O que é PPSK: comparando recursos e modelos de implantação

Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos falar sobre PPSK - Private Pre-Shared Key - o que é, como ele se compara aos seus parentes mais próximos e, fundamentalmente, qual modelo de implantação é o ideal para a sua propriedade. Se você é um incorporador imobiliário, um operador de build-to-rent ou um proprietário que gerencia um portfólio de edifícios multifamiliares, este é o briefing que você estava esperando. Porque o WiFi já não é mais apenas um serviço público que você adiciona ao final de um projeto. É uma comodidade que afeta diretamente o valor do seu aluguel, seus períodos de vacância e os índices de satisfação dos seus residentes. Vamos começar. Seção um: o que é PPSK e por que ele existe? Lembre-se de como a maioria dos edifícios compartilhados lida com o WiFi hoje. Há uma única senha, compartilhada com todos. Um novo residente se muda - você fornece a senha a ele. Um residente se muda para fora - e aqui está o problema. Você altera a senha de todo o edifício e interrompe a conexão de todos os outros residentes? Ou você deixa o ex-residente com acesso por tempo indeterminado à sua rede? Nenhuma das opções é aceitável. Essa é a falha fundamental do PSK compartilhado em escala. O PPSK resolve isso. O Private Pre-Shared Key dá a cada residente, a cada unidade, sua própria senha de WiFi exclusiva. Todos se conectam ao mesmo SSID - o mesmo nome de rede - mas cada senha mapeia para uma identidade de rede distinta. Quando um residente se muda, você revoga a chave dele. Uma chave. Ninguém mais é afetado. Agora, você encontrará vários nomes para essa tecnologia, dependendo de qual fornecedor de hardware você está trabalhando. A Aruba chama de PPSK. A Cisco Meraki chama de Personal Private Network. A Extreme Networks também usa PPSK. A Juniper Mist chama de ePSK. A Ruckus chama de DPSK - Dynamic PSK. A terminologia varia; o conceito é idêntico em todas elas. Seção dois: a arquitetura técnica - como realmente funciona. Aqui está o fluxo de autenticação, e entender isso é essencial para implantá-lo corretamente. Quando o dispositivo de um residente se conecta ao WiFi, o ponto de acesso recebe a chave pré-compartilhada que o dispositivo apresenta. Em uma rede PSK padrão, o ponto de acesso simplesmente verifica se essa chave corresponde à configurada no SSID. Se corresponder, o dispositivo se conecta. Simples, mas sem identidade individual. Em uma implantação PPSK, o ponto de acesso ou o controlador de LAN sem fio encaminha a chave - ou o endereço MAC do dispositivo - para um servidor RADIUS. RADIUS significa Remote Authentication Dial-In User Service, e é o protocolo AAA padrão do setor definido na RFC 2865. O servidor RADIUS pesquisa as credenciais apresentadas em seu armazenamento de identidades, confirma a qual residente elas pertencem e retorna uma resposta de Access-Accept. Incorporados nessa resposta estão a atribuição de VLAN e a política de largura de banda para aquele residente específico. O resultado é o que chamamos de uma bolha de WiFi. Cada dispositivo usando a chave do Residente A reside no segmento de rede privada do Residente A. O telefone dele descobre o seu Chromecast. O seu alto-falante inteligente se emparelha com as suas lâmpadas inteligentes. O seu console de videogame encontra a sua TV. Enquanto isso, os dispositivos do Residente B estão completamente invisíveis para o Residente A, mesmo estando no mesmo ponto de acesso físico. Isso é isolamento de Camada 2. Não é apenas uma regra de firewall - é uma separação criptográfica na camada sem fio. E é o mecanismo técnico que torna o WiFi multi-tenant viável para implantações residenciais. Seção três: PPSK versus iPSK versus 802.1X - a comparação que você realmente precisa. Deixe-me apresentar a análise prática, porque esses três modelos de autenticação atendem a casos de uso diferentes. O PPSK, em sua forma mais simples, armazena o mapeamento de chave para VLAN diretamente no controlador sem fio. Nenhum servidor RADIUS externo é necessário. Isso funciona bem para implantações menores - por exemplo, até algumas centenas de unidades. A limitação é a escala. A maioria dos controladores limita seu banco de dados local de PPSK entre 512 e 2.000 entradas. Para um grande empreendimento de BTR com 400 unidades e 15 a 25 dispositivos por residência, você atingirá esse teto. O iPSK - Identity PSK - estende o modelo ao exigir um servidor RADIUS para validação de chaves. Isso elimina o limite de escala. Com um serviço de RADIUS na nuvem, você pode suportar dezenas de milhares de chaves exclusivas. O servidor RADIUS também permite atribuição dinâmica de VLAN e aplicação de políticas por usuário, o que é essencial para conformidade e para ofertas de serviços em níveis. A plataforma da Purple atua como a camada de orquestração aqui - posicionando-se entre seu repositório de identidade e sua infraestrutura RADIUS para automatizar todo o ciclo de vida das chaves. O 802.1X Enterprise é o padrão ouro para frotas de dispositivos gerenciados corporativos. Ele usa certificados digitais ou credenciais de usuário e senha validadas em um serviço de diretório como o Microsoft Entra ID ou Okta. É a opção mais segura e a escolha certa quando você controla todos os dispositivos que se conectam à sua rede. Mas em um ambiente residencial, você não controla os dispositivos. Seus residentes trazem seus próprios smartphones, laptops, smart TVs, consoles de videogame e sensores IoT. Muitos desses dispositivos não oferecem suporte ao 802.1X. É aí que o PPSK e o iPSK vencem. Seção quatro: modelos de implantação para incorporadoras imobiliárias e operadoras de BTR. Deixe-me guiar você pelas duas principais arquiteturas de implantação. A primeira é o PPSK local no controlador. O banco de dados de chaves reside no controlador de LAN sem fio. Isso é apropriado para empreendimentos menores - até cerca de 200 unidades - onde você deseja uma sobrecarga mínima de infraestrutura. Você configura o SSID, gera uma chave exclusiva por unidade e distribui essas chaves no momento da mudança. O desafio operacional é o gerenciamento do ciclo de vida: você precisa de um processo para gerar chaves, distribuí-las e revogá-las na desocupação. Sem automação, isso se torna um fardo manual.O segundo modelo é o iPSK com suporte de RADIUS com gerenciamento em nuvem. Esta é a arquitetura que a Purple recomenda para qualquer projeto acima de 100 unidades, e para qualquer operadora que gerencie múltiplas propriedades. O banco de dados de chaves reside em um serviço RADIUS em nuvem. O provisionamento e a revogação de chaves são automatizados por meio da integração com o seu sistema de gerenciamento de propriedades. Quando um contrato de locação começa, uma chave é gerada e entregue ao residente. Quando termina, a chave é revogada automaticamente. Sem intervenção manual. Sem falhas de segurança entre locações. A camada de hardware é agnóstica. A plataforma da Purple roda em pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Você faz a implantação no hardware que já possui, ou especifica durante a construção. A sobreposição de software cuida da inteligência. Seção cinco: armadilhas de implementação e como evitá-las. Quero compartilhar as lições práticas de implantações reais, porque a tecnologia é simples, mas os detalhes operacionais costumam surpreender as pessoas. O erro mais comum é tratar o PPSK como um projeto puramente técnico. A tecnologia é relativamente simples de configurar. O problema mais difícil é o gerenciamento do ciclo de vida das chaves. Como as chaves são geradas? Como são entregues aos residentes? E como são revogadas quando um contrato de locação termina? A resposta para as três perguntas deve ser a automação, integrada ao seu sistema de gerenciamento de propriedades desde o primeiro dia. A segunda armadilha é a randomização do endereço MAC. Os sistemas operacionais modernos - iOS 14 e posterior, Android 10 e posterior, Windows 11 - randomizam o endereço MAC do dispositivo por padrão por motivos de privacidade. Em uma implantação iPSK com suporte de RADIUS que usa consultas de endereço MAC, um MAC randomizado falhará na autenticação. A solução é configurar seu SSID para exigir que os clientes usem seu endereço MAC permanente, ou implementar um fluxo de trabalho de pré-registro. Isso é solucionável, mas deve estar no seu plano de implantação desde o início. Terceiro: resiliência do RADIUS. Sua implantação PPSK é tão confiável quanto sua infraestrutura RADIUS. Se o servidor RADIUS estiver indisponível, nenhum novo dispositivo poderá se autenticar. Projete visando a redundância - servidores RADIUS primários e secundários com configuração apropriada de failover no controlador sem fio. E quarto: compatibilidade de dispositivos IoT. A maioria dos dispositivos IoT funciona perfeitamente com PPSK. Alguns dispositivos mais antigos têm peculiaridades em relação ao handshake WPA2. Execute um teste de compatibilidade em sua frota específica de dispositivos antes do lançamento. Perguntas rápidas. Serei breve. O PPSK funciona com WPA3? Sim, com ressalvas. O WPA3-SAE altera o mecanismo de handshake. A maioria dos controladores modernos suporta PPSK no modo de transição WPA2 e WPA3. Para um ambiente WPA3 puro, verifique as orientações específicas de implementação do seu fornecedor. Quantas chaves exclusivas um único SSID pode suportar? Com um backend de RADIUS em nuvem, efetivamente ilimitadas. O limite prático é a capacidade do banco de dados do seu servidor RADIUS. O PPSK local do controlador é normalmente limitado de 512 a 4.000 entradas, dependendo do fornecedor. O PPSK está em conformidade com o GDPR? O PPSK é um mecanismo de autenticação de rede, não uma ferramenta de coleta de dados. A conformidade com o GDPR depende de quais dados você coleta durante o provisionamento e de como os armazena. A Purple possui certificação ISO 27001, está em conformidade com o GDPR e a CCPA, e possui a certificação Cyber Essentials. Qual é o prêmio de aluguel por incluir WiFi gerenciado como uma comodidade? De acordo com os benchmarks da British Property Federation, os operadores de BTR normalmente alcançam um prêmio de quinze a trinta libras por unidade, por mês, quando o WiFi é incluído como uma comodidade gerenciada. Essa é uma contribuição significativa para o lucro operacional líquido em um projeto de 200 unidades. Resumo e próximos passos. Três pontos a serem levados deste briefing. Primeiro: o PPSK é o modelo de autenticação correto para WiFi residencial multi-inquilino. Ele oferece a cada residente uma bolha de WiFi privada - seu próprio segmento de rede isolado - sem a sobrecarga de infraestrutura do 802.1X Enterprise. Ele suporta todos os tipos de dispositivos, incluindo IoT e dispositivos domésticos inteligentes, o que é inegociável para o BTR moderno. Segundo: para qualquer projeto acima de 100 unidades, implante iPSK baseado em RADIUS com gerenciamento em nuvem. O PPSK local do controlador não escala, e o gerenciamento manual de chaves cria riscos operacionais. Automatize o provisionamento e a revogação de chaves por meio da integração com o seu sistema de gerenciamento de propriedades. Terceiro: o hardware é agnóstico. O Purple roda nos pontos de acesso que você já possui ou especifica. O valor está na camada de software - a orquestração, os relatórios analíticos e o gerenciamento do ciclo de vida. Se você está planejando um novo projeto BTR ou atualizando a infraestrutura de WiFi de uma propriedade existente, o momento certo para projetar a arquitetura de autenticação é agora - antes que os pontos de acesso sejam instalados no teto. A adaptação posterior é possível, mas é sempre mais cara. Obrigado por participar deste Briefing Técnico da Purple. Para obter o guia escrito completo, diagramas de arquitetura e exemplos práticos de implantação, visite purple.ai.