFi gerenciado é hoje citado pelos moradores como uma das três principais comodidades que eles esperam em um empreendimento BTR.

A solução Multi-Tenant WiFi da Purple isola o tráfego com segurança e oferece suporte aos dispositivos inteligentes dos moradores, apoiada por 29 bilhões de pontos de dados coletados em nossa rede global. Nossa plataforma WiFi Analytics oferece aos gestores de propriedades visibilidade sobre a utilização da rede, ajudando a dimensionar corretamente o investimento em infraestrutura e a demonstrar o valor da comodidade do WiFi gerenciado para os investidores.

Para operadores de BTR que buscam expandir o engajamento dos residentes além da conectividade, a plataforma de Guest WiFi da Purple se integra a sistemas de gestão de propriedades para fornecer comunicações direcionadas e programas de fidelidade. Veja também nosso guia sobre como usar SMS em massa para marketing para aumentar visitas de retorno para táticas práticas de retenção de residentes.