Guia abrangente de iPSK: um guia completo para empresas

Bem-vindo ao briefing técnico da Purple. Hoje estamos a abordar o iPSK da marca, que significa Identity Pre-Shared Key, e por que razão se tornou o modelo de segurança WiFi definitivo para promotores imobiliários, operadores de BTR e empreendimentos residenciais multi-inquilino. Permita-me começar com o problema que está realmente a tentar resolver. Gere um empreendimento Build-to-Rent. Podem ser 100 frações, ou 500. Pretende que todos os residentes tenham WiFi seguro e privado desde o primeiro dia. Não quer instalar um router separado em cada apartamento. Não quer gerir centenas de redes separadas. E não pode, de todo, permitir que o Residente A navegue na smart TV do Residente B na rede. O WPA2-PSK standard, o modelo de palavra-passe partilhada, falha imediatamente a esta escala. Uma palavra-passe para todo o edifício significa que uma falha de segurança afeta todos os utilizadores. E não pode revogar o acesso de um único residente sem alterar a palavra-passe de todos os outros. Isso é operacionalmente impossível. O outro extremo é o WPA3-Enterprise com 802.1X. Muito seguro. Mas exige certificados digitais ou credenciais de utilizador e palavra-passe para cada dispositivo. As consolas de jogos, colunas inteligentes e termóstatos dos seus residentes simplesmente não conseguem ligar-se a uma rede 802.1X. Não possuem suporte para o protocolo de autenticação. Estaria a receber chamadas de suporte todos os dias. O iPSK situa-se exatamente no meio. Cada residente recebe a sua chave pré-partilhada única. Para o residente, parece e funciona exatamente como uma palavra-passe de WiFi doméstica. Introduzem-na uma vez e todos os dispositivos que possuem ligam-se. Nos bastidores, contudo, o ponto de acesso sem fios envia um pedido RADIUS para a nuvem da Purple, contendo o endereço MAC do cliente. O nosso servidor RADIUS procura esse MAC, encontra o perfil de autorização correspondente e devolve a PSK correta. O ponto de acesso valida então a ligação utilizando essa chave individual. O resultado: um único SSID para todo o edifício, mas cada residente fica isolado no seu próprio segmento de rede privada. Deixe-me agora guiá-lo pela arquitetura, porque é aqui que reside o verdadeiro poder. O fluxo de autenticação tem quatro etapas. Primeiro, o dispositivo do cliente envia um pedido de associação ao ponto de acesso. Segundo, o controlador sem fios, seja ele Cisco Meraki, HPE Aruba, Ruckus ou Juniper Mist, envia um RADIUS Access-Request para a nuvem da Purple, transportando o endereço MAC do cliente. Terceiro, o nosso servidor RADIUS avalia a política de autorização. Associa o endereço MAC ao registo do residente, obtém a PSK atribuída e devolve uma resposta Access-Accept contendo o VLAN ID para esse residente. Quarto, o ponto de acesso coloca o cliente na sua VLAN dedicada. Do ponto de vista do residente, isto é indistinguível de uma ligação WiFi doméstica standard. A complexidade está inteiramente do lado do servidor. Essa é a elegância do iPSK. A sobreposição de VLAN via RADIUS significa que o Residente A fica na VLAN 101, o Residente B na VLAN 102, e os dispositivos IoT do seu edifício, sensores de porta, CCTV e contadores inteligentes ficam numa VLAN completamente separada, sem contaminação cruzada. Uma palavra sobre o que chamamos de Rede de Área Privada, ou PAN. Esta é a bolha virtual criada em torno dos dispositivos de cada residente. Embora centenas de residentes partilhem a mesma infraestrutura de WiFi, o iPSK garante o isolamento de Camada 2. O telemóvel do Residente A consegue ver o seu próprio Chromecast e impressora. O Residente B no apartamento ao lado não consegue ver nem interagir de todo com esses dispositivos. Isto também ativa algo chamado mDNS Reflection, que permite que os dispositivos se descubram uns aos outros dentro do seu próprio segmento privado. Assim, transmitir a Netflix para um Chromecast funciona perfeitamente, tal como funcionaria num router doméstico, mas não passa para o corredor ou para a rede de qualquer outro residente. Deixe-me agora comparar o iPSK com as alternativas, porque a escolha do modelo de autenticação é uma das decisões mais consequentes que irá tomar no design da sua rede. O PSK padrão, WPA2-Personal, oferece simplicidade. Todos usam a mesma palavra-passe. Mas não há controlo central. Se um residente divulgar a palavra-passe, toda a rede fica em risco. Alterar a palavra-passe quando um residente sai afeta todos os outros residentes. Com 200 frações, isto torna-se ingerível. O 802.1X EAP-TLS é o padrão corporativo de alta segurança. Fornece autenticação baseada em certificados por dispositivo. Pode revogar o acesso individual instantaneamente. Mas requer uma autoridade de certificação, gestão de certificados e um suplicante em cada dispositivo. Consolas de jogos, smart TVs, dispositivos Amazon Alexa - nenhum deles suporta 802.1X. Num ambiente residencial, isto é inviável. O iPSK oferece a identidade por dispositivo do 802.1X com a simplicidade operacional de uma palavra-passe doméstica. Suporta 100% dos dispositivos, incluindo todos os dispositivos IoT sem ecrã que os seus residentes possuem. E escala para milhares de frações sem adicionar custos de gestão, porque o ciclo de vida é automatizado. A terminologia dos fabricantes varia, e vale a pena conhecer os equivalentes. A HPE Aruba chama a isto MPSK, Multi-PSK. A Ruckus e a Juniper Mist utilizam DPSK, Dynamic PSK. A Ubiquiti UniFi chama-lhe PPSK, Private PSK. O conceito é idêntico em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. A Purple implementa-se como uma sobreposição na nuvem em todas estas plataformas. Não precisa de substituir os seus pontos de acesso. Deixe-me agora guiá-lo pela implementação, porque é aqui que as implementações falham. O primeiro e mais comum erro é subdimensionar o intervalo DHCP. Os engenheiros de rede por vezes atribuem uma sub-rede slash-28 por apartamento para poupar espaço de endereços IP. Isso equivale a 14 endereços utilizáveis. Em 2026, um casal num apartamento BTR esgotará 14 IPs até terça-feira. Um telemóvel, um portátil, um tablet, uma smart TV, uma consola de jogos, uma coluna inteligente, um par de lâmpadas inteligentes. Já são oito dispositivos antes de receberem um amigo em casa. Opte sempre por predefinição por uma sub-rede slash-24 por residente. O segundo detalhe crítico é o isolamento de clientes. Deve garantir que o isolamento de clientes está desativado na VLAN do residente. Se deixar o isolamento de clientes ativado, quebra a funcionalidade de casa inteligente para a qual o iPSK foi concebido. Os dispositivos com a mesma chave não comunicarão entre si e passará a semana inteira a resolver pedidos de suporte de Chromecast. A terceira consideração é o roaming. Se um residente caminhar do seu apartamento no quarto andar até ao ginásio no rés do chão, a sua ligação precisa de persistir. Isto significa que a sua VLAN específica deve ser encaminhada (trunked) para o ponto de acesso no ginásio, ou precisa de criar um túnel para o tráfego de volta a um controlador central. Este é um descuido comum em implementações iniciais. Agora, o elefante na sala: o WPA3 e a banda de 6 GHz. O WiFi 6E e o WiFi 7 exigem a segurança WPA3 na banda de 6 GHz. O WPA3 substitui o antigo handshake de quatro vias pela Autenticação Simultânea de Iguais, ou SAE. O problema é que a norma IEEE 802.11 para SAE não suporta atualmente várias palavras-passe por SSID da forma que o WPA2 faz. Isto não é um problema da Cisco Meraki ou da Aruba. É uma limitação de toda a indústria que reside na própria norma IEEE. A melhor prática atual é uma abordagem híbrida. Mantenha um SSID iPSK WPA2 nas bandas de 2.4 e 5 GHz para dispositivos legados e hardware IoT. Para a banda de 6 GHz, implemente um SSID separado usando 802.1X para endpoints corporativos geridos. Existe também o desafio da aleatorização de endereços MAC. O Apple iOS 14 e o Android 10 introduziram endereços MAC aleatórios por rede. Numa implementação iPSK baseada em MAC, o ponto de acesso envia o MAC aleatório para o servidor RADIUS. O servidor não o reconhece. A autenticação falha. O modo Easy PSK da Cisco Meraki resolve isto em grande parte ao autenticar através de parâmetros EAPOL em vez de pesquisa MAC. Se está a usar Meraki e tem clientes iOS ou Android, utilize o modo Easy PSK. Dois cenários do mundo real para tornar isto concreto. Cenário um: um empreendimento de Build-to-Rent de 350 unidades. O operador pretendia que os residentes recebessem as suas credenciais de WiFi antes do dia da mudança. A plataforma Multi-Tenant WiFi da Purple integrou-se com o sistema de gestão de propriedades. Quando um contrato de arrendamento era assinado, o PMS desencadeava uma chamada de API para a Purple, que gerava uma iPSK única e a provisionava automaticamente. O residente recebia a sua chave por email. No primeiro dia, bastava entrar, ligar todos os seus dispositivos e a rede estava ativa. Quando saíam, a chave era revogada automaticamente. Zero intervenção manual por parte da equipa de gestão do espaço. O operador reduziu as chamadas de suporte relacionadas com WiFi em mais de 60% em comparação com o modelo anterior de palavra-passe partilhada. Cenário dois: uma propriedade hoteleira de 180 quartos. O hotel pretendia eliminar o login do Captive Portal, do qual os hóspedes se queixavam repetidamente. Com iPSK, cada quarto recebia uma chave única impressa no cartão do quarto ou enviada através do email de confirmação da reserva. Os hóspedes ligavam-se uma vez. O seu telemóvel, tablet e portátil ligavam-se automaticamente em visitas subsequentes durante a mesma estadia. Os dispositivos IoT no quarto ficavam numa VLAN separada, isolados do tráfego dos hóspedes. As chaves eram geradas no check-in e revogadas no check-out sem quaisquer passos manuais na receção. Perguntas rápidas agora. O iPSK pode funcionar sem o Cisco ISE? Sim. O FreeRADIUS e o Microsoft NPS suportam ambos o atributo Tunnel-Password que o iPSK exige. A Purple atua como o servidor RADIUS, pelo que não necessita de implementar ou gerir a sua própria infraestrutura RADIUS de todo. O iPSK é conforme com o PCI-DSS? O iPSK suporta os requisitos de segmentação de rede do PCI-DSS 4.0. Os ambientes de dados de titulares de cartões devem ser isolados das redes de hóspedes e de IoT. A capacidade de sobreposição de VLAN do iPSK é o mecanismo que alcança esta segmentação. Qual é o caso comercial? Estudos da British Property Federation indicam que o WiFi gerido gera um prémio de renda de 15 a 30 libras por unidade, por mês, em empreendimentos Build-to-Rent no Reino Unido. Também elimina o período de inatividade de cinco a dez dias enquanto um residente aguarda por um engenheiro do ISP. Em resumo. O iPSK oferece-lhe identidade por dispositivo num único SSID, sem a complexidade dos certificados 802.1X e sem as falhas de segurança de uma palavra-passe partilhada. É o modelo certo para Build-to-Rent, hotéis, retalho e qualquer ambiente multi-tenant onde precise de isolar o tráfego, automatizar o ciclo de vida dos acessos e suportar todos os tipos de dispositivos. Cinco regras antes de ir. Uma: se tem mais de 50 dispositivos ou utilizadores num único SSID e necessita de controlo de acesso por dispositivo, o iPSK é quase certamente o modelo certo. Duas: planeie sempre a sua arquitetura de VLAN antes de configurar o iPSK. Três: se utiliza Cisco Meraki com clientes iOS ou Android, utilize o modo Easy PSK. Quatro: não implemente o iPSK sem uma camada de gestão do ciclo de vida. Cinco: planeie a sua migração para WPA3 agora. A plataforma de WiFi multi-tenant da Purple trata da automação do ciclo de vida, ligando o seu sistema de gestão de propriedades ou provedor de identidade ao seu hardware, automatizando o aprovisionamento e a revogação de chaves à escala, em mais de 80.000 locais ativos e a somar. Se quiser ir mais detalhadamente, seja para uma revisão de arquitetura, um passo a passo de configuração ou uma implementação piloto, o link para falar com a nossa equipa está no guia. Obrigado por ouvir.