Uu PPSK hukumonline: comparando recursos e modelos de implantação

Bem-vindo ao Purple Technical Briefing. Hoje vamos falar sobre PPSK WiFi - Private Pre-Shared Key - o que é, como se compara com as alternativas e onde realmente faz sentido implantá-lo. Vamos começar com o problema que ele resolve. Em uma rede WPA2 Personal tradicional, cada dispositivo na rede compartilha a mesma senha. Isso é ótimo para uma residência. Mas é um risco para um empreendimento multifamiliar de 200 unidades, um bloco de acomodação estudantil ou um hotel com 300 quartos. Quando um morador se muda, ou você altera a senha de todos - desconectando a smart TV, o termostato e o console de todos os outros moradores no processo - ou você deixa o ex-morador com acesso. Nenhuma das opções é aceitável. O PPSK resolve isso fornecendo a cada morador, a cada apartamento ou a cada grupo de dispositivos sua própria chave de WiFi exclusiva. Todos se conectam ao mesmo SSID - o mesmo nome de rede - mas cada chave é mapeada para uma VLAN separada. O apartamento 12 está na VLAN 10. O apartamento 13 está na VLAN 20. Os dispositivos IoT estão na VLAN 99. O ponto de acesso gerencia o mapeamento de chave para VLAN automaticamente. Nenhum servidor RADIUS é necessário. Nenhuma infraestrutura de certificados. Nenhum suplicante 802.1X no dispositivo. Agora vamos falar sobre a terminologia, pois ela varia de acordo com o fabricante e isso causa uma real confusão no mercado. Aruba chama de PPSK - Private Pre-Shared Key. Cisco Meraki chama de iPSK - Identity PSK. Juniper Mist usa ePSK. Extreme Networks, que originalmente desenvolveu o conceito sob a marca Aerohive, chama de Private PSK. Ubiquiti UniFi chama simplesmente de PPSK. Cambium também usa ePSK. O mecanismo subjacente é idêntico em todos eles: um SSID, múltiplas chaves exclusivas, cada chave vinculada a uma VLAN ou a um grupo de políticas. Tecnicamente, eis o que acontece na camada de associação. Quando um dispositivo se conecta, ele apresenta sua chave pré-compartilhada durante o handshake de quatro vias do WPA2. O ponto de acesso - ou o controlador de nuvem por trás dele - busca essa chave no repositório PPSK, identifica a qual VLAN ela se mapeia e marca o tráfego do dispositivo de acordo. O dispositivo vê uma conexão WiFi normal. Ele não faz ideia de que foi colocado em um segmento isolado. Seu Chromecast funciona. Seu alto-falante inteligente se conecta. Seu console obtém o tipo de NAT correto. Tudo funciona como uma rede doméstica - porque, do ponto de vista do dispositivo, ela é. Esta é a principal distinção em relação ao 802.1X, que é o padrão corporativo para redes de funcionários e ambientes corporativos. O 802.1X requer um servidor RADIUS, um provedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - e um suplicante em cada dispositivo. Esse suplicante é o componente de software que lida com a troca de autenticação EAP. Todo laptop gerenciado, todo telefone corporativo tem um. A geladeira inteligente do seu morador não tem. O controlador de climatização do seu prédio não tem. Seus sensores IoT não têm. O PPSK funciona com todos eles porque opera na camada WPA Personal, não na camada WPA Enterprise. Dito isso, o PPSK não substitui o 802.1X em ambientes corporativos. É uma ferramenta diferente para um problema diferente. Se você gerencia uma rede corporativa para funcionários onde a responsabilidade individual é essencial - o 802.1X é a resposta certa. Se você gerencia uma rede residencial onde precisa de isolamento por residência, suporte a IoT e simplicidade operacional em escala, o PPSK é a resposta certa. Vamos analisar os modelos de implantação. Existem três padrões principais em produção atualmente. O primeiro é o modelo cloud-controller, que é o mais comum para novas implantações. Seus pontos de acesso - sejam Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet - conectam-se a uma plataforma de gerenciamento em nuvem. O armazenamento de chaves PPSK reside no controlador de nuvem. Quando você provisiona um novo residente, cria uma chave no portal, atribui-a a uma VLAN, e o controlador envia a política para todos os pontos de acesso no edifício. O residente recebe sua chave por e-mail, SMS ou um código QR em um pacote de boas-vindas e se conecta. Quando ele se muda, você exclui a chave. Os dispositivos dele deixam de se conectar. Ninguém mais é afetado. O segundo modelo é o PPSK com um backend RADIUS local. Algumas implantações corporativas usam um servidor RADIUS para armazenar e validar credenciais PPSK, o que oferece logs centralizados, trilhas de auditoria e integração com sua plataforma de gerenciamento de identidade. Isso adiciona sobrecarga de infraestrutura, mas oferece a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK. O terceiro modelo é o híbrido: PPSK para residentes e IoT, 802.1X para funcionários e sistemas de gerenciamento. Esta é a arquitetura que a Purple recomenda para implantações de Build to Rent (BTR) e unidades habitacionais multifamiliares (MDU). Os residentes usam PPSK. Os sistemas de gerenciamento predial, CFTV e controle de acesso ganham sua própria VLAN de IoT com PPSK. Os dispositivos da equipe de administração do imóvel usam 802.1X integrado ao Microsoft Entra ID ou Okta. Três modelos de autenticação distintos, três VLANs distintas, uma única infraestrutura física. Agora, vamos para a implementação. Comece com seu design lógico antes de tocar no hardware. Planeje o número de residentes, as categorias de dispositivos IoT e quaisquer sistemas de funcionários ou de gerenciamento. Atribua as VLANs. Uma implantação típica de BTR se parece com isso: VLAN 10 até o limite que o número de unidades exigir para os residentes, sendo uma VLAN por apartamento ou uma VLAN por andar, dependendo da sua densidade. VLAN 99 para IoT. VLAN 100 para gerenciamento predial. VLAN 200 para WiFi de visitantes nas áreas comuns. Em um edifício de 200 unidades, estime entre 3.000 e 5.000 dispositivos na rede a qualquer momento. Esse número reflete a média de 15 a 25 dispositivos por residência obtida em pesquisas da British Property Federation. Seus escopos DHCP precisam acomodar essa demanda. Use endereçamento privado RFC 1918 com tamanhos de sub-rede suficientes por VLAN. Uma barra 24 oferece 254 endereços utilizáveis. Uma barra 23 oferece 510. Dimensione de acordo.Sobre a seleção de hardware: o PPSK é compatível com todas as principais plataformas de access point corporativas. A Cisco Meraki o chama de iPSK e o gerencia por meio do painel do Meraki. A HPE Aruba o implementa nativamente no ArubaOS e no Aruba Central. A Ruckus oferece suporte por meio do SmartZone. A Juniper Mist usa ePSK com gerenciamento de RF baseado em IA. A Ubiquiti UniFi oferece suporte ao PPSK desde 2023, embora atualmente seja apenas para WPA2. Aruba, Ruckus e Meraki oferecem suporte ao PPSK em configurações WPA3. Agora, os pontos de atenção. O primeiro é a proliferação de SSIDs. Cada SSID transmitido consome tempo de transmissão para frames de beacon. Limite o uso a no máximo quatro SSIDs por rádio. Use o PPSK para atender a múltiplos segmentos de residentes a partir de um único SSID, em vez de criar um SSID separado por apartamento. O segundo ponto de atenção é a configuração insuficiente das portas de tronco (trunk ports). Você projeta um esquema de VLAN limpo, implanta os access points e, em seguida, o tráfego cai silenciosamente porque alguém esqueceu de permitir as VLANs relevantes em um link de tronco. Valide todas as portas de tronco durante o comissionamento. Teste com um dispositivo em cada VLAN antes de os moradores se mudarem. O terceiro ponto de atenção é a distribuição de chaves. Gerar chaves é fácil. Enviá-las aos moradores de forma segura é mais difícil. Um código QR no pacote de boas-vindas funciona bem para o dia da mudança. Um portal do morador é melhor para operações contínuas. Desenvolva o fluxo de trabalho de distribuição de chaves antes da implantação, não depois. Agora, perguntas rápidas. Quantas chaves PPSK um único access point pode suportar? A Cisco Meraki suporta até 5.000 entradas iPSK por rede. A Aruba suporta uma escala semelhante. A Ubiquiti UniFi suporta até 1.000 entradas PPSK por rede. Para um prédio de 200 unidades, você está bem dentro dos limites em qualquer plataforma. O PPSK funciona com WPA3? Sim, na maioria das plataformas corporativas. O WPA3-SAE oferece proteção mais forte contra ataques de dicionário offline. A exceção é a UniFi, que atualmente suporta apenas WPA2 para PPSK. Posso integrar o PPSK com o meu sistema de gestão de propriedades? Sim, por meio da API do fornecedor. A plataforma de WiFi Multi-Tenant da Purple funciona como uma sobreposição em nuvem sobre o seu hardware existente e gerencia o provisionamento de chaves, atribuição de VLAN e integração de residentes através de um único painel - com integrações em plataformas de gestão de propriedades para fluxos de trabalho automatizados de entrada e saída de moradores. Resumindo. O PPSK é o modelo de autenticação correto para ambientes residenciais multi-tenant, acomodações estudantis e implantações com uso intenso de IoT, onde a compatibilidade do dispositivo importa mais do que a identidade baseada em certificado. Ele oferece isolamento de rede por residência, suporta todos os tipos de dispositivos e escala para milhares de chaves sem infraestrutura RADIUS. O modelo híbrido - PPSK para residentes, 802.1X para funcionários - oferece o melhor dos dois mundos em uma única rede física. As três coisas que você deve acertar desde o primeiro dia são: o design da sua VLAN, o fluxo de trabalho de distribuição de chaves e a configuração das portas de tronco. Acerte esses três pontos e o restante fluirá naturalmente. Para saber mais sobre a plataforma WiFi Multi-Tenant da Purple e como ela lida com o provisionamento de PPSK em escala, visite purple dot ai. Obrigado por ouvir.