A vida do PPSK: comparando funcionalidades e modelos de implementação

Bem-vindo à série técnica da Purple WiFi. Hoje vamos falar sobre a vida útil das PPSK - ou seja, Private Pre-Shared Key - comparando as suas funcionalidades e modelos de implementação para promotores imobiliários, proprietários e operadores de build-to-rent. Comecemos pelo contexto. Se gere um edifício residencial - quer se trate de um empreendimento BTR de 50 frações, uma residência de estudantes ou um espaço de co-living - quase de certeza que já se deparou com o mesmo problema de WiFi. Uma única palavra-passe partilhada para todo o edifício. Alguém se muda, altera a chave e, de repente, 200 residentes não conseguem ligar os seus dispositivos. Ou pior, não a altera e o seu antigo inquilino continua a ter acesso. O PSK standard - Pre-Shared Key - nunca foi concebido para isto. Foi concebido para um agregado familiar de quatro pessoas que confiam umas nas outras. Não para um edifício de 300 residentes que não se conhecem. Então, o que é a PPSK? A Private Pre-Shared Key atribui a cada residente, ou a cada dispositivo, a sua própria palavra-passe de WiFi exclusiva. Todos se ligam ao mesmo nome de rede - o mesmo SSID - mas cada chave é exclusiva desse residente. Quando o residente A se liga, a rede sabe que é o residente A. Quando ele se muda, revoga a chave dele. Mais ninguém é afetado. Nenhum outro residente precisa de voltar a ligar um único dispositivo. Nesta altura, poderá estar a pensar - não é isso mesmo que o 802.1X faz? E teria metade da razão. O 802.1X, o padrão de autenticação empresarial IEEE, também fornece credenciais individuais. Mas requer uma infraestrutura de certificados, um servidor RADIUS e configuração do suplicante do lado do cliente. Os Chromecasts, consolas PlayStation e termóstatos inteligentes dos seus residentes não conseguem usar 802.1X. Não têm a pilha de software para isso. A PPSK funciona com todos os dispositivos que se conseguem ligar ao WiFi - porque, do ponto de vista do dispositivo, trata-se apenas de introduzir uma palavra-passe. Esta é a principal vantagem da vida útil das PPSK. Obtém responsabilidade individual - o benefício de segurança do 802.1X - sem a sobrecarga de infraestrutura ou a dor de cabeça da compatibilidade de dispositivos. Agora vamos falar sobre o panorama dos fabricantes, porque a terminologia varia. A Aruba chama-lhe MPSK - Multi-PSK. A Cisco Meraki chama-lhe iPSK - Identity PSK - e adicionou recentemente a funcionalidade WiFi Personal Network por cima disso. A Ruckus chama-lhe DPSK - Dynamic PSK. A Extreme Networks, onde a tecnologia foi pioneira, chama-lhe PPSK. A Juniper Mist utiliza ePSK. O conceito subjacente é idêntico em todas elas. Um SSID, muitas chaves, isolamento por utilizador. Na Purple, posicionamo-nos acima de todas estas como uma solução cloud sobreposta e independente de hardware. Funcionamos em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Gerimos o ciclo de vida das chaves - aprovisionamento, rotação, revogação - independentemente dos pontos de acesso que estiverem instalados no teto. Vamos analisar a arquitetura. Numa implementação PPSK, o ponto de acesso - ou o controlador por trás dele - mantém uma tabela que mapeia cada chave para uma VLAN. Quando um dispositivo se liga com a chave do residente A, o AP atribui esse dispositivo à VLAN do residente A. Os dispositivos do residente B vão para a VLAN do residente B. Na Camada 2, eles são completamente invisíveis entre si. Isto é o que chamamos de bolha WiFi. Cada residente obtém uma rede de área privada - a sua própria rede doméstica lógica - embora partilhem a infraestrutura física. O seu telemóvel descobre o seu Chromecast. A sua coluna inteligente emparelha com as suas lâmpadas. A sua consola obtém o tipo de NAT Aberto. Funciona exatamente como um router doméstico porque, do ponto de vista da rede, é um router doméstico - apenas virtual. O servidor RADIUS é opcional em algumas implementações de fornecedores para implementações mais pequenas, mas para qualquer dimensão acima de algumas dezenas de unidades, irá querer o RADIUS no circuito. Ele fornece registo centralizado, atribuição dinâmica de VLAN e a capacidade de integração com o seu fornecedor de identidade - Microsoft Entra ID, Okta ou Google Workspace. A Purple fornece RADIUS-as-a-Service como parte da plataforma, por isso não precisa de executar o seu próprio servidor. Agora, o WPA3 adiciona outra camada aqui. O WPA3-Personal introduziu o SAE - Simultaneous Authentication of Equals - que substitui o handshake de 4 vias mais antigo. O SAE é resistente a ataques de dicionário offline, o que significa que mesmo que alguém capture o handshake, não consegue decifrar a chave por força bruta offline. Para implementações PPSK, o modo de transição WPA3 - que suporta clientes WPA2 e WPA3 simultaneamente - é o ponto de partida certo para 2025 e nos anos seguintes. A maioria dos pontos de acesso da Cisco Meraki, HPE Aruba e Ruckus já suporta isto atualmente. Vamos analisar dois cenários reais de implementação, porque a teoria só nos leva até certo ponto. Primeiro cenário: um empreendimento build-to-rent de 200 unidades em Manchester. O promotor está a pré-instalar cabos no edifício com pontos de acesso HPE Aruba - um por piso, montado no corredor. Querem que os residentes tenham WiFi desde o primeiro dia do seu contrato de arrendamento, sem tempos de espera de banda larga, e querem cobrar um valor adicional pelo serviço como parte do pacote de comodidades do edifício. A arquitetura aqui é simples. Um único SSID em todo o edifício - vamos dar-lhe o nome do edifício. A Purple fornece uma chave MPSK única para cada unidade durante o fluxo de integração pré-arrendamento. O residente recebe a sua chave por e-mail antes de se mudar. Chega, liga o seu telemóvel e todos os outros dispositivos que adicionar utilizam a mesma chave. O seu Chromecast funciona. A sua Alexa funciona. A sua PlayStation obtém o tipo de NAT Aberto. Quando se mudam, o sistema de gestão de propriedades aciona um webhook para a API da Purple. A Purple revoga a chave. O residente seguinte recebe uma nova chave. Mais ninguém no edifício é afetado. Todo o ciclo de vida - aprovisionamento, rotação, revogação - é automatizado. O gestor da propriedade não toca na rede. O resultado comercial: estudos da British Property Federation mostram que os operadores de BTR obtêm um prémio de renda de quinze a trinta libras por unidade, por mês, quando o WiFi está incluído como um serviço gerido. Os períodos de inatividade reduzem-se de cinco a dez dias porque a conectividade no dia da mudança é garantida. E o custo por porta de uma sobreposição de software em hardware próprio é tipicamente trinta a cinquenta por cento inferior ao de contratos de banda larga por unidade. Segundo cenário: um bloco de alojamento para estudantes com 600 camas. O desafio aqui é a semana de acolhimento - a primeira semana de setembro, quando seiscentos estudantes chegam simultaneamente, cada um com uma média de sete dispositivos. Computadores, telemóveis, tablets, consolas, colunas inteligentes. Trata-se de mais de quatro mil dispositivos a tentar ligar-se em 48 horas. Com uma configuração PSK padrão, isto é um pesadelo de suporte. Com PPSK, cada estudante recebe a sua chave no e-mail de boas-vindas antes da chegada. Eles chegam, ligam-se uma vez, e todos os seus dispositivos ficam no seu segmento privado. A consola de jogos obtém o tipo de NAT correto. A smart TV transmite sem buffering. O portátil liga-se à VPN da universidade sem interferência do tráfego de outros residentes. A principal diferença operacional em relação ao BTR é a rotação anual do grupo. Todos os anos, em agosto, provisiona em lote novas chaves para o grupo que entra e revoga em lote as chaves do grupo que sai. A Purple gere isto através de integração SCIM com o sistema de gestão de estudantes, ou através de uma importação de CSV se o sistema não suportar SCIM. De qualquer forma, é uma operação agendada e não manual. Deixe-me agora abordar as armadilhas de implementação, porque existem algumas que apanham as pessoas desprevenidas. Primeiro: exaustão de VLAN. Cada segmento de residente precisa da sua própria VLAN. Um edifício de 500 unidades necessita de 500 VLANs. A maioria dos switches corporativos suporta 4.096 VLANs sob a norma 802.1Q, pelo que é improvável que atinja o limite máximo, mas precisa de planear a sua gama de VLANs na fase de design. Não deixe isso para depois. Segundo: mDNS e deteção de dispositivos. Por predefinição, o mDNS - o protocolo que o Chromecast, AirPlay e Sonos utilizam para detetar dispositivos - não cruza os limites das VLANs. Precisa de reflexão ou proxy mDNS configurado no seu controlador ou gateway para permitir a deteção dentro da VLAN de um residente, bloqueando-a ao mesmo tempo entre VLANs. Todos os principais fabricantes suportam isto, mas nem sempre está ativado por predefinição. Verifique antes de entrar em funcionamento. Terceiro: aleatorização de endereços MAC. Os dispositivos iOS e Android modernos tornam o seu endereço MAC aleatório por rede para proteger a privacidade. Isto quebra qualquer fluxo de autenticação baseado em MAC ou registo de dispositivos. O PPSK contorna isto completamente - a autenticação é baseada em chaves, não em MAC - mas se estiver a executar regras de filtragem MAC suplementares, precisa de ter em conta a aleatorização.Quarto: comprimento e complexidade da chave. As chaves PPSK devem ter pelo menos 20 caracteres, ser geradas aleatoriamente e nunca ser reutilizadas entre residentes. Uma chave fraca compromete todo o modelo de isolamento. O Purple gera chaves criptograficamente aleatórias por predefinição. Se estiver a gerar chaves manualmente ou através de uma integração com um sistema de gestão de propriedades, aplique um comprimento mínimo no seu fluxo de trabalho de provisionamento. Quinto: o fluxo de ativação de IoT. Os dispositivos domésticos inteligentes - termostatos, fechaduras de portas, fichas inteligentes - utilizam frequentemente um modo de configuração Bluetooth ou WiFi temporário antes de se ligarem à rede principal. As suas instruções de ativação para os residentes devem ter isto em conta. O dispositivo precisa de se ligar à rede PPSK do residente, não à rede de gestão do edifício. Um guia de configuração claro e ilustrado reduz significativamente os pedidos de suporte. Vamos fazer uma sessão rápida de Perguntas e Respostas para cobrir as questões que ouvimos com mais frequência. Pergunta: Preciso de um servidor RADIUS para PPSK? Resposta: Depende da escala e do fornecedor. O iPSK da Cisco Meraki suporta até 50 chaves sem RADIUS, mas escala até 5.000 com RADIUS através de WiFi Personal Network. O MPSK da Aruba requer RADIUS para atribuição dinâmica de VLAN. Para qualquer implementação acima de 50 unidades, utilize RADIUS. O Purple disponibiliza RADIUS-as-a-Service, por isso não precisa de gerir o seu próprio. Pergunta: Os residentes podem utilizar PPSK em todos os seus dispositivos, incluindo consolas de videojogos e smart TVs? Resposta: Sim. Essa é a principal vantagem face ao 802.1X. Qualquer dispositivo que suporte WPA2-Personal - o que inclui todos os dispositivos WiFi fabricados nos últimos 15 anos - funciona com PPSK. Sem certificados, sem configuração de suplicante, sem Captive Portal. Apenas uma palavra-passe. Pergunta: O que acontece quando um residente perde a sua chave ou adquire um telemóvel novo? Resposta: Solicita uma nova chave através do portal ou aplicação do residente. O Purple emite uma nova chave e a chave antiga pode ser opcionalmente revogada. A nova chave funciona em todos os seus dispositivos. Este é um fluxo de self-service - não é necessária a intervenção da equipa de TI. Pergunta: O PPSK está em conformidade com o GDPR? Resposta: O PPSK em si é um mecanismo de acesso à rede, não uma ferramenta de recolha de dados. A conformidade com o GDPR depende dos dados que recolhe e de como os processa. O Purple possui certificação GDPR e ISO 27001. Os registos de WiFi dos residentes devem ser mantidos apenas pelo período operacionalmente necessário - seis meses é um limite comum. As análises agregadas são geralmente aceitáveis; a monitorização do comportamento individual dentro da fração de um residente não é. Pergunta: Como é que o PPSK se compara ao Passpoint e ao OpenRoaming? Resposta: Casos de utilização diferentes. O Passpoint - também conhecido como Hotspot 2.0 - foi concebido para um roaming contínuo entre locais e operadoras. O OpenRoaming baseia-se no Passpoint para roaming global. O PPSK destina-se a um acesso persistente e baseado na identidade dentro de uma única propriedade ou empreendimento. São complementares, não concorrentes. Um empreendimento BTR pode utilizar PPSK para residentes e Passpoint para acesso de visitantes nas áreas comuns. Permitam-me concluir com as principais conclusões. Um: o PPSK é o modelo de autenticação correto para WiFi residencial multi-inquilino. Proporciona isolamento por residente, compatibilidade com IoT e gestão automatizada do ciclo de vida - sem a infraestrutura de certificados do 802.1X. Dois: a terminologia do fornecedor varia - iPSK, MPSK, DPSK, ePSK - mas o conceito é idêntico. Escolha o seu hardware com base nos requisitos do seu edifício e utilize uma sobreposição independente de hardware como a Purple para gerir o ciclo de vida em qualquer fornecedor. Três: planeie a sua gama de VLAN, reflexão mDNS e fluxo de ativação de IoT antes de entrar em funcionamento. Estas são as três fontes mais comuns de pedidos de suporte pós-implementação. Quatro: o PPSK proporciona um retorno comercial mensurável. Quinze a trinta libras por unidade por mês de prémio no arrendamento BTR, períodos de inatividade de cinco a dez dias mais curtos e custos por porta trinta a cinquenta por cento mais baixos em comparação com contratos de banda larga por unidade. Cinco: o modo de transição WPA3 é o objetivo correto para novas implementações em 2025 e nos anos seguintes. Suporta clientes WPA2 e WPA3, e a proteção SAE reforça significativamente as chaves contra ataques offline. Se quiser aprofundar o assunto, o guia de WiFi multi-inquilino da Purple abrange o dimensionamento de sub-redes, o planeamento da gama DHCP e os modelos de implementação específicos do setor para BTR, alojamento de estudantes, habitação social e coworking. Existe também uma ferramenta gratuita de desenho de sub-redes iPSK no website da Purple. Obrigado por ouvir. Se tiver dúvidas, fale com um dos nossos arquitetos de rede em purple dot ai. Até à próxima.