Guia PPSK em PDF: comparando recursos e modelos de implantação

Bem-vindo ao Purple Technical Briefing. Hoje vamos falar sobre PPSK - Private Pre-Shared Key WiFi - o que é, como se compara às alternativas e onde realmente faz sentido implementá-lo em um imóvel residencial multi-inquilino ou comercial. Vamos começar com o problema que ele resolve. Em uma rede WPA2 Personal padrão, todos os dispositivos compartilham a mesma senha. Isso funciona bem para uma casa. É um risco para um empreendimento build-to-rent de 200 unidades, um bloco de acomodação estudantil ou um hotel com 300 quartos. Quando um morador se muda, ou você altera a senha para todos - desconectando a smart TV, o termostato e o videogame de todos os outros moradores no processo - ou você deixa o antigo morador com acesso. Nenhuma das opções é aceitável. O PPSK resolve isso fornecendo a cada morador, a cada apartamento ou a cada grupo de dispositivos sua própria chave de WiFi exclusiva. Todos se conectam ao mesmo SSID - o mesmo nome de rede - mas cada chave é mapeada para uma VLAN separada. O apartamento 12 está na VLAN 10. O apartamento 13 está na VLAN 20. Os dispositivos IoT estão na VLAN 99. O ponto de acesso gerencia o mapeamento de chave para VLAN de forma automática. Nenhum servidor RADIUS é necessário para o modelo básico. Sem infraestrutura de certificados. Sem suplicante 802.1X no dispositivo. Agora vamos falar sobre a terminologia, pois ela varia de acordo com o fabricante e isso causa real confusão no mercado. A Aruba chama de PPSK - Private Pre-Shared Key. A Cisco Meraki chama de iPSK - Identity PSK, ou Personal Private Network. A Juniper Mist usa ePSK. A Extreme Networks, que originalmente desenvolveu o conceito sob a marca Aerohive, chama de Private PSK. A Ubiquiti UniFi chama simplesmente de PPSK. A Cambium também usa ePSK. O mecanismo subjacente é idêntico em todos eles: um SSID, múltiplas chaves exclusivas, com cada chave vinculada a uma VLAN ou a um grupo de políticas. Tecnicamente, é isto o que acontece na camada de associação. Quando um dispositivo se conecta, ele apresenta sua chave pré-compartilhada durante o handshake de quatro vias do WPA2. O ponto de acesso - ou o controlador de nuvem por trás dele - busca essa chave no armazenamento PPSK, identifica a qual VLAN ela se mapeia e marca o tráfego do dispositivo de acordo a partir daquele momento. O dispositivo vê uma conexão WiFi normal. Ele não tem ideia de que foi colocado em um segmento isolado. Seu Chromecast funciona. Seu alto-falante inteligente emparelha. Seu console obtém o tipo de NAT correto. Tudo funciona como uma rede doméstica - porque, da perspectiva do dispositivo, de fato é. Esta é a principal diferença em relação ao 802.1X, que é o padrão corporativo para redes de funcionários e ambientes corporativos. O 802.1X exige um servidor RADIUS, um provedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - e um suplicante em cada dispositivo. Esse suplicante é o componente de software que lida com a troca de autenticação EAP. Todo laptop gerenciado, todo telefone corporativo tem um. A geladeira inteligente do seu morador não tem. O controlador de climatização (HVAC) do seu prédio não tem. Seus sensores de IoT não têm. O PPSK funciona com todos eles porque opera na camada WPA Personal, não na camada WPA Enterprise.Dito isso, o PPSK não é um substituto para o 802.1X em ambientes corporativos. É uma ferramenta diferente para um problema diferente. Se você gerencia uma rede de funcionários onde a responsabilidade individual importa - onde você precisa saber que uma pessoa específica se autenticou em um momento específico, e precisa revogar o acesso dela no momento em que ela deixa a organização - o 802.1X é a resposta certa. Se você gerencia uma rede residencial onde precisa de isolamento por residência, suporte a IoT e simplicidade operacional em escala, o PPSK é a resposta certa. Vamos analisar os três principais modelos de implantação em produção hoje. O primeiro é o modelo de controladora em nuvem, que é o mais comum para novas implantações. Seus pontos de acesso - sejam Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet - se conectam a uma plataforma de gerenciamento em nuvem. O repositório de chaves PPSK reside na controladora em nuvem. Quando você provisiona um novo residente, você cria uma chave no portal, a atribui a uma VLAN e a controladora envia a política para cada ponto de acesso no edifício. O residente recebe sua chave - via e-mail, SMS ou um código QR em um pacote de boas-vindas - e se conecta. Quando ele se muda, você exclui a chave. Seus dispositivos param de se conectar. Ninguém mais é afetado. O segundo modelo de implantação é o PPSK com um backend RADIUS local. Algumas implantações corporativas usam um servidor RADIUS para armazenar e validar credenciais PPSK, o que oferece registro centralizado, trilhas de auditoria e integração com sua plataforma de gerenciamento de identidade. Isso adiciona sobrecarga de infraestrutura, mas oferece a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK. É o modelo certo para ambientes mistos - por exemplo, um espaço de coworking onde você tem tanto dispositivos corporativos gerenciados quanto equipamentos de IoT de propriedade dos membros. O terceiro modelo é o híbrido: PPSK para residentes e IoT, 802.1X para funcionários e sistemas de gerenciamento. Esta é a arquitetura que a Purple recomenda para implantações de build-to-rent e unidades multi-residenciais. Os residentes recebem PPSK. Sistemas de gerenciamento predial, CFTV e controle de acesso recebem sua própria VLAN de IoT com PPSK. Os dispositivos da equipe de administração predial usam 802.1X integrado ao Microsoft Entra ID ou Okta. Três modelos de autenticação distintos, três VLANs distintas, uma infraestrutura física. Agora vamos entrar na implementação. Se você está implantando PPSK para um empreendimento build-to-rent ou uma propriedade com múltiplas unidades habitacionais, aqui está a sequência que funciona. Comece com seu design lógico antes de tocar no hardware. Mapeie sua contagem de residentes, suas categorias de dispositivos IoT e quaisquer sistemas de funcionários ou de gerenciamento. Atribua VLANs. Uma implantação BTR típica se parece com isso: VLANs de 10 até o limite que sua contagem de unidades exigir para os residentes - uma VLAN por apartamento ou uma VLAN por andar, dependendo da sua densidade. VLAN 99 para IoT. VLAN 100 para gerenciamento predial. VLAN 200 para WiFi de convidados em áreas comuns. Em seguida, documente seu esquema de endereçamento IP. Em um edifício de 200 unidades, você terá entre três mil e cinco mil dispositivos na rede a qualquer momento. Essa é a estimativa de 15 a 25 dispositivos por residência baseada em pesquisas da British Property Federation. Seus escopos de DHCP precisam acomodar isso. Use o endereçamento privado RFC 1918 com tamanhos de sub-rede suficientes por VLAN. Um barra 24 fornece 254 endereços utilizáveis. Um barra 23 fornece 510. Dimensione adequadamente. Sobre a seleção de hardware: o PPSK é suportado em todas as principais plataformas de pontos de acesso corporativos. A Cisco Meraki o chama de iPSK e o gerencia por meio do painel do Meraki com políticas de chaves por SSID. A HPE Aruba o implementa nativamente no ArubaOS e no Aruba Central. A Ruckus oferece suporte por meio do SmartZone e da plataforma Ruckus Cloud. A Juniper Mist usa ePSK com gerenciamento de RF orientado por IA. A Ubiquiti UniFi oferece suporte ao PPSK desde 2023, embora note-se que atualmente é apenas WPA2 e não funcionará na banda de 6 gigahertz. A Cambium e a Extreme oferecem suporte por meio de suas respectivas plataformas em nuvem. Uma limitação crítica a ser destacada: a implementação de PPSK da UniFi é apenas WPA2. Se você estiver especificando pontos de acesso WiFi 6E e quiser usar a banda de 6 gigahertz para clientes PPSK, precisará de uma plataforma que suporte WPA3-SAE com PPSK, ou precisará restringir os clientes PPSK às bandas de 2.4 e 5 gigahertz. Aruba, Ruckus e Meraki oferecem suporte a PPSK em configurações WPA3. Agora vamos falar sobre as armadilhas. Estes são os modos de falha que vejo repetidamente em implantações de produção. O primeiro é a proliferação de SSIDs. Cada SSID que você transmite consome tempo de transmissão para frames de beacon. Em um edifício residencial denso, se você estiver transmitindo seis ou oito SSIDs por ponto de acesso, estará degradando o desempenho de todos. Mantenha no máximo quatro SSIDs por rádio. Use o PPSK para atender a múltiplos segmentos de residentes a partir de um único SSID, em vez de criar um SSID separado por apartamento ou por andar. A segunda armadilha é a configuração insuficiente das portas trunk. Você projeta um esquema de VLAN limpo, implanta os pontos de acesso e, em seguida, o tráfego cai silenciosamente porque alguém esqueceu de permitir as VLANs relevantes em um link trunk entre o switch de distribuição e a camada de acesso. Valide cada porta trunk durante o comissionamento. Documente. Teste com um dispositivo em cada VLAN antes de os residentes se mudarem. A terceira armadilha é a distribuição de chaves. Gerar chaves é fácil. Entregá-las aos residentes de forma segura e operacionalmente gerenciável é o mais difícil. Um QR code no pacote de boas-vindas funciona bem para o dia da mudança. Um portal do residente onde eles possam recuperar sua chave e adicionar novos dispositivos é melhor para as operações em andamento. Construa o fluxo de trabalho de distribuição de chaves antes de implantar, não depois. Agora, uma rápida sessão de perguntas e respostas sobre as dúvidas que surgem com mais frequência. Quantas chaves PPSK um único ponto de acesso pode suportar? A maioria das plataformas corporativas suporta milhares de chaves por SSID. O Cisco Meraki suporta até 5.000 entradas iPSK por rede. Aruba suporta uma escala semelhante. O Ubiquiti UniFi suporta até 1.000 entradas PPSK por rede. Para um edifício de 200 unidades, você está bem dentro dos limites em qualquer plataforma. O PPSK funciona com WPA3? Sim, na maioria das plataformas corporativas. O WPA3-SAE oferece uma proteção mais forte contra ataques de dicionário offline em comparação com o WPA2-PSK, portanto, implantar PPSK no WPA3 onde seus dispositivos de cliente o suportam é a abordagem correta. A exceção é o UniFi, que atualmente é apenas WPA2 para PPSK. Posso integrar o PPSK com o meu sistema de gestão de propriedades? Sim, através da API do fornecedor. Aruba Central, Meraki, Ruckus e Mist expõem APIs REST para gerenciamento de chaves PPSK. A plataforma Purple Multi-Tenant WiFi roda sobre essas APIs e fornece uma camada única de gerenciamento em todos os fornecedores de hardware, com webhooks para acionar o provisionamento e a revogação de chaves do seu sistema de gestão de propriedades de forma automática. E quanto ao GDPR? As chaves PPSK são credenciais, não dados pessoais em si. No entanto, se você vincular uma chave a um residente identificado - o que você fará, por motivos operacionais - essa vinculação será considerada dado pessoal sob o UK GDPR. Armazene-a com segurança, retenha-a apenas pelo tempo necessário e garanta que o seu acordo de processamento de dados com o seu provedor de plataforma WiFi cubra isso. A Purple é certificada ISO 27001, em conformidade com o GDPR e possui a certificação Cyber Essentials. Vamos encerrar com os principais pontos a reter. Primeiro: o PPSK é o modelo de autenticação correto para ambientes residenciais multi-inquilinos. Ele oferece isolamento por residência, compatibilidade com IoT e simplicidade operacional que o PSK padrão e o 802.1X não conseguem igualar simultaneamente. Segundo: a terminologia varia de acordo com o fornecedor - PPSK, iPSK, ePSK, Personal Private Network - mas o mecanismo é o mesmo. Não deixe que a confusão de nomes atrase sua decisão de aquisição. Terceiro: projete seu esquema de VLAN antes de tocar no hardware. O design lógico é a parte difícil. A implantação física decorre dele. Quarto: mantenha a contagem de SSID abaixo de quatro por rádio. Use PPSK para consolidar segmentos em um único SSID em vez de proliferar nomes de rede. Quinto: crie seu fluxo de trabalho de distribuição de chaves antes do lançamento. O dia da mudança não é o momento para descobrir que seu processo de onboarding tem lacunas. Se você quiser se aprofundar em qualquer um desses pontos - seleção de hardware, design de VLAN para uma propriedade específica ou integração do PPSK com seu sistema de gestão de propriedades - a equipe do Purple Multi-Tenant WiFi pode orientá-lo. Você encontrará o guia escrito completo e os diagramas de arquitetura em purple.ai. Obrigado por nos ouvir.