Saltar para o conteúdo principal
Português

Nama ff iPSK dragon: um guia abrangente para empresas

Este guia explica como a arquitetura Identity Pre-Shared Key (iPSK) - o modelo de implementação 'dragon' para um WiFi robusto, escalável e multi-tenant - resolve o dilema de conectividade para operadores de Build-to-Rent, promotores imobiliários e proprietários de imóveis. Abrange fluxos de autenticação técnica, integração RADIUS, atribuição dinâmica de VLAN e o caso de negócio para fornecer conectividade residencial Instant-On segura e isolada em grande escala.

📖 7 min de leitura📝 1,509 palavras🔧 2 exemplos práticos4 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast
[INTRO] Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos abordar um tema que se situa mesmo na interseção entre a segurança de rede e a experiência do utilizador: Identity Pre-Shared Keys, ou iPSK WiFi. Especificamente, vamos analisar como esta tecnologia resolve o dilema de conectividade para promotores imobiliários, senhorios e operadores de Build-to-Rent. Se é um gestor de TI ou um arquiteto de rede, quase de certeza que já enfrentou este dilema. Os seus residentes precisam de WiFi fiável e seguro. As opções tradicionais são uma palavra-passe partilhada ou uma implementação enterprise 802.1X completa. Ambas trazem sérios compromissos. O iPSK é a resposta a esse dilema. Nos próximos dez minutos, vou dar-lhe uma perspetiva clara e prática do que é, como funciona e quando o deve implementar. Vamos a isso. [SECTION ONE: THE CONNECTIVITY DILEMMA IN MULTI-TENANT ENVIRONMENTS] Para compreender o iPSK, é necessário compreender o problema que ele resolve. Lembre-se dos dois modelos tradicionais de autenticação WiFi. O primeiro é o WPA2-Personal. A maioria das pessoas chama-lhe um PSK partilhado, ou simplesmente uma palavra-passe de WiFi. Todos os utilizadores na rede usam a mesma frase de acesso. É simples. Funciona em todos os dispositivos. Exige zero infraestrutura além do ponto de acesso. O problema? É um ponto único de falha. Se um residente partilhar a palavra-passe, toda a rede fica exposta. Se precisar de revogar o acesso de uma pessoa, tem de alterar a palavra-passe de todos. À escala, num edifício residencial com trezentos apartamentos, isso não é viável. Além disso, como todos estão no mesmo segmento aberto, os residentes conseguem frequentemente ver os dispositivos dos vizinhos, tais como smart TVs ou impressoras. Isto é uma violação de privacidade significativa. O segundo modelo é o WPA2 ou WPA3 Enterprise, que utiliza a estrutura de autenticação IEEE 802.1X. Aqui, cada utilizador autentica-se com credenciais individuais validadas num servidor RADIUS. É altamente seguro. Dá-lhe um controlo de acesso granular por utilizador. Mas tem uma fraqueza crítica: a complexidade. Configurar uma infraestrutura de chaves públicas e configurar supplicants em cada dispositivo é uma tarefa enorme. Crucialmente, muitos dispositivos simplesmente não o conseguem fazer. Consolas de jogos, smart TVs, sensores IoT, Chromecasts. Estes dispositivos headless não têm qualquer mecanismo para processar autenticação baseada em certificados. Num ambiente residencial, o 802.1X é inviável para uma parte significativa da sua frota de dispositivos. O Identity PSK situa-se precisamente entre estes dois extremos. O conceito central é elegante. Cada utilizador ou dispositivo recebe a sua própria chave pré-partilhada única, mas todos se ligam ao mesmo SSID. Do ponto de vista do utilizador, parece exatamente o mesmo que ligar-se a uma rede WiFi doméstica. Introduzem uma frase de acesso e estão ligados. Do ponto de vista da rede, cada ligação é identificada individualmente, encriptada individualmente e controlável individualmente. Obtém a simplicidade do PSK com a granularidade do controlo de acesso de nível enterprise. [SECÇÃO DOIS: MERGULHO TÉCNICO E ARQUITETURA] Agora, permita-me guiá-lo através do fluxo de autenticação. Compreender isto é fundamental para uma implementação correta. Quando um dispositivo tenta ligar-se a um SSID com iPSK ativado, o Wireless LAN Controller intercepta a tentativa de ligação e reencaminha o endereço MAC do dispositivo para um servidor RADIUS. É aqui que reside a inteligência. O servidor RADIUS procura esse endereço MAC no seu repositório de identidades e devolve uma resposta Access-Accept. De forma crítica, incorporado nessa resposta está um atributo específico do fabricante que contém a frase de passe exclusiva para esse cliente. O controlador recebe essa frase de passe exclusiva e utiliza-a para validar a chave apresentada pelo dispositivo. Se coincidirem, o dispositivo é autenticado e colocado no segmento de rede apropriado. O que torna isto poderoso é o que acontece em simultâneo com essa autenticação. A resposta RADIUS também pode transportar atribuição de VLAN, políticas de largura de banda e atributos de controlo de acesso. Assim, o dispositivo não só obtém a sua própria chave de encriptação exclusiva, como também pode ser colocado automaticamente no segmento de rede correto. Isto permite o que chamamos de Rede de Área Privada (Private Area Network). Esta funcionalidade é particularmente relevante para implementações multi-inquilino, como o arrendamento residencial (Build-to-Rent). O iPSK permite o isolamento de Camada 2 entre utilizadores. Embora centenas de dispositivos partilhem a mesma infraestrutura física e o mesmo SSID, o tráfego de cada utilizador é isolado criptograficamente do tráfego de todos os outros utilizadores. Com a reflexão mDNS ativada, um residente ainda pode descobrir e utilizar os seus próprios dispositivos, transmitindo para o seu Chromecast ou imprimindo na sua impressora portátil, sem qualquer risco de o seu vizinho ver esses dispositivos. Este é o conceito de Rede de Área Privada. É um verdadeiro diferencial para os operadores de espaços físicos. [SECÇÃO TRÊS: RECOMENDAÇÕES DE IMPLEMENTAÇÃO E ERROS COMUNS] Permita-me agora partilhar as lições práticas das implementações. Os erros comuns e as recomendações. O erro mais comum é tratar o iPSK como um projeto puramente técnico em vez de um projeto operacional. A tecnologia em si é relativamente simples de configurar. O problema mais difícil é a gestão do ciclo de vida das chaves. Como são as chaves provisionadas? Como são distribuídas aos utilizadores? Criticamente, como são revogadas quando um contrato de arrendamento termina? A resposta a estas três perguntas deve ser a automatização. Num ambiente de Build-to-Rent, a integração com o seu Sistema de Gestão de Propriedades (Property Management System) significa que as chaves são geradas quando um contrato é assinado e revogadas no momento da saída. A Purple fornece esta camada de orquestração, posicionando-se entre o seu fornecedor de identidade e a sua infraestrutura RADIUS para automatizar todo o ciclo de vida das chaves. O segundo obstáculo é a gestão de endereços MAC. O iPSK depende de consultas de endereços MAC no repositório de identidade RADIUS. Os sistemas operativos modernos utilizam a aleatorização de endereços MAC por predefinição por motivos de privacidade. Se um dispositivo apresentar um endereço MAC aleatório, o seu servidor RADIUS não encontrará um registo correspondente e rejeitará a ligação. A solução consiste em configurar o seu SSID para exigir que os clientes utilizem o endereço MAC permanente do seu dispositivo, ou implementar um fluxo de trabalho de pré-registo onde os utilizadores registam o seu dispositivo antes de se ligarem. Este é um problema que tem solução, mas precisa de estar no seu plano de implementação desde o primeiro dia. Terceiro: resiliência do servidor RADIUS. A sua implementação de iPSK é tão fiável quanto a sua infraestrutura RADIUS. Se o servidor RADIUS estiver indisponível, nenhum dispositivo novo se poderá autenticar. Planeie a redundância. Sempre. [SECTION FOUR: RAPID-FIRE Q AND A] Muito bem, vamos fazer uma ronda rápida sobre as perguntas que me fazem com mais frequência. O iPSK funciona com WPA3? Sim, com algumas ressalvas. O WPA3-SAE altera o mecanismo de handshake, o que afeta a forma como as chaves iPSK são validadas. A maioria dos controladores modernos suporta iPSK em modo de transição WPA2 e WPA3, o que proporciona retrocompatibilidade. Quantas chaves exclusivas pode um único SSID suportar? Isto depende do controlador. Os controladores Cisco suportam milhares de entradas iPSK exclusivas. Na prática, o fator limitador é normalmente a capacidade da base de dados do seu servidor RADIUS, e não o próprio controlador sem fios. O iPSK é compatível com o GDPR? O iPSK em si é um mecanismo de autenticação de rede, não uma ferramenta de recolha de dados. A conformidade com o GDPR resume-se à forma como gere os dados de identidade associados a essas chaves. Deve ter uma base legal para processar esses dados e deve garantir que são armazenados de forma segura e eliminados quando já não forem necessários. [SECTION FIVE: SUMMARY AND NEXT STEPS] Em resumo. No setor de Build-to-Rent, a rede é a base da experiência do residente. Ao mudar para um modelo de WiFi gerido baseado em iPSK, elimina a maior dor de cabeça da vida em condomínio: a má conectividade. Proporciona a segurança e a privacidade que os residentes exigem, com a simplicidade Instant-On que define uma marca moderna e premium. O iPSK atribui uma palavra-passe exclusiva a cada utilizador ou dispositivo num único SSID. A atribuição dinâmica de VLAN cria uma Rede de Área Privada para cada residente. Suporta todos os tipos de dispositivos. E a gestão automatizada do ciclo de vida significa que a sua equipa de TI não tem de gerir manualmente centenas de chaves. Essa é a promessa do iPSK, e é algo que a Purple entrega em 80.000 locais ativos globalmente. Obrigado por ouvir o Purple Technical Briefing. Se está pronto para atualizar a conectividade do seu edifício, reserve uma sessão técnica com a nossa equipa em purple dot ai.

header_image.png

Resumo executivo

A segurança de WiFi tradicional obriga a uma escolha entre duas opções inadequadas. O WPA2-Personal padrão é simples, mas não oferece responsabilidade individual - uma palavra-passe divulgada compromete toda a rede. O WPA2/3-Enterprise (IEEE 802.1X) fornece controlo por utilizador, mas quebra a conectividade para consolas de jogos, smart TVs e dispositivos IoT que não conseguem processar certificados digitais.

O Identity Pre-Shared Key (iPSK) - a arquitetura no centro do que os profissionais chamam de modelo de implementação "dragon" para WiFi robusto, escalável e multi-tenant - resolve esta tensão. Atribui uma palavra-passe única a cada utilizador ou dispositivo individual num único SSID, permitindo a atribuição dinâmica de VLAN e isolamento de Camada 2 através de um servidor RADIUS central. Para operadores de Build-to-Rent (BTR), promotores imobiliários e senhorios, o iPSK é o padrão definitivo para conectividade multi-tenant. Suporta 100% dos dispositivos dos residentes, cria uma rede de área privada (PAN) para cada unidade e escala através de uma gestão automatizada do ciclo de vida integrada com fornecedores de identidade como o Microsoft Entra ID, Okta ou Google Workspace. A Purple automatiza todo este fluxo de trabalho em mais de 80.000 locais ativos, integrando-se com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Análise técnica aprofundada: a arquitetura iPSK

O iPSK resolve um problema que existe desde que a primeira palavra-passe de WiFi partilhada foi escrita num quadro de giz na receção de um hotel. O WPA2-Personal padrão utiliza uma frase de acesso para todos os dispositivos na rede. Ao alterá-la para uma pessoa, altera-a para todas. Pior, o isolamento de Camada 2 está ausente por predefinição, pelo que a smart TV de um residente está visível para todos os vizinhos no mesmo segmento. O WPA3-Enterprise com IEEE 802.1X resolve o problema de segurança, mas cria um novo: exige que cada dispositivo execute um suplicante capaz de autenticação baseada em certificados ou credenciais. Consolas de jogos, colunas inteligentes, sensores IoT e pens de streaming não conseguem fazê-lo. Num edifício de 200 unidades com 15-25 dispositivos por habitação, são milhares de dispositivos que simplesmente não se irão ligar.

O iPSK atribui uma chave pré-partilhada única a cada residente ou dispositivo, mas todas as chaves partilham um único SSID. O fluxo de autenticação funciona da seguinte forma. Quando um dispositivo envia um pedido de associação, o Wireless LAN Controller (WLC) intercetará a tentativa de ligação e reencaminhará o endereço MAC do dispositivo para um servidor RADIUS. O servidor RADIUS procura esse endereço MAC no seu repositório de identidades e devolve uma resposta Access-Accept. Incorporado nessa resposta está um atributo específico do fabricante que contém a frase de passe única para esse cliente. O controlador recebe esta frase de passe única e utiliza-a para validar a chave que o dispositivo apresentou. Se coincidirem, o dispositivo é autenticado e colocado no segmento de rede apropriado.

architecture_overview.png

Isolamento de Camada 2 e Redes de Área Privada

Num ambiente multi-inquilino, um único SSID em centenas de apartamentos é eficiente para o planeamento de RF, mas cria riscos de segurança graves sem uma segmentação adequada. O iPSK permite a criação de uma Rede de Área Privada (PAN) para cada residente.

Quando um residente se autentica com o seu iPSK único, o servidor RADIUS atribui os seus dispositivos a uma VLAN específica. A infraestrutura de rede impõe o isolamento de Camada 2 entre estas VLANs. O iPhone do Residente A consegue ver a sua própria impressora ou Chromecast, mas o Residente B no apartamento ao lado não consegue descobrir ou interagir com esses dispositivos. Esta micro-segmentação é fundamental para a conformidade com o GDPR e para manter a confiança dos residentes.

Como cada residente tem a sua própria VLAN isolada, pode ativar a reflexão mDNS dentro dessa VLAN específica. O mDNS é o protocolo que permite o AirPlay, a transmissão de Chromecast e a impressão sem fios. Ativar a reflexão mDNS na VLAN privada de cada residente permite que os seus próprios dispositivos comuniquem entre si, permanecendo completamente isolados de todos os outros residentes. O resultado é uma experiência semelhante à de casa numa infraestrutura partilhada.

comparison_chart.png

Guia de implementação

Implementar o iPSK de forma eficaz requer ir além da configuração técnica e focar-se no ciclo de vida operacional das chaves.

Passo 1: Criação de perfis e categorização de dispositivos

Antes de selecionar um modelo de segurança, realize uma auditoria abrangente de todos os tipos de terminais esperados na rede. Categorize os dispositivos em dois grupos principais: dispositivos compatíveis com suplicante (portáteis corporativos, smartphones modernos e tablets) que devem ser direcionados para WPA3 Enterprise; e dispositivos headless ou legados (sensores IoT, impressoras, câmaras IP e scanners legados) que são candidatos a iPSK. Para obter mais orientações de arquitetura, consulte Três SSIDs para governar todos: guest, Passpoint, e IoT WiFi .

Passo 2: Desenhar a arquitetura de SSID

Uma implementação baseada nas melhores práticas envolve uma estratégia de SSID duplo para equilibrar segurança e compatibilidade. O SSID corporativo utiliza WPA3 Enterprise e é dedicado a dispositivos da equipa, utilizando EAP-TLS para autenticação baseada em certificados ou PEAP-MSCHAPv2 quando os certificados não são viáveis. O SSID para IoT/Dispositivos utiliza WPA2/WPA3 iPSK para dispositivos sem ecrã. O servidor RADIUS atribui VLANs com base no tipo de dispositivo, garantindo que o movimento lateral seja restrito mesmo que um dispositivo seja comprometido.

Passo 3: Configuração de RADIUS e políticas

Configure a sua infraestrutura RADIUS para processar ambos os tipos de autenticação. Para iPSK, certifique-se de que o motor de políticas mapeia endereços MAC para chaves e atributos de VLAN específicos. Implemente uma criação rigorosa de perfis de endereços MAC para detetar tentativas de spoofing. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet suportam PSK por dispositivo com atribuição dinâmica de VLAN, embora os nomes dos atributos específicos do fabricante difiram entre plataformas.

Passo 4: Automatização do ciclo de vida

O erro mais comum é tratar o iPSK como um projeto puramente técnico em vez de um projeto operacional. Gerir manualmente centenas ou milhares de chaves únicas não é viável para nenhuma equipa de TI. A Purple integra-se com o Microsoft Entra ID, Okta ou Google Workspace. Quando um novo residente assina um contrato, a Purple gera automaticamente um iPSK único, atribui uma VLAN e entrega as credenciais ao residente. Quando o contrato termina, a chave é automaticamente revogada.

Melhores práticas

Automatize a gestão de chaves desde o primeiro dia. Nunca tente gerir credenciais iPSK manualmente em larga escala. Integre o seu sistema de controlo de acessos à rede com o seu Sistema de Gestão de Propriedades ou Provedor de Identidade.

Ative a Alteração de Autorização (CoA). Revogar uma chave na base de dados RADIUS não desliga imediatamente um dispositivo que já esteja associado à rede. Para forçar a desconexão imediata, o seu sistema de gestão deve enviar uma mensagem de desconexão CoA diretamente para o controlador sem fios. Confirme se a sua plataforma de gestão suporta CoA antes do lançamento.

Aborde a aleatoriedade de endereços MAC de forma proativa. Os smartphones modernos tornam o seu endereço MAC aleatório para proteger a privacidade do utilizador. Se a sua implementação de iPSK depender de MAC Address Bypass, a aleatoriedade quebrará a autenticação. Eduque os residentes sobre como desativar endereços MAC privados na sua rede doméstica, ou implemente um fluxo de trabalho de pré-registo.

Planeie para a resiliência do RADIUS. O iPSK coloca uma carga computacional mais pesada no servidor RADIUS devido às verificações de dicionário necessárias durante o handshake EAPOL. Utilize um serviço RADIUS de elevado desempenho alojado na nuvem com redundância geográfica. Uma falha única de RADIUS significa que nenhum dispositivo novo se poderá autenticar. Planeie a transição para WPA3. Atualmente, o iPSK funciona principalmente em WPA2. Se estiver a implementar pontos de acesso WiFi 6E ou WiFi 7 na banda de 6 GHz, precisará de uma estratégia WPA3-Enterprise separada para esses clientes. Consulte PPSK wpa3: comparing features and deployment models para uma comparação mais aprofundada.

Resolução de problemas e mitigação de riscos

As falhas de autenticação são mais frequentemente causadas pela randomização de endereços MAC no iOS 14+, Android 10+ e Windows 11. Certifique-se de que são fornecidas instruções de integração claras aos residentes e considere um portal de pré-registo onde os residentes registam o endereço MAC permanente do seu dispositivo.

Problemas de deteção de dispositivos - se os residentes não conseguirem transmitir para as suas smart TVs ou usar o AirPlay - normalmente indicam que a reflexão mDNS não está ativada na VLAN específica do residente. Verifique se o tráfego multicast não está a ser rejeitado pelo controlador sem fios.

Os tempos limite de RADIUS ocorrem quando a latência entre o controlador sem fios e o servidor RADIUS excede o limite de tempo limite do EAPOL. Certifique-se de que a sua infraestrutura RADIUS está geograficamente próxima dos seus locais ou utilize uma arquitetura de nuvem distribuída. A infraestrutura RADIUS alojada na nuvem da Purple opera com 99,999% de tempo de atividade, eliminando isto como um ponto único de falha.

Os atrasos na revogação de chaves acontecem quando o CoA não está configurado. A eliminação de uma chave do RADIUS impede ligações futuras, mas não desliga as sessões ativas. Configure o CoA no seu controlador sem fios e teste-o durante o comissionamento.

ROI e impacto empresarial

Para operadores de BTR e promotores imobiliários, o caso de negócio para o iPSK é direto. Eliminar routers de consumo individuais em cada apartamento reduz as despesas de capital e os custos contínuos de manutenção de hardware. Também elimina a interferência de RF causada por centenas de pontos de acesso não geridos que competem pelo tempo de antena no mesmo edifício.

Mais importante ainda, o WiFi gerido fornecido através de iPSK proporciona uma experiência premium aos residentes. Os residentes recebem uma ligação Instant-On desde o primeiro dia, sem o incómodo de configurar um contrato de banda larga ou de esperar por um técnico. De acordo com os valores de referência da British Property Federation, os operadores de BTR que oferecem WiFi gerido de alta qualidade registam um prémio de renda de £15 a 30 por unidade por mês e períodos de desocupação que são cinco a dez dias mais curtos.

A Purple implementou WiFi multi-inquilino em mais de 80.000 locais a nível global. A nossa sobreposição de nuvem independente de hardware é executada nos pontos de acesso que já possui, e a nossa gestão automatizada do ciclo de vida das chaves integra-se com os sistemas de gestão de propriedade que a sua equipa de operações já utiliza. Para saber mais sobre o valor dos locais conectados, explore as nossas plataformas de Guest WiFi e WiFi Analytics , ou veja como servimos o setor de Hospitality especificamente.

Para ler mais sobre arquiteturas de segurança relacionadas, consulte Como causar uma excelente primeira impressão com o seu WiFi de convidados e Três SSIDs para a todos governar .

Definições Principais

iPSK (Identity Pre-Shared Key)

Um modelo de segurança que atribui uma palavra-passe de WiFi única a cada utilizador ou dispositivo individual num único SSID, fazendo a ponte entre a simplicidade do WPA2-Personal e o controlo do WPA2-Enterprise. Também conhecido como MPSK (Aruba), DPSK (Ruckus) ou PPSK, dependendo do fabricante.

Quando as equipas de TI precisam de proteger dispositivos IoT ou fornecer WiFi gerido em edifícios multi-tenant sem a complexidade dos certificados 802.1X.

Private Area Network (PAN)

Um segmento de rede virtual criado dentro de uma infraestrutura partilhada maior, fornecendo isolamento de Camada 2 para que os dispositivos de um utilizador possam comunicar entre si, mas permaneçam invisíveis para outros utilizadores na mesma rede física.

Essencial para a privacidade e segurança em ambientes Build-to-Rent e alojamento de estudantes, onde centenas de residentes partilham os mesmos pontos de acesso.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Auditoria (AAA) para utilizadores que se ligam e utilizam um serviço de rede. Definido no RFC 2865.

O servidor central numa implementação iPSK que valida as chaves únicas e atribui as VLANs correspondentes a cada dispositivo autenticado.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas. O iPSK utiliza a atribuição dinâmica de VLAN via RADIUS para isolar os utilizadores em domínios de difusão separados.

Utilizado para segmentar o tráfego, melhorando a segurança e o desempenho ao restringir os domínios de difusão (broadcast) e impedir o movimento lateral entre residentes ou tipos de dispositivos.

mDNS Reflection

Uma funcionalidade que permite que os pacotes Multicast DNS (utilizados por serviços como AirPlay, Chromecast e DLNA) sejam encaminhados através de segmentos de rede ou dentro de VLANs isoladas.

Crucial para permitir a deteção de dispositivos dentro da Private Area Network de um residente, permitindo-lhe transmitir de um telemóvel para uma TV sem expor esses dispositivos aos vizinhos.

Change of Authorization (CoA)

Uma extensão RADIUS (RFC 5176) que permite a um servidor modificar dinamicamente os atributos de autorização de uma sessão ativa, como desligar um utilizador ou reatribuir a sua VLAN.

Necessário para desligar instantaneamente um dispositivo da rede quando o seu iPSK é revogado. Sem CoA, as sessões ativas persistem até que o dispositivo se desligue naturalmente e tente autenticar-se novamente.

MAC Address Randomisation

Uma funcionalidade de privacidade nos sistemas operativos modernos (iOS 14+, Android 10+, Windows 11) que gera um endereço MAC aleatório para cada rede WiFi, impedindo a monitorização do dispositivo em diferentes locais.

A causa mais comum de falhas de autenticação em redes iPSK, uma vez que o servidor RADIUS depende de conhecer o verdadeiro endereço MAC do dispositivo para procurar a chave pré-partilhada correta.

Layer 2 Isolation

Uma medida de segurança que impede que os dispositivos no mesmo segmento de rede local comuniquem diretamente entre si na camada de ligação de dados, mesmo quando partilham o mesmo ponto de acesso físico.

Garante que os residentes que partilham o mesmo ponto de acesso físico não consigam aceder aos dispositivos uns dos outros, o que é um requisito básico para a conformidade com o GDPR em ambientes multi-inquilino.

EAPOL (Extensible Authentication Protocol over LAN)

O protocolo de autenticação de porta de rede definido na norma IEEE 802.1X que encapsula mensagens EAP numa rede local. No iPSK, o handshake EAPOL é utilizado para validar a chave pré-partilhada única contra o repositório de identidades do RADIUS.

Compreender o handshake EAPOL é importante para diagnosticar falhas de autenticação iPSK e para compreender por que razão o desempenho do servidor RADIUS é importante.

Exemplos Práticos

Um empreendimento Build-to-Rent de 300 unidades precisa de fornecer WiFi gerido como um serviço premium. Os residentes devem poder ligar smart TVs, consolas de videojogos e dispositivos IoT facilmente, mas os seus dispositivos devem estar completamente isolados dos apartamentos vizinhos. Como deve ser desenhada a rede?

Implemente um único SSID em todo o edifício utilizando autenticação iPSK suportada por um servidor RADIUS alojado na cloud. Integre o sistema de controlo de acessos à rede com o Property Management System para gerar automaticamente um iPSK exclusivo para cada novo contrato de arrendamento. Configure o servidor RADIUS para devolver uma atribuição de VLAN única para a chave de cada residente, criando uma Private Area Network. Ative a reflexão mDNS dentro de cada VLAN para permitir que os residentes façam transmissão para os seus próprios dispositivos. Configure o Change of Authorization (CoA) no controlador sem fios para que, quando um contrato de arrendamento terminar e a chave for revogada no RADIUS, a sessão ativa seja imediatamente terminada.

Comentário do Examinador: Esta abordagem equilibra a simplicidade de uma experiência de router doméstico para o residente com a segurança e isolamento de classe empresarial exigidos num ambiente multi-tenant. Evita o custo de hardware e a interferência de RF da implementação de 300 routers de consumo individuais. A configuração de CoA é o detalhe que a maioria das equipas falha na primeira implementação.

Uma cadeia de retalho precisa de proteger 500 leitores de códigos de barras antigos que apenas suportam WPA2-PSK, juntamente com uma rede WPA3-Enterprise moderna para portáteis de funcionários. Como podem proteger os leitores sem utilizar uma única palavra-passe facilmente comprometida?

Implemente uma estratégia de duplo SSID. Mantenha os portáteis dos funcionários no SSID WPA3-Enterprise utilizando EAP-TLS. Crie um SSID IoT/Device separado utilizando iPSK. Gere uma chave única por endereço MAC para cada leitor de códigos de barras através da API do NAC. Atribua estes leitores a uma VLAN isolada que apenas tenha acesso aos sistemas de inventário necessários, bloqueando o movimento lateral para terminais de ponto de venda. Se um leitor for perdido ou comprometido, revogue essa chave única sem afetar qualquer outro dispositivo na rede.

Comentário do Examinador: Este design de duplo SSID é a melhor prática para espaços de retalho modernos. Fornece autenticação 802.1X robusta onde esta é suportada, e utiliza iPSK para fornecer microsegmentação crítica e revogação de chave individual para dispositivos IoT sem interface de utilizador. O isolamento de VLAN entre o tráfego dos leitores e os terminais POS é um requisito PCI DSS, não apenas uma recomendação.

Perguntas de Prática

Q1. Um residente num empreendimento BTR de 200 frações queixa-se de que não consegue transmitir Netflix do seu iPhone para o seu novo Chromecast. Ambos os dispositivos estão ligados à rede iPSK utilizando a chave única do residente. Qual é o problema de configuração mais provável e como o resolve?

Dica: Considere como os dispositivos se detetam uns aos outros numa rede local e que protocolo permite isso.

Ver resposta modelo

O problema mais provável é que o mDNS reflection não está ativado na VLAN específica do residente. Sem mDNS, os pacotes de deteção utilizados pelo Chromecast (e AirPlay) não conseguem atravessar a rede, mesmo que ambos os dispositivos estejam no mesmo segmento isolado. A solução é ativar o mDNS reflection ou proxy dentro da VLAN do residente no controlador sem fios. Verifique se o tráfego multicast não está a ser suprimido globalmente, o que é uma predefinição comum nos controladores empresariais.

Q2. Está a implementar o iPSK num novo bloco de alojamento para estudantes. Durante os testes, um iPhone liga-se com sucesso na primeira vez, mas falha a autenticação no dia seguinte. O estudante não alterou a sua palavra-passe. Qual é a causa e como a resolve?

Dica: Pense nas funcionalidades modernas de privacidade dos smartphones introduzidas no iOS 14.

Ver resposta modelo

A causa é a aleatorização de endereços MAC. O iPhone gerou um novo endereço MAC aleatório para a tentativa de ligação no segundo dia. Como o servidor RADIUS utiliza o endereço MAC como a pesquisa de identidade para o iPSK, não reconheceu o novo MAC e rejeitou a ligação. A resolução consiste em instruir o estudante a desativar o endereço privado de WiFi para esta rede específica nas definições do seu iPhone, o que força o dispositivo a utilizar o seu endereço MAC de hardware permanente. Em alternativa, implemente um portal de pré-registo onde os estudantes registam o MAC permanente do seu dispositivo antes de o seu iPSK ser aprovisionado.

Q3. Um colaborador sai da empresa e o seu iPSK é eliminado da base de dados RADIUS. No entanto, o seu portátil permanece ligado à rede durante várias horas até sair fisicamente do edifício. Como evita isto em futuras implementações?

Dica: A autenticação RADIUS só ocorre durante o handshake inicial da ligação, não de forma contínua.

Ver resposta modelo

Configure o Change of Authorization (CoA) no controlador sem fios. A eliminação da chave no RADIUS apenas impede futuras autenticações. Para terminar uma sessão ativa, o sistema de gestão deve enviar uma mensagem de desconexão CoA (RFC 5176) para o controlador sem fios para desligar o cliente imediatamente. Certifique-se de que o CoA é testado durante a colocação em funcionamento, e não descoberto como uma lacuna após a entrada em funcionamento. A plataforma de gestão da Purple envia o CoA automaticamente quando uma chave é revogada.

Q4. Um promotor imobiliário está a planear um empreendimento BTR de 500 unidades e pergunta se precisa de um router de consumo em cada apartamento. Qual é a sua recomendação e porquê?

Dica: Considere a interferência de RF, os custos de manutenção do hardware e a experiência do residente.

Ver resposta modelo

Não. Implemente uma infraestrutura de WiFi gerida utilizando iPSK com pontos de acesso nas áreas comuns e corredores, utilizando um controlador centralizado gerido na nuvem. O iPSK fornece a cada residente a sua própria Private Area Network isolada, o equivalente a ter o seu próprio router, sem o custo de hardware ou a interferência de RF de 500 routers de consumo individuais a competir por tempo de antena no mesmo edifício. Os residentes recebem uma ligação Instant-On desde o primeiro dia. De acordo com os parâmetros de referência da British Property Federation, este modelo suporta um prémio de renda de £15 - 30 por unidade por mês e períodos de desocupação mais curtos.

Continue a ler esta série

Guia de PPSK em PDF: comparação de funcionalidades e modelos de implementação

Este guia de referência técnica compara a arquitetura WiFi de Chave Privada Pré-Partilhada (PPSK) com as implementações tradicionais de 802.1X e PSK padrão. Fornece aos arquitetos de rede e gestores de TI estratégias de implementação neutras em termos de fornecedor para ambientes multi-inquilino residenciais, IoT e BTR.

Ler o guia →

Uu PPSK 2023: comparação de funcionalidades e modelos de implementação

Este guia de referência técnica compara a arquitetura WiFi Unique per-User Private Pre-Shared Key (UU PPSK) com as implementações tradicionais de PSK partilhado e 802.1X, com um foco específico no panorama de 2023 de implementações de fornecedores e capacidades de plataforma. Fornece aos promotores imobiliários, operadores de BTR e proprietários de MDU estratégias de implementação acionáveis, orientação sobre arquitetura de VLAN e fluxos de trabalho de gestão automatizada do ciclo de vida. O guia abrange três modelos de implementação, estudos de caso do mundo real e as implicações de conformidade de cada abordagem de autenticação.

Ler o guia →

PPSK xaverius: comparando funcionalidades e modelos de implementação

Este guia de referência analisa a arquitetura PPSK xaverius para ambientes multi-inquilino, como Build to Rent e alojamentos de estudantes. Compara modelos de implementação, detalha estratégias de execução e explica como o isolamento de VLAN por unidade proporciona uma experiência de WiFi semelhante à de casa, mantendo a segurança empresarial.

Ler o guia →