PPSK wpa3: comparando recursos e modelos de implantação

Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos abordar uma questão que chega à mesa de quase todos os arquitetos de rede que trabalham em propriedades multi-inquilino, hotelaria ou varejo no momento: como o PPSK e o WPA3 realmente se comparam e qual modelo de implantação se adapta ao seu ambiente? Vamos começar pelo contexto. Se você é um incorporador imobiliário, um operador de build-to-rent ou um proprietário que gerencia um bloco residencial com infraestrutura de WiFi compartilhada, provavelmente já ouviu ambos os termos por aí. O PPSK, que significa Private Pre-Shared Key, e o WPA3, a mais recente geração de segurança de WiFi da Wi-Fi Alliance. Eles costumam ser discutidos como se fossem tecnologias concorrentes. Eles não são. Eles resolvem problemas diferentes. E em muitas implantações, você precisa de ambos. Então, vamos definir nossos termos claramente antes de prosseguirmos. O WPA3 é um padrão de certificação de segurança, ratificado pela Wi-Fi Alliance em 2018. Ele vem em duas versões principais. O WPA3-Personal, que substitui o antigo mecanismo de Pre-Shared Key por algo chamado SAE - Simultaneous Authentication of Equals. E o WPA3-Enterprise, que se baseia na estrutura 802.1X e introduz uma suíte criptográfica opcional de 192 bits para ambientes de alta segurança. A melhoria crítica no WPA3-Personal é que o SAE elimina os ataques de dicionário offline. No WPA2, se um invasor capturasse o handshake de quatro vias quando um dispositivo se conectava à sua rede, ele poderia pegar esses dados e executar ferramentas de quebra por força bruta indefinidamente, sem nunca mais tocar na sua rede. O SAE impede isso totalmente. Cada tentativa de adivinhar a senha requer interação ativa com o ponto de acesso. Isso torna a quebra offline praticamente inviável. O WPA3 também exige o uso de Protected Management Frames, ou PMF, definido na norma IEEE 802.11w. Isso protege o tráfego de gerenciamento entre os dispositivos e os pontos de acesso contra ataques de falsificação e repetição. No WPA2, o PMF era opcional. No WPA3, ele não é negociável. Agora, o PPSK. O Private Pre-Shared Key é uma tecnologia proprietária - e essa palavra "proprietária" importa, por isso voltaremos a ela. O conceito central é simples: em vez de cada dispositivo em um SSID compartilhar uma única senha, cada dispositivo ou cada usuário recebe uma senha exclusiva. Fornecedores diferentes usam marcas diferentes. A Cisco chama de iPSK. A Extreme Networks chama de PPSK. A Ruckus chama de DPSK. A Juniper Mist chama de Multi-PSK. A HPE Aruba chama de MPSK. A Cambium chama de ePSK. O mecanismo subjacente é o mesmo em todos eles. Veja como funciona tecnicamente. No WPA2-Personal padrão, a Pre-Shared Key é derivada da sua senha usando uma fórmula definida no padrão 802.11i. Cada dispositivo que usa a mesma senha deriva a mesma PSK. Em uma implantação de PPSK, cada senha exclusiva deriva uma PSK diferente. Quando um dispositivo se conecta, o ponto de acesso ou um servidor RADIUS tenta cada PSK armazenada em relação ao Message Integrity Check no handshake de quatro vias até encontrar uma correspondência. É assim que o dispositivo é identificado. O resultado prático é que você pode atribuir a cada residente em um edifício BTR, a cada membro da equipe em um hotel ou a cada categoria de dispositivo IoT sua própria senha exclusiva e mapear essa senha para uma VLAN específica. O residente no apartamento um recebe a senha A, que se mapeia para a VLAN 10. O residente no apartamento dois recebe a senha B, que se mapeia para a VLAN 20. O tráfego deles é isolado na Camada 2. Eles compartilham um SSID, um conjunto de pontos de acesso, uma infraestrutura - mas não conseguem ver os dispositivos uns dos outros. Agora é aqui que a tensão entre PPSK e WPA3 se torna arquitetonicamente importante. E esta é a parte que a maioria dos guias ignora. O PPSK, em sua forma tradicional, roda em WPA2. O mecanismo multi-PSK depende do handshake de quatro vias definido no 802.11i, o padrão que sustenta o WPA2. O WPA3-Personal substitui esse handshake pelo SAE. Os dois mecanismos são fundamentalmente incompatíveis no nível do protocolo. Isso significa que, se você configurar um SSID WPA3-Personal puro na maioria dos pontos de acesso hoje, não poderá executar simultaneamente o PPSK nesse mesmo SSID. O handshake SAE não suporta o fluxo de trabalho de tentativa e correspondência multi-PSK. No entanto - e isso é importante - o setor está resolvendo isso ativamente. A plataforma Access Assurance da Juniper Mist agora suporta WPA3 Multi-PSK, usando uma abordagem baseada em RADIUS onde o ponto de acesso opera no modo WPA3-SAE e o servidor RADIUS lida com a busca de chave por dispositivo. A solução iPSK da Cisco suporta de forma semelhante o WPA3-SAE com um servidor RADIUS externo armazenando mapeamentos de endereço MAC para PSK. A banda de 6GHz, introduzida com o WiFi 6E sob o 802.11ax, exige WPA3. Portanto, qualquer implantação direcionada a 6GHz deve encontrar uma solução PPSK compatível com WPA3. O resultado prático para sua decisão de implantação é este: se você estiver usando hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet, verifique o firmware atual do seu fornecedor para suporte a WPA3 mais multi-PSK antes de finalizar sua arquitetura de segurança. O cenário está evoluindo rapidamente. Vamos falar sobre modelos de implantação. Existem três padrões principais que vemos em campo. O primeiro é o PPSK sem RADIUS, às vezes chamado de PPSK local ou PPSK baseado em controladora. O pool de PSK é armazenado diretamente no ponto de acesso ou controladora sem fio. Esta é a implantação mais simples. Nenhum servidor de autenticação externa é necessário. Funciona bem para locais menores - uma única filial de varejo, um espaço de coworking com menos de 500 membros ou um pequeno bloco residencial. A limitação é a escala. A maioria das implementações baseadas em controladora limita o número de PSKs de algumas centenas a alguns milhares. O gerenciamento de chaves torna-se manual. E como as chaves são armazenadas localmente, a revogação de uma chave comprometida exige mexer diretamente na controladora.O segundo modelo é PPSK com RADIUS. Aqui, o pool de PSK reside em um servidor RADIUS externo. Quando um dispositivo se conecta, o access point encaminha a solicitação de autenticação para o RADIUS, que procura a PSK correta para aquele dispositivo e a retorna para o AP. Este modelo escala para dezenas de milhares de dispositivos. Ele se integra com provedores de identidade - Microsoft Entra ID, Okta, Google Workspace - para que você possa automatizar o provisionamento e desprovisionamento. Quando um morador se muda de um edifício BTR, você revoga sua entrada no provedor de identidade e o acesso WiFi dele desaparece em segundos. Sem rotação manual de chaves. Esta é a arquitetura sobre a qual a plataforma Multi-Tenant WiFi da Purple é construída. O terceiro modelo é WPA3-Enterprise com 802.1X. Sem PSKs. Cada dispositivo se autentica usando um certificado ou credencial via EAP-TLS ou PEAP. Este é o padrão ouro para ambientes corporativos, saúde e qualquer lugar com requisitos rigorosos de conformidade, como PCI-DSS ou ISO 27001. A complexidade é maior - você precisa de uma Infraestrutura de Chaves Públicas para o gerenciamento de certificados, e cada dispositivo deve ser registrado. Para um edifício BTR onde os moradores trazem seus próprios dispositivos, isso raramente é prático. Para a rede de funcionários de um hotel ou a frota de dispositivos clínicos de um hospital, é a resposta certa. Agora vamos analisar dois cenários do mundo real para tornar isso concreto. Cenário um. Um empreendimento residencial build-to-rent de 200 unidades. O operador deseja que cada morador tenha seu próprio segmento de rede privada, sem visibilidade dos apartamentos vizinhos. Eles também precisam dar suporte a dispositivos domésticos inteligentes - termostatos, campainhas de vídeo, alto-falantes inteligentes - que normalmente são apenas WPA2. E eles querem que a complexidade de gerenciamento de rede seja a menor possível. A arquitetura certa aqui é PPSK com RADIUS em um SSID em modo de transição WPA2 ou WPA2/WPA3. Cada morador recebe uma senha exclusiva ao se mudar, provisionada automaticamente por meio do sistema de gestão de propriedades integrado ao servidor RADIUS. Seus dispositivos - telefones, laptops, smart TVs - se conectam usando essa senha e entram em sua VLAN dedicada. Seus dispositivos IoT se conectam usando uma senha IoT separada que mapeia para uma VLAN IoT restrita, sem acesso ao segmento residencial principal. Quando eles se mudam, o sistema de gestão de propriedades aciona o desprovisionamento. Sua senha é revogada. O acesso termina. A plataforma Multi-Tenant WiFi da Purple lida exatamente com esse fluxo de trabalho, integrando-se com hardware da Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. A sobreposição em nuvem significa que você gerencia todo o portfólio a partir de um único painel, independentemente de qual hardware está no local. Cenário dois. Um hotel de 150 quartos. O hotel precisa de três segmentos de rede distintos: WiFi para hóspedes do hotel, WiFi para funcionários para dispositivos operacionais e uma rede de gerenciamento predial para CFTV, controle de acesso e HVAC. A rede de hóspedes precisa ser fluida. A rede de funcionários precisa ser segura e auditável. A rede de gerenciamento predial precisa ser completamente isolada. Aqui, a arquitetura é um design de três SSIDs. O SSID de hóspedes usa WPA3-Personal com SAE, ou Enhanced Open com Opportunistic Wireless Encryption para uma experiência verdadeiramente sem senha, combinada com o Captive Portal da Purple para integração baseada em consentimento. O SSID de funcionários usa WPA3-Enterprise com 802.1X, autenticado contra o Microsoft Entra ID. O SSID de gerenciamento predial usa PPSK com uma VLAN dedicada, isolada de todo o restante do tráfego no firewall. Deixe-me agora cobrir as armadilhas de implementação mais comuns, porque é aqui que as implantações dão errado. A primeira é a compatibilidade PMF. O WPA3 exige Protected Management Frames. Se você tiver dispositivos legados - scanners de código de barras mais antigos, terminais de ponto de venda, alguns equipamentos médicos - que não oferecem suporte a PMF, eles falharão ao se conectar a um SSID WPA3 puro. O sintoma é que o dispositivo vê a rede, mas não consegue se associar. A correção é o Modo de Transição WPA3, que permite clientes WPA2 e WPA3 no mesmo SSID, ou um SSID WPA2 dedicado em uma VLAN isolada para esses dispositivos legados. O Modo de Transição é uma estratégia de migração válida, mas é vulnerável a ataques de downgrade, portanto, trate-o como temporário. A segunda armadilha é a dispersão de chaves. Em uma implantação PPSK sem o gerenciamento adequado do ciclo de vida, você acumula chaves desatualizadas. Antigos residentes, ex-funcionários, dispositivos desativados - todos eles deixam PSKs órfãos em seu banco de dados RADIUS. Cada um é um vetor de ataque em potencial. Automatize o provisionamento e desprovisionamento desde o primeiro dia e faça a auditoria do seu banco de dados PSK trimestralmente. A terceira armadilha é o planejamento de 6GHz. Se você estiver implantando pontos de acesso WiFi 6E ou WiFi 7 e quiser usar a banda de 6GHz, o WPA3 é obrigatório. Você não pode executar WPA2 em 6GHz. Portanto, se sua estratégia PPSK depende de WPA2, seus rádios de 6GHz não serão usados ou executarão um SSID separado. Planeje sua arquitetura de segurança antes de finalizar a aquisição de hardware. Agora, para perguntas e respostas rápidas. Pergunta: Posso executar PPSK e WPA3 no mesmo SSID? Resposta: Na maioria dos hardwares hoje, não nativamente. Mas a Juniper Mist e a Cisco oferecem suporte a WPA3-SAE com multi-PSK baseado em RADIUS. Verifique o firmware atual do seu fornecedor. Espere um suporte mais amplo em todos os fornecedores nos próximos 12 a 18 meses. Pergunta: O PPSK é compatível com PCI-DSS? Resposta: O PPSK pode atender aos requisitos de segmentação de rede PCI-DSS se cada dispositivo de ambiente de dados do portador do cartão estiver em sua própria VLAN isolada, e o acesso for controlado e auditável. Para ambientes de dados do portador do cartão, o WPA3-Enterprise com 802.1X e EAP-TLS é a escolha mais segura a longo prazo. Pergunta: O que acontece se um residente compartilhar sua PPSK com um vizinho? Resposta: O vizinho entra na mesma VLAN que o residente. O vizinho não pode acessar o tráfego de outros residentes. Mas isso significa que o operador da propriedade está fornecendo serviço a um usuário não autorizado. Mitigue isso vinculando PSKs a endereços MAC onde o hardware suporta, ou implementando monitoramento de uso e alertas de anomalias. Para resumir. PPSK e WPA3 são complementares, não concorrentes. PPSK resolve o problema de isolamento de múltiplos inquilinos - um único SSID, credenciais exclusivas por residente ou dispositivo, atribuição automática de VLAN. O WPA3 resolve o problema de segurança de autenticação - o SAE elimina ataques de dicionário offline, o PMF protege os quadros de gerenciamento e a suíte de 192 bits atende aos requisitos de conformidade de alta segurança. Para operadores de BTR e proprietários que implantam infraestrutura de WiFi compartilhada hoje, a arquitetura recomendada é PPSK com RADIUS para isolamento de residentes, rodando em WPA2 ou Modo de Transição WPA3 para ampla compatibilidade de dispositivos, com um caminho de migração claro para PPSK nativo de WPA3 à medida que o suporte do fornecedor amadurece. Combine isso com um SSID WPA3-Enterprise dedicado para funcionários e dispositivos operacionais, e uma VLAN IoT isolada para sistemas de edifícios inteligentes. A plataforma de WiFi Multi-Tenant da Purple gerencia tudo isso como um overlay de nuvem independente de hardware. Nós gerenciamos a integração do RADIUS, os fluxos de trabalho de provisionamento, as análises e os relatórios de conformidade - em 80.000 locais ativos e 350 milhões de usuários únicos. Certificação ISO 27001, conformidade com GDPR e CCPA, 99,999% de tempo de atividade. Até a próxima.