iPSK: um guia abrangente para empresas

[INTRO] Bem-vindo ao Purple Technical Briefing. Hoje vamos abordar um tema que se situa exatamente na interseção entre a segurança de rede e a experiência do utilizador - Identity Pre-Shared Keys, ou iPSK WiFi. Se é um gestor de TI, um arquiteto de rede ou um diretor de operações de espaço, quase de certeza que já enfrentou este dilema: os seus convidados, residentes ou funcionários precisam de um WiFi fiável e seguro, mas as opções tradicionais - uma palavra-passe partilhada ou uma implementação enterprise 802.1X completa - trazem ambas compromissos sérios. O iPSK é a resposta a esse dilema e, nos próximos dez minutos, vou dar-lhe uma visão clara e prática do que é, como funciona e quando o deve implementar. Vamos a isto. [SECTION ONE: WHAT IS IPSK, AND WHY DOES IT EXIST?] Para compreender o iPSK, é necessário compreender o problema que ele resolve. Lembre-se dos dois modelos tradicionais de autenticação WiFi. O primeiro é o WPA2-Personal - o que a maioria das pessoas chama de PSK partilhado ou apenas uma palavra-passe de WiFi. Todos na rede utilizam a mesma frase-passe. É simples, funciona em todos os dispositivos e não requer qualquer infraestrutura além do ponto de acesso. O problema? É um ponto único de falha. Se um convidado partilhar a palavra-passe, ou se um dispositivo for comprometido, toda a rede fica exposta. E se precisar de revogar o acesso a uma pessoa - por exemplo, um prestador de serviços cujo contrato terminou - terá de alterar a palavra-passe para todos. À escala, num hotel com trezentos quartos ou numa cadeia de retalho com cinquenta filiais, isso é simplesmente impossível de gerir. O segundo modelo é o WPA2 ou WPA3 Enterprise, que utiliza a estrutura de autenticação 802.1X. Aqui, cada utilizador autentica-se com credenciais individuais - normalmente um nome de utilizador e palavra-passe, ou um certificado digital - validados num servidor RADIUS. É altamente seguro, oferece um controlo de acesso granular por utilizador e é o padrão de excelência para dispositivos geridos corporativos. Mas tem uma fraqueza crítica: a complexidade. Configurar uma infraestrutura de chaves públicas, gerir certificados e configurar suplicantes em cada dispositivo é uma tarefa significativa. E, crucialmente, muitos dispositivos simplesmente não conseguem fazê-lo. Consolas de jogos, smart TVs, sensores IoT, Chromecasts - estes dispositivos headless não têm qualquer mecanismo para processar a autenticação baseada em certificados. Num ambiente de hotelaria ou multi-inquilino, o 802.1X é inviável para uma parte significativa da sua frota de dispositivos. O Identity PSK situa-se precisamente entre estes dois extremos. O conceito central é elegante: cada utilizador ou dispositivo recebe a sua própria chave pré-partilhada única, mas todos se ligam ao mesmo SSID. Do ponto de vista do utilizador, parece exatamente como ligar-se a uma rede WiFi doméstica - introduzem uma frase-passe e estão ligados. Do ponto de vista da rede, cada ligação é identificada individualmente, encriptada individualmente e controlável individualmente. Obtém a simplicidade do PSK com a granularidade de um controlo de acesso de nível enterprise. [SECTION TWO: THE TECHNICAL ARCHITECTURE] Permita-me orientá-lo através do fluxo de autenticação, porque compreender isto é fundamental para uma implementação correta. Quando um dispositivo tenta ligar-se a um SSID com iPSK ativado, o Wireless LAN Controller intercetará a tentativa de ligação e reencaminhará o endereço MAC do dispositivo para um servidor RADIUS. O servidor RADIUS procura esse endereço MAC no seu repositório de identidades e devolve uma resposta Access-Accept. De forma crítica, incorporado nessa resposta está o par de atributos PSK-mode e PSK-password. O WLC recebe esta chave de acesso única e utiliza-a para validar a chave apresentada pelo dispositivo. Se coincidirem, o dispositivo é autenticado e colocado no segmento de rede apropriado. O que torna isto poderoso é o que acontece em paralelo com essa autenticação. A resposta RADIUS também pode conter atribuição de VLAN, política de largura de banda e atributos de controlo de acesso. Assim, o dispositivo não só obtém a sua própria chave de encriptação única, como também pode ser colocado automaticamente no segmento de rede correto - convidados na VLAN de convidados, funcionários na VLAN de funcionários, dispositivos IoT numa VLAN IoT dedicada - tudo a partir de um único SSID. Os principais fornecedores implementaram a sua própria versão desta tecnologia. A Cisco chama-lhe iPSK. A Aruba chama-lhe MPSK. A Ruckus chama-lhe DPSK. O princípio subjacente é idêntico em todos os três; os detalhes de implementação diferem ligeiramente, particularmente na forma como os atributos RADIUS estão estruturados. Uma palavra sobre Redes de Área Privada, porque isto é particularmente relevante para implementações multi-inquilino - hotéis, alojamento de estudantes, edifícios residenciais para arrendamento. O iPSK permite o isolamento de Camada 2 entre utilizadores. Embora centenas de dispositivos partilhem a mesma infraestrutura física e o mesmo SSID, o tráfego de cada utilizador está criptograficamente isolado do tráfego de todos os outros utilizadores. E com a reflexão mDNS ativada, um residente ainda pode descobrir e utilizar os seus próprios dispositivos - transmitir para a sua televisão, emparelhar com a sua coluna inteligente - sem qualquer risco de o seu vizinho ver ou aceder a esses dispositivos. [SECTION THREE: WHEN SHOULD YOU USE IPSK?] O iPSK é a escolha certa quando tem três condições presentes em simultâneo: primeiro, uma frota diversificada de dispositivos que inclui dispositivos sem ecrã ou IoT que não suportam 802.1X; segundo, a necessidade de controlo de acesso individual e auditabilidade - a capacidade de revogar o acesso de um utilizador específico sem afetar mais ninguém; e terceiro, um ambiente onde a experiência do utilizador é importante - onde pedir a alguém para configurar um certificado no seu dispositivo pessoal simplesmente não é aceitável. A hotelaria é o caso de utilização clássico. Um hotel de 300 quartos tem milhares de dispositivos a ligarem-se diariamente - smartphones, computadores portáteis, colunas inteligentes, dispositivos de streaming, consolas de videojogos. O hóspede espera introduzir uma palavra-passe uma vez e ter tudo a funcionar. O iPSK oferece isso. A equipa de TI do hotel pode revogar a chave de um hóspede no momento do checkout, de forma automática, através da integração com o Property Management System. Sem intervenção manual, sem falhas de segurança. O retalho é outro setor ideal. Uma grande cadeia de retalho pode ter terminais POS, sinalização digital, leitores manuais, tablets para funcionários e WiFi para clientes convidados, tudo a funcionar na mesma infraestrutura física. O iPSK permite-lhe segmentar estes dispositivos por tipo de dispositivo e função de utilizador, cada um com a sua própria chave e a sua própria política de rede, sem a sobrecarga de uma implementação completa do 802.1X. E para a conformidade com o PCI-DSS, a capacidade de demonstrar que os dispositivos de processamento de pagamentos estão num segmento isolado criptograficamente - mesmo num SSID partilhado - é uma vantagem de conformidade significativa. Os centros de conferências e os locais de eventos enfrentam um desafio diferente: ambientes de alta densidade e elevada rotatividade, onde milhares de dispositivos se ligam e desligam ao longo de um dia. O iPSK com gestão automatizada do ciclo de vida das chaves - fornecido no registo, revogado no final do evento - é muito mais viável operacionalmente do que uma palavra-passe partilhada ou um sistema baseado em certificados. Onde o iPSK não é a escolha certa: se tiver uma frota corporativa totalmente gerida - computadores portáteis e telemóveis registados num MDM, com certificados já implementados - então o WPA3-Enterprise com 802.1X é a postura de segurança mais robusta. O iPSK não é um substituto para a autenticação empresarial em terminais geridos; é a ferramenta certa para ambientes onde não controla os dispositivos que se ligam à sua rede. [SECÇÃO QUATRO: IMPLEMENTAÇÃO - ARMADILHAS E RECOMENDAÇÕES] O erro mais comum é tratar o iPSK como um projeto puramente técnico em vez de operacional. A tecnologia em si é relativamente simples de configurar - filtragem de MAC no WLC, servidor RADIUS com os pares atributo-valor adequados, políticas de VLAN. O problema mais difícil é a gestão do ciclo de vida das chaves. Como são fornecidas as chaves? Como são distribuídas pelos utilizadores? E, de forma crítica, como são revogadas quando a relação de um utilizador com a sua organização termina? A resposta a todas estas três perguntas deve ser a automatização. Num hotel, a integração com o seu Property Management System significa que as chaves são geradas no check-in e revogadas no check-out. Num ambiente de retalho, a integração com o seu sistema de RH ou fornecedor de identidade significa que as chaves são fornecidas quando um funcionário entra e revogadas no momento em que sai. A plataforma da Purple fornece esta camada de orquestração, posicionando-se entre o seu fornecedor de identidade e a sua infraestrutura RADIUS para automatizar todo o ciclo de vida das chaves. A segunda armadilha é a gestão de endereços MAC. O iPSK depende de consultas de endereços MAC no repositório de identidades RADIUS. Os sistemas operativos modernos - iOS 14 e posterior, Android 10 e posterior, Windows 11 - utilizam a aleatorização de endereços MAC por predefinição por motivos de privacidade. Se um dispositivo apresentar um endereço MAC aleatório, o seu servidor RADIUS não encontrará um registo correspondente e rejeitará a ligação. A solução consiste em implementar um fluxo de trabalho de pré-registo onde os utilizadores registam o seu dispositivo antes de se ligarem. Este é um problema solucionável, mas tem de constar no seu plano de implementação desde o primeiro dia. Terceiro: resiliência do servidor RADIUS. A sua implementação de iPSK é tão fiável quanto a sua infraestrutura RADIUS. Se o servidor RADIUS estiver indisponível, nenhum dispositivo novo conseguirá autenticar-se. Planeie para redundância - servidores RADIUS primários e secundários, com a configuração de failover adequada no WLC. Finalmente, teste a sua frota de dispositivos IoT antes de entrar em produção. Um teste de compatibilidade de dispositivos pré-implementação, particularmente para qualquer hardware feito à medida ou legado, irá poupar-lhe dores de cabeça significativas. [RAPID-FIRE Q&A] O iPSK funciona com WPA3? Sim, com algumas ressalvas. O WPA3-SAE altera o mecanismo de handshake, o que afeta a forma como as chaves iPSK são validadas. A maioria dos controladores modernos suporta iPSK em modo de transição WPA2 e WPA3, o que garante retrocompatibilidade. Para um ambiente puramente WPA3, verifique as diretrizes de implementação específicas do seu fornecedor. Quantas chaves únicas pode um único SSID suportar? Isto depende do controlador. O WLC da Cisco suporta milhares de entradas iPSK únicas. Na prática, o fator limitador é normalmente a capacidade da base de dados do seu servidor RADIUS e o desempenho das consultas, e não o controlador sem fios em si. O iPSK está em conformidade com o GDPR? O iPSK em si é um mecanismo de autenticação de rede, não uma ferramenta de recolha de dados. A conformidade com o GDPR resume-se à forma como gere os dados de identidade associados a essas chaves. Garanta que os seus registos do RADIUS e o repositório de identidades têm políticas de retenção adequadas - elimine os dados quando a relação com o utilizador terminar. [SUMMARY AND NEXT STEPS] Em resumo: o iPSK faz a ponte entre a simplicidade de uma palavra-passe partilhada e a segurança do 802.1X. Permite-lhe emitir chaves únicas para utilizadores ou dispositivos individuais, num único SSID, e atribuí-los a segmentos de rede isolados. É a solução definitiva para ambientes multi-tenant, hotelaria e implementações de IoT. O seu próximo passo: reveja a sua arquitetura de rede atual. Se está a transmitir múltiplos SSIDs para segmentar o tráfego, ou a ter dificuldades em proteger dispositivos sem interface de utilizador, o iPSK é a mudança arquitetónica que precisa de fazer. Fale com o seu gestor de conta da Purple para discutir como a nossa plataforma pode automatizar o ciclo de vida das chaves para o seu hardware específico. Obrigado por ouvir o Purple Technical Briefing.