Nama ff iPSK: um guia completo para empresas

Este guia explica a arquitetura de Identity Pre-Shared Key (iPSK) para promotores imobiliários, operadores de BTR e proprietários que implementam WiFi multi-inquilino. Abrange a integração RADIUS, atribuição dinâmica de VLAN, isolamento de Camada 2 e gestão automatizada do ciclo de vida das credenciais. Também detalha o caso de negócio para eliminar os routers de consumo por unidade e proporcionar uma experiência residencial de ativação imediata à escala.

📖 8 min de leitura📝 1,954 palavras🔧 2 exemplos práticos❓ 4 perguntas de prática📚 10 definições principais

Ouça este guia

Ver transcrição do podcast

INTRODUÇÃO E CONTEXTO (aproximadamente 1 minuto)

Bem-vindo à série de briefings técnicos da Purple. Hoje, vamos falar sobre Identity Pre-Shared Key, ou iPSK. Se é um promotor imobiliário, um operador de BTR ou um proprietário a gerir edifícios multi-inquilino, isto é diretamente relevante para a sua próxima decisão de rede.

Deixe-me enquadrar o cenário. Tem um empreendimento Build-to-Rent de 300 frações. Pretende oferecer WiFi gerido como uma comodidade premium. Não quer colocar um router de consumo em cada apartamento. E não quer de todo que os residentes da Fração 101 consigam ver os dispositivos dos residentes da Fração 202. A questão é: como fazer tudo isso numa única rede gerível? A resposta é o iPSK.

ANÁLISE TÉCNICA DETALHADA (aproximadamente 5 minutos)

A segurança WiFi tradicional oferece duas opções. Opção um: uma rede pessoal WPA2 padrão. Todos partilham a mesma palavra-passe. É simples, mas no momento em que alguém partilha essa palavra-passe, toda a rede fica comprometida. E se quiser revogar o acesso de uma pessoa, tem de alterar a palavra-passe de todos. Isso é completamente inviável à escala.

Opção dois: WPA2 ou WPA3 Enterprise, utilizando o padrão 802.1X. Esta é uma segurança de nível empresarial adequada. Cada utilizador tem um nome de utilizador e palavra-passe únicos, ou um certificado digital. A equipa de TI pode revogar o acesso individual instantaneamente. O problema é que muitos dispositivos simplesmente não conseguem ligar-se a ela. Consolas de jogos, smart TVs, impressoras sem fios, dispositivos Amazon Echo, Chromecasts. Nenhum destes consegue processar os ecrãs de início de sessão complexos ou os certificados digitais que o 802.1X exige.

O iPSK situa-se precisamente entre estas duas opções. Dá a cada utilizador ou dispositivo individual a sua própria palavra-passe única, mas a experiência do dispositivo é idêntica à ligação a um router doméstico. Basta introduzir uma palavra-passe. Sem certificados, sem ecrãs de início de sessão complexos, sem Captive Portals. A complexidade é gerida inteiramente no backend.

Eis como funciona a arquitetura técnica. Quando um dispositivo cliente se liga à rede WiFi utilizando a sua chave pré-partilhada única, o ponto de acesso não concede simplesmente o acesso. Em vez disso, envia um pedido de autenticação RADIUS para um servidor central. RADIUS significa Remote Authentication Dial-In User Service. É a espinha dorsal da autenticação de redes empresariais. O servidor RADIUS verifica as credenciais na sua base de dados de chaves configuradas. Se houver uma correspondência, envia de volta uma mensagem de aceitação de acesso. Criticamente, essa mensagem também contém uma atribuição de VLAN - uma Virtual Local Area Network.

Essa atribuição de VLAN é a chave para tudo. Quando o residente da Fração 101 se liga, a rede coloca todos os seus dispositivos na VLAN 101. Quando o residente da Fração 202 se liga, os seus dispositivos vão para a VLAN 202. A infraestrutura de rede impõe o que se chama de isolamento de Camada 2 entre estas VLANs. Isto significa que, embora ambos os residentes estejam na mesma rede WiFi física, os seus dispositivos são completamente invisíveis entre si. Isto cria o que chamamos de Rede de Área Privada, ou PAN, para cada residente.

Como cada residente tem a sua própria VLAN isolada, pode ativar a reflexão mDNS dentro dessa VLAN específica. O mDNS é o protocolo que permite que os dispositivos se descubram uns aos outros numa rede local - é o que faz o AirPlay, o Chromecast e a impressão sem fios funcionarem. Ao ativar a reflexão mDNS dentro da VLAN privada de cada residente, permite que os seus próprios dispositivos comuniquem entre si, mantendo-se completamente isolados dos dispositivos de todos os outros.

Os principais fornecedores de hardware WiFi empresarial suportam todos esta tecnologia, mas utilizam nomes diferentes para a mesma. A Cisco Meraki chama-lhe iPSK. A HPE Aruba chama-lhe MPSK. A Ruckus utiliza o termo DPSK. A Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet suportam todas variações de autenticação de chave pré-partilhada por dispositivo. A Purple é agnóstica em termos de hardware e integra-se com todas estas plataformas.

Gerir manualmente centenas ou milhares de chaves únicas não é viável para nenhuma equipa de TI. A Purple integra-se com o seu Provedor de Identidade - Microsoft Entra ID, Okta ou Google Workspace. Quando um novo residente assina um contrato de arrendamento, a Purple gera automaticamente um iPSK único, atribui uma VLAN e entrega as credenciais ao residente. Quando o contrato de arrendamento termina, a chave é automaticamente revogada.

RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS (aproximadamente 2 minutos)

Existe aqui uma nuance técnica importante. Revogar uma chave na base de dados RADIUS não desliga imediatamente um dispositivo que já esteja associado à rede. A autenticação RADIUS apenas ocorre durante o handshake de ligação inicial. Para forçar a desconexão imediata, o seu sistema de gestão precisa de enviar uma mensagem de Alteração de Autorização - um CoA - diretamente para o controlador sem fios. Certifique-se de que a sua plataforma de gestão suporta CoA.

Agora, os principais erros a evitar. Primeiro: a randomização do endereço MAC. Os smartphones modernos randomizam o seu endereço MAC para proteger a privacidade do utilizador. Se a sua implementação de iPSK depender de MAC Address Bypass, a randomização irá quebrar a autenticação. Certifique-se de que a sua infraestrutura utiliza verificação iPSK moderna baseada em EAPOL. Segundo: desempenho do RADIUS. O iPSK coloca uma carga computacional mais pesada no servidor RADIUS devido às verificações de dicionário necessárias durante o handshake EAPOL. Utilize um serviço RADIUS de alto desempenho alojado na nuvem. Terceiro: compatibilidade com WPA3. O iPSK funciona atualmente em WPA2. Se estiver a implementar pontos de acesso WiFi 6E ou WiFi 7 na banda de 6 GHz, precisará de uma estratégia WPA3-Enterprise separada para esses clientes.

PERGUNTAS E RESPOSTAS RÁPIDAS (aproximadamente 1 minuto)

O iPSK suporta dispositivos IoT? Sim. Consolas de jogos, termóstatos inteligentes e impressoras sem fios ligam-se utilizando uma palavra-passe simples, exatamente como fariam numa rede doméstica.

O iPSK funciona com todo o hardware? Sim. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet suportam PSK por dispositivo. A Purple fornece uma camada de gestão independente de hardware em todos eles.

O iPSK está em conformidade com o GDPR? Sim, quando implementado corretamente. A rede atribui credenciais a indivíduos identificáveis, e essas credenciais são revogadas quando o indivíduo sai. Isto cria um registo de auditoria claro do acesso à rede.

RESUMO E PRÓXIMOS PASSOS (aproximadamente 1 minuto)

Em resumo, o iPSK é o padrão definitivo para conectividade WiFi multi-inquilino. Dá às equipas de TI o controlo da autenticação empresarial, com a simplicidade de um router doméstico para os residentes. Suporta todos os tipos de dispositivos, permite o isolamento de rede por residente através de atribuição dinâmica de VLAN e escala através de uma gestão automatizada do ciclo de vida integrada com o seu fornecedor de identidade.

Se está a planear um empreendimento BTR, um projeto de alojamento para estudantes ou qualquer propriedade multi-inquilino, o iPSK deve ser a base do design da sua rede. A Purple implementou esta arquitetura em 80.000 locais globalmente, e podemos ajudar a desenhar, implementar e gerir a mesma desde o primeiro dia. Para mais informações, visite purple.ai ou fale com um dos nossos arquitetos de rede. Obrigado por ouvir.

Principais Conclusões

✓O iPSK atribui uma palavra-passe única a cada utilizador ou dispositivo num único SSID, colmatando a lacuna entre a simplicidade do WPA2-Personal e o controlo do WPA2-Enterprise.
✓A atribuição dinâmica de VLAN através de RADIUS cria uma Rede de Área Privada para cada residente, proporcionando um isolamento de Camada 2 equivalente a um router doméstico privado.
✓O iPSK suporta 100% dos dispositivos, incluindo consolas de jogos, smart TVs e hardware IoT que não conseguem processar certificados 802.1X.
✓A gestão automatizada do ciclo de vida através de uma integração com fornecedor de identidade é essencial à escala - a gestão manual de chaves falha além de um pequeno punhado de unidades.
✓A configuração de Change of Authorization (CoA) é necessária para forçar a desconexão imediata quando uma chave é revogada - a revogação apenas no RADIUS não desliga as sessões ativas.
✓O iPSK funciona em WPA2; planeie uma estratégia WPA3-Enterprise separada para pontos de acesso da banda de 6 GHz se estiver a implementar WiFi 6E ou WiFi 7.
✓Eliminar os routers de consumo por unidade reduz os custos de hardware, remove a interferência de RF e proporciona uma experiência de ligação imediata para os residentes desde o primeiro dia.

Resumo executivo

A segurança de WiFi tradicional força uma escolha entre duas opções inadequadas. O WPA2-Personal padrão é simples, mas não oferece responsabilidade individual - uma palavra-passe divulgada compromete toda a rede. O WPA2/3-Enterprise (IEEE 802.1X) oferece controlo por utilizador, mas quebra a conectividade para consolas de videojogos, smart TVs e dispositivos IoT que não conseguem processar certificados digitais.

A Identity Pre-Shared Key (iPSK) resolve esta tensão. Atribui uma palavra-passe única a cada utilizador individual ou dispositivo num único SSID, permitindo a atribuição dinâmica de VLAN e isolamento de Camada 2 através de um servidor RADIUS central. Para operadores de Build-to-Rent (BTR), promotores imobiliários e senhorios, a iPSK é o padrão definitivo para conectividade multi-inquilino. Suporta 100% dos dispositivos dos residentes, cria uma Private Area Network (PAN) para cada fração e escala através de uma gestão automatizada do ciclo de vida integrada com fornecedores de identidade como o Microsoft Entra ID, Okta ou Google Workspace. A Purple automatiza todo este fluxo de trabalho em mais de 80.000 locais ativos, integrando-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Análise técnica detalhada

O funcionamento da Identity PSK

A iPSK modifica o handshake de quatro vias EAPOL padrão do WPA2. Quando um dispositivo cliente se associa a um ponto de acesso utilizando uma chave pré-partilhada específica, o ponto de acesso não concede acesso imediatamente. Em vez disso, envia uma mensagem RADIUS-REQUEST para o servidor de autenticação central. Este pedido contém atributos específicos do fabricante - para a Cisco Meraki, estes são os atributos Meraki-IPSK, incluindo Meraki-IPSK-Anonce e Meraki-IPSK-EAPOL. O servidor RADIUS executa uma verificação de dicionário na sua base de dados de iPSKs configuradas. Se for encontrada uma correspondência, responde com uma mensagem ACCESS-ACCEPT contendo o atributo Tunnel-Password e, crucialmente, uma atribuição dinâmica de VLAN via Tunnel-Private-Group-Id.

Esta arquitetura não requer infraestrutura de certificados. O dispositivo cliente vê uma rede WPA2-Personal padrão e liga-se com uma palavra-passe. A complexidade é gerida inteiramente entre o ponto de acesso e o servidor RADIUS.

Isolamento de Camada 2 e Private Area Networks

Num ambiente multi-inquilino, um único SSID em centenas de apartamentos é eficiente para o planeamento de RF, mas cria riscos de segurança graves sem uma segmentação adequada. A iPSK permite a criação de uma Private Area Network (PAN) para cada residente.

Quando um residente se autentica com a sua iPSK única, o servidor RADIUS atribui os seus dispositivos a uma VLAN específica. A infraestrutura de rede impõe o isolamento de Camada 2 entre essas VLANs. O iPhone do Residente A consegue ver a sua própria impressora ou Chromecast, mas o Residente B no apartamento ao lado não consegue descobrir ou interagir com esses dispositivos. Esta micro-segmentação é fundamental para a conformidade com o GDPR e para manter a confiança dos residentes.

Como cada residente tem a sua própria VLAN isolada, pode ativar a reflexão mDNS dentro dessa VLAN específica. O mDNS é o protocolo que permite o AirPlay, a transmissão Chromecast e a impressão sem fios. Ativar a reflexão mDNS dentro da VLAN privada de cada residente permite que os seus próprios dispositivos comuniquem entre si, mantendo-se completamente isolados de todos os outros residentes. O resultado é uma experiência semelhante à de casa numa infraestrutura partilhada.

Implementações de fabricantes de hardware

Os fabricantes de hardware empresarial utilizam terminologias diferentes para PSK por dispositivo, mas o funcionamento subjacente do RADIUS é consistente. A tabela abaixo mapeia os nomes dos fabricantes para a implementação canónica:

Fabricante	Nome do Recurso	Notas
Cisco Meraki	iPSK (Identity PSK)	Suporta Easy PSK via parâmetros EAPOL a partir do MR 32.1.3+
HPE Aruba	MPSK (Multi-PSK)	Suporta nativamente até 256 PSKs por SSID
Ruckus	DPSK (Dynamic PSK)	A geração DPSK3 suporta implementações MDU de alta densidade
Juniper Mist	Per-user PSK	Gerido na nuvem via Mist AI
Ubiquiti UniFi	PPSK (Private PSK)	VLAN atribuída por RADIUS suportada a partir de firmware recente
Cambium	Per-client PSK	Suportado na plataforma de nuvem cnMaestro
Extreme	iPSK	Suportado via ExtremeCloud IQ
Fortinet	MPSK	Suportado em FortiAP com FortiGate RADIUS

A Purple é agnóstica em termos de hardware e integra-se com todas estas plataformas como um overlay na nuvem, fornecendo uma camada de gestão unificada independentemente do hardware que tenha implementado.

WPA3 e a consideração dos 6 GHz

A iPSK funciona atualmente em WPA2. O WPA3 utiliza a Autenticação Simultânea de Iguais (SAE), que não é compatível com a abordagem padrão de verificação de dicionário iPSK. Se está a implementar pontos de acesso WiFi 6E ou WiFi 7 que operam na banda de 6 GHz - que exige WPA3 - precisa de uma estratégia separada para esses clientes. A abordagem prática consiste em manter o WPA2 iPSK nas bandas de 2.4 GHz e 5 GHz para uma ampla compatibilidade de dispositivos, utilizando o WPA3-Enterprise para dispositivos com capacidade de 6 GHz. Consulte o nosso guia relacionado Uu PPSK: comparing features and deployment models para uma comparação mais aprofundada das implementações de PSK por dispositivo e do planeamento da transição para o WPA3.

Guia de implementação

Passo 1: Configuração do servidor RADIUS

A base de uma implementação de iPSK é uma infraestrutura RADIUS robusta. O servidor deve suportar os atributos específicos do fabricante exigidos pelos seus pontos de acesso. Para Cisco Meraki, configure o dicionário de atributos Meraki-IPSK. Para HPE Aruba, configure o atributo Aruba-MPSK-Passphrase. O servidor RADIUS deve ser altamente disponível - uma falha no RADIUS impedirá novas autenticações de clientes. Utilize um serviço RADIUS alojado na nuvem com instâncias redundantes em vez de um único servidor local.

Passo 2: Aprovisionamento de SSID e VLAN

Configure um único SSID em toda a propriedade. Ative o iPSK com autenticação RADIUS no controlador sem fios ou no painel de gestão na nuvem. Defina o pool de VLAN para atribuição dinâmica - por exemplo, VLAN 100 a VLAN 600 para um empreendimento de 500 unidades. Certifique-se de que os switches da rede principal estão configurados para trunk de todas estas VLANs para os pontos de acesso, e que o encaminhamento inter-VLAN é estritamente controlado por políticas de firewall para manter o isolamento.

Para o padrão de design de três SSIDs - Resident WiFi, Staff WiFi e IoT WiFi - consulte o nosso artigo relacionado Três SSIDs para governar todos: guest, Passpoint e IoT WiFi .

Passo 3: Integração com fornecedor de identidade

A gestão manual de chaves não é escalável além de um punhado de unidades. Integre a sua plataforma de gestão de rede com um fornecedor de identidade (IdP). A Purple integra-se com Microsoft Entra ID, Okta e Google Workspace. Quando um novo residente assina um contrato de arrendamento e é adicionado ao seu sistema de gestão de propriedades, a integração gera automaticamente um iPSK exclusivo, atribui uma VLAN e envia as credenciais por e-mail ao residente antes da data de mudança. Quando o contrato termina e o residente é removido do sistema, a Purple revoga a chave automaticamente.

Passo 4: Configuração de Change of Authorization (CoA)

A revogação de chaves na base de dados RADIUS não desliga imediatamente um dispositivo que já esteja associado. A autenticação RADIUS apenas ocorre durante o handshake inicial de ligação. Para forçar a desconexão imediata no final do arrendamento, configure a sua plataforma de gestão para enviar uma mensagem de Change of Authorization (CoA) diretamente para o controlador sem fios. Isto instrui o controlador a terminar a sessão do cliente de imediato. Verifique se o CoA está a funcionar de ponta a ponta no seu ambiente de testes antes de entrar em produção.

Passo 5: Integração de dispositivos e experiência do residente

Os residentes ligam os seus smartphones, computadores portáteis e smart TVs utilizando o seu iPSK exclusivo. A rede coloca-os automaticamente na sua Rede de Área Privada. Para dispositivos sem ecrã - consolas de jogos, termóstatos inteligentes, impressoras sem fios - o residente introduz o iPSK durante o processo padrão de configuração de WiFi no dispositivo. Sem Captive Portal, sem certificado, sem chamadas para o suporte técnico.

Para implementações em hospitalidade , o iPSK elimina a reclamação mais comum dos hóspedes: o início de sessão recorrente no Captive Portal. Para ambientes de retalho , permite uma segmentação segura dos dispositivos dos colaboradores na mesma infraestrutura física que o Guest WiFi . Para ambientes de cuidados de saúde , isola dispositivos IoT médicos sensíveis numa VLAN dedicada, fornecendo simultaneamente uma conectividade simples para pacientes e visitantes.

Melhores práticas

Automatize a gestão do ciclo de vida. Nunca gira chaves manualmente. Utilize uma camada de orquestração como o Purple para automatizar a criação e revogação de chaves com base em datas de aluguer ou no estatuto de emprego. A gestão manual falha à escala e cria lacunas de segurança quando os residentes partem.

Imponha um isolamento rigoroso de Camada 2. Fornecer chaves únicas é apenas metade da solução. Verifique se o isolamento de Camada 2 está a funcionar corretamente utilizando ferramentas de análise de rede para confirmar que os dispositivos em diferentes VLANs não se conseguem detetar mutuamente através de mDNS ou tráfego de difusão. Este é o passo mais frequentemente ignorado nas implementações iniciais.

Planeie para a aleatorização de endereços MAC. Os smartphones modernos aleatorizam o seu endereço MAC para proteger a privacidade do utilizador. Se a sua implementação de iPSK depender estritamente de MAC Address Bypass (MAB), a aleatorização irá quebrar a autenticação. Certifique-se de que a sua infraestrutura utiliza a verificação de iPSK baseada em EAPOL, que não requer o pré-registo de endereços MAC.

Monitorize o desempenho do RADIUS. O iPSK coloca uma carga mais pesada no servidor RADIUS do que o 802.1X padrão devido às verificações de dicionário necessárias durante o handshake EAPOL. Monitorize a latência de autenticação e dimensione a infraestrutura RADIUS em conformidade. Em implementações com dezenas de milhares de chaves, certifique-se de que a base de dados RADIUS está devidamente indexada.

Referencie IEEE 802.1X e PCI-DSS. Para propriedades que incluam espaços de retalho ou de co-working, a segmentação de rede fornecida pelo iPSK apoia a conformidade com o PCI-DSS, isolando os ambientes de cartões de pagamento do tráfego geral dos residentes. Documente a sua segmentação de VLAN e controlos de acesso RADIUS como parte do seu rasto de auditoria PCI-DSS.

Resolução de problemas e mitigação de riscos

Limites de tempo de autenticação (Timeouts)

Se o servidor RADIUS demorar demasiado tempo a processar os parâmetros EAPOL e a encontrar um iPSK correspondente, o dispositivo cliente irá esgotar o tempo limite e falhar a ligação. Isto é comum em implementações com dezenas de milhares de chaves. Mitigue esta situação garantindo que a base de dados RADIUS está indexada no campo PSK e utilizando um serviço de cloud RADIUS de alto desempenho. A documentação da Cisco Meraki refere que um timeout no handshake EAPOL após a mensagem dois é um comportamento esperado durante a pesquisa inicial - o AP reinicia o handshake assim que o servidor RADIUS devolve o PMK.

Falhas na atribuição de VLAN

Se um cliente se ligar mas não receber um endereço IP, o servidor RADIUS pode estar a falhar no envio dos atributos VLAN corretos, ou o switch de rede pode não ter a VLAN atribuída configurada. Verifique o atributo Tunnel-Private-Group-Id na mensagem ACCESS-ACCEPT do RADIUS utilizando uma captura de pacotes, e verifique se a porta do switch está a encaminhar a VLAN atribuída para o ponto de acesso.

A aleatorização de MAC quebra o iPSK baseado em MAB

Se os residentes relatarem falhas de ligação intermitentes, particularmente após atualizações do iOS ou Android, a aleatorização de MAC é a causa mais provável. Migre para a verificação de iPSK baseada em EAPOL (Cisco Easy PSK a partir de MR 32.1.3+) que não requer endereços MAC pré-registados.

Dispositivos que se ligam mas não alcançam a VLAN correta

Em implementações Cisco Meraki, a sobreposição de VLAN via RADIUS exige que o SSID esteja configurado em modo Bridge com a etiquetagem de VLAN ativada e a sobreposição de RADIUS definida como "Override VLAN tag". Verifique esta configuração se os clientes estiverem a cair na VLAN predefinida do SSID em vez da VLAN atribuída.

ROI e impacto empresarial

O iPSK proporciona um valor empresarial mensurável para promotores imobiliários e proprietários em três dimensões.

Redução de custos de hardware. A eliminação de routers individuais de gama de consumo de cada apartamento remove uma despesa de capital e operacional significativa. Um empreendimento de 250 unidades que implemente um router de consumo por unidade a 80 £ cada representa 20.000 £ apenas em hardware, além dos custos contínuos de substituição e suporte. A infraestrutura partilhada com iPSK elimina isto por completo.

Melhoria do ambiente de RF. Cada router de consumo transmite o seu próprio SSID, criando redes WiFi concorrentes que degradam a qualidade do sinal para todos os residentes. A remoção de routers individuais e a sua substituição por uma implementação de pontos de acesso planeada profissionalmente reduz a interferência e melhora o desempenho para cada residente.

Satisfação e retenção dos residentes. Os residentes recebem o seu iPSK exclusivo antes da mudança, proporcionando WiFi instantâneo desde o primeiro dia. Isto elimina a reclamação de conectividade mais comum em empreendimentos BTR. O WiFi gerido com um nível de serviço claro é cada vez mais um diferenciador no mercado BTR, onde os residentes comparam diretamente as comodidades.

Eficiência operacional. O aprovisionamento e a revogação automatizados de credenciais eliminam os pedidos de suporte relacionados com reposições de palavra-passe, configuração de entrada e procedimentos de saída. A plataforma de WiFi Analytics da Purple fornece dados de utilização e monitorização da integridade da rede, dando aos gestores de propriedades visibilidade sobre a sua infraestrutura sem necessitarem de pessoal de TI dedicado no local.

Para operadores de transportes e do setor público que gerem ambientes multi-inquilino, aplica-se a mesma arquitetura. O SLA de 99.999% de tempo de atividade da Purple, a certificação ISO 27001 e a conformidade com o GDPR tornam-na uma escolha credível para ambientes regulamentados onde a disponibilidade da rede e a proteção de dados não são negociáveis.

Definições Principais

Identity Pre-Shared Key (iPSK)

Um protocolo de segurança que atribui uma palavra-passe WiFi exclusiva a utilizadores ou dispositivos individuais num único SSID, permitindo um controlo de acesso granular, atribuição dinâmica de VLAN e revogação individual de credenciais sem necessidade de certificados digitais.

Utilizado para proteger redes multi-inquilino e IoT onde o WPA2-Enterprise é demasiado complexo ou incompatível com dispositivos sem ecrã.

RADIUS

Remote Authentication Dial-In User Service. Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Auditoria (AAA) para acesso à rede.

O servidor de backend que processa pedidos de autenticação iPSK, executa a verificação do dicionário PSK e devolve atribuições dinâmicas de VLAN.

Private Area Network (PAN)

Um ambiente de rede micro-segmentado que isola os dispositivos de um residente específico do resto da rede, simulando a experiência de um router doméstico privado numa infraestrutura partilhada.

Crítico para a privacidade dos residentes em implementações de BTR e alojamento de estudantes. Ativado através da combinação de iPSK com atribuição dinâmica de VLAN e reflexão mDNS.

Isolamento de Layer 2

Uma medida de segurança de rede que impede que os dispositivos no mesmo segmento de rede local comuniquem diretamente entre si na camada de ligação de dados.

Utilizado em conjunto com o iPSK para garantir que um dispositivo comprometido num apartamento não consegue detetar ou atacar dispositivos noutro apartamento, mesmo no mesmo ponto de acesso físico.

Atribuição dinâmica de VLAN

O processo de colocar um utilizador ou dispositivo numa Virtual Local Area Network específica com base na sua identidade ou credenciais durante o processo de autenticação RADIUS.

O mecanismo que o iPSK utiliza para separar o tráfego de diferentes residentes no mesmo ponto de acesso físico. Transportado no atributo RADIUS Tunnel-Private-Group-Id.

EAPOL

Extensible Authentication Protocol over LAN. O protocolo utilizado no handshake de quatro vias WPA2 para estabelecer uma comunicação segura entre um dispositivo cliente e um ponto de acesso.

As implementações modernas de iPSK passam parâmetros EAPOL para o servidor RADIUS para verificar a chave pré-partilhada sem exigir o pré-registo do endereço MAC, resolvendo o problema de randomização de MAC.

Change of Authorization (CoA)

Uma extensão RADIUS (RFC 5176) que permite a um servidor RADIUS ou plataforma de gestão enviar uma mensagem para um controlador sem fios instruindo-o a desligar uma sessão de cliente ativa.

Essencial para a revogação imediata de credenciais. Sem CoA, um iPSK revogado apenas produz efeitos quando o dispositivo se desliga e tenta ligar-se novamente.

Dispositivo headless

Um dispositivo ligado à rede que não possui um ecrã ou browser de internet, como uma consola de jogos, termostato inteligente, impressora sem fios ou coluna inteligente.

Estes dispositivos não conseguem navegar em Captive Portals ou processar certificados 802.1X, tornando o iPSK o único método de autenticação seguro viável para os mesmos numa rede empresarial.

Build-to-Rent (BTR)

Empreendimentos residenciais construídos especificamente para o mercado de arrendamento, tipicamente geridos por um único operador que fornece comodidades, incluindo WiFi gerido.

Um mercado prioritário para implementações iPSK. Os operadores de BTR utilizam o iPSK para fornecer WiFi isolado e instantâneo por residente como uma comodidade premium, sem implementar routers individuais em cada fração.

Reflexão mDNS

Uma configuração de rede que encaminha tráfego multicast DNS dentro de uma VLAN específica, permitindo que protocolos de descoberta de dispositivos como AirPlay, Chromecast e Bonjour funcionem dentro de um segmento de rede isolado.

Necessário para permitir que os residentes transmitam vídeo para a sua smart TV ou imprimam na sua impressora sem fios dentro da sua Private Area Network, mantendo o isolamento de outros residentes.

Exemplos Práticos

Um empreendimento Build-to-Rent de 250 unidades necessita de fornecer WiFi seguro para os residentes. O operador pretende evitar a instalação de routers individuais em cada apartamento para reduzir a interferência de RF e os custos de hardware. Os residentes precisam de ligar smart TVs, consolas de videojogos e dispositivos inteligentes domésticos. Os residentes não devem conseguir ver os dispositivos de outros apartamentos.

Implementar um único SSID em toda a propriedade utilizando pontos de acesso Cisco Meraki configurados para Identity PSK com autenticação RADIUS. Integrar o sistema de gestão de propriedades com a Purple para gerar automaticamente um iPSK exclusivo para cada contrato de arrendamento. Quando um residente se liga, o servidor RADIUS atribui-o a uma VLAN dedicada - por exemplo, VLAN 101 para a Unidade 101. Configurar os switches centrais para isolar estas VLANs na Camada 2. Ativar a reflexão mDNS em cada VLAN de residente para suportar AirPlay, Chromecast e impressão sem fios dentro da unidade. Configurar o Change of Authorization (CoA) para terminar as sessões dos clientes imediatamente após a cessação do contrato de arrendamento. Integrar a Purple com o sistema de gestão de propriedades para que as credenciais sejam aprovisionadas antes da mudança e revogadas automaticamente na saída.

Comentário do Examinador: Esta abordagem cumpre todos os requisitos. O SSID único reduz a sobrecarga de RF em comparação com routers de apartamentos individuais. O iPSK suporta consolas de videojogos e smart TVs que falhariam numa rede 802.1X. A atribuição dinâmica de VLAN garante o isolamento completo entre apartamentos. A gestão automatizada do ciclo de vida através da Purple elimina a gestão manual de chaves e as falhas de segurança que esta cria. A configuração CoA garante que as chaves revogadas entrem em vigor imediatamente, em vez de esperar que o dispositivo se desligue e volte a ligar.

Um bloco de alojamento para estudantes universitários acolhe 800 estudantes, trazendo cada um em média sete dispositivos, incluindo portáteis, telemóveis, consolas de videojogos e colunas inteligentes. O departamento de TI está a receber um elevado volume de pedidos de suporte de estudantes que não conseguem ligar as suas impressoras sem fios e colunas inteligentes à rede WPA2-Enterprise do campus.

Manter a rede 802.1X existente para portáteis e telemóveis. Criar um SSID secundário configurado para iPSK especificamente para dispositivos IoT sem ecrã. Os estudantes utilizam um portal de self-service para gerar um iPSK exclusivo para os seus dispositivos. O servidor RADIUS atribui estes dispositivos a uma VLAN IoT específica do estudante, isolando-os dos dispositivos de outros estudantes, ao mesmo tempo que permite que comuniquem com os próprios dispositivos do estudante através de reflexão mDNS. Integrar o portal com o fornecedor de identidade da universidade - Microsoft Entra ID ou Google Workspace - para que as credenciais estejam associadas à conta universitária do estudante e sejam revogadas automaticamente no final da sua inscrição.

Comentário do Examinador: Esta abordagem híbrida mantém uma segurança elevada para os dispositivos informáticos principais, ao mesmo tempo que fornece uma solução pragmática para o hardware IoT. Elimina a sobrecarga do helpdesk ao capacitar os estudantes a integrar os seus próprios dispositivos sem ecrã de forma segura. O isolamento de VLAN garante que um dispositivo IoT comprometido num quarto não possa atacar dispositivos noutro. A integração do fornecedor de identidade garante que as credenciais são revogadas automaticamente no final de cada ano letivo.

Perguntas de Prática

Q1. Está a conceber a rede para um bloco de alojamento de estudantes com 500 unidades. Os estudantes precisam de ligar computadores portáteis, telemóveis e consolas de jogos. A equipa de TI pretende a revogação individual de credenciais e não tem capacidade para suportar uma fila de suporte técnico para problemas de certificados. Como estruturaria a autenticação?

Dica: Considere as capacidades das consolas de jogos face aos requisitos de segurança dos computadores portáteis. Pense se é mais adequado ter um ou dois SSIDs.

Ver resposta modelo

Implemente um único SSID utilizando iPSK com autenticação RADIUS. Isto permite que computadores portáteis e telemóveis se liguem de forma segura, suportando também dispositivos sem ecrã, como consolas de jogos, que não conseguem processar certificados 802.1X. Utilize a atribuição dinâmica de VLAN para isolar os dispositivos de cada estudante. Integre com o fornecedor de identidade da universidade para que as credenciais sejam provisionadas na matrícula e revogadas automaticamente no final de cada ano letivo. Isto elimina a sobrecarga de gestão de certificados, ao mesmo tempo que oferece capacidade de revogação individual.

Q2. Um residente relata que não consegue transmitir vídeo do seu smartphone para a sua smart TV. Ambos os dispositivos aparecem como ligados à rede WiFi. O residente está na Fração 204 de um empreendimento BTR com 200 frações. Qual é a causa mais provável e como a resolve?

Dica: Pense em como o isolamento de Camada 2 afeta os protocolos de descoberta de dispositivos, como o mDNS. Considere se o problema está entre VLANs ou dentro da mesma VLAN.

Ver resposta modelo

A causa mais provável é que o smartphone e a smart TV estejam atribuídos a VLANs diferentes, ou que a reflexão mDNS não esteja ativada na VLAN do residente. Primeiro, verifique se ambos os dispositivos se autenticaram com o mesmo iPSK e se foram atribuídos à mesma VLAN, consultando os registos de acesso RADIUS. Se estiverem em VLANs diferentes, o residente poderá ter utilizado credenciais diferentes para cada dispositivo - corrija isto garantindo que ambos os dispositivos utilizam o mesmo iPSK. Se estiverem na mesma VLAN mas a transmissão continuar a falhar, ative a reflexão mDNS nessa VLAN no controlador wireless para permitir o tráfego de descoberta do AirPlay e Chromecast.

Q3. O seu sistema de gestão de propriedades revoga o iPSK de um residente quando o seu contrato de arrendamento termina à meia-noite. Na manhã seguinte, o gestor da propriedade relata que os dispositivos do antigo residente ainda estão ligados à rede. Porquê, e o que deve fazer?

Dica: Considere com que frequência um dispositivo se autentica realmente com o servidor RADIUS após a ligação inicial. Pense em qual mecanismo força a desconexão imediata.

Ver resposta modelo

A autenticação RADIUS ocorre apenas durante o handshake de ligação inicial. Assim que um dispositivo é associado à rede, não se autentica continuamente. A revogação do iPSK na base de dados RADIUS impede futuras ligações, mas não desliga as sessões ativas. Para forçar a desconexão imediata, o sistema de gestão deve enviar uma mensagem de Change of Authorization (CoA) - definida no RFC 5176 - diretamente para o controlador wireless. Isto instrui o controlador a desligar as sessões ativas dos clientes para essa VLAN ou endereço MAC de imediato. Verifique se a sua plataforma de gestão suporta CoA e se está configurada para enviar mensagens de desconexão na revogação de credenciais, e não apenas na próxima tentativa de autenticação.

Q4. Está a planeá-lo uma implementação de WiFi 6E para um novo empreendimento BTR. Os pontos de acesso suportam a banda de 6 GHz, que requer WPA3. Deseja utilizar iPSK para isolamento de residentes. Como lida com a restrição de compatibilidade com WPA3?

Dica: O iPSK funciona em WPA2. O WPA3 utiliza SAE. Considere uma estratégia de banda dupla.

Ver resposta modelo

O iPSK não é compatível com WPA3-SAE, que é obrigatório na banda de 6 GHz. Implemente uma estratégia de duplo SSID: um SSID nas bandas de 2.4 GHz e 5 GHz utilizando WPA2 com iPSK para compatibilidade alargada de dispositivos, incluindo todos os dispositivos IoT e antigos. Um segundo SSID na banda de 6 GHz utilizando WPA3-Enterprise (802.1X) para computadores portáteis e telemóveis modernos que o suportem. Utilize a mesma infraestrutura RADIUS para ambos, com o SSID 802.1X a utilizar EAP-TLS ou PEAP para autenticação baseada em certificados ou credenciais. Isto garante que os dispositivos antigos e sem ecrã continuem a funcionar no SSID iPSK, enquanto os dispositivos compatíveis com 6 GHz beneficiam da segurança WPA3.

Continue a ler esta série

PPSK unifi: comparando funcionalidades e modelos de implementação

Este guia aborda a implementação de PPSK (Private Pre-Shared Key) na infraestrutura Ubiquiti UniFi para ambientes multi-inquilino, incluindo Build to Rent, alojamento de estudantes e hotelaria. Compara PPSK com 802.1X e PSK padrão, detalha dois modelos de implementação - UniFi nativo e overlay cloud RADIUS - e explica como a Purple automatiza a gestão de credenciais à escala. Promotores imobiliários, senhorios e operadores BTR encontrarão orientações de arquitetura acionáveis, casos de estudo reais e um caso de negócio claro para tratar o WiFi como um serviço gerido.

O que é PPSK: comparando funcionalidades e modelos de implementação

Este guia técnico de referência abrangente analisa a arquitetura PPSK (Private Pre-Shared Key), comparando-a com iPSK e 802.1X para ajudar operadores de locais e equipas de TI a selecionar o modelo de autenticação correto. Fornece estratégias de implementação acionáveis para ambientes multi-tenant, garantindo redes WiFi seguras, isoladas e fáceis de gerir.

iPSK para edifícios multifamiliares: um guia completo para empresas

Este guia explica como o iPSK (Identity Pre-Shared Key) resolve o principal desafio de conectividade em edifícios residenciais multi-inquilino - oferecendo um WiFi privado com qualidade de rede doméstica para cada residente numa infraestrutura partilhada. Abrange a arquitetura de autenticação, as etapas de implementação e o caso comercial para tratar o WiFi gerido como uma comodidade geradora de receitas em ambientes BTR e MDU.