Cisco iPSK: um guia completo para empresas

Bem-vindo à série de briefings técnicos da Purple. Hoje estamos a falar sobre Cisco iPSK - Identity Pre-Shared Key - e porque se tornou o modelo de segurança WiFi de eleição para promotores imobiliários, operadores de BTR, hotéis e empresas de retalho multi-site.\n\nDeixe-me começar pelo problema. Imagine que gere um empreendimento de Build-to-Rent de 200 unidades. Deseja que todos os residentes tenham WiFi privado e seguro desde o primeiro dia. Não quer colocar um router em cada apartamento. Não quer gerir 200 redes separadas. E, acima de tudo, não quer que um residente consiga ver a smart TV de outro residente na rede.\n\nO WPA2-PSK padrão - o modelo de palavra-passe partilhada - falha imediatamente. Uma palavra-passe para todo o edifício significa que uma única quebra de segurança afeta toda a gente. E não pode revogar o acesso de um único residente sem alterar a palavra-passe de todos os 200.\n\nO WPA3-Enterprise com 802.1X é o outro extremo. Muito seguro. Mas requer certificados ou credenciais de utilizador e palavra-passe para cada dispositivo. Os termóstatos inteligentes, consolas de jogos e dispositivos Amazon Alexa dos seus residentes simplesmente não se conseguem ligar a uma rede 802.1X. Não possuem suporte para autenticação. Estaria a receber chamadas de suporte todos os dias.\n\nO Cisco iPSK situa-se exatamente no meio. Cada residente recebe a sua própria chave pré-partilhada única. Para o residente, parece e funciona exatamente como uma palavra-passe de WiFi doméstica. Introduzem-na uma vez e todos os seus dispositivos ligam-se. Nos bastidores, contudo, o Cisco Wireless LAN Controller envia um pedido RADIUS ao Cisco ISE - o Identity Services Engine - contendo o endereço MAC do cliente. O ISE pesquisa esse MAC, encontra o perfil de autorização correspondente e devolve a PSK correta através de um atributo Cisco AV-pair. O controlador valida então a ligação utilizando essa chave individual.\n\nO resultado: um SSID para todo o edifício, mas cada residente fica isolado no seu próprio segmento de rede privado. O override de VLAN via RADIUS significa que o residente A acede à VLAN 101, o residente B à VLAN 102, e os dispositivos IoT do seu edifício - sensores de portas, CCTV, contadores inteligentes - ficam numa VLAN completamente separada, sem qualquer contaminação cruzada.\n\nAgora, permita-me detalhar a arquitetura de forma mais pormenorizada, porque é aqui que reside o verdadeiro poder.\n\nO fluxo de autenticação tem quatro etapas. Primeiro, o dispositivo do cliente envia um pedido de associação ao ponto de acesso. Segundo, o Cisco Wireless LAN Controller - quer seja um Catalyst 9800 ou uma rede gerida através do dashboard Cisco Meraki - envia um RADIUS Access-Request ao ISE, contendo o endereço MAC do cliente como utilizador e palavra-passe. Terceiro, o ISE avalia a sua política de autorização. Associa o endereço MAC a um grupo de identidade de endpoint, recupera a PSK atribuída e devolve uma resposta Access-Accept contendo dois atributos Cisco AV-pair: psk-mode igual a ascii, e psk igual à frase-passe real. Quarto, o controlador utiliza essa frase-passe devolvida para concluir o handshake EAPOL de quatro vias WPA2 com o cliente.\n\nDo ponto de vista do cliente, isto é indistinguível dem uma ligação WPA2-PSK standard. A complexidade é inteiramente do lado do servidor. Essa é a elegância do iPSK.\n\nNo Catalyst 9800, a configuração requer quatro coisas. Ativa a filtragem MAC na WLAN. Configura uma lista de métodos de autorização AAA apontando para o seu grupo de servidores ISE. Ativa a sobreposição de AAA no perfil de política. E define uma PSK predefinida na WLAN - este é apenas um valor de marcador de posição; nenhum dispositivo o utiliza realmente, porque o ISE substitui-o sempre pela chave individual.\n\nNo Cisco Meraki, o caminho é ligeiramente diferente. Seleciona Identity PSK com RADIUS nas definições de controlo de acesso. O Meraki suporta dois modos: baseado em MAC, onde o ISE armazena mapeamentos de MAC para PSK, e Easy PSK, introduzido no firmware MR 30.x, que utiliza atributos EAPOL específicos do fornecedor para passar a PSK diretamente sem registar previamente cada endereço MAC. O Easy PSK é particularmente útil quando lida com a aleatorização de MAC em dispositivos iOS 14 e Android 10 - uma dor de cabeça operacional significativa no modelo baseado em MAC.\n\nPermita-me dar-lhe dois cenários do mundo real para tornar isto concreto.\n\nCenário um: um empreendimento de Build-to-Rent de 350 unidades. O operador pretende que os residentes recebam as suas credenciais de WiFi antes do dia da mudança. A plataforma Multi-Tenant WiFi da Purple integra-se com o sistema de gestão de propriedades. Quando um contrato de arrendamento é assinado, o PMS aciona uma chamada de API para a Purple, que gera uma iPSK única e a aprovisiona no ISE. O residente recebe a sua chave por email. Entram no primeiro dia, ligam todos os seus dispositivos e a rede está ativa. Quando saem, a chave é revogada automaticamente. Zero intervenção manual da equipa de instalações. O operador reduziu as chamadas de suporte relacionadas com WiFi em mais de 60 por cento em comparação com o modelo anterior de palavra-passe partilhada.\n\nCenário dois: um hotel de 180 quartos. O hotel queria eliminar o login do Captive Portal de que os hóspedes se queixavam repetidamente. Com o iPSK, cada quarto recebe uma chave única impressa no cartão de acesso ou enviada através do email de confirmação da reserva. Os hóspedes ligam-se uma vez. O seu telemóvel, tablet e portátil ligam-se todos automaticamente em visitas subsequentes dentro da mesma estadia. Os dispositivos IoT no quarto - smart TV, Chromecast, tablet no quarto - ficam numa VLAN separada, isolada do tráfego de hóspedes. A integração com o PMS do hotel significa que as chaves são geradas no check-in e revogadas no check-out sem quaisquer passos manuais na receção.\n\nAgora, uma palavra sobre as limitações - porque nenhuma tecnologia existe sem elas.\n\nA limitação mais significativa do Cisco iPSK hoje em dia é o WPA3 e a banda de 6 GHz. O WPA3 utiliza o Simultaneous Authentication of Equals - SAE - um handshake mais seguro do que o WPA2-PSK. Atualmente, o SAE não suporta múltiplas chaves pré-partilhadas por SSID da forma que o WPA2 faz. Esta não é uma limitação exclusiva da Cisco. Afeta o MPSK da HPE Aruba, o DPSK da Ruckus, o PPSK da Juniper Mist - todos os fornecedores enfrentam a mesma limitação porque está enraizada na própria norma IEEE 802.11.\n\nA implicação prática: se estiver a implementar pontos de acesso WiFi 6E ou WiFi 7s points e pretender utilizar a banda de 6 GHz, não pode executar iPSK nessa banda. A banda de 6 GHz exige WPA3. As suas opções são executar iPSK nas bandas de 2,4 e 5 GHz enquanto utiliza WPA3-Enterprise nos 6 GHz para dispositivos geridos, ou aguardar que a norma evolua.\n\nO segundo desafio operacional é a aleatorização de endereços MAC. O Apple iOS 14 e o Android 10 introduziram endereços MAC aleatórios por rede como uma funcionalidade de privacidade. Numa implementação de iPSK baseada em MAC, o controlador envia o MAC aleatório para o ISE. O ISE não o reconhece. A autenticação falha. O modo Easy PSK da Cisco Meraki resolve em grande parte esta questão, autenticando através de parâmetros EAPOL em vez de pesquisa de MAC.\n\nPermita-me dar-lhe cinco regras práticas antes de terminarmos.\n\nRegra um: se tiver mais de 50 dispositivos ou utilizadores num único SSID e necessitar de controlo de acesso por dispositivo, o iPSK é quase de certeza o modelo correto. O PSK padrão não consegue escalar e o 802.1X irá quebrar os seus dispositivos IoT.\n\nRegra dois: planeie sempre a sua arquitetura de VLAN antes de configurar o iPSK. O poder do iPSK é a sobreposição de VLAN via RADIUS. Se não tiver desenhado as suas VLANs - residentes, IoT, funcionários, gestão - irá reestruturar isto mais tarde com custos significativos.\n\nRegra três: se estiver a utilizar Cisco Meraki e tiver clientes iOS ou Android, utilize o modo Easy PSK, não o modo baseado em MAC. A aleatorização de MAC causará falhas de autenticação em grande escala.\n\nRegra quatro: não implemente iPSK sem uma camada de gestão do ciclo de vida. Gerir manualmente milhares de chaves no ISE não é sustentável. Integre com o seu fornecedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - ou utilize uma plataforma como a Purple que automatiza o aprovisionamento e a revogação através do seu sistema de gestão de propriedade ou de RH.\n\nRegra cinco: planeie já a sua migração para WPA3, mesmo que não esteja a implementar 6 GHz hoje. Desenhe a sua rede para que o iPSK em WPA2 lide com dispositivos legados e IoT, enquanto o WPA3-Enterprise lide com endpoints corporativos geridos. Um design de SSID híbrido hoje evita uma rearquitetura dolorosa em 18 meses.\n\nPerguntas rápidas agora.\n\nO iPSK pode funcionar sem o Cisco ISE? Sim. O FreeRADIUS e o Microsoft NPS suportam o atributo Tunnel-Password que o iPSK exige. O ISE é a opção mais rica em funcionalidades, mas não é obrigatório.\n\nQuantas chaves exclusivas pode um único SSID suportar? No Catalyst 9800 com ISE, o limite é efetivamente a capacidade da sua base de dados RADIUS - dezenas de milhares de entradas. Na Cisco Meraki sem RADIUS, o limite é de 50 chaves. Com RADIUS, escala para o mesmo nível do ISE.\n\nO iPSK suporta roaming rápido? Sim. O Catalyst 9800 suporta Fast Secure Roaming com iPSK, e o cache de chaves significa que o controlador não necessita de consultar o RADIUS em cada evento de roaming.\n\nO iPSK está em conformidade com o PCI-DSS? O iPSK por si só não garante a conformidade com o PCI-DSS, mas suporta os requisitos de segmentação de rede do PCI-DSS 4.0. Os ambientes de dados de titulares de cartões de pagamento devem ser isolados das redes de convidados e IoT - a capacidade de sobreposição de VLAN do iPSK é o mecanismo que alcança esta segmentação. Para resumir. O Cisco iPSK oferece-lhe identidade por dispositivo num único SSID, sem a complexidade dos certificados 802.1X e sem as falhas de segurança de uma palavra-passe partilhada. É o modelo certo para Build-to-Rent, hotéis, retalho e qualquer ambiente multi-tenant onde precise de isolar o tráfego, automatizar o ciclo de vida dos acessos e suportar todos os tipos de dispositivos, desde uma consola de jogos a um sensor IoT industrial. As decisões fundamentais são: Catalyst 9800 ou Meraki, ISE ou RADIUS alternativo, baseado em MAC ou Easy PSK, e a forma como se integra com o seu fornecedor de identidade para a automatização do ciclo de vida. A plataforma Multi-Tenant WiFi da Purple trata dessa última parte - ligando o seu sistema de gestão de propriedades ou fornecedor de identidade à sua infraestrutura Cisco, automatizando o aprovisionamento e a revogação de chaves em escala, em mais de 80.000 locais ativos. Se quiser aprofundar qualquer um destes pontos - revisão de arquitetura, configuração do ISE ou uma implementação piloto - o link para falar com a nossa equipa está no guia. Obrigado por ouvir.