Uu PPSK: comparando recursos e modelos de implantação

UU PPSK: Comparando Recursos e Modelos de Implantação Um Podcast de Briefing Técnico da Purple Tempo de duração aproximado: 14 minutos Bem-vindo ao Briefing Técnico da Purple. Vou guiar você por uma das decisões mais importantes que você tomará ao projetar o WiFi para um imóvel residencial ou comercial de vários inquilinos: qual modelo de chave pré-compartilhada implantar. E, especificamente, vamos focar no UU PPSK, que significa Unique per-User Pre-Shared Key (Chave Pré-Compartilhada Única por Usuário), e por que ele se tornou a arquitetura preferida para operadores de Build to Rent (construção para aluguel), provedores de acomodação estudantil e proprietários de MDU (unidades habitacionais múltiplas) em todo o Reino Unido. Vamos começar com o problema. Se você é um incorporador imobiliário ou proprietário, está gerenciando um edifício onde dezenas ou centenas de residências independentes compartilham a mesma infraestrutura física de rede. Você precisa que cada morador tenha uma experiência de WiFi privada, semelhante à de casa. O Chromecast deles precisa encontrar o telefone. O alto-falante inteligente deles precisa se comunicar com as lâmpadas. E, o mais importante, nada disso deve ser visível para o morador do apartamento ao lado. A resposta tradicional para isso era uma senha compartilhada, o que é um desastre de segurança em grande escala, ou uma implantação empresarial 802.1X completa, que exige uma Infraestrutura de Chaves Públicas, gerenciamento de certificados e um servidor RADIUS que a maioria dos operadores imobiliários simplesmente não tem recursos de TI para gerenciar. Nenhuma dessas opções é adequada para um bloco BTR de 200 unidades. É aí que entra o PPSK. PPSK significa Private Pre-Shared Key. O conceito é simples: em vez de uma senha de WiFi compartilhada para todo o prédio, cada morador recebe sua própria senha exclusiva. Eles se conectam ao mesmo SSID, ao mesmo nome de rede, mas a chave deles é apenas deles. Se eles se mudarem, você revoga a chave deles. Isso tem efeito zero sobre qualquer outro morador. Agora, existem na verdade três modelos distintos aqui, e entender a diferença entre eles é fundamental para tomar a decisão de arquitetura correta. O primeiro modelo é um PSK compartilhado padrão. Uma senha, todos na mesma rede. É isso que a maioria dos edifícios ainda usa hoje. É simples de implantar, mas é um ponto único de falha. Se um morador compartilhar a senha em um fórum, você perderá o controle da sua rede. Quer remover o acesso de um prestador de serviços? Você terá que alterar a senha de todos. Em grande escala, isso simplesmente não é gerenciável. O segundo modelo é o Group PPSK. Aqui, você atribui uma chave exclusiva para cada grupo de usuários, talvez uma chave por andar ou uma chave por tipo de contrato de locação. É melhor do que uma senha compartilhada, mas ainda tem um problema de raio de impacto. Se uma chave em um grupo for comprometida, todo o grupo será afetado. E você ainda não consegue isolar os moradores individuais uns dos outros na camada de rede. O terceiro modelo, e aquele em que estamos focando hoje, é o UU PPSK, Unique per-User Pre-Shared Key, também chamado de iPSK pela Cisco, DPSK pela Ruckus e MPSK pela HPE Aruba. A terminologia varia de acordo com o fornecedor, mas o conceito é idêntico. Cada morador, cada grupo de dispositivos, recebe sua própria chave criptograficamente exclusiva. E essa chave mapeia para sua própria VLAN, seu próprio segmento de rede, completamente isolado de todos os outros moradores do edifício. Esta é a arquitetura que oferece o que eu chamo de bolha de WiFi. Os dispositivos do Morador A conseguem ver uns aos outros, eles podem transmitir, emparelhar, compartilhar arquivos, exatamente como fariam em uma rede doméstica. Mas o Morador A não consegue ver um único dispositivo pertencente ao Morador B, mesmo que ambos estejam conectados ao mesmo ponto de acesso, no mesmo SSID, usando a mesma infraestrutura física de cabos. Deixe-me orientá-lo pelo fluxo técnico de autenticação, porque é aqui que a mágica acontece. Quando o dispositivo de um morador se conecta ao SSID, o Wireless LAN Controller intercepta a tentativa de conexão e encaminha o endereço MAC do dispositivo para um servidor RADIUS. O servidor RADIUS, que pode ser hospedado na nuvem, como o da Purple, procura esse endereço MAC em seu repositório de identidade. Ele retorna uma resposta Access-Accept contendo a chave pré-compartilhada exclusiva atribuída a esse morador. O controlador valida a chave que o dispositivo apresentou com base na chave retornada. Se elas coincidirem, o dispositivo é autenticado e colocado na VLAN dedicada do morador. Criticamente, essa resposta RADIUS também carrega a atribuição de VLAN. Portanto, o dispositivo não é apenas autenticado. Ele é colocado automaticamente no segmento de rede correto, com a política de largura de banda correta, as regras de firewall corretas, tudo a partir de um único SSID. Sem proliferação de SSID. Sem sobrecarga de beacons. Um nome de rede, centenas de redes privadas isoladas sob ele. Agora, uma palavra sobre a randomização de endereços MAC, porque este é o obstáculo que atrapalha a maioria das implantações. Desde o iOS 14, Android 10 e Windows 11, os dispositivos usam endereços MAC randomizados por padrão por motivos de privacidade. Se o seu servidor RADIUS estiver fazendo uma busca de MAC e o dispositivo apresentar um endereço randomizado, a busca falhará e o dispositivo não conseguirá se conectar. A solução é configurar seu SSID para solicitar que os clientes usem seu endereço MAC de hardware permanente, ou implementar um fluxo de trabalho de pré-registro onde os moradores registram seus dispositivos antes de se conectarem. A plataforma da Purple lida com isso automaticamente como parte do fluxo de integração do morador. Vamos falar sobre modelos de implantação, porque o UU PPSK pode ser implantado de três maneiras distintas, e a escolha certa depende do tamanho do seu edifício, dos seus recursos de TI e do seu orçamento. O primeiro é o PPSK local do controlador. Aqui, as chaves exclusivas são armazenadas diretamente no controlador sem fio, sem a necessidade de um servidor RADIUS externo. Isso funciona bem para implantações menores, de até cerca de 200 unidades, e é o mais simples de operar. O Ubiquiti UniFi oferece suporte nativo a isso. A limitação é a escalabilidade. A maioria dos controladores tem um limite de algumas centenas de entradas PPSK locais, e você perde o gerenciamento centralizado do ciclo de vida que torna a operação do UU PPSK viável em escala. O segundo modelo é o PPSK baseado em RADIUS. Aqui, as chaves são armazenadas em um servidor RADIUS externo, e o controlador consulta o servidor RADIUS a cada nova conexão. Isso escala para milhares de unidades. O TP-Link Omada suporta até 4.000 PPSKs com um servidor RADIUS externo. Ruckus SmartZone, HPE Aruba ClearPass e Cisco ISE suportam esse modelo. A complexidade operacional é maior, mas a escalabilidade e os recursos de gerenciamento do ciclo de vida são significativamente melhores. O terceiro modelo, e o que a Purple recomenda para operadoras de BTR e MDU, é o RADIUS-as-a-Service na nuvem. Aqui, a infraestrutura RADIUS é hospedada e gerenciada pela Purple, e você conecta seus pontos de acesso a ela por meio de uma sobreposição de nuvem. Isso oferece a escalabilidade do PPSK baseado em RADIUS sem a complexidade operacional de executar seu próprio servidor RADIUS. A plataforma da Purple funciona em cima do seu hardware existente, seja Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet, e fornece a camada de orquestração para provisionamento de chaves, gerenciamento de ciclo de vida e integração de residentes. O ciclo de vida da chave é totalmente automatizado. Um residente se muda, sua chave é provisionada por meio da integração com o sistema de gestão de propriedades. Ele se muda para fora, sua chave é revogada instantaneamente, sem qualquer impacto sobre os outros residentes. Sem intervenção manual, sem lacunas de segurança, sem complicações com rotação de senhas. Deixe-me apresentar dois cenários concretos de implantação para ilustrar isso. O primeiro é um empreendimento Build to Rent de 250 unidades. O desenvolvedor especificou pontos de acesso Cisco Meraki em todo o edifício. Eles precisavam que cada residente tivesse uma experiência de WiFi privada com suporte total a IoT, prontidão para mudança no mesmo dia e capacidade de suportar de 15 a 25 dispositivos por residência. A residência média de BTR agora conecta 18 dispositivos ao WiFi, de telefones e laptops a alto-falantes inteligentes, dongles de streaming e eletrodomésticos conectados. A arquitetura implantada foi um único SSID em todo o edifício, com UU PPSK via serviço RADIUS na nuvem da Purple. Cada residente recebeu uma chave exclusiva no momento da mudança, entregue por meio do aplicativo do residente. A chave mapeava para uma VLAN dedicada com uma sub-rede privada, proporcionando a cada residência um segmento de rede totalmente isolado. O mDNS reflection foi ativado em cada VLAN, para que o Chromecast, a Apple TV e o Sonos funcionassem conforme o esperado. O edifício entrou em operação com 250 VLANs de residentes ativas no primeiro dia, com zero configuração manual de RADIUS exigida pela equipe local.O segundo cenário é um bloco de acomodação estudantil planejado de 400 leitos. O desafio aqui é a rotatividade anual de coorte. Todo mês de agosto, 400 estudantes saem e 400 novos estudantes entram, muitas vezes na mesma semana. Com um modelo PSK compartilhado, isso significa uma rotação de senha em todo o edifício que afeta todos os residentes que retornam. Com UU PPSK, significa revogar 400 chaves e provisionar 400 novas, tudo automatizado por meio da integração com o sistema de gestão de estudantes. A implantação utilizou Ruckus SmartZone com DPSK, apoiada pelo serviço RADIUS da Purple. Cada estudante recebeu sua chave exclusiva por e-mail durante o registro pré-chegada. A chave era válida pela duração de sua estadia e expirava automaticamente na data de término do contrato. A equipe de operações relatou uma redução de 70% nos chamados de suporte relacionados a WiFi no primeiro período, principalmente porque os problemas de pareamento de Chromecast e smart TV que haviam atormentado a implantação anterior de PSK compartilhado foram completamente eliminados. Agora deixe-me cobrir o aspecto de conformidade, porque isso importa para os operadores de propriedades de maneiras que às vezes são subestimadas. A GDPR exige que você possa demonstrar responsabilidade pelo processamento de dados. Em um contexto de WiFi, isso significa ser capaz de identificar qual residente gerou qual tráfego de rede e ser capaz de responder a uma solicitação de acesso do titular dos dados ou a uma solicitação de aplicação da lei com dados precisos e específicos do residente. Com um PSK compartilhado, isso é impossível. Cada dispositivo na rede parece idêntico sob a perspectiva do servidor RADIUS. Com UU PPSK, cada conexão está vinculada a uma chave de residente específica, que está vinculada a um registro de locação específico. Sua trilha de auditoria está completa. Deixe-me dar três regras práticas antes de passarmos para as perguntas rápidas. Regra um: se o seu edifício tiver mais de 50 unidades, use UU PPSK baseado em RADIUS, não PPSK local do controlador. O limite de escalabilidade do PPSK local do controlador causará problemas dentro de 12 meses após a ativação. Regra dois: planeje a randomização de MAC desde o primeiro dia. Construa um fluxo de trabalho de pré-registro em seu processo de integração de residentes. Não assuma que os dispositivos apresentarão seu endereço MAC permanente por padrão. Regra três: automatize o ciclo de vida da chave. O valor operacional do UU PPSK em relação a um PSK compartilhado depende inteiramente de as chaves serem provisionadas e revogadas de forma automática. O gerenciamento manual de chaves em escala não é viável. Integre com seu sistema de gestão de propriedades ou sistema de gestão de estudantes desde o início. Certo, vamos fazer uma rodada rápida de perguntas que recebo com mais frequência. O UU PPSK funciona com WPA3? Sim, com ressalvas. O WPA3-SAE altera o mecanismo de handshake. A maioria dos controladores modernos suporta UU PPSK no modo de transição WPA2 e WPA3 para compatibilidade com versões anteriores. Verifique a documentação específica do seu fornecedor antes de especificar uma implantação pura do WPA3. Quantas chaves exclusivas um único SSID pode suportar? Isso depende da plataforma do seu controlador. Com um servidor RADIUS externo, o limite prático é a capacidade do seu banco de dados RADIUS. O serviço de nuvem RADIUS-as-a-Service da Purple escala para dezenas de milhares de chaves simultâneas. O UU PPSK substitui o 802.1X? Não. Para frotas de dispositivos corporativos totalmente gerenciados com endpoints registrados em MDM e infraestrutura de certificados já existente, o WPA3-Enterprise com 802.1X é a postura de segurança mais robusta. O UU PPSK é a ferramenta certa para ambientes onde você não controla os dispositivos que se conectam à sua rede, que é exatamente o cenário em implantações de BTR, alojamentos estudantis e MDUs. Em qual hardware ele roda? O overlay de nuvem da Purple suporta Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Você não precisa substituir seus access points existentes. Para resumir tudo: o UU PPSK é a arquitetura de autenticação que torna a operação de WiFi multi-tenant viável em escala residencial. Ele oferece isolamento de rede por residente, suporte completo a IoT, gerenciamento automatizado do ciclo de vida das chaves e uma trilha de auditoria em conformidade com o GDPR, tudo a partir de um único SSID no seu hardware existente. Os três modelos de implantação, controlador-local, baseado em RADIUS e nuvem RADIUS-as-a-Service, atendem a diferentes tamanhos de edifícios e níveis de recursos de TI. Para qualquer projeto acima de 50 unidades, o RADIUS-as-a-Service em nuvem é a escolha certa. Ele elimina a sobrecarga operacional de executar sua própria infraestrutura RADIUS, ao mesmo tempo em que oferece a escalabilidade e os recursos de gerenciamento de ciclo de vida de que você precisa. A plataforma Multi-Tenant WiFi da Purple oferece exatamente isso. Fundada em 2012, operamos em 80.000 locais ativos, e nossa plataforma processou 440 milhões de logins apenas em 2024. Somos certificados ISO 27001, em conformidade com o GDPR e agnósticos em relação ao hardware. Se você está planejando uma implantação de BTR, alojamento estudantil ou MDU e quer entender como o UU PPSK se adapta à sua arquitetura específica, os guias vinculados nesta apresentação são um bom ponto de partida. Obrigado por ouvir. Até a próxima.