PPSK WPA3: comparando funcionalidades e modelos de implementação

Bem-vindo ao Purple Technical Briefing. Eu sou o seu anfitrião e hoje vamos abordar uma questão que chega à secretária de quase todos os arquitetos de rede que trabalham em propriedades multi-inquilino, hotelaria ou retalho neste momento: como é que o PPSK e o WPA3 se comparam realmente, e qual o modelo de implementação que melhor se adapta ao seu ambiente? Vamos começar pelo contexto. Se é um promotor imobiliário, um operador de build-to-rent ou um proprietário que gere um bloco residencial com infraestrutura de WiFi partilhada, provavelmente já ouviu falar de ambos os termos. O PPSK, que significa Private Pre-Shared Key, e o WPA3, a mais recente geração de segurança WiFi da Wi-Fi Alliance. São frequentemente discutidos como se fossem tecnologias concorrentes. Não são. Resolvem problemas diferentes. E em muitas implementações, precisa de ambos. Por isso, vamos definir os nossos termos claramente antes de avançarmos. O WPA3 é uma norma de certificação de segurança, ratificada pela Wi-Fi Alliance em 2018. Apresenta-se em duas variantes principais: WPA3-Personal, que substitui o antigo mecanismo de Pre-Shared Key por algo chamado SAE - Simultaneous Authentication of Equals; e o WPA3-Enterprise, que assenta na estrutura do 802.1X e introduz uma suite criptográfica opcional de 192 bits para ambientes de alta segurança. A melhoria crítica no WPA3-Personal é que o SAE elimina os ataques de dicionário offline. No WPA2, se um atacante capturasse o handshake de quatro vias quando um dispositivo se ligava à sua rede, podia levar esses dados e executar ferramentas de quebra por força bruta indefinidamente, sem nunca mais tocar na sua rede. O SAE impede isso por completo. Cada tentativa de adivinhar a palavra-passe requer uma interação ativa com o ponto de acesso. Torna a quebra offline praticamente inviável. O WPA3 também exige os Protected Management Frames, ou PMF, definidos na norma IEEE 802.11w. Isto protege o tráfego de gestão entre os dispositivos e os pontos de acesso contra ataques de spoofing e replay. No WPA2, o PMF era opcional. No WPA3, é inegociável. Agora, o PPSK. O Private Pre-Shared Key é uma tecnologia proprietária - e essa palavra, proprietária, é importante, por isso voltaremos a ela. O conceito principal é simples: em vez de todos os dispositivos num SSID partilharem uma única palavra-passe, cada dispositivo ou cada utilizador recebe uma frase-passe única. Diferentes fabricantes dão-lhe nomes diferentes. A Cisco chama-lhe iPSK. A Extreme Networks chama-lhe PPSK. A Ruckus chama-lhe DPSK. A Juniper Mist chama-lhe Multi-PSK. A HPE Aruba chama-lhe MPSK. A Cambium chama-lhe ePSK. O mecanismo subjacente é o mesmo em todos eles. Eis como funciona tecnicamente. No WPA2-Personal padrão, a Pre-Shared Key é derivada da sua frase-passe através de uma fórmula definida na norma 802.11i. Cada dispositivo que utiliza a mesma palavra-passe deriva a mesma PSK. Numa implementação de PPSK, cada frase-passe única deriva uma PSK diferente. Quando um dispositivo se liga, o ponto de acesso ou um servidor RADIUS tenta cada PSK armazenada contra o Message Integrity Check no handshake de quatro vias até encontrar uma correspondência. E assim o dispositivo é identificado. O resultado prático é que pode atribuir a cada residente num edifício BTR, a cada membro do pessoal num hotel ou a cada categoria de dispositivo IoT a sua própria frase de acesso única e mapear essa frase de acesso para uma VLAN específica. O residente no apartamento um obtém a frase de acesso A, que mapeia para a VLAN 10. O residente no apartamento dois obtém a frase de acesso B, que mapeia para a VLAN 20. O tráfego deles é isolado na Camada 2. Partilham um SSID, um conjunto de pontos de acesso, uma infraestrutura - mas não conseguem ver os dispositivos uns dos outros. Agora é aqui que a tensão entre PPSK e WPA3 se torna arquitetonicamente importante. E esta é a parte que a maioria dos guias ignora. O PPSK, na sua forma tradicional, corre em WPA2. O mecanismo multi-PSK depende do handshake de quatro vias definido em 802.11i, a norma que serve de base ao WPA2. O WPA3-Personal substitui esse handshake por SAE. Os dois mecanismos são fundamentalmente incompatíveis ao nível do protocolo. Isto significa que se configurar um SSID WPA3-Personal puro na maioria dos pontos de acesso hoje em dia, não poderá executar em simultâneo PPSK nesse mesmo SSID. O handshake SAE não suporta o fluxo de trabalho de tentativa e correspondência de multi-PSK. No entanto - e isto é importante - o setor está a resolver isto ativamente. A plataforma Access Assurance da Juniper Mist suporta agora WPA3 Multi-PSK, utilizando uma abordagem baseada em RADIUS onde o ponto de acesso funciona em modo WPA3-SAE e o servidor RADIUS lida com a pesquisa de chaves por dispositivo. A solução iPSK da Cisco suporta de forma semelhante WPA3-SAE com um servidor RADIUS externo que armazena mapeamentos de endereços MAC para PSK. A banda de 6GHz, introduzida com o WiFi 6E sob a norma 802.11ax, exige WPA3. Portanto, qualquer implementação direcionada para 6GHz deve encontrar uma solução PPSK compatível com WPA3. O resultado prático para a sua decisão de implementação é este: se estiver a utilizar hardware Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet, verifique o firmware atual do seu fornecedor para suporte a WPA3 mais multi-PSK antes de finalidade a sua arquitetura de segurança. O panorama está a mudar rapidamente. Vamos falar sobre modelos de implementação. Existem três padrões principais que vemos no terreno. O primeiro é PPSK sem RADIUS, por vezes chamado PPSK local ou PPSK baseado em controlador. O conjunto de PSK é armazenado diretamente no ponto de acesso ou no controlador sem fios. Esta é a implementação mais simples. Nenhum servidor de autenticação externo é necessário. Funciona bem para locais mais pequenos - uma única filial de retalho, um espaço de coworking com menos de 500 membros ou um pequeno bloco residencial. A limitação é a escala. A maioria das implementações baseadas em controlador limita o número de PSK a algumas centenas ou alguns milhares. A gestão de chaves torna-se manual. E porque as chaves são armazenadas localmente, revogar uma chave comprometida exige intervir diretamente no controlador. O segundo modelo é PPSK com RADIUS. Aqui, o conjunto de PSK reside num servidor RADIUS externo. Quando um dispositivo se liga, o ponto de acesso encaminha o pedido de autenticação para o RADIUS, que procura a PSK correta para esse dispositivo e a devolve ao AP. Este modelo escala para dezenas de milhares de dispositivos. Integra-se com fornecedores de identidade - Microsoft Entra ID, Okta, Google Workspace - para que possa automatizar o aprovisionamento e desaprovisionamento. Quando um residente sai de um edifício BTR, revoga a sua entrada no fornecedor de identidade e o seu acesso WiFi desaparece em segundos. Sem rotação manual de chaves. Esta é a arquitetura sobre a qual a plataforma Multi-Tenant WiFi da Purple é construída. O terceiro modelo é WPA3-Enterprise com 802.1X. Sem PSKs. Cada dispositivo autentica-se utilizando um certificado ou credencial via EAP-TLS ou PEAP. Este é o padrão de excelência para ambientes corporativos, saúde e qualquer local com requisitos de conformidade rigorosos como PCI-DSS ou ISO 27001. Os custos indiretos de gestão são mais elevados - necessita de uma Infraestrutura de Chaves Públicas para a gestão de certificados e cada dispositivo deve ser registado. Para um edifício BTR onde os residentes trazem os seus próprios dispositivos, isto raramente é prático. Para a rede de pessoal de um hotel ou para a frota de dispositivos clínicos de um hospital, é a resposta certa. Agora, analisemos dois cenários do mundo real para tornar isto concreto. Cenário um. Um empreendimento build-to-rent de 200 unidades. O operador pretende que cada residente tenha o seu próprio segmento de rede privada, sem visibilidade sobre os apartamentos vizinhos. Também precisam de suportar dispositivos domésticos inteligentes - termóstatos, campainhas de vídeo, colunas inteligentes - que normalmente são apenas WPA2. E pretendem que os custos indiretos de gestão de rede sejam os mais baixos possíveis. A arquitetura correta aqui é PPSK com RADIUS num SSID de modo de transição WPA2 ou WPA2/WPA3. Cada residente recebe uma frase-passe única ao mudar-se, aprovisionada de forma automática através do sistema de gestão de propriedade integrado com o servidor RADIUS. Os seus dispositivos - telemóveis, computadores portáteis, smart TVs - ligam-se utilizando essa frase-passe e entram na sua VLAN dedicada. Os seus dispositivos IoT ligam-se utilizando uma frase-passe IoT separada que mapeia para uma VLAN IoT restrita, sem acesso ao segmento residencial principal. Quando saem, o sistema de gestão de propriedade aciona o desaprovisionamento. A sua frase-passe é revogada. O acesso termina. A plataforma Multi-Tenant WiFi da Purple lida precisamente com este fluxo de trabalho, integrando-se com hardware da Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. A sobreposição na nuvem significa que gere toda a propriedade a partir de um único painel, independentemente do hardware que estiver no local. Cenário dois. Uma propriedade hoteleira de 150 quartos. O hotel precisa de três segmentos de rede distintos: WiFi para hóspedes do hotel, WiFi para funcionários para dispositivos operacionais e uma rede de gestão de edifícios para CCTV, controlo de acessos e AVAC. A rede de hóspedes precisa de ser fluida. A rede de funcionários precisa de ser segura e auditável. A rede de gestão de edifícios precisa de ser completamente isolada. Aqui, a arquitetura é um design de três SSID. O SSID de hóspedes utiliza WPA3-Personal com SAE, ou Enhanced Open com Opportunistic Wireless Encryption para uma experiência verdadeiramente sem palavra-passe, combinado com o Captive Portal da Purple para um registo baseado em consentimento. O SSID de funcionários utiliza WPA3-Enterprise com 802.1X, autenticado com o Microsoft Entra ID. O SSID de gestão de edifícios utiliza PPSK com uma VLAN dedicada, isolada de todo o restante tráfego na firewall. Permitam-me agora abordar as armadilhas de implementação mais comuns, porque é aqui que as implementações falham. A primeira é a compatibilidade com PMF. O WPA3 exige Protected Management Frames. Se tiver dispositivos legados - leitores de código de barras mais antigos, terminais de ponto de venda, alguns equipamentos médicos - que não suportam PMF, estes não conseguirão ligar-se a um SSID puramente WPA3. O sintoma é que o dispositivo deteta a rede, mas não consegue associar-se. A solução é o Modo de Transição WPA3, que permite clientes WPA2 e WPA3 no mesmo SSID, ou um SSID WPA2 dedicado numa VLAN isolada para esses dispositivos legados. O Modo de Transição é uma estratégia de migração válida, mas é vulnerável a ataques de downgrade, por isso deve ser tratado como temporário. A segunda armadilha é a proliferação de chaves. Numa implementação de PPSK sem uma gestão de ciclo de vida adequada, acumulam-se chaves obsoletas. Antigos residentes, ex-funcionários, dispositivos desativados - todos deixam PSKs órfãs na sua base de dados RADIUS. Cada uma é um vetor de ataque potencial. Automatize o aprovisionamento e desaprovisionamento desde o primeiro dia e audite a sua base de dados de PSK trimestralmente. A terceira armadilha é o planeamento de 6GHz. Se está a implementar pontos de acesso Wi-Fi 6E ou Wi-Fi 7 e quer usar a banda de 6GHz, o WPA3 é obrigatório. Não pode executar WPA2 em 6GHz. Portanto, se a sua estratégia de PPSK depende de WPA2, as suas rádios de 6GHz ficarão sem uso ou a executar um SSID separado. Planeie a sua arquitetura de segurança antes de finalizar a aquisição de hardware. Agora, uma sessão rápida de perguntas e respostas. Pergunta: Posso executar PPSK e WPA3 no mesmo SSID? Resposta: Na maioria do hardware atual, não de forma nativa. Mas a Juniper Mist e a Cisco suportam WPA3-SAE com multi-PSK baseado em RADIUS. Verifique o firmware atual do seu fornecedor. Prevemos um suporte mais amplo em todos os fornecedores nos próximos 12 a 18 meses. Pergunta: O PPSK está em conformidade com o PCI-DSS? Resposta: O PPSK pode satisfazer os requisitos de segmentação de rede PCI-DSS se cada dispositivo do ambiente de dados de titulares de cartões estiver na sua própria VLAN isolada, e o acesso for controlado e auditável. Para ambientes de dados de titulares de cartões, o WPA3-Enterprise com 802.1X e EAP-TLS é a escolha mais segura a longo prazo. Pergunta: O que acontece se um residente partilhar a sua PPSK com um vizinho? Resposta: O seu vizinho entra na mesma VLAN que o residente. O vizinho não consegue aceder ao tráfego de outros residentes. Mas isso significa que o operador da propriedade está a fornecer serviço a um utilizador não autorizado. Mitigue esta situação associando as PSKs a endereços MAC sempre que o hardware o suporte, ou implementando a monitorização de utilização e alertas de anomalias. Em resumo. PPSK e WPA3 são complementares e não concorrentes. A PPSK resolve o problema de isolamento multi-inquilino - uma SSID, credenciais exclusivas por residente ou dispositivo, atribuição automática de VLAN. O WPA3 resolve o problema de segurança de autenticação - o SAE elimina os ataques de dicionário offline, as PMF protegem as tramas de gestão e a suite de 192 bits cumpre os requisitos de conformidade de alta segurança. Para operadores de BTR e proprietários que implementam infraestruturas de WiFi partilhadas hoje, a arquitetura recomendada é PPSK com RADIUS para isolamento de residentes, a funcionar em WPA2 ou WPA3 Transition Mode para uma ampla compatibilidade de dispositivos, com um caminho de migração claro para PPSK nativa em WPA3 à medida que o suporte do fabricante amadurece. Combine isso com uma SSID WPA3-Enterprise dedicada para funcionários e dispositivos operacionais, e uma VLAN IoT isolada para sistemas de edifícios inteligentes. A plataforma Multi-Tenant WiFi da Purple funciona como uma sobreposição de nuvem independente de hardware para tudo isto. Gerimos a integração de RADIUS, os fluxos de trabalho de aprovisionamento, as análises e os relatórios de conformidade - em mais de 80.000 locais ativos e 350 milhões de utilizadores únicos. Certificação ISO 27001, conformidade com GDPR e CCPA, 99,999% de tempo de atividade. Até à próxima.