Parkside plasma cutter PPSK 40 b2: comparando funcionalidades e modelos de implementação

Bem-vindo ao Purple Technical Briefing. Hoje vamos falar sobre algo que os promotores imobiliários, operadores de BTR e proprietários muitas vezes erram na fase de projeto - e que lhes custa muito caro assim que os residentes se mudam. Vamos abordar o PPSK - Private Pre-Shared Key - especificamente a arquitetura conhecida como PPSK 40 B2, que se refere a um comprimento de chave de 40 caracteres com o perfil de implementação B2. Vamos comparar os três principais modelos de implementação, analisar a arquitetura de autenticação e apresentar-lhe uma estrutura clara para tomar a decisão certa para o seu edifício. Quer esteja a especificar um novo empreendimento ou a modernizar um existente, este briefing vai poupar-lhe tempo e dinheiro. Comecemos pelo problema. Se gere um edifício multi-inquilino - um bloco build-to-rent, um empreendimento de alojamento de estudantes, uma MDU - tem uma tensão fundamental no design da sua rede. Cada residente necessita de uma experiência de WiFi privada e semelhante à de casa. O seu Chromecast precisa de encontrar o seu telemóvel. A sua coluna inteligente precisa de falar com as suas lâmpadas. O seu portátil de trabalho precisa de ficar fora do mesmo segmento de rede que os dispositivos do seu vizinho. Mas está a partilhar a infraestrutura física. Um conjunto de pontos de acesso, um uplink, uma rede para todo o edifício. Como é que dá a 200 residentes 200 redes privadas sem executar 200 SSIDs separados? A resposta é o PPSK - e, especificamente, a variante única por utilizador a que chamamos UU PPSK. Mas antes de lá chegarmos, deixe-me apresentar-lhe os três modelos que irá encontrar, porque compreender as diferenças é o objetivo principal deste briefing. Modelo um: PSK partilhado. Uma palavra-passe, todos na mesma rede. É isto que a maioria dos edifícios ainda utiliza hoje em dia. É simples de implementar, mas é um ponto único de falha. Um residente publica a palavra-passe num fórum e perde-se o controlo da rede. Quer remover o acesso de um prestador de serviços? Tem de alterar a palavra-passe para toda a gente. À escala, isto não é gerível. E do ponto de vista do GDPR, é uma falha de conformidade - não é possível atribuir a atividade da rede a um residente específico quando todos os dispositivos parecem idênticos do ponto de vista do servidor RADIUS. Modelo dois: Group PPSK. Aqui, atribui uma chave única a cada grupo de utilizadores - talvez uma chave por andar ou uma chave por tipo de arrendamento. É melhor do que uma palavra-passe partilhada, mas continua a ter o que chamo de problema do raio de impacto. Se uma chave num grupo for comprometida, todo o grupo é afetado. E continua a não ser possível isolar os residentes individuais uns dos outros na camada de rede. O Group PPSK é um passo intermédio razoável para implementações mais pequenas, mas não é escalável. Modelo três: UU PPSK. Chave Pré-Partilhada única por Utilizador (Unique per-User Pre-Shared Key). Cada residente, cada grupo de dispositivos, recebe a sua própria chave criptograficamente única. E essa chave mapeia para a sua própria VLAN - o seu próprio segmento de rede, completamente isolado de todos os outros residentes no edifício. Esta é a arquitetura que proporciona o que chamo de bolha de WiFi. Os dispositivos do Residente A conseguem ver-se uns aos outros - podem transmitir, emparelhar, partilhar ficheiros, exatamente como fariam numa rede doméstica. Mas o Residente A não consegue ver um único dispositivo pertencente ao Residente B, mesmo que ambos estejam ligados ao mesmo ponto de acesso, no mesmo SSID, utilizando a mesma infraestrutura física de cabos. Agora deixe-me orientá-lo através do fluxo técnico de autenticação, porque é aqui que a arquitetura prova o seu valor. Quando o dispositivo de um residente se liga ao SSID, o Wireless LAN Controller interseta a tentativa de ligação e reencaminha o endereço MAC do dispositivo para um servidor RADIUS. O servidor RADIUS - que pode ser alojado na nuvem, como o da Purple - procura esse endereço MAC no seu repositório de identidades. Este devolve uma resposta Access-Accept contendo a chave pré-partilhada única atribuída a esse residente. O controlador valida a chave apresentada pelo dispositivo em relação à chave devolvida. Se coincidirem, o dispositivo é autenticado e colocado na VLAN dedicada do residente. Crucialmente, essa resposta RADIUS também transporta a atribuição de VLAN. Portanto, o dispositivo não é apenas autenticado - é automaticamente colocado no segmento de rede correto, com a política de largura de banda correta, as regras de firewall corretas, tudo a partir de um único SSID. Sem proliferação de SSIDs. Sem sobrecarga de beacons. Um único nome de rede, centenas de redes privadas isoladas por baixo dele. Agora, a designação PPSK 40 B2 merece ser analisada. O 40 refere-se ao comprimento mínimo da chave - 40 carateres. Isto é importante porque as chaves mais curtas são vulneráveis a ataques de dicionário offline. Uma chave de 40 carateres gerada a partir de uma fonte criptograficamente aleatória tem um nível de entropia que torna os ataques de força bruta computacionalmente inviáveis com o hardware atual. O perfil B2 refere-se ao modelo de implementação: PPSK suportado por RADIUS com orquestração na nuvem, ao contrário do B1 que é armazenamento local no controlador. O B2 é o perfil que deseja para qualquer implementação acima de 50 unidades. Deixe-me agora cobrir os três modelos de implementação em termos práticos. O primeiro é o PPSK local no controlador. Aqui, as chaves únicas são armazenadas diretamente no controlador sem fios, sem necessidade de um servidor RADIUS externo. Isto funciona bem para implementações mais pequenas - até cerca de 200 unidades - e é o mais simples de operar. O Ubiquiti UniFi suporta isto nativamente. A limitação é a escalabilidade. A maioria dos controladores atinge o limite com algumas centenas de entradas PPSK locais, e perde-se a gestão centralizada do ciclo de vida que torna a operação do UU PPSK viável à escala. O segundo modelo é o PPSK com base em RADIUS. Aqui, as chaves são armazenadas num servidor RADIUS externo, e o controlador consulta o servidor RADIUS para cada nova ligação. Isto escala para milhares de unidades. O custo operacional é mais elevado, mas a escalabilidade e as capacidades de gestão do ciclo de vida são significativamente melhores. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist - todos suportam este modelo. O terceiro modelo - e aquele que a Purple recomenda para operadores de BTR e MDU - é o RADIUS-as-a-Service na nuvem. Aqui, a infraestrutura RADIUS é alojada e gerida pela Purple, e liga os seus pontos de acesso a ela através de uma sobreposição de nuvem. Isto dá-lhe a escalabilidade do PPSK com base em RADIUS sem o custo operacional de gerir o seu próprio servidor RADIUS. A plataforma da Purple assenta sobre o seu hardware existente - seja Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet - e fornece a camada de orquestração para o provisionamento de chaves, gestão do ciclo de vida e integração de residentes. Deixe-me dar-lhe dois cenários concretos de implementação. O primeiro é um empreendimento Build to Rent de 250 unidades. O promotor tinha especificado pontos de acesso Cisco Meraki em todo o edifício. Precisavam que cada residente tivesse uma experiência de WiFi privada com suporte total para IoT, prontidão de entrada no próprio dia e capacidade de suportar 15 a 25 dispositivos por habitação. O agregado familiar BTR médio liga agora 18 dispositivos ao WiFi - desde telemóveis e portáteis a colunas inteligentes, dispositivos de streaming e eletrodomésticos ligados. A arquitetura implementada foi um único SSID em todo o edifício, com UU PPSK através do serviço RADIUS na nuvem da Purple. Cada residente recebeu uma chave única no momento da entrada, entregue através da aplicação do residente. A chave mapeava para uma VLAN dedicada com uma sub-rede privada, proporcionando a cada habitação um segmento de rede totalmente isolado. A reflexão mDNS foi ativada em cada VLAN, pelo que o Chromecast, Apple TV e Sonos funcionaram como esperado. O edifício entrou em funcionamento com 250 VLANs de residentes ativas no primeiro dia, com zero configuração manual de RADIUS necessária por parte da equipa local. O segundo cenário é um bloco de alojamento para estudantes de 400 camas. O desafio aqui é a rotação anual do grupo. Todos os anos, em agosto, 400 estudantes mudam-se e 400 novos estudantes entram, frequentemente na mesma semana. Com um modelo PSK partilhado, isso significa uma rotação de palavra-passe em todo o edifício que afeta todos os residentes que regressam. Com o UU PPSK, significa revogar 400 chaves e provisionar 400 novas - tudo automatizado através da integração com o sistema de gestão de estudantes. A equipa de operações relatou uma redução de 70% nos pedidos de suporte relacionados com WiFi no primeiro período, principalmente porque os problemas de emparelhamento de Chromecast e smart TVs que tinham afetado a implementação anterior de PSK partilhado foram completamente eliminados. Agora vou abordar as armadilhas de implementação, porque existem três que afetam a maioria das implementações. Primeiro erro: a aleatorização de endereços MAC. Desde o iOS 14, Android 10 e Windows 11, os dispositivos utilizam endereços MAC aleatórios por predefinição por motivos de privacidade. Se o seu servidor RADIUS estiver a efetuar uma pesquisa de MAC e o dispositivo apresentar um endereço aleatório, a pesquisa falha e o dispositivo não se consegue ligar. A solução consiste em configurar o seu SSID para solicitar que os clientes utilizem o seu endereço MAC de hardware permanente, ou implementar um fluxo de trabalho de pré-registo onde os residentes registam o seu dispositivo antes de se ligarem. A plataforma da Purple lida com isto automaticamente como parte do fluxo de integração de residentes. Segundo erro: o isolamento mDNS. Por predefinição, o mDNS - que é o protocolo que o Chromecast, AirPlay e Sonos utilizam para detetar dispositivos - não ultrapassa os limites de VLAN. Se isolar os residentes em VLANs separadas sem ativar a reflexão mDNS, os seus dispositivos inteligentes não funcionarão. Certifique-se de que o seu controlador ou a sua sobreposição de nuvem suporta reflexão mDNS por VLAN antes de se comprometer com a arquitetura. Terceiro erro: a gestão do ciclo de vida das chaves. O valor operacional do UU PPSK em relação a uma PSK partilhada depende inteiramente de as chaves serem provisionadas e revogadas de forma automática. A gestão manual de chaves à escala não é viável. Integre com o seu sistema de gestão de propriedades ou sistema de gestão de estudantes desde o início. Se estiver a utilizar a plataforma da Purple, esta integração está disponível de imediato. Três regras práticas antes de terminarmos. Regra um: se o seu edifício tiver mais de 50 unidades, utilize UU PPSK suportado por RADIUS, e não PPSK local do controlador. O limite de escalabilidade do PPSK local do controlador irá causar-lhe problemas no prazo de 12 meses após a entrada em funcionamento. Regra dois: planeie a aleatorização de MAC desde o primeiro dia. Crie um fluxo de trabalho de pré-registo no seu processo de integração de residentes. Não assuma que os dispositivos apresentarão o seu endereço MAC permanente por predefinição. Regra três: automatize o ciclo de vida das chaves. O valor operacional do UU PPSK em relação a uma PSK partilhada depende inteiramente de as chaves serem provisionadas e revogadas de forma automática. Integre com o seu sistema de gestão de propriedades desde o início. Perguntas rápidas. O UU PPSK funciona com WPA3? Sim, com ressalvas. O WPA3-SAE altera o mecanismo de handshake. A maioria dos controladores modernos suporta UU PPSK em modo de transição WPA2 e WPA3 para compatibilidade retroativa. Verifique a documentação específica do seu fornecedor antes de especificar uma implementação puramente WPA3. Quantas chaves exclusivas pode um único SSID suportar? Com um servidor RADIUS externo, o limite prático é a capacidade da sua base de dados RADIUS. O serviço cloud RADIUS da Purple dimensiona-se para dezenas de milhares de chaves simultâneas. O UU PPSK substitui o 802.1X? Não. Para frotas de dispositivos corporativos totalmente geridas com dispositivos registados em MDM, o 802.1X com EAP-TLS continua a ser o padrão de referência. O UU PPSK é a escolha certa para ambientes residenciais e de uso misto onde não é possível garantir que todos os dispositivos suportam a configuração do suplicante 802.1X. Em resumo. O PPSK 40 B2 - chaves de 40 carateres, com suporte RADIUS e orquestrado na nuvem - é a arquitetura de autenticação WiFi correta para implementações de BTR, MDU, alojamento de estudantes e habitação social com mais de 50 unidades. Oferece isolamento de rede por residente, gestão automatizada do ciclo de vida das chaves, suporte total para dispositivos IoT e um registo de auditoria GDPR completo, tudo a partir de um único SSID. A plataforma Multi-Tenant WiFi da Purple implementa esta arquitetura sobre hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet, sem necessidade de substituições completas de hardware. Se está a projetar um novo empreendimento ou a rever uma implementação existente, o próximo passo é uma avaliação de arquitetura Purple. Iremos avaliar o seu hardware atual, o número de residentes, os requisitos de integração com o seu sistema de gestão de propriedade e apresentar-lhe uma recomendação de implementação clara. Pode saber mais em purple.ai. Obrigado por ouvir o Briefing Técnico da Purple.