PPSK usm kubang kerian: comparando recursos e modelos de implantação

Bem-vindo ao Briefing Técnico Purple. Hoje abordaremos o PPSK no USM Kubang Kerian - o que é, como se compara às alternativas e como é uma implantação prática em um grande campus de ciências da saúde. Vamos começar com o contexto. O Campus de Saúde da Universiti Sains Malaysia em Kubang Kerian, Kelantan, é um dos ambientes de WiFi mais complexos que você encontrará no Sudeste Asiático. Há um hospital universitário de 747 leitos, várias faculdades de medicina e ciências da saúde, acomodações estudantis, laboratórios de pesquisa e instalações clínicas - tudo em um único campus, todos compartilhando a mesma infraestrutura de rede física. A população de usuários abrange estudantes de medicina, equipe clínica, equipes administrativas, pesquisadores visitantes, pacientes e suas famílias. A população de dispositivos é ainda mais variada: notebooks gerenciados, telefones pessoais, equipamentos médicos, sensores de IoT, sistemas de CFTV e controladores de edifícios inteligentes. A pergunta que todo diretor de TI de um campus como esse acaba enfrentando é: como oferecer a cada um desses grupos de usuários uma experiência de rede segura e isolada sem implantar um SSID separado para cada segmento? Porque se você fizer isso - se transmitir oito ou dez SSIDs em um campus dessa escala - você prejudicará o desempenho do WiFi de todos. Cada SSID consome tempo de transmissão para frames de beacon. Em um ambiente denso, a proliferação de SSIDs é um assassino de desempenho. A resposta, cada vez mais, é o PPSK. Private Pre-Shared Key. E é isso que vamos detalhar hoje. Então, o que é o PPSK, exatamente? É um modelo de autenticação WiFi no qual cada usuário, cada grupo de dispositivos ou cada departamento obtém sua própria chave pré-compartilhada exclusiva. Todos eles se conectam ao mesmo SSID - o mesmo nome de rede - mas cada chave mapeia para uma VLAN separada. O ponto de acesso lida com o mapeamento de chave para VLAN automaticamente. A terminologia varia de acordo com o fornecedor, e isso causa uma confusão real no mercado. A HPE Aruba chama de PPSK - Private Pre-Shared Key. A Cisco Meraki chama de iPSK - Identity PSK. A Juniper Mist usa ePSK. A Ruckus chama de DPSK - Dynamic PSK. A Extreme Networks, que desenvolveu o conceito sob a marca Aerohive, chama de Private PSK. A Ubiquiti UniFi chama simplesmente de PPSK. O mecanismo subjacente é idêntico: um SSID, várias chaves exclusivas, cada chave vinculada a uma VLAN ou a um grupo de políticas. Agora, vamos comparar o PPSK com as duas alternativas sobre as quais você mais será questionado. A primeira é o PSK padrão - uma senha compartilhada para toda a rede. É isso que a maioria das implantações de campus herdadas ainda executa. É simples de implantar, mas é um ponto único de falha. Uma senha comprometida significa que toda a rede está exposta. Você não pode revogar o acesso de um único usuário sem alterar a senha de todos. Em um campus com milhares de usuários, isso simplesmente não é gerenciável. A segunda alternativa é o 802.1X Enterprise - o padrão ouro para autenticação de dispositivos corporativos. O 802.1X usa um servidor RADIUS, um provedor de identidade como o Microsoft Entra ID, Okta ou Google Workspace, e um suplicante em cada dispositivo. Esse suplicante é o componente de software que gerencia a troca de autenticação EAP. Todo notebook gerenciado possui um. A geladeira inteligente do seu estudante não possui. O seu sensor IoT clínico não possui. O controlador de gerenciamento do seu edifício não possui. O 802.1X é a resposta certa para redes de funcionários e frotas de dispositivos gerenciados. É a resposta errada para dispositivos IoT, dispositivos pessoais e para o tipo de ambiente de uso misto que você encontra em um campus de ciências da saúde. O PPSK fica no meio termo. Ele oferece isolamento por usuário e atribuição de VLAN sem exigir uma infraestrutura de certificados ou um suplicante em cada dispositivo. Ele funciona com qualquer dispositivo compatível com WiFi, incluindo equipamentos médicos legados que não suportam WPA Enterprise. Essa é a sua principal vantagem em um ambiente de saúde e educação. Vamos analisar o fluxo técnico de autenticação. Quando um dispositivo se conecta ao SSID, ele apresenta sua chave pré-compartilhada durante o handshake de quatro vias do WPA2. O ponto de acesso - ou o controlador de nuvem por trás dele - pesquisa essa chave no armazenamento PPSK, identifica a qual VLAN ela se mapeia e marca o tráfego do dispositivo de acordo a partir desse ponto. O dispositivo vê uma conexão WiFi normal. Ele não tem ideia de que foi colocado em um segmento isolado. Seus aplicativos funcionam. Seus serviços se emparelham. Tudo se comporta como esperado. Em uma implantação baseada em RADIUS - que é o que a Purple recomenda para qualquer campus acima de 200 usuários simultâneos - o controlador consulta um servidor RADIUS externo para cada nova conexão. O servidor RADIUS retorna uma resposta Access-Accept contendo tanto a validação da chave quanto a atribuição da VLAN. Isso oferece registro centralizado, trilhas de auditoria e a capacidade de revogar o acesso instantaneamente ao remover a chave do armazenamento RADIUS. O dispositivo é desconectado na próxima reautenticação. Nenhuma intervenção manual no nível do ponto de acesso é necessária. Agora vamos falar sobre modelos de implantação, porque existem três abordagens distintas em produção hoje, e a escolha certa depende do tamanho do seu campus, dos seus recursos de TI e do seu hardware existente. O primeiro é o PPSK local do controlador. As chaves exclusivas são armazenadas diretamente no controlador sem fio, sem a necessidade de um servidor RADIUS externo. Isso funciona para implantações menores - até cerca de 200 usuários simultâneos - e é o mais simples de operar. O Ubiquiti UniFi oferece suporte nativo a isso. A limitação é a escalabilidade. A maioria dos controladores tem um limite de algumas centenas de entradas PPSK locais, e você perde o gerenciamento centralizado do ciclo de vida que torna o PPSK operacionalmente viável em escala. Para um campus do tamanho do USM Kubang Kerian, este modelo não é apropriado. O segundo modelo é o PPSK com base em RADIUS. As chaves são armazenadas em um servidor RADIUS externo, e o controlador consulta o servidor RADIUS para cada nova conexão. Isso é escalável para milhares de usuários. Ruckus SmartZone, HPE Aruba ClearPass e Cisco ISE oferecem suporte a esse modelo. A sobrecarga operacional é maior, mas a escalabilidade e os recursos de gerenciamento de ciclo de vida são significativamente melhores. Este é o modelo ideal para uma implantação em um grande campus. O terceiro modelo - e o que a Purple recomenda para instituições sem infraestrutura RADIUS dedicada - é o RADIUS-as-a-Service em nuvem. A infraestrutura RADIUS é hospedada e gerenciada externamente, e você conecta seus pontos de acesso a ela por meio de uma sobreposição de nuvem. A plataforma da Purple opera sobre o seu hardware existente - seja Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet - e fornece a camada de orquestração para provisionamento de chaves, gerenciamento de ciclo de vida e integração de usuários. O ciclo de vida da chave é totalmente automatizado. Um aluno se matricula e sua chave é provisionada por meio da integração com o sistema de gestão de alunos. Ele se forma ou se desliga, e sua chave é revogada instantaneamente. Sem intervenção manual, sem brechas de segurança. Para a USM Kubang Kerian especificamente, a arquitetura recomendada é um modelo híbrido: PPSK para alunos, residentes e dispositivos IoT, com 802.1X para equipe clínica e equipes administrativas usando dispositivos gerenciados. Três modelos de autenticação distintos, três segmentos de VLAN distintos, uma infraestrutura física. Alunos na VLAN 10 até o limite que o tamanho da coorte exigir. Equipe clínica no 802.1X em relação ao provedor de identidade da universidade. Sistemas de IoT e gestão Predial em uma VLAN de IoT dedicada com filtragem de saída. WiFi para visitantes em áreas públicas por meio de um Captive Portal em uma VLAN separada. Uma limitação crítica a ser sinalizada antes de você especificar o hardware: a implementação de PPSK da Ubiquiti UniFi atualmente é apenas WPA2. Se você estiver implantando pontos de acesso WiFi 6E e quiser usar a banda de 6 gigahertz para clientes PPSK, precisará de uma plataforma que suporte WPA3-SAE com PPSK - Aruba, Ruckus e Meraki suportam isso. A banda de 6 gigahertz é exclusiva do WPA3, portanto qualquer implantação de PPSK em 6 gigahertz requer compatibilidade com WPA3-SAE. Planeje isso na sua especificação de hardware antes de se comprometer com um fornecedor. Deixe-me detalhar as armadilhas de implementação, pois estes são os modos de falha que vejo repetidamente em implantações de produção. O primeiro é a proliferação de SSIDs. Cada SSID transmitido consome tempo de transmissão para pacotes de beacon. Em um ambiente de campus denso, se você estiver transmitindo seis ou oito SSIDs por ponto de acesso, estará degradando o desempenho de todos. Mantenha no máximo quatro SSIDs por rádio. Use PPSK para atender a múltiplos segmentos de usuários a partir de um único SSID, em vez de criar um SSID separado por departamento ou por andar. O segundo erro comum é a configuração insuficiente das portas de tronco. Você projeta um esquema de VLAN limpo, implementa os pontos de acesso e, em seguida, o tráfego cai silenciosamente porque alguém esqueceu de permitir as VLANs relevantes em um link de tronco entre o switch de distribuição e a camada de acesso. Valide cada porta de tronco durante o comissionamento. Documente. Teste com um dispositivo em cada VLAN antes de os usuários começarem a usar. O terceiro erro comum é a randomização de endereços MAC. Desde o iOS 14, Android 10 e Windows 11, os dispositivos usam endereços MAC randomizados por padrão por motivos de privacidade. Se o seu servidor RADIUS estiver fazendo uma busca de MAC e o dispositivo apresentar um endereço randomizado, a busca falhará e o dispositivo não conseguirá se conectar. A solução é configurar seu SSID para solicitar que os clientes usem seu endereço MAC de hardware permanente ou implementar um fluxo de trabalho de pré-registro onde os usuários registram seus dispositivos antes de conectar. A plataforma do Purple lida com isso automaticamente como parte do fluxo de integração do usuário. O quarto erro comum é a distribuição de chaves. Gerar chaves é simples. Entregá-las aos usuários de uma forma que seja segura e operacionalmente gerenciável é o mais difícil. Um código QR no pacote de boas-vindas funciona bem para o dia da mudança. Um portal de autoatendimento onde os usuários podem recuperar suas chaves e adicionar novos dispositivos é melhor para as operações diárias. Crie o fluxo de trabalho de distribuição de chaves antes de implantar, não depois. Agora vamos examinar dois cenários do mundo real que são diretamente relevantes para um campus como a USM Kubang Kerian. Cenário um: um bloco de alojamento estudantil projetado especificamente para 400 leitos. O desafio é a rotatividade anual de alunos. A cada ano letivo, centenas de alunos se mudam e centenas de novos alunos entram, geralmente na mesma semana. Com um modelo PSK compartilhado, isso significa uma rotação de senha em todo o edifício que afeta todos os residentes que retornam. Com PPSK, significa revogar as chaves do grupo que está saindo e provisionar novas chaves para o grupo que está entrando - tudo automatizado através da integração com o sistema de gestão de estudantes. Um operador que utiliza esse modelo relatou uma redução de 70% nos chamados de suporte relacionados a WiFi no primeiro período letivo, principalmente porque os problemas de emparelhamento de dispositivos que afetavam a implantação anterior com PSK compartilhado foram completamente eliminados. Cenário dois: uma instalação de pesquisa clínica com tipos mistos de dispositivos. O desafio aqui é suportar tanto estações de trabalho clínicas gerenciadas em 802.1X quanto equipamentos médicos legados que não suportam WPA Enterprise. O modelo híbrido - 802.1X para dispositivos gerenciados, PPSK para equipamentos legados e IoT - resolve isso sem exigir infraestrutura física separada. As estações de trabalho clínicas se autenticam via EAP-TLS contra o provedor de identidade da universidade. O equipamento legado recebe uma chave PPSK dedicada mapeada para uma VLAN restrita com filtragem de saída para os sistemas clínicos que ele precisa alcançar, e nada mais. A postura de segurança é mantida. A complexidade operacional é controlável. Deixe-me dar três regras práticas antes de passarmos para as perguntas rápidas. Regra um: se o seu campus ou edifício tiver mais de 200 usuários simultâneos, use PPSK com suporte a RADIUS, e não PPSK local do controlador. O limite de escalabilidade do PPSK local do controlador causará problemas para você dentro de 12 meses após a ativação. Regra dois: planeje para a randomização de endereços MAC desde o primeiro dia. Crie um fluxo de trabalho de pré-registro em seu processo de integração de usuários. Não assuma que os dispositivos apresentarão seu endereço MAC permanente por padrão. Eles não farão isso. Regra três: automatize o ciclo de vida das chaves. O valor operacional do PPSK em relação a uma PSK compartilhada depende inteiramente do fornecimento e da revogação automática das chaves. O gerenciamento manual de chaves em escala não é viável. Integre-se com seu sistema de gestão de estudantes ou sistema de RH desde o início. Certo. Perguntas rápidas. Estas são as que surgem com mais frequência. O PPSK funciona com WPA3? Sim, na maioria das plataformas corporativas. O WPA3-SAE oferece proteção mais forte contra ataques de dicionário offline em comparação com o WPA2-PSK, portanto, implantar PPSK no WPA3 onde seus dispositivos clientes o suportam é a abordagem correta. A exceção é o Ubiquiti UniFi, que atualmente suporta apenas WPA2 para PPSK. Quantas chaves PPSK um único SSID pode suportar? Com um servidor RADIUS externo, o limite prático é a capacidade do seu banco de dados RADIUS. O Cisco Meraki suporta até 5.000 entradas iPSK por rede. O serviço de RADIUS em nuvem da Purple escala para dezenas de milhares de chaves simultâneas. O PPSK substitui o 802.1X? Não. Para frotas de dispositivos corporativos totalmente gerenciadas, onde a responsabilidade individual e a autenticação baseada em certificados são importantes, o 802.1X ainda é a resposta certa. O PPSK é a resposta certa para dispositivos IoT, dispositivos pessoais e ambientes de uso misto onde o 802.1X é impraticável. Posso integrar o PPSK com meu sistema de gestão de estudantes? Sim, por meio da API do fornecedor. Aruba Central, Meraki, Ruckus e Mist expõem APIs REST para gerenciamento de chaves PPSK. A plataforma da Purple oferece integrações pré-configuradas que automatizam o fornecimento e a revogação com base no status de matrícula. Para resumir. O PPSK é o modelo de autenticação correto para um campus complexo e de uso misto como o USM Kubang Kerian. Ele oferece isolamento por usuário e atribuição de VLAN sem exigir infraestrutura de certificados em cada dispositivo. O modelo híbrido - PPSK para estudantes e IoT, 802.1X para funcionários - é a arquitetura que oferece segurança e simplicidade operacional em escala. Automatize o ciclo de vida das chaves desde o primeiro dia. Planeje para a randomização de MAC. Mantenha sua contagem de SSID abaixo de quatro por rádio. E se você estiver implantando em escala, use um serviço de RADIUS em nuvem em vez de gerenciar a infraestrutura por conta própria. Este é o Purple Technical Briefing sobre PPSK para o USM Kubang Kerian. Se você quiser se aprofundar em qualquer um desses tópicos, o guia escrito completo está disponível em purple.ai. Obrigado por ouvir.