PPSK adalah: comparing features and deployment models

Fale em inglês britânico com um tom confiante, autoritário e de conversação - como um consultor de rede sénior a informar um cliente numa sala de reuniões. Ritmo moderado, dicção clara, caloroso mas direto. Sem discursos, sem argumentos de vendas - uma sessão de esclarecimento especializada de igual para igual: Bem-vindo à série Purple Technical Briefing. Hoje vamos falar sobre PPSK - Private Pre-Shared Key - o que é, como se compara com as suas outras opções de autenticação e, fundamentalmente, quando deve realmente implementá-lo. [pausa curta] Deixe-me enquadrar a situação. É responsável pelo WiFi num portfólio de propriedades. Pode ser um empreendimento residencial Build to Rent, um grupo de hotéis, um complexo comercial ou um campus de uso misto. Tem centenas ou milhares de utilizadores, um número crescente de dispositivos IoT e precisa de isolamento de rede entre diferentes grupos de utilizadores - sem a sobrecarga operacional de uma implementação empresarial completa de 802.1X. É exatamente esse o problema que o PPSK foi concebido para resolver. [pausa média] Então, o que é o PPSK? O termo significa Private Pre-Shared Key. Também o ouvirá chamar de iPSK - Identity Pre-Shared Key - que é a terminologia da Cisco, ou ePSK da Cambium e Juniper Mist. A Aruba chama-lhe PPSK. O conceito é idêntico independentemente da marca do fabricante: cada utilizador ou dispositivo recebe a sua própria palavra-passe WiFi única num único SSID. Compare isso com o WPA2 Personal padrão, onde todos os dispositivos na rede partilham uma única palavra-passe. Se essa palavra-passe for exposta, todos ficam vulneráveis. Se alguém mudar de casa ou sair do seu edifício, ou altera a palavra-passe para toda a gente ou aceita que continuem a ter acesso. Nenhuma das opções é aceitável em grande escala. O PPSK elimina esse problema. Cada residente, cada membro, cada dispositivo recebe uma credencial única. Quando alguém sai, revoga-se a sua chave. Mais ninguém é afetado. Os seus dispositivos deixam de se ligar. Concluído. [pausa curta] A pergunta natural é - por que não usar simplesmente o 802.1X? É a norma IEEE para controlo de acesso à rede baseado em portas. Utiliza um servidor RADIUS para autenticar cada utilizador individualmente, suporta EAP-TLS com certificados digitais, integra-se com o Microsoft Entra ID, Okta, Google Workspace. É o padrão de excelência para redes corporativas de funcionários. A resposta é: o 802.1X é a escolha certa para dispositivos corporativos geridos onde o utilizador controla o equipamento final. Não é a escolha certa para dispositivos IoT, para cenários de BYOD em edifícios residenciais ou para locais onde precisa de integrar centenas de residentes que não têm conhecimentos de TI. Os dispositivos IoT - colunas inteligentes, termóstatos, painéis de controlo de acessos, câmaras de CCTV - frequentemente não suportam de todo suplicantes 802.1X. O PPSK funciona com qualquer dispositivo que suporte WPA2 Personal, o que é essencialmente tudo. [pausa média] Permita-me explicar-lhe a arquitetura técnica. Numa implementação PPSK, tem um único SSID transmitido através dos seus pontos de acesso. Quando um dispositivo se liga, o ponto de acesso captura o endereço MAC e a chave pré-partilhada que o dispositivo está a utilizar. Envia essa informação para um servidor RADIUS - ou, em algumas implementações de fabricantes, para uma base de dados de chaves local no controlador. O servidor faz corresponder a chave a um registo de utilizador e devolve uma atribuição de VLAN e quaisquer atributos de política adicionais. Essa atribuição de VLAN é a peça crítica. Significa que cada residente ou utilizador é automaticamente colocado no seu próprio segmento de rede isolado. Os dispositivos do Residente A ficam na VLAN 10. Os dispositivos do Residente B ficam na VLAN 20. Partilham os mesmos pontos de acesso físicos, a mesma infraestrutura de uplink, mas são completamente invisíveis entre si na camada dois. O Residente A não consegue ver o Chromecast, a smart TV ou o portátil do Residente B. O isolamento é imposto pela rede, não pela esperança de que os utilizadores se comportem de forma adequada. [short pause] Isto é o que a Purple designa por modelo de bolha WiFi. Cada residente recebe a sua própria bolha privada. Os dispositivos na mesma chave detetam-se mutuamente - por isso o Chromecast funciona, o emparelhamento de smart homes funciona e as consolas de jogos obtêm o tipo de NAT de que necessitam. Os dispositivos com chaves diferentes são invisíveis entre si. Funciona exatamente como uma ligação de banda larga doméstica, mas corre numa infraestrutura partilhada em todo o edifício. [medium pause] Agora, permita-me apresentar dois cenários de implementação no mundo real. Primeiro: um empreendimento Build to Rent de 250 unidades. O operador necessita de WiFi com ativação no próprio dia da mudança, suporte total de IoT para dispositivos domésticos inteligentes e capacidade de revogar o acesso instantaneamente quando um contrato de arrendamento termina - sem afetar qualquer outro residente. O WiFi de convidados padrão falha aqui porque isola cada dispositivo de todos os outros dispositivos, o que impede o funcionamento do Chromecast e de colunas inteligentes. O PSK padrão falha porque a alteração periódica da palavra-passe do edifício na saída de um inquilino é operacionalmente impossível à escala. O 802.1X falha porque os residentes trazem os seus próprios dispositivos IoT que não o suportam. O PPSK em pontos de acesso Cisco Meraki, HPE Aruba ou Ruckus, suportado por um servidor RADIUS na nuvem, resolve os três problemas. Cada residente recebe uma chave exclusiva no momento da mudança. Os seus dispositivos - telemóvel, portátil, smart TV, Alexa, termostato - utilizam todos a mesma chave e ficam na mesma VLAN. Detetam-se mutuamente. Quando o arrendamento termina, a chave é revogada no portal de gestão. Os dispositivos desse residente deixam de se ligar em segundos. Mais ninguém nota. Os indicadores de referência da British Property Federation sugerem que o WiFi gerido como um serviço de valor acrescentado gera um prémio de arrendamento de quinze a trinta libras por unidade, por mês, no setor BTR. Num edifício de 250 unidades, isso representa entre três mil setecentos e cinquenta e sete mil quinhentas libras por mês em receitas adicionais. O custo da infraestrutura é uma sobreposição de software nos pontos de acesso que já possui. [short pause] Segundo cenário: um hotel de 180 quartos. A propriedade precisa de servir hóspedes numa rede WiFi simples e acessível, funcionários numa rede corporativa segregada, e um parque crescente de dispositivos IoT - fechaduras inteligentes, sensores de climatização, sistemas IPTV. Três grupos de utilizadores distintos, uma única infraestrutura física. A arquitetura correta aqui são três SSIDs: um SSID de convidados utilizando WiFi aberto com um Captive Portal para captura de dados e aceitação de termos, um SSID de funcionários utilizando 802.1X com integração de Active Directory para responsabilização individual e revogação instantânea, e um SSID de IoT utilizando PPSK com chaves ao nível do dispositivo e uma VLAN de gestão dedicada com filtragem rigorosa de saída. O PPSK é a ferramenta certa para a camada de IoT porque esses dispositivos não conseguem efetuar 802.1X, mas necessitam de isolamento e de capacidade de revogação individual. [medium pause] Deixe-me cobrir brevemente o panorama dos fabricantes. O PPSK é suportado em todas as principais plataformas de pontos de acesso empresariais. No Cisco Meraki, é chamado de Personal Private Network e é configurado através do painel Meraki com uma base de dados de chaves local. Na HPE Aruba, é PPSK e integra-se com o Aruba ClearPass para gestão de chaves suportada por RADIUS. Na Ruckus, é Dynamic PSK, gerido através do SmartZone ou do controlador cloud. A Juniper Mist chama-lhe ePSK e integra-se com o Mist AI para automatização de políticas. A Ubiquiti UniFi suporta PPSK desde o firmware 3.x, com atribuição de VLAN por chave. A Cambium, Extreme e Fortinet têm todas implementações equivalentes. A principal diferença operacional entre as implementações é se as chaves são armazenadas localmente no controlador ou validadas contra um servidor RADIUS externo. O armazenamento local é mais simples de implementar, mas limita a escala e a integração. O PPSK suportado por RADIUS escala para milhares de chaves e integra-se com a sua pilha de gestão de identidades, mas adiciona complexidade à infraestrutura. Para implementações acima de cinquenta utilizadores, a opção suportada por RADIUS é a escolha certa. [short pause] Agora, as armadilhas. Três coisas correm mal com mais frequência nas implementações de PPSK. Primeira: má configuração de trunk de VLAN. Desenha um excelente esquema de VLAN por residente e esquece-se de permitir essas VLANs em cada ligação trunk no caminho do AP para o switch central. O tráfego cai silenciosamente. Os residentes queixam-se. Passa dias a rastrear o problema. Documente as suas configurações de trunk antes de começar e valide-as durante o comissionamento. Segunda: distribuição de chaves em escala. Gerar chaves únicas é fácil. Fazer chegar essas chaves às pessoas certas no momento certo - no momento da mudança, através de uma aplicação de residente, através de um código QR no pacote de boas-vindas - é um processo operacional que precisa de ser desenhado antes do lançamento, e não depois. A plataforma da Purple lida com isto através de fluxos de trabalho de aprovisionamento automatizados que se integram com o seu sistema de gestão de propriedades. Terceiro: Integração de dispositivos IoT. A maioria dos dispositivos domésticos inteligentes utiliza Bluetooth ou um hotspot WiFi local temporário para a configuração inicial, precisando depois de se ligar à rede principal do residente. Se a sua implementação PPSK não suportar um fluxo de integração suave para estes dispositivos, receberá pedidos de suporte. Teste o seu processo de integração de IoT antes da mudança dos residentes. [medium pause] Muito bem, vou fazer uma passagem rápida pelas perguntas que me fazem com mais frequência. O PPSK pode substituir o 802.1X para redes de funcionários? Não. As redes de funcionários necessitam de responsabilização individual, integração com Active Directory e autenticação baseada em certificados. Utilize 802.1X para funcionários. O PPSK funciona com WPA3? Sim. O WPA3 Personal com SAE oferece uma proteção mais forte contra ataques de dicionário offline à chave pré-partilhada. Se os seus pontos de acesso suportarem WPA3, ative-o. Quantas chaves PPSK pode um único SSID suportar? A maioria dos controladores empresariais suporta milhares de chaves por SSID. O Cisco Meraki suporta até dez mil. O Aruba ClearPass escala para centenas de milhares. O número de chaves não é uma limitação prática para a maioria das implementações. O PPSK está em conformidade com o PCI DSS? O PPSK pode ser utilizado em redes que não sejam de pagamento. Os terminais de pagamento devem estar numa VLAN dedicada sem credenciais de autenticação partilhadas - o que significa 802.1X ou separação física de rede para sistemas POS. [short pause] Para resumir: o PPSK é o modelo de autenticação correto quando necessita de isolamento por utilizador e revogabilidade, quando os seus dispositivos incluem hardware IoT que não suporta 802.1X e quando precisa de manter a complexidade de implementação e operacional baixa. Situa-se entre o PSK padrão - que não oferece controlo individual - e o 802.1X - que oferece segurança máxima mas requer terminais geridos e infraestrutura PKI. Para operadores de BTR, fornecedores de alojamento estudantil e grupos de hotelaria que gerem propriedades com forte componente de IoT, o PPSK é frequentemente o caminho mais prático para o isolamento de inquilinos à escala. A plataforma Multi-Tenant WiFi da Purple é implementada como uma sobreposição na nuvem em pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Trata do aprovisionamento de chaves, atribuição de VLAN, integração de residentes e analítica - sem exigir a substituição do seu hardware existente. Se está a planear uma implementação e deseja explorar a arquitetura com mais detalhe, o guia completo está associado abaixo. Obrigado por ouvir.