Saltar para o conteúdo principal
Português

Diretório PPSK: comparando funcionalidades e modelos de implementação

Este guia detalha a arquitetura de diretórios PPSK (Private Pre-Shared Key) para redes multi-tenant, comparando-a com o 802.1X e o PSK padrão. Fornece aos arquitetos de rede e gestores de TI modelos de implementação neutros em termos de fornecedor para ambientes Build to Rent, alojamento de estudantes e MDU, abrangendo controlador na nuvem, backend RADIUS e padrões de autenticação híbridos.

📖 8 min de leitura📝 1,990 palavras🔧 2 exemplos práticos3 perguntas de prática📚 8 definições principais

Ouça este guia

Ver transcrição do podcast
[00:00:00] Bem-vindo ao Purple Technical Briefing. Hoje vamos abordar a gestão de diretórios PPSK. Trata-se da gestão de diretórios Private Pre-Shared Key. O que é, como se compara com as alternativas e como implementá-la corretamente em ambientes multi-tenant. [00:00:20] Comecemos pelo problema que resolve. Gere uma propriedade Build to Rent com 200 frações. Se utilizar uma rede WPA2-Personal normal, todos os residentes partilham a mesma palavra-passe. Quando o morador da fração 12 se muda, tem duas opções: ou altera a palavra-passe, o que desliga o WiFi de todos os outros residentes, ou deixa o antigo residente com acesso. Nenhuma destas opções é aceitável. [00:00:45] O PPSK resolve isto. Transmite apenas um nome de rede - um SSID. Mas a rede emite uma palavra-passe única para cada fração. Quando um residente se liga, o ponto de acesso consulta o diretório PPSK, valida a chave e coloca o residente na sua própria VLAN isolada. O telemóvel dele deteta a sua smart TV. O seu Chromecast funciona. E não consegue ver a TV da fração do lado. [00:01:10] E por que não usar simplesmente o 802.1X? O 802.1X é excelente para ambientes corporativos. Utiliza RADIUS e fornecedores de identidade como o Microsoft Entra ID ou Okta. Mas requer um suplicante no dispositivo. Um suplicante é o componente de software que lida com o processo de autenticação. A coluna inteligente do seu residente não tem um suplicante 802.1X. O mesmo acontece com o termóstato inteligente, a impressora sem fios ou a consola de jogos. O PPSK oferece isolamento de nível empresarial com compatibilidade para dispositivos de consumo. Esta é a proposta de valor central. [00:02:00] Vejamos a terminologia, pois varia conforme o fabricante e isso gera uma enorme confusão. A Aruba chama-lhe PPSK - Private Pre-Shared Key. A Cisco Meraki chama-lhe iPSK - Identity PSK. A Juniper Mist utiliza ePSK. A Extreme Networks, que originalmente desenvolveu o conceito sob a marca Aerohive, chama-lhe Private PSK. A Ubiquiti UniFi chama-lhe simplesmente PPSK. O mecanismo subjacente é idêntico em todas elas. Um SSID, múltiplas chaves exclusivas, com cada chave associada a uma VLAN ou a um grupo de políticas. [00:02:40] Tecnicamente, eis o que acontece na camada de associação. Quando um dispositivo se liga, apresenta a sua chave pré-partilhada durante o handshake de quatro vias do WPA2. O ponto de acesso consulta o diretório PPSK - alojado no controlador cloud ou num backend RADIUS - para validar a chave e obter a VLAN atribuída. O dispositivo deteta uma rede doméstica normal. Não faz ideia de que foi colocado num segmento isolado. Tudo funciona exatamente como funcionaria numa ligação de banda larga residencial. [00:03:20] Vejamos os modelos de implementação. Existem três padrões principais em produção atualmente. O primeiro é o modelo de controlador na nuvem. Este é o mais comum para novas implementações. Os seus pontos de acesso ligam-se a uma plataforma de gestão na nuvem. O armazenamento de chaves PPSK reside no controlador na nuvem. Quando provisiona um novo residente, cria uma chave no portal, atribui-a a uma VLAN e o controlador envia a política para cada ponto de acesso no edifício. O residente recebe a sua chave por e-mail, SMS ou através de um código QR num pacote de boas-vindas. Digitalizam-no, todos os seus dispositivos ligam-se, e o seu Chromecast, coluna inteligente e consola funcionam imediatamente. Quando se mudam, elimina a chave. Os seus dispositivos deixam de se ligar. Ninguém mais é afetado. [00:04:30] O segundo modelo é o PPSK com um backend RADIUS local. Algumas implementações empresariais utilizam um servidor RADIUS para armazenar e validar credenciais PPSK. Isto proporciona-lhe registos centralizados, pistas de auditoria e integração com a sua plataforma de gestão de identidade. Adiciona custos de infraestrutura, mas oferece a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK. É o modelo certo para ambientes mistos - por exemplo, um espaço de coworking onde tem tanto dispositivos corporativos geridos como equipamentos IoT pertencentes aos membros. [00:05:15] O terceiro modelo é a autenticação híbrida. Os residentes utilizam PPSK para os seus portáteis e dispositivos IoT. O pessoal do edifício utiliza 802.1X para dispositivos corporativos. Ambos os grupos ligam-se à mesma infraestrutura física, mas mapeiam para segmentos lógicos diferentes. A Purple recomenda esta arquitetura para implementações completas de Build to Rent e unidades multifamiliares. Três modelos de autenticação distintos, três VLANs distintas, uma infraestrutura física. [00:06:00] Agora vamos falar sobre as armadilhas de implementação. Estes são os modos de falha que vejo repetidamente em implementações de produção. Armadilha um: proliferação de SSIDs. Cada SSID que transmite consome largura de banda aérea para tramas beacon. Num edifício residencial denso, se estiver a transmitir seis ou oito SSIDs por ponto de acesso, está a degradar o desempenho de todos. Mantenha no máximo quatro SSIDs por rádio. Utilize PPSK para servir múltiplos segmentos de residentes a partir de um único SSID em vez de criar um SSID separado por apartamento ou por piso. [00:06:45] Armadilha dois: configuração insuficiente de portas trunk. Desenha um esquema de VLAN limpo, implementa os pontos de acesso e, em seguida, o tráfego cai silenciosamente porque alguém se esqueceu de permitir as VLANs relevantes numa ligação trunk entre o switch de distribuição e a camada de acesso. Valide cada porta trunk durante o comissionamento. Documente-o. Teste-o com um dispositivo em cada VLAN antes de os residentes se mudarem. [00:07:20] Armadilha três: distribuição de chaves. Gerar chaves é fácil. Fazê-las chegar aos residentes de forma segura e operacionalmente gerível é mais difícil. Um código QR no pacote de boas-vindas funciona bem para o dia da mudança. Um portal do residente onde estes podem recuperar a sua chave e adicionar novos dispositivos é melhor para as operações diárias. Construa o fluxo de trabalho de distribuição de chaves antes de implementar, não depois. Quarto erro: compatibilidade WPA3. A maioria das plataformas empresariais suporta PPSK em WPA3, o que protege contra ataques de dicionário offline. Mas a Ubiquiti UniFi restringe atualmente o PPSK a WPA2. Se precisar da banda de 6 gigahertz, precisa de WPA3. Planeie o seu hardware em conformidade. [00:08:00] Analisemos dois cenários de implementação no mundo real. Cenário um: um empreendimento Build to Rent de 180 unidades no centro de uma cidade. O operador queria WiFi incluído no arrendamento como uma comodidade, com ativação no dia da mudança e suporte completo para smart home. Implementaram pontos de acesso HPE Aruba geridos através do Aruba Central. Cada apartamento recebe uma chave PPSK única gerada no momento da assinatura do contrato. A chave é enviada por e-mail ao residente com um código QR. O operador reportou uma redução de 30% nos pedidos de suporte relacionados com WiFi em comparação com a sua implementação anterior de palavra-passe partilhada. [00:08:45] Cenário dois: um bloco de alojamento para estudantes construído para o efeito com 400 camas. O desafio aqui é a semana de mudança do grupo, com centenas de estudantes a chegar simultaneamente. O operador utilizou pontos de acesso Ruckus com SmartZone, implementando PPSK com uma chave por quarto. As chaves foram pré-geradas e incluídas no pacote de boas-vindas enviado antes da chegada. Os estudantes leram o código QR à chegada e ficaram ligados em segundos. [00:09:20] Perguntas rápidas. Quantas chaves PPSK pode um único ponto de acesso suportar? O Cisco Meraki suporta até 5.000 entradas iPSK por rede. O Aruba escala de forma semelhante. O UniFi suporta até 1.000. Posso integrar o PPSK com o meu sistema de gestão de propriedade? Sim, através da API REST do fornecedor. O PPSK funciona com WPA3? Sim, na maioria das plataformas empresariais. A exceção é o UniFi, que atualmente é apenas WPA2. [00:09:50] Em resumo. A gestão de diretórios PPSK é a arquitetura correta para WiFi multi-tenant. Desenhe as suas VLANs cuidadosamente antes de tocar no hardware. Proteja as suas ligações trunk. Automatize a distribuição de chaves. E verifique o suporte WPA3 do seu fornecedor se estiver a implementar WiFi 6E. Obrigado por ouvir o Purple Technical Briefing.

header_image.png

Resumo executivo

As redes WPA2-Personal tradicionais partilham uma única palavra-passe em todos os dispositivos. Numa promoção imobiliária de 200 frações para arrendamento (Build to Rent - BTR), isso significa uma palavra-passe para cada residente, cada smart TV, cada termóstato e cada consola de jogos no edifício. Quando um residente se muda, ou se altera a palavra-passe para todos - quebrando a ligação para as outras 199 frações - ou se deixa o antigo residente com acesso. Nenhuma das opções é aceitável.

A integração de diretórios Private Pre-Shared Key (PPSK) resolve este problema. O PPSK emite uma palavra-passe de WiFi única para cada residente ou fração, associando essa chave a uma Virtual Local Area Network (VLAN) específica. Os dispositivos ligam-se ao mesmo Service Set Identifier (SSID), mas a rede isola-os em segmentos privados. Os dispositivos de cada residente descobrem-se mutuamente. Nenhum residente consegue ver os dispositivos de outro. Quando um contrato de arrendamento termina, revoga-se uma chave sem afetar a ligação de mais ninguém.

Este guia compara a implementação de diretórios PPSK com as soluções PSK padrão e IEEE 802.1X, detalha as três principais arquiteturas de implementação e fornece orientações de implementação práticas para promotores imobiliários, operadores de BTR e as equipas de TI que os apoiam. A Purple opera em mais de 80.000 locais ativos e integra-se como um overlay de nuvem em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Análise técnica aprofundada: PPSK vs 802.1X vs PSK padrão

Para compreender por que razão o PPSK domina as implementações multi-tenant, deve compará-lo com as alternativas na camada de associação.

PSK padrão: o modelo de rede doméstica

Numa configuração WPA2-Personal padrão, o Ponto de Acesso (AP) transmite um SSID e requer uma única Pre-Shared Key. Todos os dispositivos utilizam esta chave. O AP coloca todos os dispositivos na mesma VLAN. Os dispositivos conseguem descobrir-se mutuamente - o que é ideal para uma única habitação, mas inaceitável para um empreendimento BTR de 200 frações. O PSK padrão carece de qualquer mecanismo de revogação por utilizador. Revogar o acesso de um utilizador exige a alteração da chave para todos.

802.1X: o padrão empresarial

O IEEE 802.1X (WPA-Enterprise) requer um servidor RADIUS, um fornecedor de identidade como o Microsoft Entra ID, Okta ou Google Workspace, e um suplicante em cada dispositivo. O suplicante lida com a troca de Extensible Authentication Protocol (EAP). Isto proporciona uma segurança robusta e baseada em identidade com responsabilidade por utilizador. No entanto, o 802.1X falha em ambientes residenciais porque os dispositivos IoT - smart TVs, consolas de jogos, colunas sem fios e sensores domésticos inteligentes - não possuem suplicantes 802.1X. Implementar o 802.1X num edifício BTR significa deixar todos os dispositivos IoT não autenticados ou numa rede separada não gerida.

Diretório PPSK: a solução multi-tenant

O PPSK (chamado iPSK pela Cisco Meraki, Personal Private Network pela Cisco, e ePSK pela Juniper Mist e Cambium) colmata esta lacuna. O AP transmite um único SSID. Quando um dispositivo se liga, apresenta a sua chave única durante o handshake de quatro vias do WPA2. O AP consulta o diretório PPSK - alojado no controlador cloud ou num backend RADIUS - para validar a chave e obter a VLAN atribuída. O dispositivo perceciona uma rede doméstica padrão. O operador obtém um isolamento total por unidade.

comparison_chart.png

A tabela abaixo resume as principais diferenças de capacidades entre os três modelos de autenticação.

Capacidade PSK Padrão Diretório PPSK 802.1X / WPA-Enterprise
Compatibilidade de dispositivos Universal Ampla (todos os dispositivos WPA2) Limitada (requer suplicante)
Integração com diretório Nenhuma Nativa (cloud ou RADIUS) Nativa (RADIUS + IdP)
Revogação por utilizador Impossível Instante Instante
Suporte para dispositivos IoT Sim Sim Não (sem suplicante)
Atribuição dinâmica de VLAN Não Sim Sim
Complexidade de implementação Muito baixa Moderada Alta
Suporte WPA3 Sim Sim (maioria dos fabricantes) Sim

Guia de implementação: arquitetura e modelos de implementação

A implementação de um diretório PPSK requer uma abordagem estruturada ao design lógico antes do início de qualquer configuração de hardware.

Passo 1: design lógico da rede

Mapeie o número de residentes e as categorias de dispositivos IoT antes de tocar no hardware. Uma implementação BTR padrão isola o tráfego da seguinte forma. As VLAN dos residentes vão da VLAN 10 até ao número exigido pelas suas unidades - uma VLAN por apartamento é a abordagem padrão. Uma VLAN IoT dedicada (geralmente VLAN 99) serve os sistemas de gestão do edifício, CCTV e sensores inteligentes. Uma VLAN de gestão (VLAN 100) transporta o tráfego dos dispositivos do pessoal, autenticado via 802.1X. Uma VLAN de convidados (VLAN 200) serve os visitantes temporários nas áreas comuns através de um Captive Portal.

Calcule os seus requisitos de endereçamento IP cuidadosamente. A pesquisa da British Property Federation indica 15 a 25 dispositivos por habitação. Um edifício de 200 unidades aloja até 5.000 dispositivos em simultâneo. Utilize o endereçamento privado RFC 1918 com uma sub-rede /24 (254 endereços utilizáveis) por VLAN de residente para garantir capacidade suficiente. Um /23 (510 endereços) oferece margem de manobra para unidades de alta densidade.

Passo 2: escolher o modelo de implementação

Três arquiteturas PPSK principais estão em produção atualmente.

Modelo de controlador cloud. O diretório PPSK reside na plataforma cloud do fornecedor - Aruba Central, Meraki Dashboard, Ruckus Cloud ou Juniper Mist. O controlador envia as políticas para os APs. Quando um residente se muda, o utilizador gera uma chave no portal. Quando este sai, elimina-a. Este é o modelo mais comum para novas implementações devido à sua simplicidade operacional e a não exigir infraestrutura local.

Modelo de backend RADIUS. Os APs encaminham os pedidos de autenticação para um servidor RADIUS central, como o Cisco ISE ou o FreeRADIUS, que consulta um repositório de identidades. O servidor RADIUS devolve a atribuição de VLAN através de um atributo Cisco-AVPair. Este modelo adequa-se a ambientes que exigem registos de auditoria detalhados e integração com diretórios empresariais existentes. Adiciona custos de infraestrutura, mas fornece a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK.

Modelo de autenticação híbrido. Os residentes utilizam PPSK para os seus portáteis e dispositivos IoT. A equipa do edifício utiliza 802.1X para dispositivos corporativos com o Microsoft Entra ID ou o Okta. Ambos os grupos se ligam à mesma infraestrutura física, mas mapeiam para segmentos lógicos diferentes. A Purple recomenda esta arquitetura para implementações abrangentes de BTR e de edifícios multifamiliares (MDU). Os residentes recebem PPSK. Os sistemas de gestão do edifício recebem uma VLAN de IoT dedicada com PPSK. Os dispositivos da equipa de gestão da propriedade utilizam 802.1X. Três modelos de autenticação distintos, três VLANs distintas, uma infraestrutura física.

architecture_overview.png

Passo 3: integração de hardware

O PPSK é suportado em todas as principais plataformas de AP empresariais, embora os detalhes de implementação variem por fornecedor.

Fornecedor Termo PPSK Plataforma de gestão Suporte WPA3 Limite de chaves
Cisco Meraki iPSK Meraki Dashboard Sim 5.000 por rede
HPE Aruba PPSK Aruba Central / ArubaOS Sim Milhares
Ruckus PPSK SmartZone / Ruckus Cloud Sim Milhares
Juniper Mist ePSK Mist AI Sim Milhares
Ubiquiti UniFi PPSK UniFi Network Não (apenas WPA2) 1.000 por rede
Cambium ePSK cnMaestro Sim Milhares
Extreme Private PSK ExtremeCloud IQ Sim Milhares
Fortinet PPSK FortiWLM / FortiGate Sim Milhares

Note a restrição específica com Ubiquiti UniFi: a sua implementação atual de PPSK está limitada a WPA2. Se implementar pontos de acesso WiFi 6E e necessitar da banda de 6GHz, deve utilizar uma plataforma que suporte WPA3-SAE com PPSK. Aruba, Ruckus, e Meraki suportam todos PPSK em configurações WPA3.

A Purple integra-se como um overlay de nuvem agnóstico de hardware em todas as plataformas desta lista, fornecendo um diretório PPSK unificado e uma interface de gestão de residentes, independentemente do fabricante de hardware subjacente. Consulte o nosso guia sobre Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi para obter o contexto mais amplo da arquitetura de SSID.

Melhores práticas para WiFi multi-tenant

Controlar a proliferação de SSIDs

Limite a sua transmissão a um máximo de quatro SSIDs por rádio. Cada SSID adicional consome tempo de antena para tramas de beacon. Num edifício residencial denso com 30 APs, a transmissão de oito SSIDs por AP gera 240 fluxos de beacon a competir pelo tempo de antena. Utilize PPSK para segmentar os utilizadores logicamente por trás de um único SSID, em vez de criar um SSID separado por apartamento ou por piso. Consulte Three SSIDs to rule them all para obter a arquitetura de SSID recomendada.

Automatizar a distribuição de chaves

Não dependa de folhas de passwords manuais. Integre o seu diretório PPSK com o seu sistema de gestão de propriedades através da API REST do fabricante. Gere a chave única automaticamente no momento do registo do contrato de arrendamento e envie-a através de um código QR no e-mail de boas-vindas. Desenvolva o fluxo de trabalho de distribuição de chaves antes da implementação, não depois. Os operadores que automatizam o envio de chaves reportam menos 30% de pedidos de suporte relacionados com WiFi em comparação com os métodos de distribuição manual (dados internos da Purple, 2024).

A falha de colocação em funcionamento mais comum é a falta de etiquetas de VLAN nos links de trunk entre os switches de distribuição e a rede central. Desenhe o seu esquema de VLAN e, em seguida, verifique se todas as VLAN de residentes são permitidas em todos os links de trunk relevantes. Teste com um dispositivo em cada VLAN antes de os residentes se mudarem.

Aplicar filtragem de saída à VLAN de IoT

Os dispositivos de infraestrutura do edifício - controladores de AVAC, câmaras de CCTV, painéis de controlo de acessos - devem ficar numa VLAN de IoT dedicada com filtragem de saída rigorosa na firewall. Isto evita que um dispositivo IoT comprometido aceda às VLAN dos residentes ou à rede de gestão.

Para saber mais sobre a arquitetura de Guest WiFi e a integração de WiFi Analytics , consulte a documentação do nosso produto. Os operadores em Hospitality também devem rever o nosso guia sobre how to make a great first impression with your guest WiFi .

Resolução de problemas e mitigação de riscos

Consolas de videojogos e tipo de NAT

Os residentes esperam que a sua PlayStation ou Xbox reporte um tipo de NAT "Tipo 2" ou "Aberto" para jogos multijogador online. Uma implementação excessivamente agressiva de Carrier-Grade NAT (CGNAT) produz um NAT "Estrito", gerando um elevado volume de pedidos de suporte. Configure o seu firewall para lidar corretamente com UPnP por segmento de residente. Não aplique uma restrição geral a todas as VLANs de residentes.

Emparelhamento de dispositivos domésticos inteligentes

Chromecast, Apple TV, Amazon Echo e Sonos requerem a descoberta de dispositivos na mesma rede lógica. Com PPSK, todos os dispositivos com a mesma chave de residente partilham uma VLAN e conseguem descobrir-se mutuamente. Dispositivos com chaves diferentes não o conseguem. Este é o comportamento correto. Se os residentes reportarem falhas no emparelhamento de dispositivos domésticos inteligentes, verifique se todos os seus dispositivos estão a utilizar a mesma chave PPSK.

Esgotamento de chaves em UniFi

O Ubiquiti UniFi suporta até 1.000 entradas PPSK por rede. Para um empreendimento com mais de 1.000 frações, ou um com contagens elevadas de dispositivos IoT, este limite requer um planeamento cuidadoso. Considere segmentar a rede em múltiplos locais UniFi, ou migrar para uma plataforma com limites de chaves mais elevados, como HPE Aruba ou Cisco Meraki.

GDPR e dados dos residentes

Os armazenamentos de chaves PPSK contêm dados que identificam os residentes. Certifique-se de que a sua plataforma de gestão de chaves armazena os dados numa região em conformidade. A Purple armazena dados de acordo com os requisitos do GDPR e da CCPA, com residência de dados selecionável para implementações na UE. Retenha os registos de WiFi que identificam os residentes apenas durante o tempo estritamente necessário para segurança e operações - seis meses é um limite comum para ambientes BTR.

ROI e impacto empresarial

O WiFi gerido é uma comodidade essencial em BTR e alojamento de estudantes construído para o efeito. Os operadores que implementam redes PPSK observam retornos mensuráveis em três dimensões.

Prémio de renda. Os operadores de BTR normalmente cobram um prémio mensal de £15 a £30 por fração para um WiFi de alta qualidade e pronto a usar, de acordo com a investigação setorial da British Property Federation. Num empreendimento de 200 frações, isso representa £36.000 a £72.000 em receitas anuais adicionais.

Eficiência operacional. As chaves únicas eliminam as rotações de palavras-passe em todo o edifício. Os operadores reportam uma redução de 30% nos pedidos de suporte relacionados com WiFi após a migração de PSK partilhado para PPSK (dados internos da Purple, 2024). A conectividade imediata no dia da mudança também reduz os períodos de desocupação em cinco a dez dias.

Implementação independente de hardware. Ao implementar a solução de WiFi Multi-Tenant da Purple como uma sobreposição de software no seu hardware existente ou escolhido, mantém o controlo da rede e o aumento do NOI. Evita ceder a receita a um fornecedor de banda larga terceirizado que agrupa a conectividade num contrato que captura o prémio da comodidade.

A Purple opera em mais de 80.000 locais ativos desde 2012, com 99,999% de tempo de atividade e certificações ISO 27001, GDPR, CCPA e Cyber Essentials. Para implementações em Retalho e Saúde que requeiram uma segmentação de rede semelhante, aplica-se a mesma arquitetura de diretório PPSK com sobreposições de conformidade específicas do setor.

Para a variante iPSK desta arquitetura, consulte o nosso guia relacionado: Logo guild iPSK: um guia completo para empresas .

Definições Principais

PPSK (Private Pre-Shared Key)

Um método de autenticação que emite palavras-passe de WiFi únicas para utilizadores, dispositivos ou unidades individuais num único SSID, mapeando cada chave para uma política de rede ou VLAN específica. Também designado por iPSK (Cisco Meraki), ePSK (Juniper Mist, Cambium) ou Private PSK (Extreme Networks).

Essencial para ambientes multi-tenant onde os residentes necessitam de isolamento por unidade, mas os seus dispositivos IoT não suportam 802.1X.

IEEE 802.1X

Uma norma IEEE para controlo de acesso à rede baseado em portas que fornece acesso autenticado utilizando um servidor RADIUS e um fornecedor de identidade. Requer um suplicante de software no dispositivo cliente.

Utilizado para redes de funcionários e de gestão em implementações BTR. Não pode ser utilizado para dispositivos IoT que carecem de suplicantes.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa um conjunto de dispositivos, isolando o seu tráfego de difusão de outros dispositivos na mesma infraestrutura física.

O PPSK utiliza VLANs para criar bolhas de WiFi privadas para cada apartamento. A chave de cada residente é mapeada para uma VLAN única.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Auditoria (Accounting) para utilizadores que se ligam a um serviço de rede.

Utilizado no modelo de implementação de backend RADIUS para validar credenciais PPSK contra um repositório de identidades e devolver atribuições de VLAN através de atributos Cisco-AVPair.

Suplicante

Um cliente de software num dispositivo de utilizador final que comunica com um autenticador para obter acesso à rede através de 802.1X. Gere a troca de autenticação EAP.

A ausência de suplicantes em dispositivos IoT é a principal razão pela qual o PPSK é necessário em redes residenciais. Os portáteis e telemóveis têm suplicantes; as colunas inteligentes e os termóstatos não.

WPA3-SAE (Simultaneous Authentication of Equals)

O mais recente padrão de segurança WiFi que utiliza uma troca de chaves Dragonfly para proteger contra ataques de dicionário offline, substituindo o handshake de quatro vias do WPA2 para autenticação PSK.

Necessário para o funcionamento da rede de 6GHz em pontos de acesso WiFi 6E. Os arquitetos devem verificar se o fabricante do AP escolhido suporta PPSK sobre WPA3 antes de especificar o hardware.

CGNAT (Carrier-Grade NAT)

Um método de partilha de um único endereço IP público entre múltiplos endereços IP privados, commumente utilizado por ISPs e grandes operadores de rede para conservar o espaço de endereçamento IPv4.

A configuração incorreta de CGNAT em redes BTR restringe a conectividade multijogador das consolas de jogos, produzindo um tipo de NAT "Estrito" em vez do "Aberto" ou "Tipo 2" exigido.

SSID (Service Set Identifier)

O nome de uma rede WiFi conforme transmitido por um ponto de acesso. Os dispositivos procuram SSIDs para identificar as redes disponíveis.

O PPSK permite que múltiplos segmentos de residentes partilhem um único SSID, evitando a degradação do tempo de antena causada pela transmissão de SSIDs separados por unidade.

Exemplos Práticos

Um empreendimento Build to Rent de 180 unidades requer WiFi no dia da mudança com suporte total a smart homes. O operador pretende eliminar a rotação de palavras-passe no fim dos contratos de arrendamento e reduzir os pedidos de suporte de residentes que não conseguem ligar o seu Chromecast ou coluna inteligente.

Implementar pontos de acesso HPE Aruba geridos através do Aruba Central. Configurar um único SSID com PPSK ativado. Mapear as VLANs 10 a 190 para apartamentos individuais (uma VLAN por unidade). Integrar o sistema de gestão de propriedade através da API REST do Aruba Central para gerar automaticamente uma chave PPSK única na assinatura do contrato. Entregar a chave ao residente através de um código QR no seu e-mail de boas-vindas. Quando o contrato terminar, eliminar a chave no portal. Configurar DHCP com sub-redes /24 por VLAN para acomodar até 25 dispositivos por apartamento. Definir uma VLAN de IoT dedicada (VLAN 99) para sistemas de gestão de edifícios com filtragem de saída.

Comentário do Examinador: Esta abordagem elimina as vulnerabilidades de palavras-passe partilhadas. Revogar uma chave na saída afeta apenas essa VLAN específica, mantendo as outras 179 unidades operacionais. O onboarding por código QR reduz os pedidos de suporte no primeiro dia. A HPE Aruba foi selecionada porque suporta PPSK em WPA3, permitindo a implementação futura de WiFi 6E na banda de 6GHz.

Um bloco de alojamento de estudantes com 400 camas precisa de lidar com a semana de entrada dos alunos, com centenas de estudantes a chegar em simultâneo e a ligar múltiplos dispositivos cada um. A implementação anterior utilizava uma palavra-passe partilhada que era rodada anualmente, causando o caos no início de cada ano letivo.

Implementar pontos de acesso Ruckus geridos através do SmartZone. Configurar PPSK com uma chave única por quarto. Pré-gerar todas as chaves antes do início do ano letivo. Incluir o código QR de cada quarto no pacote de boas-vindas enviado aos estudantes antes da chegada. Configurar VLANs por quarto com sub-redes /23 para acomodar computadores portáteis, telemóveis, consolas e televisões inteligentes. Ativar WPA3-SAE no SSID PPSK para maior segurança. Configurar um portal de residentes em self-service onde os estudantes podem recuperar a sua chave e adicionar novos dispositivos a meio do ano sem contactar o departamento de TI.

Comentário do Examinador: A pré-geração e distribuição de chaves antes da chegada elimina o pico de autenticação no dia de entrada. O isolamento de VLAN por quarto significa que o tráfego de cada estudante é independente, pelo que o elevado consumo de largura de banda de um estudante não prejudica os seus vizinhos. O portal de self-service reduz a carga de trabalho de TI ao longo do ano letivo.

Perguntas de Prática

Q1. Está a aconselhar um operador de BTR sobre a atualização de um empreendimento de 400 unidades. Atualmente, transmitem um SSID separado para cada andar (oito andares, oito SSIDs). Os residentes queixam-se de WiFi lento, especialmente à noite. Qual é a causa provável e o que recomenda?

Dica: Considere a relação entre o número de SSIDs, tramas de beacon e utilização do tempo de antena.

Ver resposta modelo

A causa provável é a saturação do tempo de antena devido ao excesso de tramas de beacon. Cada SSID transmite beacons várias vezes por segundo. Oito SSIDs em 30 pontos de acesso geram 240 fluxos de beacon concorrentes, consumindo uma proporção significativa do tempo de antena disponível antes de qualquer dado do residente ser transmitido. A recomendação é consolidar num único SSID e implementar PPSK para alcançar o isolamento necessário por andar ou por unidade. Isto elimina a sobrecarga de beacons mantendo a segurança.

Q2. Um operador de BTR relata que as smart TVs, Chromecasts e colunas inteligentes dos residentes deixam frequentemente de funcionar após a saída de outros residentes. A equipa de TI altera a palavra-passe do edifício em cada saída de residente. Qual é a falha arquitetural e qual é a solução correta?

Dica: Analise o impacto de um PSK partilhado em todos os dispositivos ligados quando a chave é alterada.

Ver resposta modelo

A rede utiliza um PSK partilhado padrão para todos os residentes. Quando a chave é alterada após a saída de um residente, todos os dispositivos no edifício perdem a ligação e devem ser novamente ligados manualmente. A solução correta é migrar para um diretório PPSK, emitindo uma chave única por apartamento. Quando um residente sai, o operador elimina apenas a chave desse apartamento. Os outros 399 apartamentos não são afetados. As smart TVs, Chromecasts e colunas inteligentes ligam-se automaticamente porque as suas credenciais não mudaram.

Q3. Está a especificar pontos de acesso WiFi 6E para um novo empreendimento BTR de 200 unidades. O cliente exige chaves PPSK únicas por apartamento e quer utilizar a banda de 6GHz para aplicações de alta largura de banda. Está a avaliar a Ubiquiti UniFi em relação à HPE Aruba. Que problema de compatibilidade deve identificar e como afeta a sua recomendação de hardware?

Dica: Verifique a relação entre a banda de 6GHz, os requisitos WPA3 e as restrições de implementação de PPSK dos fabricantes.

Ver resposta modelo

A banda de 6GHz exige WPA3-SAE. A Ubiquiti UniFi restringe atualmente o PPSK apenas a WPA2, o que significa que os clientes PPSK não podem utilizar a banda de 6GHz em hardware UniFi. A HPE Aruba suporta PPSK em WPA3-SAE, permitindo a utilização total da banda de 6GHz para clientes PPSK. A recomendação é HPE Aruba para esta implementação. Se o cliente tiver um investimento existente em UniFi, os clientes PPSK devem ser limitados às bandas de 2.4GHz e 5GHz até que a Ubiquiti adicione suporte WPA3 para PPSK.

Continue a ler esta série

Uu PPSK 2023: comparação de funcionalidades e modelos de implementação

Este guia de referência técnica compara a arquitetura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) com as implementações tradicionais de PSK partilhado e 802.1X, com um foco específico no panorama de 2023 de implementações de fornecedores e capacidades de plataforma. Fornece aos promotores imobiliários, operadores de BTR e proprietários de MDU estratégias de implementação acionáveis, orientação sobre arquitetura de VLAN e fluxos de trabalho de gestão automatizada do ciclo de vida. O guia abrange três modelos de implementação, estudos de caso do mundo real e as implicações de conformidade de cada abordagem de autenticação.

Ler o guia →

PPSK xaverius: comparando funcionalidades e modelos de implementação

Este guia de referência analisa a arquitetura PPSK xaverius para ambientes multi-inquilino, como Build to Rent e alojamentos de estudantes. Compara modelos de implementação, detalha estratégias de execução e explica como o isolamento de VLAN por unidade proporciona uma experiência de WiFi semelhante à de casa, mantendo a segurança empresarial.

Ler o guia →

PPSK mun: comparando funcionalidades e modelos de implementação

Este guia de referência técnica compara a arquitetura Private Pre-Shared Key (PPSK) com as implementações tradicionais de 802.1X e PSK padrão. Fornece aos arquitetos de rede e gestores de TI estratégias de implementação neutras em termos de fornecedor para ambientes residenciais multi-tenant, IoT e BTR.

Ler o guia →