Ruu PPSK: comparing features and deployment models

Bem-vindo ao Purple Technical Briefing. Hoje estamos abordando o PPSK. Trata-se da arquitetura Private Pre-Shared Key WiFi e, especificamente, como ela se aplica a implantações de propriedades comerciais e residenciais multi-tenant. Vou orientá-lo sobre o que é, como se compara às alternativas, qual modelo de implantação se adapta à sua situação e as armadilhas que atrapalham a maioria dos projetos. Vamos começar. Primeiro, o problema. Se você gerencia um empreendimento Build to Rent, um bloco de acomodação estudantil ou qualquer propriedade de várias unidades residenciais, você enfrenta um desafio específico de WiFi que as redes corporativas padrão não resolvem de forma limpa. Em uma rede WPA2 Personal tradicional, cada dispositivo no edifício compartilha uma única senha. Quando um residente se muda, você tem duas opções. Você altera a senha, o que interrompe o WiFi para todos os outros residentes no edifício. Ou você deixa o antigo residente com acesso. Nenhuma das duas opções é aceitável. E com 200 unidades, nenhuma é operacionalmente viável. Esse é o problema que o PPSK resolve. O Private Pre-Shared Key fornece a cada residente, cada apartamento ou cada grupo de dispositivos sua própria senha exclusiva de WiFi. Todos eles se conectam ao mesmo SSID, o mesmo nome de rede, mas cada chave é mapeada para uma VLAN separada - uma Virtual Local Area Network. O apartamento 12 está na VLAN 10. O apartamento 13 está na VLAN 20. Os dispositivos IoT estão na VLAN 99. O ponto de acesso gerencia o mapeamento de chave para VLAN automaticamente. Nenhum servidor RADIUS é necessário no modelo básico. Nenhuma infraestrutura de certificados. Nenhum suplicante 802.1X no dispositivo. Agora, uma palavra sobre terminologia, porque é aqui que a verdadeira confusão entra no mercado. A Aruba chama de PPSK. A Cisco Meraki chama de iPSK, ou Identity PSK. A Juniper Mist usa ePSK. A Extreme Networks, que originalmente desenvolveu o conceito sob a marca Aerohive, chama de Private PSK. A Ubiquiti UniFi chama simplesmente de PPSK. A Cambium também usa ePSK. O mecanismo subjacente é idêntico em todas elas. Um SSID, múltiplas chaves exclusivas, cada chave vinculada a uma VLAN ou a um grupo de políticas. A nomenclatura do fornecedor é marketing, não uma distinção técnica. Deixe-me orientá-lo sobre o que realmente acontece na camada de associação, porque é aqui que a arquitetura faz valer o seu investimento. Quando o dispositivo de um residente se conecta ao SSID, ele apresenta sua chave pré-compartilhada durante o handshake de quatro vias do WPA2. O ponto de acesso, ou o controlador em nuvem por trás dele, busca essa chave no repositório PPSK, identifica a qual VLAN ela se mapeia e marca o tráfego do dispositivo de acordo a partir desse momento. O dispositivo vê uma conexão WiFi completamente normal. Ele não tem ideia de que foi colocado em um segmento isolado. Seu Chromecast funciona. Seu alto-falante inteligente se emparelha. Seu console obtém o tipo de NAT correto. Tudo se comporta exatamente como se comportaria em uma conexão de banda larga doméstica, porque, do ponto de vista do dispositivo, realmente é.Esta é a distinção crucial em relação ao 802.1X, que é o padrão corporativo para redes de funcionários e ambientes empresariais. O 802.1X exige um servidor RADIUS, um provedor de identidade e um suplicante em cada dispositivo. O suplicante é o componente de software que gerencia a troca de autenticação EAP. Todo notebook gerenciado e todo telefone corporativo possui um. A geladeira inteligente do seu morador não possui. O controlador de HVAC do seu edifício não possui. Seus sensores de IoT não possuem. O PPSK funciona com todos eles porque opera na camada WPA Personal, não na camada WPA Enterprise. Dito isso, o PPSK não substitui o 802.1X em ambientes corporativos. É uma ferramenta diferente para um problema diferente. Se você gerencia uma rede de funcionários onde a responsabilidade individual importa, onde você precisa saber que uma pessoa específica se autenticou em um momento específico e precisa revogar o acesso dela no momento em que ela deixa a organização, o 802.1X é a resposta certa. Se você gerencia uma rede residencial onde precisa de isolamento por residência, suporte a IoT e simplicidade operacional em escala, o PPSK é a resposta certa. Vamos analisar os três modelos de implantação, pois é aqui que a decisão de arquitetura é tomada. O modelo um é o modelo de controlador em nuvem. Este é o padrão mais comum para novas implantações. Seus pontos de acesso se conectam a uma plataforma de gerenciamento em nuvem. O armazenamento de chaves PPSK reside no controlador em nuvem. Quando você provisiona um novo morador, você cria uma chave no portal, atribui-a a uma VLAN e o controlador envia a política para cada ponto de acesso no edifício. O morador recebe sua chave por e-mail, SMS ou um código QR em seu kit de boas-vindas. Eles o escaneiam, todos os seus dispositivos se conectam e seu Chromecast, alto-falante inteligente e console funcionam imediatamente. Quando eles se mudam, você exclui a chave. Seus dispositivos param de se conectar. Ninguém mais é afetado. Este modelo funciona bem para implantações de até cerca de 200 unidades. É o mais simples de operar e não exige infraestrutura adicional. O modelo dois é o PPSK com um backend RADIUS. Algumas implantações corporativas usam um servidor RADIUS para armazenar e validar credenciais PPSK. Isso oferece logs centralizados, trilhas de auditoria e integração com sua plataforma de gerenciamento de identidade. Ele adiciona custos de infraestrutura, mas oferece a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK. É o modelo certo para ambientes mistos, como um espaço de coworking onde você tem tanto dispositivos corporativos gerenciados quanto equipamentos de IoT de membros, ou um empreendimento BTR onde o operador possui obrigações de conformidade que exigem trilhas de auditoria por morador. O modelo três é a arquitetura híbrida. Os moradores usam PPSK para seus laptops e dispositivos IoT. A equipe do edifício usa 802.1X para dispositivos corporativos. Ambos os grupos se conectam à mesma infraestrutura física, mas são mapeados para segmentos lógicos diferentes. A Purple recomenda essa arquitetura para implantações completas de Build to Rent e unidades multi-residenciais. Três modelos de autenticação distintos, três VLANs distintas, uma infraestrutura física. É a arquitetura que oferece a simplicidade do consumidor para os moradores e a responsabilidade empresarial para a equipe, sem a necessidade de operar duas redes separadas. Agora vamos entrar nas especificidades da implementação. Se você está implantando PPSK para um empreendimento BTR ou uma propriedade multi-residencial, aqui está a sequência que funciona. Comece com seu design lógico antes de tocar no hardware. Mapeie o número de moradores, as categorias de dispositivos IoT e quaisquer sistemas de equipe ou gerenciamento. Atribua as VLANs. Uma implantação típica de BTR se parece com isto: VLANs do 10 até o número total de unidades para moradores, uma VLAN por apartamento ou uma VLAN por andar, dependendo da densidade. VLAN 99 para IoT. VLAN 100 para gerenciamento do edifício. VLAN 200 para WiFi de convidados em áreas comuns. Em seguida, documente seu esquema de endereçamento IP. Em um edifício de 200 unidades, você terá de 3.000 a 5.000 dispositivos na rede a qualquer momento. Esse é o número de 15 a 25 dispositivos por residência da pesquisa da British Property Federation. Seus escopos DHCP precisam acomodar isso. Use endereçamento privado RFC 1918 com tamanhos de sub-rede suficientes por VLAN. Uma barra 24 oferece 254 endereços utilizáveis. Uma barra 23 oferece 510. Dimensione adequadamente. Na seleção de hardware, o PPSK é compatível com todas as principais plataformas de access points empresariais. A Cisco Meraki chama de iPSK e o gerencia por meio do dashboard Meraki. A HPE Aruba o implementa nativamente no ArubaOS e Aruba Central. A Ruckus oferece suporte por meio do SmartZone e da plataforma Ruckus Cloud. A Juniper Mist usa ePSK com gerenciamento de RF orientado por IA. A Ubiquiti UniFi possui PPSK desde 2023, embora observe que atualmente é apenas WPA2 e não funcionará na banda de 6 gigahertz. A Cambium e a Extreme oferecem suporte por meio de suas respectivas plataformas de nuvem. Uma limitação crítica a ser apontada: a implementação de PPSK da UniFi é apenas WPA2. Se você estiver especificando access points WiFi 6E e quiser usar a banda de 6 gigahertz para clientes PPSK, precisará de uma plataforma que suporte WPA3-SAE com PPSK, ou precisará restringir os clientes PPSK às bandas de 2.4 e 5 gigahertz. Aruba, Ruckus e Meraki oferecem suporte a PPSK em configurações WPA3. Agora, os problemas comuns. Estes são os modos de falha que vejo repetidamente em implantações de produção. Armadilha um: proliferação de SSIDs. Cada SSID transmitido consome tempo de antena para quadros de sinalização (beacon frames). Em um edifício residencial denso, se você estiver transmitindo seis ou oito SSIDs por ponto de acesso, estará prejudicando o desempenho de todos. Mantenha o limite máximo de quatro SSIDs por rádio. Use PPSK para atender a múltiplos segmentos de residentes a partir de um único SSID, em vez de criar um SSID separado por apartamento ou por andar. Armadilha dois: configuração insuficiente da porta de tronco (trunk port). Você projeta um esquema de VLAN limpo, implanta os pontos de acesso e, em seguida, o tráfego cai silenciosamente porque alguém esqueceu de permitir as VLANs relevantes em um link de tronco entre o switch de distribuição e a camada de acesso. Valide cada porta de tronco durante o comissionamento. Documente. Teste com um dispositivo em cada VLAN antes de os residentes se mudarem. Armadilha três: distribuição de chaves. Gerar chaves é fácil. Entregá-las aos residentes de forma segura e operacionalmente gerenciável é mais difícil. Um código QR no pacote de boas-vindas funciona bem para o dia da mudança. Um portal do residente onde eles possam recuperar sua chave e adicionar novos dispositivos é melhor para as operações contínuas. Desenvolva o fluxo de trabalho de distribuição de chaves antes de implantar, não depois. Armadilha quatro: randomização de endereços MAC. Desde o iOS 14, Android 10 e Windows 11, os dispositivos usam endereços MAC randomizados por padrão por motivos de privacidade. Se o seu servidor RADIUS estiver fazendo uma busca de MAC e o dispositivo apresentar um endereço randomizado, a busca falha e o dispositivo não consegue se conectar. Configure seu SSID para solicitar que os clientes usem seu endereço MAC de hardware permanente ou implemente um fluxo de trabalho de pré-registro. A plataforma da Purple lida com isso de forma automática como parte do fluxo de integração do residente. Deixe-me dar dois cenários do mundo real para tornar isso concreto. Cenário um: um empreendimento de Build to Rent de 180 unidades no centro da cidade. O operador queria WiFi incluído no aluguel como uma comodidade, com ativação no dia da mudança e suporte completo para casa inteligente. Eles implantaram pontos de acesso HPE Aruba gerenciados pelo Aruba Central. Cada apartamento recebe uma chave PPSK exclusiva gerada na assinatura do contrato. A chave é enviada por e-mail para o residente com um código QR. Eles o escaneiam, todos os seus dispositivos se conectam e seu Chromecast, alto-falante inteligente e console funcionam imediatamente. Quando um residente se muda, o gerente da propriedade exclui a chave no portal. O novo residente recebe uma chave nova na mudança. Zero drama de rotação de senhas. O operador relatou uma redução de 30% nos chamados de suporte relacionados a WiFi em comparação com a implantação anterior com senha compartilhada. Cenário dois: um bloco de acomodação estudantil projetado sob medida com 400 leitos. O desafio aqui é a semana de mudança dos estudantes, com centenas de alunos chegando simultaneamente, todos tentando conectar dezenas de dispositivos ao mesmo tempo. O operador utilizou pontos de acesso Ruckus com SmartZone, implantando PPSK com uma chave por quarto. As chaves foram pré-geradas e incluídas no pacote de boas-vindas enviado antes da chegada. Os estudantes escanearam o código QR ao chegar e foram conectados em segundos. A rede lidou com o pico de mudanças sem degradação porque o tráfego de cada estudante foi isolado em seu próprio segmento de VLAN. Agora, uma rodada rápida de perguntas e respostas para as dúvidas mais frequentes. Quantas chaves PPSK um único ponto de acesso pode suportar? A maioria das plataformas corporativas suporta milhares de chaves por SSID. O Cisco Meraki suporta até 5.000 entradas iPSK por rede. A Aruba escala de forma semelhante. O Ubiquiti UniFi suporta até 1.000 entradas PPSK por rede. Para um edifício de 200 unidades, você está bem dentro dos limites em qualquer plataforma. O PPSK funciona com WPA3? Sim, na maioria das plataformas corporativas. O WPA3-SAE oferece maior proteção contra ataques de dicionário offline em comparação com o WPA2-PSK. A exceção é o UniFi, que atualmente suporta apenas WPA2 para PPSK. Posso integrar o PPSK ao meu sistema de gestão de propriedades? Sim, por meio da API do fornecedor. O Aruba Central, Meraki, Ruckus e Mist expõem APIs REST para gerenciamento de chaves PPSK. A plataforma da Purple fornece uma camada de integração pré-construída que conecta seu sistema de gestão de propriedades ao ciclo de vida das chaves PPSK automaticamente. O PPSK está em conformidade com a GDPR? Sim, quando implantado corretamente. O PPSK com chaves por residente oferece a trilha de auditoria necessária para responder a solicitações de acesso a dados e solicitações de autoridades policiais com dados específicos do residente. Com uma PSK compartilhada, isso é impossível. Cada dispositivo parece idêntico sob a perspectiva da rede. Para resumir. O PPSK é a arquitetura correta para WiFi multi-tenant em BTR, acomodação estudantil e ambientes MDU. Ele oferece isolamento por unidade, compatibilidade com IoT e simplicidade operacional que nem a PSK padrão nem o 802.1X conseguem igualar em um contexto residencial. Projete suas VLANs antes de mexer no hardware. Proteja seus links de trunk. Automatize a distribuição de chaves. Verifique o suporte a WPA3 do seu fornecedor se estiver implantando WiFi 6E. E integre com seu sistema de gestão de propriedades desde o primeiro dia, não como uma reflexão tardia. A Purple opera em 80.000 locais ativos e se integra como um overlay de nuvem em ambientes Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Se você deseja ver como isso funciona na prática para o seu empreendimento, o próximo passo é uma chamada de escopo técnico com nossa equipe de design de rede. Obrigado por ouvir o Briefing Técnico da Purple.