PPSK lights: comparando recursos e modelos de implantação

Você é um consultor de rede sênior instruindo um cliente com um sotaque em inglês britânico confiante, coloquial e autoritário. Fale de forma clara e em um ritmo compassado, como se estivesse apresentando para uma diretoria de gerentes de TI e incorporadores imobiliários. Tom: experiente, direto, ocasionalmente irônico. Nunca professoral. Este é um briefing profissional, não uma palestra: Bem-vindo ao Briefing Técnico Purple. Hoje vamos falar sobre as luzes PPSK - ou seja, autenticação baseada em Private Pre-Shared Key - e especificamente como comparar seus recursos e modelos de implantação para ambientes multi-tenant e edifícios inteligentes. Se você é um incorporador imobiliário, um operador de build-to-rent ou um proprietário que gerencia um portfólio de várias residências, isso é diretamente relevante para você. As decisões de WiFi que você toma na fase de projeto definirão a experiência de seus residentes na próxima década. Acerte, e o WiFi se torna uma comodidade premium que exige um adicional de aluguel de quinze a trinta libras por unidade por mês, de acordo com os benchmarks da British Property Federation. Erre, e você estará atendendo chamadas de suporte sobre o Chromecast não conectar e lâmpadas inteligentes ficando offline. Vamos começar com o fundamental. [medium pause] PPSK significa Private Pre-Shared Key. Também é chamado de iPSK pela Cisco, ePSK pela Cambium e Juniper Mist, e Dynamic PSK pela Ruckus. A terminologia varia de acordo com o fornecedor. O conceito é idêntico: em vez de uma senha de WiFi compartilhada para todo um edifício ou segmento de rede, cada residente, cada grupo de dispositivos ou cada unidade recebe sua própria chave exclusiva. Essa única decisão de arquitetura muda tudo no fluxo subsequente. Com uma configuração padrão WPA2-Personal, uma senha concede acesso a toda a rede. Se um residente compartilhar essa senha, ou se houver vazamento, você terá que alterá-la em todo o edifício. Cada dispositivo em cada apartamento precisará ser reconectado. Em um edifício de duzentas unidades com quinze a vinte e cinco dispositivos por residência, são de três a cinco mil dispositivos que você acabou de desconectar simultaneamente. Isso é um pesadelo de suporte. O PPSK elimina esse problema por completo. Quando um residente se muda, você revoga a chave dele. Ninguém mais é afetado. O próximo residente recebe uma nova chave, provisionada automaticamente no momento em que o contrato de locação é assinado. Eles entram no dia da mudança, conectam-se e já estão online. Sem visita de técnico. Sem espera de banda larga. É o que o setor chama de uma experiência Instant-On. [medium pause] Agora, vamos falar sobre por que o PPSK é particularmente relevante para edifícios inteligentes e gerenciamento de dispositivos IoT - as luzes, termostatos, câmeras de segurança e alto-falantes inteligentes que os residentes modernos trazem consigo ou que os proprietários instalam como comodidades do edifício. O desafio com os dispositivos IoT é que a maioria deles não consegue autenticar usando WPA-Enterprise - que é o padrão 802.1X que as redes corporativas utilizam. Lâmpadas inteligentes, termostatos, sensores de porta e assistentes de voz não possuem um navegador ou um repositório de certificados. Eles não podem apresentar credenciais para um servidor RADIUS. Portanto, o método de autenticação de nível empresarial que funciona perfeitamente para os laptops da equipe simplesmente não funciona para a pilha de casa inteligente. O PPSK resolve isso. Por ser fundamentalmente um mecanismo de chave pré-compartilhada, ele funciona com cem por cento dos dispositivos IoT de consumo. Você atribui um PPSK dedicado ao segmento IoT de cada unidade, mapeia-o para uma VLAN separada, e esses dispositivos ficam isolados tanto dos dispositivos pessoais do morador quanto de todas as outras unidades do edifício. Esta é a arquitetura que recomendamos para qualquer implantação BTR ou MDU: três VLANs distintas mapeadas por PPSK. VLAN dez para dispositivos pessoais dos moradores. VLAN vinte para dispositivos IoT e de casa inteligente - luzes, termostatos, câmeras, alto-falantes. VLAN trinta para convidados e visitantes do edifício, que normalmente passa por um Captive Portal. Cada VLAN tem suas próprias regras de firewall. Por padrão, a lâmpada inteligente de um morador na VLAN vinte não consegue acessar os dispositivos de seu vizinho na VLAN dez. [medium pause] Vamos comparar as três principais abordagens de autenticação. O PSK padrão é a linha de base. Uma senha, um segmento de rede. Fácil de implantar, mas fundamentalmente inseguro para uso multi-inquilino. Os moradores podem ver os dispositivos uns dos outros. Uma senha comprometida compromete o edifício inteiro. É adequado para um local pequeno de ocupação única, não para um edifício residencial. O PPSK fica no meio. Chave exclusiva por morador ou grupo de dispositivos. Atribuição de VLAN por chave. Compatibilidade total com IoT. Nenhum servidor RADIUS é necessário no modo local. Esta é a escolha certa para BTR, acomodação estudantil, habitação social e qualquer ambiente multi-inquilino onde a densidade de dispositivos IoT é alta. O 802.1X, ou WPA-Enterprise, é o padrão ouro para ambientes corporativos. Autenticação baseada em certificados contra um servidor RADIUS, com atribuição dinâmica de VLAN por usuário. É a opção mais segura e a escolha certa para redes de funcionários. Mas exige uma infraestrutura RADIUS e simplesmente não funciona para dispositivos IoT. Em um contexto residencial, cria atritos para os moradores e falha totalmente para dispositivos de casa inteligente. A conclusão prática: implante PPSK para moradores e IoT, implante 802.1X para a equipe de gerenciamento do edifício e implante um Captive Portal em um SSID separado para visitantes. Você é um consultor de rede sênior instruindo um cliente com um sotaque de inglês britânico confiante, coloquial e autoritário. Fale com clareza e em um ritmo compassado. Tom: conhecedor, direto, ocasionalmente irônico. Esta é uma instrução profissional, não uma palestra: Agora vamos entrar no cenário dos fornecedores, porque os detalhes de implementação variam significativamente dependendo do hardware do ponto de acesso que você está executando. No Cisco Meraki, o recurso é chamado de iPSK. Você o configura em Wireless, Access Control (Controle de Acesso) e seleciona PSK com RADIUS. O Meraki também oferece suporte a iPSK sem RADIUS em firmwares mais recentes, onde o mapeamento de chave para VLAN é armazenado localmente no painel. Na HPE Aruba, o recurso é chamado de PPSK, e é uma das implementações mais maduras do mercado. O ClearPass Policy Manager da Aruba lida com o ciclo de vida da chave, atribuição de VLAN e integração com sistemas de gestão de propriedades. Para grandes portfólios BTR, Aruba mais ClearPass é uma combinação comprovada. Na Ubiquiti UniFi, o PPSK foi introduzido no UniFi Network versão oito e está disponível em redes WPA2. Você o configura em Settings (Configurações), WiFi, e ativa as Private Pre-Shared Keys. Cada chave mapeia para uma VLAN. A limitação é que o PPSK do UniFi é apenas WPA2 e atualmente não suporta a banda de seis gigahertz. A Ruckus chama o recurso equivalente de Dynamic PSK, e é uma tecnologia patenteada. Cada chave é gerada criptograficamente e tem tempo limitado, se necessário. A implementação da Ruckus é particularmente forte para implantações de alta densidade, como acomodações estudantis. A Juniper Mist e a Cambium implementam o recurso como ePSK, com ciclo de vida de chave gerenciado na nuvem e atribuição de VLAN. A plataforma da Purple funciona como uma sobreposição de nuvem acima de todos esses fornecedores de hardware. Nós nos integramos com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet por meio de APIs padrão e RADIUS. O ciclo de vida da chave - provisionamento, rotação, revogação - é gerenciado centralmente por meio do painel do Purple, independentemente de qual hardware de ponto de acesso esteja no local. Essa abordagem independente de hardware significa que você não fica preso ao ecossistema de um único fornecedor. [pausa média] Agora, recomendações de implantação e as armadilhas a serem evitadas. A primeira recomendação: projete sua arquitetura de VLAN antes de configurar qualquer coisa. Mapeie cada tipo de dispositivo no edifício. Dispositivos pessoais de residentes, IoT e dispositivos domésticos inteligentes, sistemas de gestão predial, acesso de visitantes. Cada categoria precisa de sua própria VLAN e de seu próprio PPSK. Documente isso antes de tocar em um único ponto de acesso. A segunda recomendação: automatize o ciclo de vida da chave desde o primeiro dia. O valor operacional do PPSK desaparece se você estiver gerando e distribuindo chaves manualmente. Integre sua plataforma PPSK ao seu sistema de gestão de propriedades. Quando um contrato é assinado, uma chave é gerada e enviada por e-mail para o residente de forma automática. Quando um contrato termina, a chave é revogada automaticamente. A plataforma da Purple lida com essa integração nativamente. A terceira recomendação: teste a integração de dispositivos IoT antes do lançamento. Dispositivos domésticos inteligentes têm fluxos de integração WiFi notoriamente inconsistentes. Alguns usam Bluetooth para a configuração inicial. Alguns criam um ponto de acesso temporário. Teste cada categoria de dispositivo que você planeja suportar - lâmpadas inteligentes, termostatos, assistentes de voz, dongles de streaming - em sua rede PPSK antes que os residentes se mudem. Agora as armadilhas. O mais comum é a proliferação de SSIDs. Cada SSID adicional que você transmite consome tempo de transmissão para frames de beacon. Em um edifício denso com centenas de pontos de acesso, transmitir seis ou oito SSIDs por ponto de acesso degrada significativamente o throughput. A meta é no máximo três SSIDs: um para residentes em PPSK, um para IoT em PPSK e um para visitantes no Captive Portal. O PPSK permite atender múltiplos segmentos de residentes em um único SSID, atribuindo chaves diferentes a VLANs diferentes. Esse é todo o propósito. O segundo erro é o subdimensionamento do uplink de internet. Um edifício de duzentas unidades com quinze dispositivos por residência no horário de pico precisa de uma largura de banda significativa. Planeje de cinco a dez megabits por segundo por residência ativa no pico. Isso representa um mínimo de um gigabit por segundo de largura de banda dedicada para um edifício totalmente ocupado. Uma linha dedicada com capacidade burstable é o produto ideal. O terceiro erro é negligenciar o backhaul cabeado. A segmentação PPSK na camada sem fio é inútil se a sua infraestrutura cabeada colapsar todas as VLANs em um único domínio de broadcast. Cada ponto de acesso precisa de uma porta trunk transportando todas as VLANs como tráfego taggeado. Seu switch core precisa de roteamento inter-VLAN com política de firewall explícita. Audite as configurações de seus switches após cada alteração. [medium pause] Perguntas rápidas. Preciso de um servidor RADIUS para implantar o PPSK? Não necessariamente. A maioria dos pontos de acesso modernos suporta PPSK local, onde o mapeamento de chave para VLAN é armazenado no controlador ou no painel em nuvem. O RADIUS é necessário para o iPSK da Meraki em algumas configurações e para a integração com o ClearPass da Aruba. Para implantações menores, o PPSK local é mais simples. Para grandes portfólios com milhares de chaves, um RADIUS em nuvem ou uma plataforma gerenciada como o Purple é a abordagem correta. Os residentes podem alterar seu próprio PPSK? Sim, se você configurar o autoatendimento. O portal de residentes do Purple permite que os moradores regenerem sua chave, adicionem novos dispositivos e gerenciem seu próprio segmento de rede sem entrar em contato com a administração do edifício. Isso reduz drasticamente o volume de chamados de suporte. O PPSK está em conformidade com o GDPR? O PPSK em si é um mecanismo de autenticação de rede, não uma ferramenta de coleta de dados. A conformidade com o GDPR depende do que você faz com os logs de conexão. Retenha apenas o necessário para segurança e operações. Seis meses é um limite comum para logs de WiFi residencial. A plataforma do Purple armazena dados em regiões selecionáveis e fornece trilhas de auditoria para revisão regulatória. E quanto ao WPA3? Atualmente, o PPSK é um mecanismo WPA2 na maioria das plataformas. O protocolo SAE do WPA3 não suporta nativamente a atribuição de VLAN por chave da mesma maneira. O setor está trabalhando em equivalentes compatíveis com WPA3, mas para implantações residenciais em produção hoje, o WPA2 PPSK é o padrão. A implementação da UniFi, por exemplo, observa explicitamente apenas WPA2 para PPSK. [medium pause] Para resumir. O PPSK é o modelo de autenticação ideal para qualquer implantação de WiFi multi-tenant onde você precisa de isolamento por residente, suporte a dispositivos IoT e simplicidade operacional em escala. Ele se posiciona entre o PSK padrão e a autenticação corporativa 802.1X completa - mais seguro e mais gerenciável do que uma senha compartilhada, mais amigável para IoT e menos pesado em termos de infraestrutura do que uma implantação RADIUS completa. Os três pontos principais a serem retidos: Primeiro, projete sua arquitetura de VLAN antes de configurar qualquer coisa. No mínimo três VLANs: residentes, IoT e convidados. Segundo, automatize o ciclo de vida das chaves. O gerenciamento manual de chaves não escala além de vinte unidades. Terceiro, escolha uma plataforma agnóstica de hardware. O fornecedor do seu ponto de acesso mudará ao longo da vida útil do edifício. Sua camada de gerenciamento de chaves e de experiência do residente não deve mudar. Se você quiser se aprofundar, os recursos de WiFi multi-tenant da Purple em purple.ai cobrem toda a arquitetura de implantação, a integração com sistemas de gestão de propriedades e o caso comercial do WiFi como uma comodidade gerenciada. Há também um guia detalhado sobre PPSK especificamente para UniFi, caso essa seja a sua plataforma de hardware. Obrigado por ouvir. Até a próxima.