Guia completo de iPSK: um guia abrangente para empresas

Este guia explica a arquitetura de Identity Pre-Shared Key (iPSK) para promotores imobiliários, operadores de BTR e senhorios que implementam WiFi multi-inquilino. Abrange a integração de RADIUS, atribuição dinâmica de VLAN, isolamento de Camada 2 e gestão automatizada do ciclo de vida das credenciais para proporcionar uma experiência de residente de ativação instantânea em escala. Detalha também o caso de negócio para eliminar os routers de consumo por fração e as vantagens operacionais de integrar o iPSK com fornecedores de identidade como o Microsoft Entra ID, Okta e Google Workspace.

📖 7 min de leitura📝 1,619 palavras🔧 2 exemplos práticos❓ 4 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo à série de briefings técnicos da Purple. Hoje, vamos falar sobre Identity Pre-Shared Key, ou iPSK. Se é um promotor imobiliário, um operador de BTR ou um senhorio que faz a gestão de edifícios multi-inquilino, isto é diretamente relevante para a sua próxima decisão de rede.

Deixe-me enquadrar o cenário. Tem um empreendimento de Build-to-Rent com 300 frações. Deseja oferecer WiFi gerido como uma comodidade premium. Não quer colocar um router de consumo em cada apartamento. E não quer de forma alguma que os residentes da Fração 101 consigam ver os dispositivos pertencentes aos residentes da Fração 202. A questão é: como fazer tudo isso numa única rede gerível? A resposta é o iPSK.

A segurança WiFi tradicional oferece duas opções. Opção um: uma rede pessoal WPA2 padrão. Todos partilham a mesma palavra-passe. É simples, mas no momento em que uma pessoa divulga essa palavra-passe, toda a rede fica comprometida. E se quiser revogar o acesso de uma pessoa, terá de alterar a palavra-passe de todos. Isso é completamente inviável à escala.

Opção dois: WPA2 ou WPA3 Enterprise, utilizando o padrão 802.1X. Esta é uma segurança adequada de nível empresarial. Cada utilizador tem um nome de utilizador e uma palavra-passe únicos, ou um certificado digital. A TI pode revogar o acesso individual instantaneamente. O problema é que muitos dispositivos simplesmente não conseguem ligar-se a ela. Consolas de jogos, smart TVs, impressoras sem fios, dispositivos Amazon Echo, Chromecasts. Nenhum destes consegue processar os ecrãs de início de sessão complexos ou os certificados digitais que o 802.1X exige.

O iPSK situa-se precisamente entre estas duas opções. Dá a cada utilizador ou dispositivo individual a sua própria palavra-passe única, mas a experiência do dispositivo é idêntica à de se ligar a um router doméstico. Basta introduzir uma palavra-passe. Sem certificados, sem ecrãs de início de sessão complexos, sem Captive Portals. A complexidade é gerida inteiramente no backend.

Eis como funciona a arquitetura técnica. Quando um dispositivo cliente se liga à rede WiFi utilizando a sua chave pré-partilhada única, o ponto de acesso não concede simplesmente o acesso. Em vez disso, envia um pedido de autenticação RADIUS para um servidor central. RADIUS significa Remote Authentication Dial-In User Service. É a espinha dorsal da autenticação de redes empresariais. O servidor RADIUS verifica as credenciais na sua base de dados de chaves configuradas. Se houver uma correspondência, envia de volta uma mensagem de aceitação de acesso. Crucialmente, essa mensagem também contém uma atribuição de VLAN, uma Virtual Local Area Network.

Essa atribuição de VLAN é a chave para tudo. Quando o residente da Fração 101 se liga, a rede coloca todos os seus dispositivos na VLAN 101. Quando o residente da Fração 202 se liga, os seus dispositivos vão para a VLAN 202. A infraestrutura de rede impõe o que é designado por isolamento de Camada 2 entre estas VLANs. Isto significa que, embora ambos os residentes estejam na mesma rede WiFi física, os seus dispositivos são completamente invisíveis entre si. Isto cria o que chamamos de uma Private Area Network, ou PAN, para cada residente.

Como cada residente tem o seu próprio VLAN isolado, pode ativar a reflexão mDNS dentro desse VLAN específico. O mDNS é o protocolo que permite que os dispositivos se descubram uns aos outros numa rede local. É o que faz com que o AirPlay, o Chromecast e a impressão sem fios funcionem. Ao ativar a reflexão mDNS dentro do VLAN privado de cada residente, permite que os seus próprios dispositivos comuniquem entre si, mantendo-se totalmente isolados dos dispositivos de todos os outros.

Os principais fornecedores de hardware de WiFi empresarial suportam todos esta tecnologia, mas usam nomes diferentes para ela. A Cisco Meraki chama-lhe iPSK. A HPE Aruba chama-lhe MPSK. A Ruckus utiliza o termo DPSK. A Juniper Mist, a Ubiquiti UniFi, a Cambium, a Extreme e a Fortinet suportam todas variações de autenticação de chave pré-partilhada por dispositivo. A Purple é agnóstica em termos de hardware e integra-se com todas estas plataformas.

Gerir manualmente centenas ou milhares de chaves únicas não é viável para nenhuma equipa de TI. A Purple integra-se com o seu fornecedor de identidade, Microsoft Entra ID, Okta ou Google Workspace. Quando um novo residente assina um contrato de arrendamento, a Purple gera automaticamente um iPSK único, atribui um VLAN e entrega as credenciais ao residente. Quando o contrato termina, a chave é automaticamente revogada.

Agora vamos falar sobre as armadilhas de implementação. Existe uma nuance técnica importante aqui. Revogar uma chave na base de dados RADIUS não desliga imediatamente um dispositivo que já está associado à rede. A autenticação RADIUS apenas ocorre durante o handshake inicial da ligação. Para forçar a desconexão imediata, o seu sistema de gestão precisa de enviar uma mensagem Change of Authorization, um CoA, diretamente para o controlador sem fios. Certifique-se de que a sua plataforma de gestão suporta CoA.

Principais armadilhas a evitar. Primeiro: a aleatorização de endereços MAC. Os smartphones modernos aleatorizam o seu endereço MAC para proteger a privacidade do utilizador. Se a sua implementação de iPSK depender de MAC Address Bypass, a aleatorização irá quebrar a autenticação. Certifique-se de que a sua infraestrutura utiliza verificação iPSK moderna baseada em EAPOL. Segundo: desempenho do RADIUS. O iPSK coloca uma carga computacional mais pesada no servidor RADIUS devido às verificações de dicionário necessárias durante o handshake EAPOL. Utilize um serviço RADIUS de alto desempenho alojado na nuvem. Terceiro: compatibilidade WPA3. Atualmente, o iPSK funciona em WPA2. Se estiver a implementar pontos de acesso WiFi 6E ou WiFi 7 na banda de 6 GHz, precisará de uma estratégia WPA3-Enterprise separada para esses clientes.

Deixe-me responder a algumas perguntas rápidas. O iPSK pode suportar dispositivos IoT? Sim. Consolas de jogos, termostatos inteligentes e impressoras sem fios ligam-se utilizando uma palavra-passe simples, exatamente como fariam numa rede doméstica.

O iPSK funciona com todo o hardware? Sim. A Cisco Meraki, a HPE Aruba, a Ruckus, a Juniper Mist, a Ubiquiti UniFi, a Cambium, a Extreme e a Fortinet suportam todas PSK por dispositivo. A Purple fornece uma camada de gestão agnóstica em termos de hardware para todas elas.
O iPSK está em conformidade com o GDPR? Sim, quando implementado corretamente. A rede atribui credenciais a indivíduos identificáveis e essas credenciais são revogadas quando o indivíduo sai. Isto cria um registo de auditoria claro do acesso à rede.

Em resumo, o iPSK é o padrão definitivo para a conectividade WiFi multi-inquilino. Dá às equipas de TI o controlo da autenticação empresarial, com a simplicidade de um router doméstico para os residentes. Suporta todos os tipos de dispositivos, permite o isolamento de rede por residente através de atribuição dinâmica de VLAN e dimensiona-se através de uma gestão automatizada do ciclo de vida integrada com o seu fornecedor de identidade.

Se está a planear um empreendimento BTR, um projeto de alojamento para estudantes ou qualquer propriedade multi-inquilino, o iPSK deve ser a base do design da sua rede. A Purple implementou esta arquitetura em 80 000 locais a nível global, e podemos ajudá-lo a desenhar, implementar e gerir a mesma desde o primeiro dia. Para mais informações, visite purple dot ai ou fale com um dos nossos arquitetos de rede. Obrigado por ouvir.

Principais Conclusões

✓O iPSK atribui uma palavra-passe única a cada residente num único SSID de WiFi, eliminando os riscos de segurança de palavras-passe partilhadas em escala.
✓A atribuição dinâmica de VLAN via RADIUS cria uma Private Area Network segura para cada apartamento, proporcionando um isolamento de Camada 2 equivalente ao de um router doméstico privado.
✓O iPSK suporta 100% dos dispositivos de consumo, incluindo consolas de jogos, smart TVs e hardware IoT que não conseguem processar certificados 802.1X.
✓A gestão automatizada do ciclo de vida através do Microsoft Entra ID, Okta ou Google Workspace é essencial em escala - a gestão manual de chaves falha além de um pequeno punhado de unidades.
✓A Alteração de Autorização (CoA) deve ser configurada para forçar a desconexão imediata quando uma chave é revogada - a simples eliminação no RADIUS não desliga sessões ativas.
✓O iPSK funciona em WPA2; planeie uma estratégia WPA3-Enterprise separada para pontos de acesso na banda de 6 GHz se implementar WiFi 6E ou WiFi 7.
✓A eliminação de routers de consumo por unidade reduz as despesas de capital, remove a interferência de RF e proporciona uma experiência residencial instantânea desde o primeiro dia.

Resumo Executivo

A segurança de WiFi tradicional força uma escolha entre duas opções inadequadas. O WPA2-Personal padrão é simples, mas não oferece responsabilidade individual. Uma palavra-passe divulgada compromete toda a rede, e revogar o acesso de um único residente significa alterar a palavra-passe para todos. O WPA2-Enterprise ou WPA3-Enterprise que utiliza o IEEE 802.1X oferece controlo por utilizador, mas quebra a conectividade para consolas de videojogos, smart TVs e dispositivos IoT que não conseguem processar certificados digitais.

A Identity Pre-Shared Key (iPSK) resolve esta tensão. Atribui uma palavra-passe única a cada utilizador individual ou dispositivo num único SSID, permitindo a atribuição dinâmica de VLAN e isolamento de Camada 2 através de um servidor RADIUS central. Para operadores de Build-to-Rent (BTR), promotores imobiliários e senhorios, a iPSK é o padrão definitivo para conectividade multi-inquilino. Suporta 100% dos dispositivos dos residentes, cria uma Rede de Área Privada para cada unidade e escala através da gestão automatizada do ciclo de vida integrada com fornecedores de identidade como o Microsoft Entra ID, Okta ou Google Workspace. A Purple automatiza todo este fluxo de trabalho em mais de 80.000 locais ativos, integrando-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Análise técnica aprofundada

O funcionamento da Identity PSK

A iPSK modifica o handshake padrão WPA2 de quatro vias EAPOL. Quando um dispositivo cliente se associa a um ponto de acesso utilizando uma chave pré-partilhada específica, o ponto de acesso não concede o acesso de imediato. Em vez disso, envia uma mensagem de pedido RADIUS para o servidor de autenticação central. Este pedido contém atributos específicos do fornecedor. Para a Cisco Meraki, estes são os atributos Meraki-IPSK. O servidor RADIUS executa uma verificação de dicionário contra a sua base de dados de iPSKs configuradas. Se encontrar uma correspondência, responde com uma mensagem de aceitação de acesso contendo a frase de acesso e, crucialmente, uma atribuição dinâmica de VLAN através do atributo Tunnel-Private-Group-Id.

Esta arquitetura não requer qualquer infraestrutura de certificados. O dispositivo cliente vê uma rede WPA2-Personal padrão e liga-se com uma palavra-passe. A complexidade é gerida inteiramente entre o ponto de acesso e o servidor RADIUS. É por isso que a iPSK suporta 100% dos dispositivos de consumo - consolas de videojogos, smart TVs, impressoras sem fios e sensores IoT ligam-se todos utilizando a mesma experiência simples de palavra-passe que utilizam em casa.

Isolamento de Camada 2 e Redes de Área Privada

Num ambiente multi-tenant, um único SSID em centenas de apartamentos é eficiente para o planeamento de RF, mas cria sérios riscos de segurança sem uma segmentação adequada. O iPSK permite a criação de uma Private Area Network (PAN) para cada residente.

Quando um residente se autentica com o seu iPSK exclusivo, o servidor RADIUS atribui os seus dispositivos a uma VLAN específica. A infraestrutura de rede impõe o isolamento de Camada 2 entre essas VLANs. O iPhone de um residente consegue ver a sua própria impressora ou Chromecast, mas o residente do apartamento ao lado não consegue descobrir ou interagir com esses dispositivos. Esta microsegmentação é fundamental para a conformidade com o GDPR e para manter a confiança dos residentes.

Como cada residente tem a sua própria VLAN isolada, pode ativar a reflexão mDNS dentro dessa VLAN específica. O mDNS é o protocolo que permite o AirPlay, a transmissão Chromecast e a impressão sem fios. Ativar a reflexão mDNS dentro da VLAN privada de cada residente permite que os seus próprios dispositivos comuniquem entre si, mantendo-se completamente isolados de todos os outros residentes. O resultado é uma experiência semelhante à de casa numa infraestrutura partilhada.

Implementações de fabricantes de hardware

Todos os principais fabricantes de hardware de WiFi empresarial suportam PSK por dispositivo, mas sob diferentes nomes de produtos. A tabela abaixo mapeia a terminologia dos fabricantes para a tecnologia subjacente.

Fabricante	Nome do produto	RADIUS obrigatório	VLAN Dinâmica
Cisco Meraki	iPSK	Sim	Sim
HPE Aruba	MPSK	Sim	Sim
Ruckus	DPSK	Sim	Sim
Juniper Mist	PPSK	Sim	Sim
Ubiquiti UniFi	PPSK	Sim	Sim
Cambium	PPSK	Sim	Sim
Extreme	PPSK	Sim	Sim
Fortinet	PPSK	Sim	Sim

A Purple é agnóstica em termos de hardware e fornece uma camada de gestão unificada em todas estas plataformas. Não fica dependente de um único fabricante e pode migrar de hardware sem reconstruir a sua infraestrutura de autenticação.

Guia de implementação

A implementação de iPSK requer coordenação entre a sua infraestrutura sem fios, o seu servidor RADIUS e o seu fornecedor de identidade. Siga esta sequência para implementar corretamente.

Passo 1 - Planeie a sua arquitetura de VLAN. Atribua uma VLAN por unidade residencial. Num empreendimento de 300 unidades, necessita de 300 VLANs. O padrão 802.1X normal suporta 4.094 VLANs, o que é suficiente para a maioria dos empreendimentos de BTR. Para implementações maiores, planeie sobreposições de VXLAN.

Passo 2 - Implemente o seu servidor RADIUS. A Purple fornece um serviço RADIUS alojado na nuvem com 99,999% de tempo de atividade. Aponte os seus controladores sem fios para o ponto de extremidade RADIUS da Purple. Configure o segredo partilhado entre os seus pontos de acesso e o servidor RADIUS.Passo 3 - Configure o seu controlador sem fios. Crie um SSID único com segurança WPA2-PSK. Ative o seletor de iPSK ou PPSK específico do fabricante. Ative o AAA override para que a resposta RADIUS possa atribuir VLANs dinamicamente. Desative o isolamento de clientes ao nível do SSID - o isolamento é gerido por VLAN.

Passo 4 - Integre o seu fornecedor de identidade. Ligue a Purple ao Microsoft Entra ID, Okta ou Google Workspace. A Purple lê o diretório de residentes e atribui automaticamente uma iPSK única e uma VLAN para cada residente.

Passo 5 - Configure a Alteração de Autorização (CoA). Configure a CoA entre a Purple e os seus controladores sem fios. Isto permite que a Purple envie uma mensagem de desconexão quando o contrato de um residente termina, forçando a cessação imediata da sessão.

Passo 6 - Ative a reflexão mDNS por VLAN. Configure os seus switches de rede e controladores sem fios para refletirem o tráfego mDNS dentro de cada limite de VLAN. Isto permite o funcionamento do AirPlay, Chromecast e impressão sem fios dentro de cada apartamento, sem que o tráfego de descoberta seja exposto a todo o edifício.

Para saber mais sobre como conceber a sua arquitetura de WiFi global, consulte o nosso guia sobre três SSIDs para a todos governar: guest, Passpoint, e IoT WiFi .

Melhores práticas

Evite falhas de randomização de endereços MAC. Os smartphones modernos randomizam o seu endereço MAC para proteger a privacidade do utilizador. Se a sua implementação de iPSK depender de MAC Address Bypass (MAB), a randomização irá falhar a autenticação. Certifique-se de que a sua infraestrutura utiliza verificação iPSK moderna baseada em EAPOL, onde a própria palavra-passe é o autenticador e não o endereço MAC.

Planeie o desempenho do RADIUS. O iPSK coloca uma carga computacional maior no servidor RADIUS do que o PSK padrão devido às verificações de dicionário necessárias durante o handshake EAPOL. Utilize um serviço RADIUS de alto desempenho alojado na nuvem. A infraestrutura RADIUS da Purple foi concebida para esta carga de trabalho e mantém uma disponibilidade de 99,999% em mais de 80.000 locais.

Aborde a compatibilidade com WPA3 antecipadamente. O iPSK funciona atualmente em WPA2. Se estiver a implementar pontos de acesso WiFi 6E ou WiFi 7 na banda de 6 GHz, necessita de uma estratégia WPA3-Enterprise separada para esses clientes. A banda de 6 GHz exige segurança WPA3, que atualmente não suporta iPSK da mesma forma. Planeie uma estratégia de banda dupla: WPA2 iPSK em 2.4 GHz e 5 GHz, WPA3-Enterprise em 6 GHz.

Automatize o envio de credenciais. Não envie palavras-passe por e-mail em texto limpo. A Purple envia as credenciais para os residentes através de um portal seguro e personalizado com a marca, ou através da aplicação Purple. Isto cria um registo auditável do envio de credenciais e garante que os residentes podem repor as suas palavras-passe em modo de autoatendimento, sem contactar o suporte técnico.

Teste a reflexão mDNS antes da entrada em funcionamento. A reclamação mais comum dos residentes após uma implementação de iPSK é que o seu Chromecast ou AirPlay não funciona. Teste a reflexão mDNS em cada VLAN durante a colocação em serviço. Utilize um portátil e um Chromecast na mesma VLAN de residente e verifique se a transmissão funciona antes da entrega final. Para orientações relacionadas sobre como a sua rede WiFi cria uma primeira impressão para os residentes, consulte como causar uma excelente primeira impressão com o seu WiFi para convidados .

Resolução de problemas e mitigação de riscos

Sessões obsoletas após a revogação de chaves. O modo de falha mais comum numa implementação iPSK. A revogação de uma chave na base de dados RADIUS impede ligações futuras, mas não desliga as sessões ativas. Configure o CoA nos seus controladores sem fios e garanta que a Purple envia uma mensagem de desconexão CoA em cada evento de revogação de chave.

Esgotamento de VLANs. Em implementações multi-inquilino muito grandes, pode esgotar o limite de 4.094 VLANs. Mitigue esta situação utilizando sobreposições VXLAN ou partilhando VLANs entre unidades não adjacentes onde o risco de contaminação cruzada seja insignificante.

Indisponibilidade do servidor RADIUS. Se o seu servidor RADIUS ficar offline, nenhum dispositivo novo se poderá ligar. Configure a redundância do RADIUS com um servidor secundário. O serviço RADIUS na nuvem da Purple inclui redundância integrada e um SLA de uptime de 99,999%.

Atrasos na sincronização de chaves. Quando um novo residente se muda, pode haver um atraso entre a assinatura do contrato no sistema de gestão de propriedades e o fornecimento do iPSK no RADIUS. Integre o seu sistema de gestão de propriedades diretamente com a API da Purple para automatizar o aprovisionamento e eliminar esta lacuna.

Retorno do investimento (ROI) e impacto comercial

A eliminação de routers de consumo por unidade transforma a economia do WiFi multi-inquilino. Um empreendimento BTR típico de 300 unidades pode gastar £150 a £200 por unidade em routers de consumo, totalizando até £60.000 em hardware que precisa de ser substituído a cada três a cinco anos. Os pontos de acesso empresariais centralizados nos corredores e áreas comuns reduzem os custos de hardware e eliminam os custos operacionais de substituição de routers de consumo avariados em apartamentos ocupados.

Mais importante ainda, oferece uma experiência de ligação imediata aos residentes. Os residentes ligam-se ao WiFi no momento em que entram pela porta, utilizando credenciais fornecidas de forma segura antes do dia da mudança. Esta comodidade premium aumenta a satisfação dos inquilinos e apoia rendimentos de arrendamento mais elevados. De acordo com pesquisas do setor imobiliário, o WiFi gerido é agora apontado pelos residentes como uma das três principais comodidades que esperam num empreendimento BTR.

A solução de WiFi Multi-Inquilino da Purple isola o tráfego de forma segura e suporta os dispositivos inteligentes dos residentes, apoiada por 29 mil milhões de pontos de dados recolhidos na nossa rede global. A nossa plataforma de WiFi Analytics oferece aos gestores de propriedades visibilidade sobre a utilização da rede, ajudando-o a dimensionar corretamente o investimento em infraestrutura e a demonstrar o valor da comodidade do WiFi gerido aos investidores. Para operadores de BTR que procuram alargar o envolvimento dos residentes para além da conectividade, a plataforma Guest WiFi da Purple integra-se com sistemas de gestão de propriedades para fornecer comunicações direcionadas e programas de fidelização. Consulte também o nosso guia sobre como utilizar SMS em massa para marketing para aumentar as visitas de retorno para obter táticas práticas sobre a retenção de residentes.

Definições Principais

iPSK (Identity Pre-Shared Key)

Um mecanismo de segurança que permite a utilização de múltiplas palavras-passe exclusivas num único SSID de WiFi, com cada palavra-passe associada a políticas de rede específicas, incluindo atribuição de VLAN e controlo de acesso.

Utilizado para fornecer controlo de acesso de nível empresarial ao mesmo tempo que suporta dispositivos de consumo que carecem de capacidades 802.1X. A Cisco Meraki utiliza este termo exato; outros fornecedores utilizam MPSK, DPSK ou PPSK para o mesmo conceito.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de autenticação, autorização e faturação (accounting) para utilizadores que se ligam a um serviço de rede.

O servidor de backend que valida as palavras-passe de iPSK e devolve as atribuições de VLAN ao ponto de acesso. A Purple fornece um serviço RADIUS alojado na nuvem com 99,999% de tempo de atividade.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos, isolando o seu tráfego do resto da rede física, independentemente da sua localização física.

Utilizado em WiFi multi-inquilino para criar um segmento de rede seguro e privado para cada apartamento individual. A atribuição dinâmica de VLAN via RADIUS é o que torna possível o isolamento por residente.

Isolamento de Layer 2

Uma funcionalidade de segurança de rede que impede dispositivos na mesma rede física de comunicarem diretamente entre si na camada de ligação de dados (data link layer).

Garante que os residentes não conseguem ver ou aceder a dispositivos pertencentes aos seus vizinhos, embora partilhem a mesma infraestrutura física de WiFi.

mDNS (Multicast Domain Name System)

Um protocolo utilizado pelo Apple Bonjour e Google Cast para descobrir serviços numa rede local sem um servidor DNS central.

Deve ser gerido cuidadosamente em redes multi-inquilino. Ativar a reflexão de mDNS dentro da VLAN privada de cada residente permite que o AirPlay, Chromecast e a impressão sem fios funcionem normalmente sem expor a descoberta de dispositivos a todo o edifício.

CoA (Change of Authorization)

Uma extensão RADIUS definida na RFC 5176 que permite ao servidor de autenticação modificar dinamicamente os atributos de autorização de uma sessão ativa ou enviar uma mensagem de desconexão.

Essencial para revogar instantaneamente o acesso quando o contrato de arrendamento de um residente termina. Sem CoA, uma chave revogada apenas impede ligações futuras - não desliga a sessão ativa atual.

EAPOL (Extensible Authentication Protocol over LAN)

O protocolo utilizado em WPA2 para negociar chaves de encriptação entre o dispositivo cliente e o ponto de acesso durante o handshake de quatro vias (four-way handshake).

As implementações modernas de iPSK utilizam o handshake EAPOL para verificar a palavra-passe de forma segura. Isto é mais fiável do que o MAC Address Bypass porque não é afetado pela randomização do endereço MAC.

MAC Address Bypass (MAB)

Um método de autenticação que utiliza o endereço MAC de hardware do dispositivo como utilizador e palavra-passe numa solicitação RADIUS.

Um método legado que por vezes é confundido com iPSK. O MAB é agora pouco fiável porque os iPhones e telemóveis Android modernos randomizam o seu endereço MAC por predefinição, causando falhas na autenticação.

Private Area Network (PAN)

No contexto de WiFi multi-inquilino, um segmento de rede logicamente isolado e atribuído a um único residente ou fração, proporcionando o equivalente a um router doméstico privado numa infraestrutura partilhada.

O resultado da combinação da autenticação iPSK com a atribuição dinâmica de VLAN e isolamento de Layer 2. Cada residente obtém a sua própria PAN sem necessitar de um router físico no seu apartamento.

Atribuição dinâmica de VLAN

O processo pelo qual um servidor RADIUS devolve um identificador de VLAN na mensagem de aceitação de acesso (access-accept), instruindo o ponto de acesso a colocar o dispositivo autenticado num segmento de rede específico.

O mecanismo que permite o isolamento por residente numa implementação iPSK. Sem a atribuição dinâmica de VLAN, todos os dispositivos partilhariam o mesmo segmento de rede, independentemente da palavra-passe utilizada.

Exemplos Práticos

Um empreendimento Build-to-Rent de 300 frações necessita de fornecer WiFi gerido como uma comodidade premium. O operador quer evitar a instalação de 300 routers de consumo. Os residentes devem poder utilizar impressoras sem fios, colunas inteligentes e dispositivos Chromecast de forma segura, e o operador necessita de revogar o acesso instantaneamente quando um inquilino desocupa a fração.

Implemente pontos de acesso empresariais da Cisco Meraki ou HPE Aruba nos corredores e áreas comuns para fornecer cobertura total do edifício num único SSID. Configure o controlador sem fios para utilizar a autenticação iPSK apontando para o servidor RADIUS na nuvem da Purple. Integre o sistema de gestão de propriedades com a API da Purple. Quando um residente se muda, a Purple gera automaticamente uma palavra-passe única e atribui uma VLAN dedicada (por exemplo, VLAN 150 para a Fração 150). Ative a reflexão mDNS exclusivamente dentro de cada VLAN. Configure o CoA para que, quando um contrato de arrendamento for terminado no sistema de gestão de propriedades, a Purple envie imediatamente uma mensagem de desconexão para o controlador sem fios, derrubando todas as sessões ativas para essa VLAN.

Comentário do Examinador: Esta abordagem elimina a proliferação de hardware e a interferência de RF de 300 routers de consumo concorrentes. A atribuição dinâmica de VLAN garante o isolamento de Camada 2 entre apartamentos, cumprindo os requisitos do GDPR e de segurança. A ativação da reflexão mDNS por VLAN permite que os dispositivos inteligentes funcionem normalmente para cada residente sem os expor a todo o edifício. A configuração do CoA é o detalhe crítico que muitas implementações falham - sem ela, os inquilinos despejados mantêm o acesso à rede até que o seu dispositivo se desligue naturalmente e tente autenticar-se novamente.

Um bloco de alojamento para estudantes universitários de 500 quartos está a registar problemas de segurança porque os estudantes estão a partilhar a palavra-passe padrão WPA2-Personal com não residentes. A equipa de TI necessita de responsabilização individual e da capacidade de revogar o acesso de estudantes específicos sem perturbar o resto da rede.

Migre o bloco de alojamento para uma arquitetura iPSK. Integre o Microsoft Entra ID da universidade com o sistema de autenticação WiFi da Purple. A Purple fornece automaticamente um iPSK único para cada estudante inscrito no início do ano letivo. Se um estudante partilhar a sua chave única com um não residente, a TI pode identificar a origem a partir dos registos do RADIUS e revogar essa chave específica instantaneamente sem afetar os outros estudantes. Quando um estudante se licencia ou sai, a sua chave específica é automaticamente revogada através da integração com o Microsoft Entra ID.

Comentário do Examinador: Isto resolve o problema da partilha de palavras-passe ao fornecer responsabilização individual na camada de rede. A integração com o Microsoft Entra ID automatiza a gestão do ciclo de vida, removendo a carga administrativa do helpdesk de TI. A perspicácia principal é que o iPSK cria um rasto de auditoria - cada tentativa de ligação é registada contra uma credencial específica, que está ligada a um indivíduo específico. Isto também é relevante para a conformidade com o GDPR, uma vez que a universidade pode demonstrar que o acesso à rede está ligado a indivíduos identificáveis e é revogado quando esses indivíduos saem.

Perguntas de Prática

Q1. Está a projetar a rede WiFi para um empreendimento de co-living de 200 unidades. Os membros precisam de ligar os seus portáteis, telemóveis e impressoras sem fios. O operador pretende revogar o acesso instantaneamente quando o contrato de um membro termina. Que método de autenticação deve escolher e porquê?

Dica: Considere os requisitos de compatibilidade de dispositivos para impressoras sem fios e o requisito operacional para revogação instantânea.

Ver resposta modelo

iPSK é a escolha correta. Embora o 802.1X ofereça uma excelente segurança para portáteis e telemóveis, as impressoras sem fios normalmente não suportam certificados enterprise. O iPSK permite que todos os dispositivos se liguem de forma segura, garantindo ao mesmo tempo a responsabilização individual e o isolamento de VLAN para os diferentes membros. Para cumprir o requisito de revogação instantânea, configure o Change of Authorization (CoA) entre a Purple e os controladores sem fios para que, quando o contrato de um membro for terminado no sistema de gestão, uma mensagem de desconexão CoA seja enviada de imediato para derrubar todas as sessões ativas.

Q2. Um residente relata que não consegue transmitir a Netflix do telemóvel para a sua smart TV. Ambos os dispositivos estão ligados à rede utilizando o iPSK exclusivo do residente. O engenheiro de rede confirma que ambos os dispositivos estão na VLAN 210. Qual é o provável problema de configuração e como o resolve?

Dica: Pense em como funcionam os protocolos de descoberta de dispositivos e o que é necessário para que a transmissão funcione.

Ver resposta modelo

A rede está a aplicar um isolamento estrito de Camada 2 dentro da VLAN 210 sem ativar a reflexão mDNS. O Chromecast utiliza mDNS (protocolo Google Cast) para descobrir recetores na rede local. Sem a reflexão mDNS dentro da VLAN, o telemóvel não consegue descobrir a smart TV, mesmo estando na mesma VLAN. Resolva isto configurando o controlador sem fios ou um proxy mDNS dedicado para refletir o tráfego mDNS dentro do limite da VLAN 210. Não ative o mDNS globalmente - isso permitiria aos residentes descobrir os dispositivos uns dos outros em diferentes VLANs.

Q3. Um senhorio termina um contrato de arrendamento e pede à equipa de TI para revogar imediatamente o acesso WiFi do antigo inquilino. A equipa de TI elimina o iPSK do inquilino da base de dados RADIUS, mas o portátil do antigo inquilino continua ligado à rede durante várias horas. O que correu mal e o que deve a equipa de TI configurar para evitar isto no futuro?

Dica: Considere quando ocorre efetivamente a autenticação RADIUS no ciclo de vida da ligação.

Ver resposta modelo

A autenticação RADIUS apenas ocorre durante o handshake inicial da ligação. Assim que um dispositivo é autenticado e associado à rede, mantém a sua sessão sem necessidade de nova autenticação. Eliminar a chave do RADIUS impede ligações futuras, mas não termina a sessão ativa. A equipa de TI precisa de configurar o suporte a Change of Authorization (CoA) nos controladores sem fios e garantir que o sistema de gestão envia uma mensagem de desconexão CoA quando uma chave é revogada. Isto instrui o ponto de acesso a desautenticar e desassociar imediatamente o dispositivo, terminando a sessão em tempo real.

Q4. Está a planear um empreendimento BTR de 600 unidades e a ponderar se deve utilizar VLANs 802.1Q padrão ou VXLAN para a camada de segmentação de rede. Que fatores devem influenciar esta decisão?

Dica: Considere o limite de VLAN do 802.1Q padrão e a escala da implementação.

Ver resposta modelo

O padrão 802.1Q suporta 4.094 VLANs, o que é suficiente para 600 unidades com margem para VLANs de gestão, VLANs de IoT e redes de convidados. Para este tamanho de implementação, o 802.1Q padrão é adequado. No entanto, se o empreendimento fizer parte de um campus maior ou se planear estender a mesma rede por vários edifícios com milhares de unidades, o VXLAN oferece um espaço de endereçamento de 16 milhões de segmentos e melhor escalabilidade entre limites roteados. Para um empreendimento autónomo de 600 unidades, simplifique com 802.1Q e reserve o VXLAN para implementações de vários locais ou de escala muito grande.

Continue a ler esta série

Guia de PPSK em PDF: comparação de funcionalidades e modelos de implementação

Este guia de referência técnica compara a arquitetura WiFi de Chave Privada Pré-Partilhada (PPSK) com as implementações tradicionais de 802.1X e PSK padrão. Fornece aos arquitetos de rede e gestores de TI estratégias de implementação neutras em termos de fornecedor para ambientes multi-inquilino residenciais, IoT e BTR.

Uu PPSK 2023: comparação de funcionalidades e modelos de implementação

Este guia de referência técnica compara a arquitetura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) com as implementações tradicionais de PSK partilhado e 802.1X, com um foco específico no panorama de 2023 de implementações de fornecedores e capacidades de plataforma. Fornece aos promotores imobiliários, operadores de BTR e proprietários de MDU estratégias de implementação acionáveis, orientação sobre arquitetura de VLAN e fluxos de trabalho de gestão automatizada do ciclo de vida. O guia abrange três modelos de implementação, estudos de caso do mundo real e as implicações de conformidade de cada abordagem de autenticação.

PPSK xaverius: comparando funcionalidades e modelos de implementação

Este guia de referência analisa a arquitetura PPSK xaverius para ambientes multi-inquilino, como Build to Rent e alojamentos de estudantes. Compara modelos de implementação, detalha estratégias de execução e explica como o isolamento de VLAN por unidade proporciona uma experiência de WiFi semelhante à de casa, mantendo a segurança empresarial.