PPSK unifi: comparando funcionalidades e modelos de implementação

Este guia aborda a implementação de PPSK (Private Pre-Shared Key) na infraestrutura Ubiquiti UniFi para ambientes multi-inquilino, incluindo Build to Rent, alojamento de estudantes e hotelaria. Compara PPSK com 802.1X e PSK padrão, detalha dois modelos de implementação - UniFi nativo e overlay cloud RADIUS - e explica como a Purple automatiza a gestão de credenciais à escala. Promotores imobiliários, senhorios e operadores BTR encontrarão orientações de arquitetura acionáveis, casos de estudo reais e um caso de negócio claro para tratar o WiFi como um serviço gerido.

📖 8 min de leitura📝 1,923 palavras🔧 2 exemplos práticos❓ 4 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

PARTE 1:

Bem-vindo a este briefing técnico da Purple. Hoje vamos abordar o PPSK na infraestrutura UniFi - o que é, quando deve ser utilizado e como implementá-lo corretamente em ambientes multi-tenant. Se é um promotor imobiliário, um senhorio ou um operador de BTR a tentar perceber como proporcionar aos residentes uma experiência de WiFi semelhante à de casa sem o caos dos routers individuais, este é exatamente o local onde precisa de começar.

Comecemos pelo problema central. Tem um edifício. Pode ter 50 unidades, ou 500. Pretende fornecer WiFi como uma comodidade. A abordagem ingénua é colocar um router em cada apartamento. Isso cria um desastre. Acaba com centenas de SSIDs a transmitir nos mesmos canais, causando interferência e degradando o desempenho para todos. O ambiente de RF torna-se uma confusão.

Por isso, o passo seguinte natural é centralizar. Implementa pontos de acesso de classe empresarial - a gama UniFi U6 ou U7, por exemplo - e gere uma rede única em todo o edifício. Agora tem um ambiente de RF limpo. Mas tem um novo problema: como manter os residentes isolados uns dos outros? Não pode permitir que o Residente A navegue nos dispositivos do Residente B. E não pode utilizar uma única palavra-passe partilhada, porque quando alguém se muda, tem de alterar a palavra-passe do edifício inteiro.

É aqui que entra o PPSK. PPSK significa Private Pre-Shared Key. O conceito é simples. Transmite um único SSID - um nome de rede. Mas em vez de uma palavra-passe para todos, emite uma palavra-passe única para cada residente. Quando o dispositivo se liga utilizando essa palavra-passe, a rede mapeia-o para uma VLAN dedicada. Uma VLAN é uma Virtual Local Area Network - essencialmente uma rede lógica separada que corre na mesma infraestrutura física.

O resultado é o que chamamos de uma bolha WiFi. Cada dispositivo que o Residente A liga utilizando a sua palavra-passe vai parar à sua VLAN. O seu telemóvel, o seu portátil, a sua smart TV, o seu Chromecast - todos se veem e podem comunicar. Mas estão completamente invisíveis para o Residente B, que está numa VLAN diferente com uma palavra-passe diferente. O mesmo ponto de acesso. O mesmo SSID. Tráfego completamente isolado.

Agora, pode estar a perguntar-se porque não utilizar apenas o 802.1X - o padrão de autenticação empresarial. É uma pergunta justa. O 802.1X é excelente para ambientes corporativos. Utiliza um servidor RADIUS para autenticar os utilizadores através de credenciais ou certificados únicos, e atribui VLANs dinamicamente. Muito seguro. Mas eis o problema para a utilização residencial: o 802.1X exige que o dispositivo que se liga tenha o que se chama um suplicante - software que pode negociar o handshake de autenticação. A maioria dos dispositivos IoT de consumo não possui isto. Smart TVs, consolas de videojogos, impressoras sem fios, colunas inteligentes - nenhum deles suporta 802.1X. Apenas aceitam uma palavra-passe simples. Portanto, se exigir o 802.1X, bloqueia imediatamente uma parte significativa dos dispositivos que os seus residentes pretendem ligar.

O PPSK resolve isto. Utiliza encriptação WPA2 - que todos os dispositivos suportam - mas com o isolamento por utilizador que anteriormente só era possível com 802.1X.

Falemos especificamente da UniFi. A Ubiquiti adicionou suporte nativo a PPSK à aplicação UniFi Network de forma relativamente recente. A configuração é simples: cria as suas VLANs no controlador, cria uma rede sem fios, ativa a opção Private Pre-Shared Keys e, em seguida, atribui manualmente uma palavra-passe exclusiva a cada VLAN. Para uma implementação pequena - por exemplo, um espaço de coworking com dez unidades ou um bloco de apartamentos boutique - isto funciona bem.

Mas existe uma limitação crítica que precisa de saber. O PPSK nativo da UniFi apenas funciona com WPA2. Não suporta WPA3. Isto não é uma falha específica da UniFi - é uma restrição fundamental do protocolo. O WPA3 utiliza um mecanismo de handshake chamado Simultaneous Authentication of Equals, ou SAE. O SAE exige que o ponto de acesso conheça a chave pré-partilhada antes do início do processo de autenticação. Com o PPSK, o objetivo principal é que o ponto de acesso determine qual a chave que está a ser utilizada durante a autenticação. Estes dois requisitos são mutuamente exclusivos. Portanto, se implementar PPSK na UniFi, estará em WPA2 e não poderá utilizar a banda de 6 GHz.

PARTE 2:

Para implementações à escala empresarial, o PPSK nativo da UniFi depara-se com outro obstáculo: a gestão manual. Imagine provisionar 500 palavras-passe exclusivas, mapear cada uma a uma VLAN e depois revogá-las uma a uma à medida que os residentes se mudam. Isso não é uma arquitetura de rede. É um trabalho a tempo inteiro.

É aqui que uma sobreposição de RADIUS na nuvem como o Purple se torna essencial. O Purple integra-se diretamente com os seus pontos de acesso UniFi via RADIUS. Quando um novo residente se muda, o Purple gera automaticamente um PPSK exclusivo e provisiona a sua VLAN. O residente recebe as suas credenciais através da aplicação Purple. Ligam os seus dispositivos. Quando se mudam, o Purple revoga a chave instantaneamente. O resto do edifício não é afetado.

O Purple funciona em 80.000 locais a nível global e processou mais de 440 milhões de inícios de sessão apenas em 2024. A infraestrutura RADIUS na nuvem é certificada com a norma ISO 27001 e mantém um tempo de atividade de 99,999%. É independente de hardware, funcionando igualmente bem em pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, UniFi, Cambium, Extreme Networks e Fortinet.

Deixe-me dar-lhe dois cenários do mundo real para tornar isto concreto.

Primeiro: uma propriedade de 250 unidades Build to Rent em Manchester. O promotor quer substituir os routers de banda larga individuais por uma rede UniFi centralizada. O diretor de TI necessita de isolamento seguro entre residentes, suporte para dispositivos domésticos inteligentes e desprovisionamento automatizado. A solução: pontos de acesso UniFi U6-Enterprise nos corredores, sobreposição de RADIUS na nuvem Purple, um único SSID com PPSK. O Purple integra-se com o sistema de gestão de propriedades. A entrada de um residente aciona o provisionamento automático da chave. A saída aciona a revogação automática. O residente liga o seu telemóvel, portátil e smart TV com uma única palavra-passe. Os seus dispositivos descobrem-se mutuamente. Os seus vizinhos permanecem invisíveis.
Segundo: um hotel de 150 quartos que atualmente utiliza uma rede aberta com um Captive Portal. Os hóspedes queixam-se de que as Apple TVs e as consolas de jogos não funcionam - o que é esperado, porque esses dispositivos não conseguem navegar num Captive Portal. A solução: migrar para um SSID protegido por PPSK. O sistema de gestão de propriedade do hotel aciona o Purple para gerar uma chave única por quarto por estadia. O hóspede recebe a palavra-passe no check-in. Ligam todos os seus dispositivos. A chave expira automaticamente no check-out.

Agora, alguns erros de implementação a evitar.

O ticket de suporte mais comum em redes WiFi multi-tenant é o problema do Chromecast. Um residente não consegue transmitir do telemóvel para a TV. Isto significa quase sempre que os dois dispositivos estão em sub-redes diferentes, ou que o tráfego mDNS está a ser bloqueado no limite da VLAN. Verifique se ambos os dispositivos estão a utilizar exatamente o mesmo PPSK. Confirme se a atribuição da VLAN está correta. E garanta que a configuração da sua rede permite que o mDNS reflita dentro da VLAN de um residente, ao mesmo tempo que impede que ele passe para outras VLANs.

O segundo erro é o dimensionamento do intervalo DHCP. Planeie para 15 a 25 dispositivos por habitação. Um edifício de 200 frações pode facilmente ter 4.000 dispositivos simultâneos. Uma sub-rede slash-24 por residente oferece 254 endereços IP utilizáveis - mais do que suficiente por fração. Mas garanta que a sua infraestrutura de encaminhamento central consegue gerir centenas de sub-redes em simultâneo.

Terceiro: não transmita demasiados SSIDs. Cada SSID adicional consome tempo de transmissão com tramas de gestão. O objetivo principal do PPSK é consolidar para apenas um ou dois SSIDs.

O caso de negócio para operadores de BTR é claro. O WiFi como serviço adicional garante consistentemente um acréscimo de renda de quinze a trinta libras por fração, por mês. O WiFi pronto a usar no momento da mudança reduz os períodos de desocupação em cinco a dez dias. E a implementação de uma camada de software em hardware próprio reduz os custos por porta em trinta a cinquenta por cento em comparação com contratos de banda larga agregados.

Três perguntas rápidas para terminar.

Posso usar PPSK com WPA3? Não. O PPSK requer WPA2. Esta é uma limitação do protocolo, não do fabricante.

O PPSK funciona com bandas de 6 GHz? Não. A banda de 6 GHz requer WPA3 ou o modo de transição WPA3. Como o PPSK funciona apenas com WPA2, está limitado a 2.4 GHz e 5 GHz.

O que acontece quando um residente se esquece da palavra-passe? Entra em contacto com o gestor da propriedade, que pode recuperar ou gerar novamente o seu PPSK a partir do painel do Purple. A nova chave é emitida para o residente. Os seus dispositivos ligados existentes terão de ser ligados novamente, mas nenhum outro residente é afetado.

Em resumo. O PPSK em UniFi oferece um único SSID, palavras-passe únicas por residente e isolamento automático de VLAN. Resolve o problema dos dispositivos IoT que torna o 802.1X impraticável para uso residencial. O PPSK nativo do UniFi funciona para pequenas implementações. A camada de RADIUS na nuvem da Purple gere a escala empresarial com provisionamento e revogação automatizados.

Se deseja ver como isto funciona na prática, visite purple.ai e fale com um dos nossos arquitetos de rede. Implementámos esta arquitetura em milhares de unidades residenciais e podemos orientá-lo na configuração para o seu hardware e tipo de propriedade específicos.

Obrigado por nos ouvir.

Principais Conclusões

✓O PPSK transmite um único SSID enquanto emite palavras-passe exclusivas por residente, atribuindo cada uma a uma VLAN dedicada para um isolamento completo.
✓Ao contrário do 802.1X, o PPSK suporta dispositivos IoT sem ecrã, smart TVs e consolas de jogos que apenas aceitam uma palavra-passe simples.
✓O PPSK nativo da UniFi funciona para pequenas implementações, mas requer uma gestão manual de chaves - inadequado para mais de 50 unidades.
✓A sobreposição de RADIUS na nuvem da Purple automatiza o fornecimento de PPSK, a atribuição de VLAN e a revogação à escala empresarial através da integração com PMS.
✓O PPSK funciona apenas com WPA2 e é incompatível com WPA3 e bandas de 6 GHz devido à restrição do protocolo de handshake SAE.
✓Os operadores de BTR que implementam WiFi gerido através de sobreposição de software em hardware próprio alcançam um prémio de renda de £15 a £30 por unidade, por mês, e custos por porta 30-50% mais baixos em comparação com a banda larga agregada.
✓A gestão de mDNS é o desafio operacional mais comum - configure a reflexão dentro das VLANs e o bloqueio entre VLANs para garantir que os dispositivos domésticos inteligentes funcionem corretamente.

Resumo executivo

Para promotores imobiliários e gestores de TI que gerem edifícios multifamiliares, o principal desafio de WiFi é este: os residentes esperam uma experiência de rede doméstica - dispositivos que se detetam uns aos outros, smart TVs que transmitem conteúdo, consolas que se ligam - mas numa infraestrutura partilhada que deve manter cada habitação isolada das restantes. O PSK padrão falha no isolamento. O 802.1X falha na compatibilidade com dispositivos IoT. O PPSK, ou Private Pre-Shared Key, resolve ambos.

O PPSK transmite um único SSID em todo o edifício, emitindo uma palavra-passe exclusiva para cada residente. A rede utiliza essa palavra-passe para atribuir cada dispositivo de ligação a uma VLAN dedicada, criando uma micro-rede isolada por habitação. Os dispositivos dentro da mesma VLAN do residente comunicam livremente; os dispositivos em VLANs diferentes permanecem invisíveis entre si.

No hardware Ubiquiti UniFi, o PPSK está disponível nativamente para pequenas implementações e através do overlay de RADIUS em nuvem da Purple para escala empresarial. Este guia abrange ambos os modelos, as restrições de protocolo que precisa de conhecer e o caso comercial para implementar WiFi gerido como uma comodidade geradora de receitas.

Análise técnica aprofundada: PPSK vs 802.1X vs PSK

Compreender onde o PPSK se enquadra requer uma comparação direta com os dois padrões de autenticação empresarial dominantes.

PSK Padrão

O WPA2/WPA3-Personal utiliza uma única palavra-passe para todos os clientes num SSID. Cada dispositivo partilha o mesmo domínio de difusão. Num edifício multifamiliar, isto significa que o Residente A pode ver os dispositivos do Residente B. Pode ativar o isolamento de clientes no ponto de acesso para impedir a comunicação direta entre dispositivos, mas fazê-lo quebra totalmente a funcionalidade da rede local - as colunas inteligentes não conseguem controlar as luzes inteligentes, os telemóveis não conseguem transmitir para as televisões e as consolas de jogos não conseguem detetar serviços locais. O PSK padrão não é viável para utilização residencial multifamiliar.

802.1X (WPA-Enterprise)

O 802.1X autentica utilizadores através de um servidor RADIUS utilizando credenciais exclusivas (nome de utilizador e palavra-passe) ou certificados, sendo o EAP-TLS ou o PEAP os métodos de autenticação comuns. Fornece uma segurança robusta e suporta a atribuição dinâmica de VLAN através de atributos RADIUS (especificamente, Tunnel-Private-Group-ID). No entanto, o 802.1X exige que o dispositivo de ligação execute um suplicante - software que negoceia o handshake de autenticação. A maioria dos dispositivos IoT de consumo, smart TVs e consolas de jogos não inclui um suplicante. Aceitam apenas uma palavra-passe simples. Exigir o 802.1X num ambiente residencial exclui imediatamente uma parte significativa dos dispositivos que os residentes pretendem ligar.

PPSK (Private Pre-Shared Key)

PPSK - também chamado de iPSK (Identity Pre-Shared Key) pela Cisco Meraki e pela Purple, e Personal Private Network por alguns fornecedores - faz a ponte. Utiliza encriptação WPA2, que todos os dispositivos suportam, mas mapeia cada palavra-passe única a uma VLAN específica. O ponto de acesso (ou um servidor RADIUS externo) realiza este mapeamento no momento da associação. O resultado é o isolamento por residente sem necessitar de qualquer software de cliente especial.

Dimensão	PSK Padrão	802.1X (WPA-Enterprise)	PPSK
Modelo de segurança	Chave partilhada, sem isolamento	Credenciais por utilizador, forte	Chave por utilizador, forte
Suporte a dispositivos IoT	Sim	Não (requer suplicante)	Sim
Atribuição de VLAN	Estática, VLAN única	Dinâmica via RADIUS	Dinâmica via mapeamento de chaves
Compatível com WPA3	Sim	Sim	Não (apenas WPA2)
Suporte a banda de 6 GHz	Sim	Sim	Não
Carga administrativa	Baixa (uma chave)	Alta (requer infraestrutura RADIUS)	Média (chave por utilizador)
Escalabilidade	Baixa (chave partilhada)	Alta	Alta (com RADIUS na nuvem)

A limitação do WPA3. O PPSK é fundamentalmente incompatível com o WPA3. O WPA3 utiliza Simultaneous Authentication of Equals (SAE), o que exige que o ponto de acesso conheça a chave pré-partilhada antes do início do handshake de autenticação. O PPSK determina qual chave está a ser utilizada durante a autenticação. Estes requisitos são mutuamente exclusivos. Se implementar PPSK no UniFi, estará limitado ao WPA2 e não poderá utilizar as bandas de 6 GHz.

Guia de implementação: 2 modelos de implementação

Modelo 1: PPSK Nativo UniFi (implementações de pequena escala)

A Ubiquiti adicionou suporte nativo para PPSK à aplicação UniFi Network em versões de firmware recentes. Este modelo adequa-se a pequenos espaços de coworking, edifícios residenciais (MDU) boutique ou implementações piloto.

Passo 1: Configuração de VLAN. No controlador UniFi, navegue até Definições > Redes e crie uma VLAN dedicada para cada inquilino. Atribua a cada VLAN um ID exclusivo (por exemplo, VLAN 101 para a Fração 1, VLAN 102 para a Fração 2).

Passo 2: Criação de rede. Navegue até Definições > WiFi e adicione uma nova rede sem fios. Defina o protocolo de segurança para WPA2 Personal.

Passo 3: Ativar PPSK. Nas definições de WiFi, ative a opção Private Pre-Shared Keys. O controlador solicitará que crie palavras-passe individuais.

Passo 4: Mapeamento de chave para VLAN. Para cada palavra-passe que criar, atribua-a à VLAN correspondente. O ponto de acesso utilizará a palavra-passe para determinar a colocação na VLAN no momento da ligação.

Passo 5: Configuração de mDNS. Certifique-se de que o seu gateway UniFi ou USG está configurado para permitir a reflexão de mDNS dentro de cada VLAN, bloqueando ao mesmo tempo o multicast entre VLANs. Isto é essencial para a deteção de dispositivos (Chromecast, Apple Bonjour, Sonos).Limitações do PPSK nativo. A gestão manual de chaves torna-se operacionalmente inviável para além de algumas dezenas de unidades. Não existe provisionamento ou revogação automatizados. Quando um inquilino se muda, tem de eliminar manualmente a sua chave do controlador. Não existe integração com sistemas de gestão de propriedades.

Modelo 2: Sobreposição de Cloud RADIUS com Purple (escala empresarial)

Para grandes propriedades de BTR ou alojamento de estudantes, a Purple fornece uma sobreposição de software agnóstica em termos de hardware que se integra com os pontos de acesso UniFi via RADIUS. Este modelo automatiza todo o ciclo de vida das credenciais.

Passo 1: Configuração do perfil RADIUS. No controlador UniFi, navegue até Settings > Profiles > RADIUS e crie um novo perfil. Introduza os endereços do servidor cloud RADIUS da Purple e o segredo partilhado fornecido durante a integração na Purple.

Passo 2: Configuração do SSID. Crie uma rede sem fios utilizando WPA2 Enterprise. Selecione o perfil RADIUS criado no Passo 1. O servidor RADIUS da Purple trata da autenticação e devolve a atribuição de VLAN através do atributo Tunnel-Private-Group-ID.

Passo 3: Integração com a gestão de propriedades. Ligue a Purple ao seu sistema de gestão de propriedades (PMS) via API ou webhook. Quando um novo arrendamento é criado no PMS, a Purple gera automaticamente um PPSK exclusivo e provisiona a VLAN correspondente.

Passo 4: Integração de residentes. O residente recebe as suas credenciais através da aplicação Purple ou de um e-mail de boas-vindas. Utiliza esta palavra-passe única para todos os seus dispositivos - telemóveis, portáteis, smart TVs, consolas e sensores IoT.

Passo 5: Desprovisionamento automatizado. Quando o arrendamento termina, o PMS aciona a Purple para revogar a chave. O acesso é terminado instantaneamente. Nenhum outro residente é afetado.

Este modelo funciona na infraestrutura cloud RADIUS da Purple, que suporta mais de 80.000 locais e manteve 99,999% de uptime em 2024 (dados internos da Purple). É compatível com pontos de acesso Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet.

Para estratégias de design de rede relacionadas, consulte Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi e o nosso abrangente iPSK: una guía completa para empresas .

Melhores práticas para o design de WiFi multi-tenant

Design para densidade. Planeie para 15-25 dispositivos por habitação (dados internos da Purple de mais de 80.000 locais). Uma propriedade BTR de 200 unidades verá entre 3.000 a 5.000 dispositivos simultâneos. Selecione pontos de acesso UniFi - U6-Enterprise ou U7-Pro - com CPU e memória suficientes para contagens elevadas de clientes. Coloque os APs nos corredores em vez de os colocar dentro das unidades para reduzir o número de APs necessários enquanto mantém a cobertura. Gerencie o mDNS com cuidado. O Multicast DNS é essencial para a descoberta de dispositivos (Apple Bonjour, Google Cast, Sonos). Configure a sua rede para refletir o tráfego mDNS dentro da VLAN de cada residente, bloqueando-o estritamente de cruzar os limites da VLAN. A funcionalidade de repetidor mDNS da UniFi lida com isto quando configurada corretamente.

Dimensione os escopos DHCP corretamente. Uma sub-rede /24 (254 IPs utilizáveis) por residente é suficiente para a maioria das habitações. Certifique-se de que a sua infraestrutura de routing principal - normalmente um UniFi Dream Machine Pro ou UDM-SE - consegue lidar com centenas de sub-redes simultâneas sem degradação do desempenho.

Minimize a contagem de SSIDs. Cada SSID adicional que transmite consome tempo de antena com tráfego de gestão, reduzindo a largura de banda disponível para o tráfego de dados. O PPSK permite-lhe consolidar para um único SSID de residente. Adicione um SSID de Guest WiFi separado para visitantes em áreas comuns, e um SSID de WiFi de Funcionários para a gestão do edifício. Três SSIDs é o máximo prático para a maioria das implementações.

Implemente o isolamento de clientes entre VLANs na camada de routing. Não dependa apenas da etiquetagem de VLAN. Configure ACLs explícitas no seu router principal para impedir o routing inter-VLAN entre as redes dos residentes. Permita o routing apenas de e para o gateway da internet.

Resolução de problemas e mitigação de riscos

O problema do Chromecast

O ticket de suporte mais frequente em ambientes multi-inquilino é a falha na transmissão para dispositivos. O telemóvel de um residente não consegue descobrir o seu Chromecast ou Apple TV. Isto ocorre quando o dispositivo de transmissão e o recetor estão em sub-redes diferentes, ou quando o tráfego mDNS é descartado no limite da VLAN.

Diagnóstico: Confirme se ambos os dispositivos estão a utilizar o mesmo PPSK. No controlador UniFi, verifique a lista de clientes e confirme se ambos os dispositivos estão atribuídos à mesma VLAN. Se estiverem em VLANs diferentes, o mapeamento PPSK está incorreto.

Resolução: Corrija o mapeamento PPSK para VLAN no controlador ou no painel do Purple. Verifique se o repetidor mDNS da UniFi está ativado e configurado para as VLANs corretas.

O caos da rotação de palavras-passe

Em implementações PSK padrão, quando um residente se muda, a palavra-passe de todo o edifício deve ser alterada, forçando todos os outros residentes a atualizar todos os seus dispositivos. Isto é operacionalmente catastrófico à escala.

Resolução: O PPSK elimina totalmente este risco. Revogar a chave de um residente afeta apenas esse residente. A Purple automatiza a revogação através da integração com o PMS, pelo que não é necessária qualquer intervenção manual.

Exaustão de DHCP

Em edifícios de alta densidade, os pools de DHCP podem esgotar-se se forem dimensionados com um tamanho demasiado pequeno. Uma sub-rede /24 fornece 254 IPs. Com mais de 20 dispositivos por habitação, isto é suficiente para frações individuais, mas certifique-se de que os tempos de concessão (lease times) do seu DHCP estão definidos de forma adequada (quatro a oito horas para uso residencial) para recuperar endereços de dispositivos desligados.

Planeamento de migração para WPA3

À medida que o WPA3 se torna o padrão nos novos dispositivos, a limitação do PPSK ao WPA2 tornar-se-á cada vez mais relevante. Planeie o seu percurso de migração agora. Para propriedades onde o WPA3 é uma prioridade, avalie o 802.1X com uma sobreposição de RADIUS na nuvem que lida com a ativação de dispositivos IoT separadamente através de autenticação baseada em MAC ou de um SSID de IoT dedicado.

ROI e impacto comercial

Tratar o WiFi como uma comodidade gerida proporciona retornos comerciais mensuráveis para os operadores de BTR. As propriedades que oferecem WiFi de alto desempenho e pronto a usar geram um prémio de renda de £15-30 por unidade por mês, com base nos referenciais do setor da British Property Federation. O WiFi pronto a usar reduz os períodos de desocupação em cinco a dez dias. A implementação da sobreposição de software da Purple em hardware UniFi próprio reduz os custos por porta em 30-50% em comparação com a negociação de contratos de banda larga individuais com ISPs tradicionais (modelação interna da Purple).

Para uma propriedade BTR de 200 unidades, as contas são simples. Um prémio de £20 por unidade por mês gera £48.000 em receitas anuais adicionais. Face a um custo de sobreposição de software que escala por unidade, o período de retorno é normalmente inferior a 12 meses.

Para os operadores de hospitalidade , o benefício é diferente mas igualmente mensurável. A substituição de uma rede aberta por um SSID protegido por PPSK elimina as falhas de experiência do cliente causadas por portais cativos que bloqueiam dispositivos IoT, reduz as chamadas de suporte para a receção e ativa o WiFi Analytics que gera dados primários para programas de fidelização e marketing.

Para os operadores de retalho e transportes , o PPSK permite uma segmentação segura da rede de funcionários na mesma infraestrutura que o WiFi de convidados, reduzindo os custos de hardware e simplificando a gestão de rede. Para ambientes de cuidados de saúde , o PPSK fornece o isolamento de pacientes e visitantes exigido pela GDPR e pelas normas de segurança de rede do NHS.

A Purple implementou esta arquitetura em mais de 80.000 locais globalmente, incluindo Premier Inn, Whitbread e Manchester Airports Group (MAG). A plataforma processou 440 milhões de inícios de sessão em 2024 e detém as certificações ISO 27001, GDPR, CCPA e Cyber Essentials.

Para saber mais sobre a arquitetura e implementação de iPSK, consulte Nama ff keren iPSK: a comprehensive guide for businesses e Três SSIDs para a todos governar: o design de WiFi para convidados, funcionários e IoT .

Definições Principais

PPSK (Private Pre-Shared Key)

Um método de segurança sem fios que permite o funcionamento de múltiplas palavras-passe exclusivas num único SSID, mapeando cada palavra-passe o dispositivo de ligação a uma VLAN específica. Também designado por iPSK (Identity Pre-Shared Key) pela Cisco Meraki e pela Purple.

Utilizado em ambientes multi-inquilino para fornecer redes seguras e isoladas por residente, sem a complexidade do 802.1X ou a sobrecarga de RF de múltiplos SSIDs.

iPSK (Identity Pre-Shared Key)

O termo neutro em relação ao fornecedor para PPSK utilizado pela Purple e pela Cisco Meraki. A tecnologia e o resultado são idênticos ao PPSK. A Ubiquiti utiliza o termo PPSK; a HPE Aruba utiliza o mesmo termo.

Irá encontrar o iPSK na documentação da Purple e nas configurações da Cisco Meraki. Refere-se ao mesmo mecanismo de mapeamento de chave por utilizador para VLAN.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa dispositivos de diferentes segmentos de rede física. As VLAN isolam os domínios de difusão e, quando combinadas com ACL de encaminhamento, impedem o tráfego entre redes.

No WiFi multi-tenant, é atribuída a cada residente uma VLAN dedicada. Os seus dispositivos comunicam livremente dentro da VLAN, mas não conseguem aceder a dispositivos nas VLAN de outros residentes.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece Autenticação, Autorização e Contabilização (AAA) centralizadas para acesso à rede. Em implementações PPSK, o servidor RADIUS mapeia as credenciais para as atribuições de VLAN através do atributo Tunnel-Private-Group-ID.

A Purple atua como um servidor RADIUS na nuvem. Os pontos de acesso UniFi enviam pedidos de autenticação para os servidores RADIUS da Purple, que devolvem a atribuição de VLAN correta para cada PPSK exclusivo.

mDNS (Multicast DNS)

Um protocolo que resolve nomes de anfitrião para endereços IP em redes locais sem um servidor DNS central. Utilizado pelo Apple Bonjour, Google Cast, Sonos e protocolos de deteção de dispositivos semelhantes.

A gestão do mDNS é fundamental em redes multi-tenant. Deve refletir-se dentro da VLAN de cada residente para permitir a deteção de dispositivos, mas não deve ultrapassar os limites da VLAN para outros residentes.

SAE (Simultaneous Authentication of Equals)

O mecanismo de handshake do WPA3 que substitui o handshake de quatro vias do WPA2. O SAE exige que ambas as partes conheçam a chave pré-partilhada antes do início do handshake, tornando-o incompatível com o PPSK.

Esta é a razão técnica pela qual o PPSK não pode funcionar em bandas WPA3 ou de 6 GHz. Compreender o SAE explica por que razão a restrição do WPA2 é uma limitação do protocolo e não uma escolha do fornecedor.

BTR (Build to Rent)

Propriedades residenciais construídas especificamente para o mercado de arrendamento e não para venda. Um setor de implementação prioritário para o WiFi multi-tenant, onde a internet de alta qualidade é um dos cinco principais fatores de comodidade.

Os operadores de BTR são o público-alvo principal do WiFi gerido baseado em PPSK. A combinação de elevada densidade de dispositivos, requisitos de IoT e a rotação frequente de inquilinos torna o PPSK a arquitetura correta.

Headless device

Um dispositivo ligado à rede que carece de um ecrã tradicional ou de uma interface de teclado, como uma tomada inteligente, coluna sem fios, sensor ambiental ou consola de jogos. Estes dispositivos não conseguem navegar em Captive Portals ou negociar a autenticação 802.1X.

A prevalência de headless devices em ambientes residenciais - uma média de 15 a 25 por habitação - é a principal razão pela qual o 802.1X é impraticável para implementações em BTR e alojamentos de estudantes.

Cloud RADIUS overlay

Uma arquitetura de software como serviço (SaaS) na qual um servidor RADIUS alojado na nuvem lida com a autenticação e a atribuição de VLAN para pontos de acesso locais. Os pontos de acesso não necessitam de infraestrutura RADIUS local.

O cloud RADIUS overlay da Purple é o mecanismo que permite a gestão de PPSK à escala empresarial em hardware UniFi sem servidores locais. Integra-se com sistemas de gestão de propriedades para provisionamento automatizado.

Exemplos Práticos

Uma propriedade Build to Rent com 250 unidades em Manchester está a substituir os routers de banda larga individuais por uma rede UniFi centralizada. O diretor de TI necessita de fornecer WiFi seguro aos residentes, garantindo que os dispositivos de smart home funcionam dentro dos apartamentos, ao mesmo tempo que impede os residentes de acederem às redes uns dos outros. Também precisam de automatizar a revogação de acessos quando os contratos de arrendamento terminam, e integrar com o sistema de gestão de propriedade existente.

Implementar pontos de acesso UniFi U6-Enterprise nos corredores, fornecendo cobertura para os apartamentos. Configurar um único SSID para residentes utilizando WPA2 com o overlay cloud RADIUS da Purple. Integrar a Purple com o sistema de gestão de propriedade via API. Quando um residente se muda, a Purple gera automaticamente um PPSK exclusivo e atribui uma VLAN dedicada (por exemplo, VLAN 101 para a Unidade 1, VLAN 102 for Unidade 2). O residente liga o seu telemóvel, portátil e smart TV utilizando a sua chave exclusiva. Todos os seus dispositivos entram na sua VLAN específica. O mDNS reflection é ativado em cada VLAN para que o Chromecast e as colunas inteligentes funcionem corretamente. Quando o residente sai, o PMS notifica a Purple, que revoga a chave instantaneamente sem afetar as outras 249 unidades.

Comentário do Examinador: Esta abordagem elimina a interferência de RF causada por 250 routers individuais a transmitir SSIDs separados. Ao utilizar o cloud RADIUS da Purple, o diretor de TI evita configurar manualmente 250 VLANs e palavra-passes no controlador UniFi. A integração com PMS garante um provisionamento zero-touch e um offboarding seguro. A decisão arquitetónica fundamental é utilizar WPA2 Enterprise com RADIUS em vez de PPSK nativo do UniFi, o que exigiria uma gestão manual a esta escala.

Um hotel de 150 quartos utiliza atualmente uma rede aberta com um Captive Portal para o WiFi dos hóspedes. Os hóspedes queixam-se de que as Apple TVs e consolas de jogos nos quartos não se ligam. O gestor de TI do hotel pretende proporcionar uma experiência WiFi segura e semelhante à de casa, mantendo a capacidade de expirar o acesso no momento do check-out. O hotel utiliza um PMS padrão.

Migrar da rede aberta com Captive Portal para um SSID protegido por PPSK. Integrar a rede UniFi com a Purple e o PMS do hotel. No momento do check-in, o PMS aciona a Purple para gerar um PPSK exclusivo associado ao número do quarto do hóspede e à data de partida. O hóspede recebe a palavra-passe no envelope do cartão do quarto ou através da aplicação Purple. Utilizam esta palavra-passe para ligar o telemóvel, portátil e Apple TV. Todos os dispositivos entram num microsegmento seguro. A Apple TV e as consolas de jogos ligam-se utilizando a palavra-passe simples - sem necessidade de navegação no Captive Portal. No momento do check-out, a chave expira automaticamente. O hotel mantém um SSID aberto separado com Captive Portal para acesso de hóspedes no lobby e áreas comuns.

Comentário do Examinador: A perspetiva crítica aqui é que os Captive Portals são fundamentalmente incompatíveis com dispositivos sem ecrã ou browser. As Apple TVs e consolas de jogos não conseguem abrir um browser para aceitar os termos e condições. O PPSK resolve isto ao fornecer segurança WPA2 com uma palavra-passe simples que qualquer dispositivo pode utilizar. A expiração automatizada através da integração com o PMS impede o acesso não autorizado após o check-out sem exigir qualquer intervenção manual da receção ou da equipa de TI.

Perguntas de Prática

Q1. Está a implementar WiFi num bloco de alojamento de estudantes com 500 camas. O cliente pretende utilizar o 802.1X para garantir uma segurança de nível empresarial. No entanto, os estudantes trarão consolas de jogos, smart TVs e impressoras sem fios. Qual é a abordagem arquitetónica recomendada e quais são as principais desvantagens?

Dica: Considere as capacidades dos dispositivos IoT de consumo no que diz respeito aos protocolos de autenticação empresarial e se uma abordagem híbrida é viável.

Ver resposta modelo

Aconselhe contra o uso do 802.1X como o único método de autenticação. Os dispositivos de consumo, como consolas de jogos e smart TVs, não possuem o suplicante 802.1X necessário para autenticar. Recomende uma arquitetura PPSK utilizando o cloud RADIUS da Purple. Isto fornece segurança WPA2 com isolamento de VLAN por estudante, permitindo que dispositivos sem ecrã se liguem através de uma palavra-passe simples e única. Se o cliente insistir no 802.1X para computadores portáteis e telemóveis, implemente um híbrido: 802.1X para dispositivos geridos e um SSID PPSK separado para dispositivos IoT, com ambos mapeados para a mesma VLAN por estudante. Isto aumenta o número de SSIDs, mas mantém a postura de segurança que o cliente exige.

Q2. O gestor de um espaço de coworking relata que os membros não conseguem transmitir apresentações dos seus computadores portáteis para as smart TVs nas salas de reuniões. Atualmente, utilizam uma única rede PSK padrão com o isolamento de clientes ativado para proteger a privacidade dos membros. Como resolve isto sem comprometer a privacidade dos membros?

Dica: O isolamento de clientes impede toda a comunicação de dispositivo para dispositivo no AP, incluindo entre dispositivos da mesma empresa.

Ver resposta modelo

A configuração atual quebra o mDNS, que é necessário para a transmissão. Migre a rede para um modelo PPSK. Atribua uma palavra-passe única a cada empresa membro, mapeando cada uma para uma VLAN dedicada. Desative o isolamento de clientes ao nível do AP - já não é necessário porque os limites de VLAN fornecem o isolamento. Configure ACLs de encaminhamento para evitar o tráfego inter-VLAN. Ative a reflexão mDNS dentro de cada VLAN. Os computadores portáteis de cada empresa podem agora detetar e transmitir para as TVs dentro da sua VLAN, mantendo-se isolados das outras empresas. Se as TVs precisarem de ser partilhadas entre empresas, coloque-as numa VLAN partilhada e configure as regras de proxy mDNS em conformidade.

Q3. Está a configurar um PPSK nativo da UniFi para um pequeno edifício de apartamentos de 10 unidades. Seleciona WPA3 para a rede sem fios para fornecer a segurança mais forte disponível. A configuração falha ao ser aplicada. Por que razão isto ocorre e qual é a abordagem correta?

Dica: Reveja os requisitos de protocolo para o handshake SAE do WPA3 e como interagem com o mecanismo de autenticação do PPSK.

Ver resposta modelo

O PPSK é incompatível com o WPA3. O WPA3 utiliza o Simultaneous Authentication of Equals (SAE), que exige que o ponto de acesso conheça a chave pré-partilhada antes do início do processo de autenticação. Com o PPSK, o ponto de acesso determina qual a chave que está a ser utilizada durante a autenticação - estes requisitos são mutuamente exclusivos. A abordagem correta é configurar a rede utilizando WPA2 Personal com PPSK ativado. Se a segurança WPA3 for uma prioridade para a propriedade, considere o 802.1X com uma sobreposição cloud RADIUS para computadores portáteis e telemóveis, e um SSID WPA2 PPSK separado para dispositivos IoT. Documente esta limitação claramente para o cliente para que este compreenda o compromisso de segurança.

Q4. Uma propriedade BTR de 300 unidades está a registar chamadas de suporte frequentes de residentes que relatam que os seus dispositivos Chromecast não funcionam. A rede utiliza PPSK com a sobreposição cloud RADIUS da Purple em hardware UniFi. Quais são as três causas mais prováveis e como diagnostica cada uma delas?

Dica: O Chromecast requer que o dispositivo de transmissão e o recetor estejam na mesma rede lógica e consigam trocar tráfego mDNS.

Ver resposta modelo

As três causas mais prováveis são: Primeiro, mapeamento PPSK-para-VLAN incorreto - o telemóvel e o Chromecast do residente podem estar a usar palavras-passe diferentes e a ir parar a VLANs diferentes. Diagnostique verificando a lista de clientes no controlador UniFi e confirmando se ambos os dispositivos estão na mesma VLAN. Segundo, mDNS não refletido dentro da VLAN - mesmo que ambos os dispositivos estejam na mesma VLAN, o tráfego mDNS pode ser descartado. Diagnostique verificando a configuração do repetidor mDNS da UniFi e confirmando se o seu âmbito está definido para as VLANs dos residentes. Terceiro, encaminhamento inter-VLAN ativado acidentalmente - se as ACLs de encaminhamento estiverem mal configuradas, dispositivos em VLANs diferentes podem comunicar parcialmente, causando um comportamento inconsistente. Diagnostique testando a conectividade entre dois dispositivos em VLANs diferentes e confirmando que não se conseguem alcançar.

Continue a ler esta série

Guia de iPSK: um guia abrangente para empresas

Este guia explica como a tecnologia Identity Pre-Shared Key (iPSK) resolve o principal desafio de segurança em ambientes WiFi multi-inquilino: fornecer isolamento de nível empresarial e controlo por utilizador sem comprometer a compatibilidade para dispositivos IoT, consolas de videojogos e tecnologia de domótica. Abrange toda a arquitetura técnica, estratégias de implementação e o caso de negócio para promotores imobiliários, operadores de BTR e equipas de TI de hotelaria.

Spectrum managed WiFi customer service: um guia completo para empresas

Este guia completo detalha como os operadores de build-to-rent (BTR) e promotores imobiliários podem implementar spectrum managed WiFi para fornecer experiências de rede seguras e isoladas para os residentes. Abrange a arquitetura técnica de cloud RADIUS, isolamento de VLAN e iPSK, juntamente com estratégias práticas de implementação para reduzir os custos de suporte.

Sinalização PPSK: comparando funcionalidades e modelos de implementação

Um guia técnico definitivo que compara os modelos de autenticação PPSK (Private Pre-Shared Key) para edifícios inteligentes e ambientes multi-inquilino. Abrange a arquitetura, segmentação de IoT, implementações de fornecedores e o caso de negócio para WiFi baseado em identidade no setor Build-to-Rent.