PPSK usm kubang kerian: comparando funcionalidades e modelos de implementação

Bem-vindo ao Briefing Técnico da Purple. Hoje estamos a abordar o PPSK na USM Kubang Kerian - o que é, como se compara com as alternativas e como é que uma implementação prática se parece realmente num grande campus de ciências da saúde. Comecemos pelo contexto. O Campus de Saúde da Universiti Sains Malaysia em Kubang Kerian, Kelantan, é um dos ambientes de WiFi mais complexos que encontrará no Sudeste Asiático. Dispõe de um hospital universitário com 747 camas, várias faculdades de medicina e ciências da saúde, alojamento para estudantes, laboratórios de investigação e instalações clínicas - tudo num único campus, tudo a partilhar a mesma infraestrutura de rede física. A população de utilizadores abrange estudantes de medicina, pessoal clínico, equipas administrativas, investigadores visitantes, doentes e as suas famílias. A população de dispositivos é ainda mais variada: portáteis geridos, telemóveis pessoais, equipamento médico, sensores IoT, sistemas de CCTV e controladores de edifícios inteligentes. A pergunta que todos os diretores de TI de um campus como este acabam por enfrentar é: como dar a cada um desses grupos de utilizadores uma experiência de rede segura e isolada sem implementar um SSID separado para cada segmento? Porque se o fizer - se transmitir oito ou dez SSIDs num campus desta dimensão - irá degradar o desempenho do WiFi para todos. Cada SSID consome tempo de antena para tramas de sinalização (beacon frames). Num ambiente denso, a proliferação de SSIDs é um desastre para o desempenho. A resposta, cada vez mais, é o PPSK. Private Pre-Shared Key. E é isso que vamos analisar hoje. Então, o que é exatamente o PPSK? É um modelo de autenticação WiFi no qual cada utilizador, cada grupo de dispositivos ou cada departamento obtém a sua própria chave pré-partilhada exclusiva. Todos se ligam ao mesmo SSID - o mesmo nome de rede - mas cada chave mapeia para uma VLAN separada. O ponto de acesso trata do mapeamento da chave para a VLAN automaticamente. A terminologia varia consoante o fabricante e isso causa uma enorme confusão no mercado. A HPE Aruba chama-lhe PPSK - Private Pre-Shared Key. A Cisco Meraki chama-lhe iPSK - Identity PSK. A Juniper Mist utiliza ePSK. A Ruckus chama-lhe DPSK - Dynamic PSK. A Extreme Networks, que desenvolveu o conceito sob a marca Aerohive, chama-lhe Private PSK. A Ubiquiti UniFi chama-lhe simplesmente PPSK. O mecanismo subjacente é idêntico: um SSID, múltiplas chaves exclusivas, cada chave associada a uma VLAN ou a um grupo de políticas. Agora, comparemos o PPSK com as duas alternativas sobre as quais mais frequentemente será questionado. A primeira é o PSK padrão - uma palavra-passe partilhada para toda a rede. É o que a maioria das implementações de campus antigas ainda executa. É simples de implementar, mas é um ponto único de falha. Uma palavra-passe comprometida significa que toda a rede está exposta. Não é possível revogar o acesso de um único utilizador sem alterar a palavra-passe de todos. Num campus com milhares de utilizadores, isso é simplesmente impossível de gerir. A segunda alternativa é o 802.1X Enterprise - o padrão de excelência para autenticação de dispositivos corporativos. O 802.1X utiliza um servidor RADIUS, um fornecedor de identidade como o Microsoft Entra ID, Okta ou Google Workspace, e um suplicante em cada dispositivo. Esse suplicante é o componente de software que lida com a troca de autenticação EAP. Todos os portáteis geridos têm um. O frigorífico inteligente do seu estudante não tem. O seu sensor IoT clínico não tem. O controlador de gestão do seu edifício não tem. O 802.1X é a resposta certa para redes de funcionários e frotas de dispositivos geridos. É a resposta errada para dispositivos IoT, dispositivos pessoais e o tipo de ambiente de utilização mista que se encontra num campus de ciências da saúde. O PPSK situa-se no meio. Oferece isolamento por utilizador e atribuição de VLAN sem exigir uma infraestrutura de certificados ou um suplicante em cada dispositivo. Funciona com qualquer dispositivo compatível com WiFi, incluindo equipamento médico legado que não suporta WPA Enterprise. Essa é a sua principal vantagem num ambiente de saúde e educação. Analisemos o fluxo técnico de autenticação. Quando um dispositivo se liga ao SSID, apresenta a sua chave pré-partilhada durante o handshake de quatro vias do WPA2. O ponto de acesso - ou o controlador de nuvem por trás dele - procura essa chave no armazenamento PPSK, identifica a qual VLAN corresponde e etiqueta o tráfego do dispositivo em conformidade a partir desse momento. O dispositivo vê uma ligação WiFi normal. Não faz ideia de que foi colocado num segmento isolado. As suas aplicações funcionam. Os seus serviços emparelham. Tudo se comporta como esperado. Numa implementação baseada em RADIUS - que é o que a Purple recomenda para qualquer campus com mais de 200 utilizadores simultâneos - o controlador consulta um servidor RADIUS externo para cada nova ligação. O servidor RADIUS devolve uma resposta Access-Accept contendo tanto a validação da chave como a atribuição da VLAN. Isto proporciona-lhe registo centralizado, trilhos de auditoria e a capacidade de revogar o acesso instantaneamente ao remover a chave do armazenamento RADIUS. O dispositivo é desligado na reautenticação seguinte. Não é necessária qualquer intervenção manual ao nível do ponto de acesso. Falemos agora sobre os modelos de implementação, porque existem três abordagens distintas em produção hoje em dia, e a escolha certa depende do tamanho do seu campus, dos seus recursos de TI e do seu hardware existente. O primeiro é o PPSK local no controlador. As chaves exclusivas são armazenadas diretamente no controlador sem fios, sem necessidade de um servidor RADIUS externo. Isto funciona para implementações mais pequenas - até cerca de 200 utilizadores simultâneos - e é o mais simples de operar. O Ubiquiti UniFi suporta isto nativamente. A limitação é a escalabilidade. A maioria dos controladores tem um limite de algumas centenas de entradas PPSK locais, e perde-se a gestão centralizada do ciclo de vida que torna o PPSK operacionalmente viável à escala. Para um campus do tamanho da USM Kubang Kerian, este modelo não é adequado. O segundo modelo é o PPSK com suporte RADIUS. As chaves são armazenadas num servidor RADIUS externo, e o controlador consulta o servidor RADIUS a cada nova ligação. Isto escala para milhares de utilizadores. O Ruckus SmartZone, o HPE Aruba ClearPass e o Cisco ISE suportam todos este modelo. Os custos operacionais são mais elevados, mas a escalabilidade e as capacidades de gestão do ciclo de vida são significativamente melhores. Este é o modelo certo para a implementação num campus de grande dimensão. O terceiro modelo - e aquele que a Purple recomenda para instituições sem infraestrutura RADIUS dedicada - é o cloud RADIUS-as-a-Service. A infraestrutura RADIUS é alojada e gerida externamente, e liga os seus pontos de acesso a ela através de uma sobreposição na nuvem. A plataforma da Purple assenta sobre o seu hardware existente - seja Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet - e fornece a camada de orquestração para aprovisionamento de chaves, gestão do ciclo de vida e integração de utilizadores. O ciclo de vida das chaves é totalmente automatizado. Um estudante inscreve-se, a sua chave é aprovisionada através da integração com o sistema de gestão de estudantes. Termina o curso ou desiste, a sua chave é revogada instantaneamente. Sem intervenção manual, sem lacunas de segurança. Para a USM Kubang Kerian especificamente, a arquitetura recomendada é um modelo híbrido: PPSK para estudantes, residentes e dispositivos IoT, com 802.1X para pessoal clínico e equipas administrativas que utilizam dispositivos geridos. Três modelos de autenticação distintos, três segmentos VLAN distintos, uma infraestrutura física. Estudantes na VLAN 10 até ao limite que o tamanho do grupo exigir. Pessoal clínico em 802.1X contra o fornecedor de identidade da universidade. IoT e sistemas de gestão de edifícios numa VLAN de IoT dedicada com filtragem de saída. WiFi para convidados em áreas públicas através de um Captive Portal numa VLAN separada. Uma limitação crítica a assinalar antes de especificar o hardware: a implementação de PPSK da Ubiquiti UniFi é atualmente apenas WPA2. Se estiver a implementar pontos de acesso WiFi 6E e quiser utilizar a banda de 6 gigahertz para clientes PPSK, precisa de uma plataforma que suporte WPA3-SAE com PPSK - Aruba, Ruckus e Meraki suportam todos esta funcionalidade. A banda de 6 gigahertz é exclusiva do WPA3, pelo que qualquer implementação PPSK em 6 gigahertz requer compatibilidade com WPA3-SAE. Planeie isto na sua especificação de hardware antes de se comprometer com um fornecedor. Deixe-me orientá-lo através dos erros de implementação comuns, porque estes são os modos de falha que vejo repetidamente em implementações de produção. O primeiro é a proliferação de SSIDs. Cada SSID que transmite consome tempo de antena para tramas de sinalização (beacon frames). Num ambiente de campus denso, se estiver a transmitir seis ou oito SSIDs por ponto de acesso, está a degradar o desempenho de todos. Mantenha o limite máximo de quatro SSIDs por rádio. Utilize PPSK para servir múltiplos segmentos de utilizadores a partir de um único SSID em vez de criar um SSID separado por departamento ou por piso. O segundo erro comum é a configuração insuficiente das portas trunk. Desenha um esquema de VLAN limpo, implementa os pontos de acesso e, em seguida, o tráfego cai silenciosamente porque alguém se esqueceu de permitir as VLANs relevantes numa ligação trunk entre o switch de distribuição e a camada de acesso. Valide todas as portas trunk durante a colocação em funcionamento. Documente-o. Teste-o com um dispositivo em cada VLAN antes de os utilizadores entrarem em produção. O terceiro erro comum é a aleatorização de endereços MAC. Desde o iOS 14, Android 10 e Windows 11, os dispositivos utilizam endereços MAC aleatórios por predefinição por motivos de privacidade. Se o seu servidor RADIUS estiver a realizar uma pesquisa de MAC e o dispositivo apresentar um endereço aleatório, a pesquisa falha e o dispositivo não consegue ligar-se. A solução é configurar o seu SSID para solicitar que os clientes utilizem o seu endereço MAC de hardware permanente, ou implementar um fluxo de trabalho de pré-registo onde os utilizadores registam o seu dispositivo antes de se ligarem. A plataforma da Purple trata disto automaticamente como parte do fluxo de integração de utilizadores. O quarto erro comum é a distribuição de chaves. Gerar chaves é simples. Entregá-las aos utilizadores de uma forma que seja segura e operacionalmente gerível é mais difícil. Um código QR no pacote de boas-vindas funciona bem para o dia da mudança. Um portal de self-service onde os utilizadores podem recuperar a sua chave e adicionar novos dispositivos é melhor para as operações diárias. Construa o fluxo de trabalho de distribuição de chaves antes de implementar, não depois. Agora vamos analisar dois cenários do mundo real que são diretamente relevantes para um campus como a USM Kubang Kerian. Cenário um: um bloco de alojamento para estudantes construído especificamente para o efeito com 400 camas. O desafio é a rotação anual de estudantes. A cada ano letivo, centenas de estudantes mudam-se e centenas de novos estudantes entram, muitas vezes na mesma semana. Com um modelo de PSK partilhado, isto significa uma rotação de palavra-passe a nível de todo o edifício que afeta todos os residentes que regressam. Com PPSK, significa revogar as chaves do grupo que sai e provisionar novas para o grupo que entra - tudo automatizado através da integração com o sistema de gestão de estudantes. Um operador que utiliza este modelo reportou uma redução de 70% nos pedidos de suporte relacionados com WiFi no primeiro período letivo, principalmente porque os problemas de emparelhamento de dispositivos que tinham afetado a implementação anterior de PSK partilhado foram completamente eliminados. Cenário dois: uma instalação de investigação clínica com tipos de dispositivos mistos. O desafio aqui é suportar tanto estações de trabalho clínicas geridas em 802.1X como equipamentos médicos antigos que não suportam WPA Enterprise. O modelo híbrido - 802.1X para dispositivos geridos, PPSK para equipamentos antigos e IoT - resolve isto sem exigir uma infraestrutura física separada. As estações de trabalho clínicas autenticam-se via EAP-TLS contra o fornecedor de identidade da universidade. O equipamento antigo recebe uma chave PPSK dedicada mapeada para uma VLAN restrita com filtragem de saída para os sistemas clínicos a que precisa de aceder, e nada mais. A postura de segurança é mantida. A complexidade operacional é gerível. Deixe-me dar-lhe três regras práticas antes de passarmos para as perguntas rápidas. Regra um: se o seu campus ou edifício tiver mais de 200 utilizadores simultâneos, utilize PPSK baseado em RADIUS, não PPSK local do controlador. O limite de escalabilidade do PPSK local do controlador irá causar-lhe problemas no prazo de 12 meses após a entrada em funcionamento. Regra dois: planeie para a aleatorização de endereços MAC desde o primeiro dia. Integre um fluxo de trabalho de pré-registo no seu processo de integração de utilizadores. Não assuma que os dispositivos irão apresentar o seu endereço MAC permanente por predefinição. Não o farão. Regra três: automatize o ciclo de vida das chaves. O valor operacional do PPSK em relação a uma PSK partilhada depende inteiramente de as chaves serem aprovisionadas e revogadas de forma automática. A gestão manual de chaves à escala não é viável. Integre com o seu sistema de gestão de estudantes ou sistema de RH desde o início. Muito bem. Perguntas rápidas. Estas são as que surgem com mais frequência. O PPSK funciona com WPA3? Sim, na maioria das plataformas empresariais. O WPA3-SAE oferece uma proteção mais forte contra ataques de dicionário offline em comparação com o WPA2-PSK, pelo que implementar PPSK em WPA3 onde os seus dispositivos de cliente o suportem é a abordagem correta. A exceção é a Ubiquiti UniFi, que atualmente apenas suporta WPA2 para PPSK. Quantas chaves PPSK pode um único SSID suportar? Com um servidor RADIUS externo, o limite prático é a capacidade da sua base de dados RADIUS. A Cisco Meraki suporta até 5.000 entradas iPSK por rede. O serviço de cloud RADIUS da Purple dimensiona-se para dezenas de milhares de chaves simultâneas. O PPSK substitui o 802.1X? Não. Para frotas de dispositivos corporativos totalmente geridas onde a responsabilidade individual e a autenticação baseada em certificados são importantes, o 802.1X continua a ser a resposta certa. O PPSK é a resposta certa para dispositivos IoT, dispositivos pessoais e ambientes de utilização mista onde o 802.1X é impraticável. Posso integrar o PPSK com o meu sistema de gestão de estudantes? Sim, através da API do fornecedor. A Aruba Central, Meraki, Ruckus e Mist expõem todas APIs REST para gestão de chaves PPSK. A plataforma da Purple fornece integrações pré-configuradas que automatizam o aprovisionamento e a revogação com base no estado da matrícula. Em resumo. O PPSK é o modelo de autenticação correto para um campus complexo e de utilização mista como o USM Kubang Kerian. Proporciona-lhe isolamento por utilizador e atribuição de VLAN sem necessitar de infraestrutura de certificados em cada dispositivo. O modelo híbrido - PPSK para estudantes e IoT, 802.1X para funcionários - é a arquitetura que proporciona segurança e simplicidade operacional à escala. Automatize o ciclo de vida das chaves desde o primeiro dia. Planeie para a aleatorização de MAC. Mantenha a sua contagem de SSID abaixo de quatro por rádio. E se estiver a implementar à escala, utilize um serviço de cloud RADIUS em vez de gerir a infraestrutura por si mesmo. Este é o Purple Technical Briefing sobre PPSK para o USM Kubang Kerian. Se quiser aprofundar qualquer um destes tópicos, o guia escrito completo está disponível em purple.ai. Obrigado por ouvir.