PPSK USM: comparando funcionalidades e modelos de implementação

Bem-vindo ao Podcast Purple WiFi Intelligence. Sou o vosso anfitrião e hoje vamos abordar um tema que surge em quase todas as conversas que tenho com promotores imobiliários, proprietários e operadores de BTR que estão a planear uma nova implementação de WiFi residencial. O tema é PPSK e USM - Private Pre-Shared Keys e o Unified Security Model que os suporta. Se atualmente utiliza uma única palavra-passe de WiFi partilhada em todo o edifício, ou se está a tentar decidir se precisa realmente de toda a complexidade da autenticação empresarial 802.1X, este episódio dar-lhe-á uma resposta clara e prática. Vamos cobrir o que o PPSK realmente é nos bastidores, como o USM altera o modelo operacional, como os dois se comparam entre si e com o 802.1X, e como fazer a implementação sem as armadilhas que apanham a maioria das equipas de surpresa. Terminará com uma sessão rápida de perguntas e respostas. Vamos a isso. Então, comecemos pelo problema que o PPSK e o USM resolvem, porque compreender o problema é metade da batalha. Numa implementação normal de WPA2-Personal - o que a maioria das pessoas considera uma rede WiFi normal - todos os dispositivos que se ligam a esse SSID utilizam a mesma chave pré-partilhada. Uma palavra-passe, partilhada por todos. Num empreendimento build-to-rent de 200 unidades, isto significa que todos os residentes, todos os membros do pessoal, todos os dispositivos IoT do edifício e todos os prestadores de serviços que já estiveram no local se autenticam com a mesma credencial. As implicações de segurança são significativas. Se um residente partilhar essa palavra-passe externamente, perde-se o controlo do perímetro da rede. E se for necessário revogar o acesso - por exemplo, se um residente se mudar - terá de alterar a palavra-passe de toda a gente. Isso significa que todos os outros residentes terão de voltar a ligar todos os dispositivos que possuem. Isso não é gestão de rede. Isso é um risco. No outro extremo do espetro, temos o 802.1X - a norma IEEE para controlo de acesso à rede baseado em portas. O 802.1X é excelente. Oferece autenticação por utilizador, identidade baseada em certificados e aplicação de políticas granulares. No entanto, requer uma infraestrutura de servidor RADIUS, requer a configuração do suplicante em cada dispositivo e, para um ambiente residencial onde os residentes trazem computadores portáteis, telemóveis, televisões inteligentes, consolas de videojogos e colunas inteligentes pessoais - muitos dos quais têm suporte limitado ou inexistente para o suplicante 802.1X - a experiência de integração é genuinamente penosa. Não se pode pedir a um residente que instale um certificado no seu dispositivo pessoal antes de se poder ligar ao WiFi. O PPSK situa-se precisamente a meio caminho entre estas duas abordagens. Eis como funciona tecnicamente. Com PPSK, continua a operar um SSID WPA2-Personal - pelo que, do ponto de vista do dispositivo, este está a ligar-se a uma rede WiFi normal utilizando uma chave pré-partilhada. Sem certificados, sem suplicante RADIUS, sem processos complexos de integração. O residente introduz uma palavra-passe e está ligado. Mas nos bastidores, o controlador sem fios ou a plataforma de gestão na nuvem mantém uma base de dados de chaves pré-partilhadas únicas - uma por residente, uma por fração ou por grupo de dispositivos, dependendo de como pretender estruturar. Quando um dispositivo se liga e apresenta a sua chave, o controlador associa essa chave a um registo de identidade e aplica a política de rede correspondente - atribuição de VLAN, limites de largura de banda, listas de controlo de acesso. A perspetiva fundamental aqui é que a exclusividade da credencial ocorre ao nível do controlador, não ao nível do dispositivo. O dispositivo não precisa de saber que tem uma chave única. Apenas se liga normalmente. Mas a sua rede sabe exatamente a quem pertence esse dispositivo e pode aplicar a política em conformidade. Agora, a terminologia pode ser confusa porque diferentes fornecedores usam nomes diferentes para o mesmo conceito. A Cisco chama-lhe iPSK - Identity PSK. A HPE Aruba chama-lhe MPSK - Multi-PSK. A Ruckus chama-lhe DPSK - Dynamic PSK. A Juniper Mist utiliza ePSK. O princípio subjacente é idêntico. Os detalhes de implementação diferem ligeiramente, particularmente na forma como os atributos RADIUS são estruturados, mas a arquitetura é a mesma. Agora vamos falar sobre o USM - o Modelo de Segurança Unificado. É aqui que o panorama operacional muda significativamente. O USM é a camada de gestão que se situa acima do armazenamento de credenciais PPSK. É o sistema que lida com a geração, distribuição, gestão do ciclo de vida, atribuição de políticas e revogação de chaves - idealmente através de integração de API com o seu sistema de gestão de propriedades ou fornecedor de identidade. Sem o USM, o PPSK é apenas uma coleção de palavras-passe únicas numa folha de cálculo. Com o USM, torna-se um sistema de controlo de acessos automatizado, auditável e orientado por políticas. A diferença no esforço operacional é substancial. Numa implementação de USM bem estruturada, quando um novo residente assina o contrato de arrendamento, o sistema de gestão de propriedades aciona uma chamada de API para a plataforma USM. A plataforma gera um PPSK único, atribui-o à VLAN do residente, define políticas de largura de banda e envia a credencial ao residente via e-mail ou código QR - tudo sem qualquer intervenção manual da sua equipa de TI. Quando o residente se muda, a mesma integração aciona a revogação. A chave deixa de funcionar. Nenhum outro residente é afetado. Compare isto com a gestão de 200 palavras-passe únicas numa folha de cálculo, revogando-as manualmente quando os residentes saem, e começará a ver porque é que o USM não é opcional em qualquer escala significativa. Permita-me falar sobre o direcionamento de VLAN, porque é aqui que o PPSK e o USM realmente mostram o seu valor num ambiente multi-inquilino. Num empreendimento BTR, pretende-se tipicamente, no mínimo, quatro segmentos de rede: uma VLAN de residente para dispositivos pessoais, uma VLAN de funcionários para gestão e administração do edifício, uma VLAN de IoT para sistemas de gestão do edifício, CCTV e fechaduras inteligentes, e uma VLAN de convidados para visitantes de curta duração. Com uma única PSK partilhada, não é possível diferenciar estes grupos sem implementar múltiplos SSIDs - o que cria congestionamento de radiofrequência e sobrecarga de gestão. Com PPSK e USM, um único SSID pode direcionar dinamicamente cada dispositivo de ligação para a VLAN correta com base na chave que este apresentou. Limpo, escalável e operacionalmente simples. Do ponto de vista da conformidade - e isto é particularmente importante para o GDPR e para qualquer operador que trate dados pessoais através da rede - a tecnologia PPSK com USM fornece-lhe a pista de auditoria que uma PSK partilhada simplesmente não consegue fornecer. Pode atribuir a atividade de rede a uma credencial específica e, consequentemente, a um registo de inquilino específico. Isto não é apenas uma boa prática; nalguns contextos regulamentares, é um requisito. Deixe-me agora dar-lhe dois cenários do mundo real para tornar isto concreto. Primeiro cenário: um empreendimento BTR de 300 unidades. O operador tinha estado a gerir uma única palavra-passe de WiFi partilhada em todo o edifício. De seis em seis meses, quando um número significativo de residentes se mudava, rodavam a palavra-passe - e passavam as duas semanas seguintes a atender chamadas de suporte de residentes que não conseguiam voltar a ligar os seus dispositivos. Os dispositivos de casa inteligente eram um problema particular: Chromecast, Amazon Echo e iluminação inteligente precisavam de reconfiguração manual de todas as vezes. Depois de implementar PPSK com USM - integrado com o seu sistema de gestão de propriedades - a saída de residentes tornou-se um evento com zero interrupções. A chave do residente cessante era revogada automaticamente no fim do contrato de arrendamento. Os novos residentes recebiam a sua chave única através do e-mail de boas-vindas enviado pelo sistema de gestão de propriedades. Os dispositivos de casa inteligente mantiveram-se ligados porque estavam todos na mesma VLAN de residente, visíveis entre si mas invisíveis para os outros residentes. O operador reportou uma redução de 90% nos pedidos de suporte relacionados com WiFi no primeiro trimestre após a implementação. Segundo cenário: um bloco de alojamento de estudantes construído para o efeito com 500 camas. O desafio aí era a rotação de turmas - todos os meses de agosto, 500 estudantes saem e 500 novos estudantes entram, frequentemente na mesma semana. Com uma PSK partilhada, essa semana era um pesadelo. Com PPSK e USM integrados no sistema de gestão de estudantes, todo o grupo recebia as suas chaves únicas como parte do seu pacote de boas-vindas pré-chegada. No dia da mudança, ligavam-se imediatamente. A equipa de rede reportou zero escalações durante a semana de mudanças pela primeira vez na história do edifício. Muito bem, vamos falar sobre a implementação. Há algumas coisas que deve acertar desde o início. Primeiro, geração e distribuição de chaves. As suas chaves PPSK precisam de ser suficientemente longas e aleatórias - mínimo de 20 caracteres, idealmente 32. Gere-as programaticamente utilizando um gerador de números aleatórios criptograficamente seguro. Não permita que os residentes escolham as suas próprias chaves. O mecanismo de distribuição também é importante. O envio por email com um link seguro, um código QR num cartão de boas-vindas ou a integração com o seu sistema de gestão de arrendamento via API são abordagens válidas. Segundo, suporte do controlador. Nem todos os controladores sem fios implementam PPSK da mesma forma. Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet têm todos implementações, mas os limites de escala, capacidades de API e granularidade de encaminhamento de VLAN variam. Antes de se comprometer com uma plataforma, valide o número máximo de chaves exclusivas suportadas por SSID. Algumas plataformas mais antigas limitam isto a algumas centenas, o que é inadequado para um empreendimento de grande dimensão. Terceiro - e este é o erro mais comum - a randomização de endereços MAC. Os sistemas operativos modernos, iOS 14 e posterior, Android 10 e posterior, Windows 11, utilizam todos a randomização de endereços MAC por predefinição. Se a sua implementação PPSK depender de pesquisas de endereços MAC, um dispositivo que apresente um MAC randomizado não será encontrado e será rejeitado. Planeie isto desde o primeiro dia. Quarto, limites de dispositivos por chave. Defina um limite razoável - normalmente quatro a seis dispositivos por chave - e aplique-o no controlador. Sem isto, uma única PPSK pode proliferar por dezenas de dispositivos, prejudicando a sua capacidade de atribuir tráfego com precisão. O erro a evitar acima de todos os outros: implementar PPSK sem um processo de ciclo de vida de chave documentado. Chaves que nunca são revogadas acumulam-se ao longo do tempo e tornam-se um risco de segurança. Crie o fluxo de trabalho de revogação antes de entrar em produção, não depois. Passemos a algumas perguntas rápidas. O PPSK é o mesmo que iPSK, MPSK e DPSK? Funcionalmente, sim. Diferentes marcas de fabricantes, o mesmo conceito. O PPSK funciona com WPA3? Parcialmente. A maioria dos controladores modernos suporta PPSK em modo de transição WPA2 e WPA3. O suporte puro para WPA3 varia consoante o fabricante - verifique a matriz de compatibilidade do seu hardware. O PPSK pode funcionar sem um controlador na nuvem? Alguns controladores locais suportam-no, mas a gestão na nuvem simplifica significativamente as operações de ciclo de vida e a integração com USM. O PPSK é adequado para a conformidade com o GDPR? O PPSK com USM fornece o registo de auditoria por utilizador que apoia a conformidade com o GDPR. Deve fazer parte de uma estrutura mais ampla de governação de dados, não sendo tratado como uma solução de conformidade isolada. Qual é o número máximo de chaves exclusivas por SSID? Depende do controlador. As plataformas empresariais suportam normalmente milhares. O limite prático é habitualmente o desempenho de consulta do seu repositório de identidades. Para resumir. PPSK com USM é a arquitetura certa para qualquer implementação de WiFi residencial multi-inquilino onde necessita de responsabilização por residente sem a complexidade de uma infraestrutura 802.1X completa. Oferece credenciais exclusivas por residente, direcionamento dinâmico de VLAN, gestão granular do ciclo de vida e um registo de auditoria pronto para conformidade - tudo com uma experiência de integração de dispositivos que é tão simples como introduzir uma palavra-passe de WiFi. Se está a planear uma nova implementação de BTR ou alojamento para estudantes, ou se procura atualizar uma rede PSK partilhada existente, os próximos passos práticos são: auditar a sua plataforma atual de controlador sem fios para suporte a PPSK, definir o seu modelo de segmentação de VLAN, mapear o seu fluxo de trabalho de ciclo de vida de chaves, desde o aprovisionamento até à revogação, e planear a aleatorização de endereços MAC desde o primeiro dia. A plataforma da Purple fornece a camada de orquestração USM que se situa entre o seu fornecedor de identidade e a sua infraestrutura sem fios para automatizar todo o ciclo de vida das chaves PPSK - desde o aprovisionamento na entrada até à revogação na saída, com análises e relatórios completos adicionados, a funcionar em 80.000 locais ativos em todo o mundo. Para saber mais sobre arquitetura de WiFi multi-inquilino, os links estão nas notas do programa. Obrigado por ouvir. Até à próxima.