Kepanjangan iPSK: um guia abrangente para empresas

Bem-vindo à série de briefings técnicos da Purple. Hoje estamos a abordar o iPSK - Identity Pre-Shared Key - o que realmente significa, como funciona nos bastidores e por que é importante se for um promotor imobiliário, senhorio ou operador de BTR a implementar WiFi num edifício de múltiplos inquilinos. [medium pause] Comecemos pelo básico. iPSK significa Identity Pre-Shared Key. O termo completo nos mercados de língua indonésia e malaia é "kepanjangan iPSK" - o que significa simplesmente "abreviatura de iPSK" ou "o que significa iPSK". Se chegou a este guia porque pesquisou essa frase, está no lugar certo. Vamos cobrir o cenário completo - a tecnologia, a arquitetura e as decisões práticas de implementação que precisa de tomar neste trimestre. [medium pause] Então. O que é o iPSK e por que existe? As redes WiFi tradicionais utilizam uma única chave pré-partilhada - uma palavra-passe para todos no mesmo SSID. Isso funciona bem numa casa. Deixa de funcionar no momento em que tem centenas de agregados familiares a partilhar a mesma infraestrutura. Se um residente partilhar a palavra-passe com alguém que não devia, terá de repor a palavra-passe de todos os residentes do edifício. Isso é um pesadelo operacional e desliga todos os dispositivos inteligentes, todos os Chromecast e todas as colunas inteligentes do edifício em simultâneo. O iPSK resolve isto ao emitir uma palavra-passe de WiFi única para cada residente - ou cada agregado familiar - mantendo todos no mesmo SSID. O ponto de acesso interpeta a tentativa de ligação, envia o endereço MAC do dispositivo para um servidor RADIUS e o servidor RADIUS responde com a frase-passe correta para esse dispositivo específico. O ponto de acesso utiliza então essa frase-passe para concluir o handshake WPA2. Do ponto de vista do residente, ele apenas introduziu a sua palavra-passe de WiFi. Do ponto de vista da rede, ele foi autenticado, isolado e atribuído ao seu próprio segmento de rede privada. [medium pause] Vamos falar sobre a terminologia dos fabricantes, porque isto costuma baralhar as pessoas. A Cisco Meraki chama-lhe WPN - Wi-Fi Personal Network. A HPE Aruba chama-lhe PPSK - Private Pre-Shared Key. A Ruckus utiliza o termo DPSK - Dynamic Pre-Shared Key. A Juniper Mist suporta-o nativamente. O conceito subjacente é idêntico em todas as quatro plataformas. O Multi-Tenant WiFi da Purple funciona como uma sobreposição na cloud no topo de todas elas - Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Não precisa de substituir o seu hardware para implementar o iPSK. [medium pause] Agora vamos entrar na arquitetura. Existem três componentes numa implementação de iPSK. Primeiro, os pontos de acesso - este é o seu hardware físico, seja qual for o que tenha instalado. Segundo, um servidor RADIUS - este é o motor de autenticação que guarda o mapeamento entre endereços MAC e frases-passe. Terceiro, uma camada de gestão - algo que fornece chaves na entrada de um novo inquilino, as revoga na saída e lida com o self-service para residentes que precisem de adicionar um novo dispositivo. A Purple fornece o segundo e o terceiro componentes como um serviço cloud. Atuamos como a camada de RADIUS-as-a-Service e fornecemos o portal voltado para o residente para a gestão de chaves. Você traz os pontos de acesso. [medium pause] Quando um residente liga um novo dispositivo, eis o que acontece em sequência. O dispositivo envia um pedido de associação ao SSID. O ponto de acesso reencaminha o endereço MAC do dispositivo para o servidor RADIUS da Purple. A Purple procura o endereço MAC, encontra a palavra-passe atribuída ao residente e devolve-a como um par Cisco AV na resposta RADIUS Access-Accept. O ponto de acesso utiliza essa palavra-passe para concluir o handshake de quatro vias do WPA2. O dispositivo está ligado. Todo o processo demora menos de duzentos milissegundos. Se o endereço MAC do dispositivo não estiver no sistema - por exemplo, um novo dispositivo que o residente ainda não registou - o servidor RADIUS devolve um Access-Reject. O dispositivo não se pode ligar até que o residente o registe através do portal de self-service. [medium pause] Isto leva-nos à atribuição de VLAN. Uma das funcionalidades mais poderosas do iPSK com RADIUS é a marcação dinâmica de VLAN. O servidor RADIUS não se limita a devolver a palavra-passe - também pode devolver um ID de VLAN na mesma resposta. Isto significa que o tráfego de cada residente vai parar à sua própria VLAN automaticamente, sem qualquer configuração manual de switch. O tráfego do Residente A vai para a VLAN 101. O tráfego do Residente B vai para a VLAN 102. A rede de gestão do edifício fica na VLAN 10. Os dispositivos IoT - fechaduras inteligentes, termóstatos, sensores - podem ser colocados numa VLAN de IoT dedicada com acesso restrito à internet e sem movimento lateral para os segmentos dos residentes. Esta é a arquitetura que torna o iPSK genuinamente de nível empresarial, em vez de apenas uma funcionalidade de conveniência. Vejamos um cenário de implementação real. Um empreendimento de 200 frações Build to Rent em Manchester. O promotor especificou pontos de acesso Cisco Meraki - um por apartamento, mais unidades de corredor para roaming. A Purple foi implementada como a camada de RADIUS e gestão. No momento da mudança, cada residente recebe um código QR por e-mail. Digitalizam-no e todos os seus dispositivos ligam-se automaticamente. Sem chamadas para o suporte de TI. Sem folha de palavras-passe. A chave do residente está associada ao seu registo de arrendamento no sistema de gestão de propriedades. Quando se mudam, a chave é revogada no painel da Purple. Os seus dispositivos deixam de se ligar. Nenhum outro residente é afetado. O resultado: os pedidos de suporte relacionados com WiFi diminuíram mais de 60% em comparação com o edifício anterior que o promotor geria, que utilizava um modelo de palavra-passe partilhada. A ativação do WiFi no dia da mudança passou de um processo de duas horas para menos de cinco minutos por residente. [medium pause] Segundo cenário. Um bloco de alojamento para estudantes com 450 camas. O desafio aqui é a densidade - quinze a vinte e cinco dispositivos por quarto, e uma semana de mudança em setembro onde trezentos estudantes chegam simultaneamente. Com um modelo tradicional de palavra-passe partilhada, o suporte técnico fica sobrecarregado. Com iPSK, cada estudante recebe a sua chave durante o fluxo de integração antes da chegada. Eles chegam, digitalizam o código QR e estão ligados. O servidor RADIUS lida com a carga de autenticação automaticamente. A infraestrutura da Purple funciona com 99.999% de tempo de atividade - esse é o SLA que publicamos e garantimos. [medium pause] Agora, armadilhas na implementação. Existem três que surgem repetidamente. Primeira: a aleatorização de endereços MAC. Os dispositivos modernos iOS e Android randomizam o seu endereço MAC por predefinição ao procurar redes. Isto quebra as pesquisas RADIUS baseadas em MAC porque o dispositivo apresenta um MAC diferente cada vez que faz uma verificação. A solução é utilizar endereços MAC estáveis por rede - o iOS 14 e o Android 10 suportam ambos esta funcionalidade. Precisa de comunicar isto aos residentes durante a integração. O portal de residentes da Purple lida com isto com instruções claras. Segunda: integração de dispositivos IoT. Dispositivos domésticos inteligentes - termostatos, fechaduras inteligentes, hubs Zigbee - muitas vezes não conseguem exibir um código QR ou introduzir uma frase de acesso através de um fluxo padrão. A solução é um SSID de IoT dedicado com um pool iPSK separado, ou um fluxo de provisionamento onde o residente regista o endereço MAC do dispositivo através do portal antes de o ligar. A Purple suporta ambas as abordagens. Terceira: disponibilidade do servidor RADIUS. Se o seu servidor RADIUS falhar, as novas ligações de dispositivos falham. Os dispositivos já ligados permanecem ligados porque a sessão WPA2 já está estabelecida, mas as novas associações não serão concluídas. É por isso que o RADIUS-as-a-Service da Purple corre numa infraestrutura redundante com essa garantia de 99.999% de tempo de atividade. Não execute iPSK num único servidor RADIUS local sem uma alternativa de failover. [medium pause] Fechemos com o caso de negócio, porque isto é, em última análise, o que importa para um promotor imobiliário ou proprietário. O WiFi como comodidade acarreta um prémio de arrendamento mensurável no setor BTR. Estudos da British Property Federation estimam este valor entre quinze e trinta libras por unidade por mês. Num edifício de 200 unidades, isso representa entre trinta e seis mil e setenta e duas mil libras de receita anual adicional. Os períodos de desocupação são mais curtos quando o WiFi de mudança está pronto no primeiro dia - normalmente cinco a dez dias mais curtos por desocupação, de acordo com as referências do setor. E o custo de implementar o iPSK como uma sobreposição de software em hardware existente é significativamente inferior aos contratos de banda larga por unidade, que normalmente captam o valor para o ISP e não para o operador. O caso operacional é igualmente forte. Uma chave por residente significa uma revogação na saída do inquilino. Sem redefinições de palavra-passe em todo o edifício. Sem pedidos de suporte de residentes cujo Chromecast deixou de funcionar porque o dispositivo de outra pessoa está na mesma sub-rede. A rede comporta-se como uma rede doméstica privada para cada residente, enquanto o operador gere tudo a partir de um único painel na nuvem. [medium pause] Perguntas rápidas antes de terminarmos. O iPSK funciona com WPA3? Ainda não na implementação padrão - o WPA3 utiliza SAE, o que altera o mecanismo de handshake. A maioria dos fabricantes está a trabalhar em iPSK compatível com WPA3, mas, em meados de 2025, o WPA2 é o padrão pronto para produção para implementações de iPSK. Posso executar iPSK sem um servidor RADIUS? A Cisco Meraki suporta até 5.000 iPSKs sem RADIUS no firmware MR 30.1 e superior. Para implementações mais pequenas, isto é viável. Para qualquer coisa acima de uma centena de unidades, o RADIUS oferece a automação, a atribuição de VLAN e a gestão de ciclo de vida de que necessita. Quantas chaves pode uma implementação iPSK baseada em RADIUS suportar? Praticamente ilimitadas - o limite é a base de dados do seu servidor RADIUS, não o protocolo. A Purple implementou iPSK em edifícios com mais de mil unidades sem problemas de desempenho. [medium pause] Para resumir. O iPSK - Identity Pre-Shared Key - atribui a cada residente uma credencial WiFi exclusiva num SSID partilhado. O servidor RADIUS trata da autenticação, entrega da frase-passe e atribuição de VLAN numa única viagem de ida e volta. A Purple fornece a camada de RADIUS-as-a-Service e o portal de gestão de residentes, funcionando em hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Se está a planear uma implementação de BTR, alojamento de estudantes ou MDU e quer ver como o iPSK se adapta ao seu edifício específico, fale com a equipa da Purple. Implementámos isto em mais de 80.000 locais e 350 milhões de utilizadores únicos. Sabemos o que funciona. Obrigado por ouvir.