Serviço gerido de WiFi: um guia completo para empresas

Este guia aborda a arquitetura técnica, a estratégia de implementação e o caso de negócio para um serviço gerido de WiFi em ambientes multi-inquilino e empresariais. Explica como funciona o isolamento por iPSK, como segmentar redes de residentes, funcionários e convidados, e como medir o ROI - com relevância específica para operadores de BTR, promotores imobiliários e proprietários.

📖 7 min de leitura📝 1,668 palavras🔧 2 exemplos práticos❓ 3 perguntas de prática📚 9 definições principais

Ouça este guia

Ver transcrição do podcast

Bem-vindo ao briefing técnico da Purple. Hoje estamos a analisar os serviços geridos de WiFi. Estamos a olhar especificamente para ambientes empresariais e multi-inquilino. Build-to-Rent, alojamento estudantil e locais de grande escala. Se é um gestor de TI, um arquiteto de rede ou um CTO, este briefing é para si. Vamos saltar o paleio de marketing e ir diretos à arquitetura, às estratégias de implementação e ao impacto empresarial.

Comecemos pelo contexto. Por que razão estamos a falar de serviços geridos em vez de apenas comprar pontos de acesso e ligá-los? Porque as expectativas mudaram. Processamos 440 milhões de inícios de sessão por ano em 80.000 locais. O que vemos consistentemente é que as redes falham não porque o hardware seja mau, mas porque a arquitetura não corresponde ao caso de utilização.

Veja-se uma propriedade Build-to-Rent. Tem 200 apartamentos. Se tratar isso como um hotel e colocar um Captive Portal, vai falhar. Os residentes têm smart TVs, colunas Sonos, luzes Philips Hue. Um Captive Portal isola cada dispositivo de todos os outros dispositivos. O telemóvel do seu residente não conseguirá comunicar com a sua TV. Eles vão abrir um pedido de suporte e a sua equipa de TI passará horas a colocar endereços MAC em listas brancas. É um pesadelo.

Então, qual é a solução técnica? É a Identity Pre-Shared Key, ou iPSK. A Aruba chama-lhe PPSK. A Cisco Meraki chama-lhe Personal Private Network. É o mesmo conceito. Transmite-se um SSID para todo o edifício. Mas em vez de uma única palavra-passe, cada residente recebe a sua própria palavra-passe exclusiva.

Quando o Residente A se liga com a sua chave, o servidor RADIUS diz: este é o Residente A, coloca-o na VLAN 101. Quando o Residente B se liga com a sua chave, vai para a VLAN 102.

Isto cria uma bolha de WiFi. Dentro da bolha do Residente A, o seu telemóvel vê a sua TV perfeitamente. Mas o Residente A não consegue ver os dispositivos do Residente B, mesmo que estejam ligados ao mesmíssimo ponto de acesso físico no corredor. Isolamento total entre inquilinos. Continuidade total dentro da habitação. E quando o Residente A se muda? Revoga-se a sua chave no painel de controlo. Não altera a palavra-passe de todo o edifício. Não mexe no hardware.

Isso leva-nos à arquitetura. Precisa de uma sobreposição de nuvem independente de hardware. Não quer ficar preso a um único fornecedor de hardware para sempre. A Purple situa-se acima da camada de hardware. Pode implementar Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet. Nós tratamos da autenticação RADIUS, da aplicação de políticas e do portal de integração. O hardware trata da transmissão de RF. O plano de controlo e o plano de dados estão separados.

Vamos falar de implementação. Como é que realmente implementa isto?

A fase um é o design de RF. Não adivinhe. Faça um estudo preditivo. Num MDU, o padrão é geralmente um ponto de acesso por unidade. Precisa de garantir cobertura de 5GHz porque está a lidar com 15 a 25 dispositivos por habitação. Um edifício de 200 unidades tem entre 3.000 e 5.000 dispositivos ligados ao WiFi a qualquer momento.

A fase dois é a segmentação. Precisa de três redes. Três SSIDs para governar todos. Um: WiFi do pessoal, protegido com 802.1X associado ao Microsoft Entra ID ou Okta. Dois: WiFi de convidados, uma rede aberta com um Captive Portal e isolamento de clientes para visitantes na receção. Três: WiFi de residentes, utilizando iPSK para os apartamentos. Nunca misture estes tipos de utilizadores num único SSID.

A fase três é a integração de identidade. Associe o fornecimento de WiFi ao seu sistema de gestão de propriedades. Quando um contrato de arrendamento é assinado, a chave é gerada automaticamente. Sem intervenção do departamento de TI. Os residentes estão online no dia da mudança sem terem de esperar por um técnico de banda larga.

Agora vamos cobrir alguns erros comuns. O que costuma falhar?

A interferência de co-canal é um dos principais problemas. Se colocar um ponto de acesso em cada unidade, estes vão sobrepor-se no mesmo canal de rádio. Deve ativar a gestão automática de recursos de rádio no seu controlador para ajustar dinamicamente os canais e a potência de transmissão.

O tráfego excessivo de multicast (multicast flooding) é outro. Os dispositivos inteligentes utilizam multicast para se descobrirem uns aos outros. Chromecast, Apple TV, Sonos. Se não contiver esse tráfego dentro da VLAN iPSK específica, a sua rede irá degradar-se. Utilize as funcionalidades de gateway de DNS multicast do seu hardware para manter o tráfego de descoberta dentro do segmento correto de residentes.

E para as redes de convidados, tenha em atenção a aleatorização de endereços MAC. Os sistemas operativos modernos aleatorizam os endereços MAC por predefinição, o que pode perturbar os fluxos de Captive Portal. Certifique-se de que o seu walled garden permite o acesso aos URLs de validação essenciais do SO. Para uma alternativa simples e baseada em certificados, consulte o Passpoint, também conhecido como Hotspot 2.0.

Agora, as perguntas rápidas que me fazem com mais frequência.

Posso utilizar o meu hardware existente? Sim. O Purple é agnóstico em relação ao hardware. Funcionamos em Cisco, Aruba, Ruckus, Mist, UniFi, Cambium, Extreme e Fortinet.

Qual é o SLA de uptime? 99,999%. Isso representa menos de seis minutos de inatividade por ano.

Está em conformidade com o GDPR? Sim. Somos certificados pela ISO 27001, em conformidade com o GDPR e CCPA, e certificados pela Cyber Essentials. A residência dos dados é selecionável: UE, Reino Unido ou EUA.

Quanto tempo demora a implementação? Um edifício típico de BTR de 200 unidades pode ser totalmente provisionado no prazo de um dia, assumindo que os pontos de acesso já estão instalados.

Para concluir. Um serviço gerido de WiFi consiste em separar o plano de controlo do hardware. Consiste em utilizar iPSK para criar bolhas privadas para os residentes. Consiste em automatizar a ativação e a desativação de utilizadores. E consiste em mudar de uma despesa de capital para uma utilidade operacional previsível.

Para os operadores de BTR, este é um impulsionador do NOI (rendimento operacional líquido). O WiFi gerido permite cobrar um valor extra na renda. Reduz os períodos de vacatura. Elimina os custos de TI. E fornece métricas agregadas sobre como as suas áreas comuns estão a ser utilizadas.

Se estruturar a arquitetura corretamente, a rede funciona por si própria. Consulte o guia completo para ver os diagramas de arquitetura e as especificações de configuração. Obrigado por ouvir.

Principais Conclusões

✓O WiFi multi-inquilino requer isolamento por residente via iPSK - os portais cativos de WiFi para convidados são arquitetonicamente inadequados para implementações residenciais.
✓Um serviço WiFi gerido separa o plano de controlo (sobreposição na nuvem Purple) do plano de dados (hardware), tornando-o independente de hardware em Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist e outros.
✓Três SSIDs cobrem todos os tipos de utilizador: Staff (802.1X), Guest (Captive Portal) e Resident (iPSK). Nunca misture tipos de utilizadores num único SSID.
✓O onboarding automatizado associado ao sistema de gestão de propriedades significa que os residentes estão online no dia da mudança e as chaves são revogadas automaticamente no dia da saída.
✓A Purple oferece 99,999% de tempo de atividade e possui certificações ISO 27001, GDPR, CCPA e Cyber Essentials, reduzindo a carga de auditoria de conformidade para os operadores.
✓O WiFi gerido é um motor de NOI para os operadores de BTR: os prémios de arrendamento, a redução dos períodos de vacatura e a eliminação dos custos de IT combinam-se para tornar o serviço consistentemente positivo para o NOI.
✓A interferência de canal partilhado e a inundação de multicast são os dois problemas pós-implementação mais comuns em ambientes MDU densos - ambos são resolvidos ativando as funcionalidades de RRM e proxy mDNS no controlador de hardware.

Resumo executivo

A implementação de WiFi empresarial em ambientes multi-inquilino exige mais do que hardware de consumo e uma palavra-passe partilhada. Para gestores de TI, arquitetos de rede e diretores de operações de espaços, um serviço gerido de WiFi transforma a conectividade de uma dor de cabeça intensiva em capital num serviço operacional previsível.

A Purple gere redes para mais de 80.000 espaços globalmente, processando 440 milhões de inícios de sessão em 2024 (dados internos da Purple). Vemos a diferença entre redes que escalam e redes que falham. Este guia detalha como desenhar a arquitetura, implementar e gerir um serviço gerido de WiFi que isola o tráfego de forma segura, suporta os dispositivos inteligentes dos residentes e oferece um SLA de disponibilidade de 99,999%.

Quer faça a gestão de propriedades Build-to-Rent (BTR), alojamento de estudantes ou ambientes de retalho, precisa de uma sobreposição de nuvem agnóstica em termos de hardware que se integre com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks e Fortinet. Este guia aborda a arquitetura, as fases de implementação, os requisitos de conformidade e o caso de negócio.

Análise técnica aprofundada: a arquitetura de WiFi multi-inquilino

O principal desafio em ambientes multi-inquilino como BTR ou MDU é proporcionar uma experiência de rede semelhante à de casa numa infraestrutura partilhada empresarial. O Guest WiFi , concebido para visitantes temporários com Captive Portals, não cumpre este requisito. Os residentes precisam que as suas smart TVs descubram os seus smartphones, permanecendo ao mesmo tempo completamente invisíveis para o apartamento ao lado.

A solução técnica é a Chave Pré-Partilhada de Identidade (iPSK), também conhecida como PPSK pela HPE Aruba ou Rede Privada Pessoal pela Cisco Meraki. A terminologia varia de acordo com o fornecedor; o conceito é idêntico.

A "bolha WiFi" iPSK

O iPSK atribui uma frase de acesso WPA2 ou WPA3 única a cada residente ou inquilino. O servidor RADIUS utiliza esta chave única para atribuir o dispositivo de ligação a uma VLAN específica ou aplicar uma política de micro-segmentação. O resultado é uma bolha WiFi por residente.

Três propriedades definem a bolha. Primeiro, a privacidade entre residentes: os dispositivos na chave do Residente A não conseguem ver os dispositivos na chave do Residente B, mesmo quando ligados exatamente ao mesmo ponto de acesso físico. Segundo, a continuidade dentro de uma casa: o telemóvel do Residente A descobre o seu Chromecast e coluna inteligente de forma integrada, exatamente como faria numa rede doméstica. Terceiro, o acesso específico do residente: quando um residente se muda, a Purple revoga a sua chave específica através da sobreposição de nuvem. Não precisa de alterar uma palavra-passe de todo o edifício. Nenhum outro residente é afetado.

Para uma comparação mais aprofundada dos modelos de implementação PPSK e iPSK, consulte o nosso guia sobre Power probe PPSK: comparing features and deployment models .

Overlay de nuvem agnóstico ao hardware

Um serviço gerido de WiFi moderno opera como um overlay de software acima da camada de hardware. Esta arquitetura separa o plano de controlo do plano de dados. A Purple integra-se diretamente com os seus controladores de rede local sem fios ou dashboards de nuvem existentes. Nós tratamos da autenticação RADIUS, da aplicação de políticas e do onboarding de utilizadores, enquanto o hardware local lida com a transmissão de RF.

A arquitetura segmenta o tráfego em três redes lógicas distintas, cada uma com o seu próprio modelo de segurança. O WiFi de residentes utiliza iPSK com atribuição de VLAN por chave. O Guest WiFi utiliza um Captive Portal com isolamento de clientes e opt-ins de escolha consciente para captura de dados de marketing. O WiFi de colaboradores utiliza IEEE 802.1X com EAP-TLS ou PEAP, associado ao Microsoft Entra ID, Okta ou Google Workspace. Para uma análise detalhada de como estruturar estes três SSIDs, consulte o nosso guia sobre Three SSIDs to rule them all: guest, Passpoint, and IoT WiFi .

Padrões de segurança e conformidade

Um serviço gerido de WiFi deve passar por auditorias. A Purple possui certificação ISO 27001, está em conformidade com o GDPR e CCPA, e possui certificação Cyber Essentials. Para propriedades que lidam com dados de pagamento, o modelo de segmentação de rede apoia a conformidade com o PCI-DSS, isolando o tráfego de pontos de venda numa VLAN dedicada, sem movimento lateral para os segmentos de residentes ou convidados. O WPA3 é suportado em hardware Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist, proporcionando sigilo de encaminhamento e proteção contra ataques de dicionário offline.

Guia de implementação

A implementação de um serviço gerido de WiFi exige um planeamento rigoroso ao longo de quatro fases. Ignorar qualquer uma das fases é a causa mais comum de pedidos de suporte pós-implementação.

Fase 1: Desenho de RF e seleção de hardware

Não adivinhe a localização dos pontos de acesso. Realize um levantamento preditivo de RF utilizando ferramentas como o Ekahau antes da aquisição. Para ambientes BTR, a norma é tipicamente um ponto de acesso por apartamento para garantir a cobertura de 5GHz e lidar com a densidade de 15 a 25 dispositivos IoT por habitação (dados internos da Purple). Um edifício de 200 frações tem entre 3.000 e 5.000 dispositivos ligados ao WiFi a qualquer momento.

Selecione o hardware da lista canónica: Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet. A Purple funciona como um overlay de nuvem em todos eles. Não fica fidelizado.

Fase 2: Estratégia de segmentação de rede

Conceba a sua estrutura de VLAN antes de configurar a plataforma de nuvem. A VLAN de gestão destina-se estritamente a APs e switches, sem tráfego de utilizadores. As VLANs de residentes são atribuídas dinamicamente através de iPSK, com uma VLAN por chave de residente ou por grupo de residentes. A VLAN de funcionários é protegida via 802.1X utilizando o seu fornecedor de identidade. A VLAN de convidados é uma rede aberta com um Captive Portal e isolamento de clientes ativado. Nunca crie pontes entre estas VLANs.

Fase 3: Integração de identidade e autenticação

Ligue a sobreposição de nuvem da Purple ao seu fornecedor de identidade. Para redes de funcionários, configure o fornecimento de SAML ou SCIM a partir do Microsoft Entra ID ou Okta. Para redes de residentes, integre o passo de fornecimento de WiFi no seu sistema de gestão de propriedades para que as chaves sejam geradas automaticamente aquando da assinatura do contrato de arrendamento. Os residentes recebem a sua chave WiFi exclusiva por e-mail ou através da aplicação Purple antes de chegarem. A gestão de dispositivos em regime de self-service reduz significativamente os pedidos de suporte de TI. Para ambientes de hotelaria , integre com o seu PMS para fornecer acesso WiFi a convidados automaticamente no momento do check-in.

Fase 4: Validação e testes

Antes da mudança dos residentes, valide o isolamento do iPSK. Ligue dois dispositivos utilizando a chave do Residente A e confirme que conseguem fazer ping entre si. Ligue um terceiro dispositivo utilizando a chave do Residente B e confirme que não consegue fazer ping aos dispositivos do Residente A. Execute um teste de débito a partir de cada apartamento para confirmar que a rede de transporte não é um estrangulamento. Valide o fluxo do Captive Portal em iOS e Android, incluindo o processamento de randomização de MAC.

Melhores práticas

Ao implementar um serviço gerido de WiFi, adira a estas normas neutras em termos de fornecedores.

Exija o WPA3 onde os dispositivos clientes o suportem. Imponha o WPA3 para redes de residentes para evitar ataques de dicionário offline. O handshake SAE (Simultaneous Authentication of Equals) do WPA3 substitui o handshake vulnerável de 4 vias do WPA2-PSK. A maioria dos dispositivos fabricados após 2020 suporta WPA3.

Automatize a ativação de ponta a ponta. Os residentes devem receber a sua chave WiFi exclusiva antes de chegarem. Associe a geração de chaves à assinatura do contrato de arrendamento no seu sistema de gestão de propriedades. A gestão de dispositivos em regime de self-service através da aplicação Purple elimina a necessidade de intervenção de TI nas mudanças e adições do dia a dia.

Implemente a modelação de largura de banda por chave. Aplique limites de largura de banda por utilizador ou por chave através de atributos RADIUS para evitar que um único residente sature a ligação de transporte do local. Este é também o mecanismo para pacotes de serviços em camadas: o perfil de chave predefinido fornece 100Mbps e um perfil atualizado fornece 1Gbps, sem necessidade de alterações de hardware.

Isole os dispositivos IoT por banda. Incentive os residentes a utilizarem a banda de 2,4 GHz para dispositivos domésticos inteligentes, reservando as bandas de 5 GHz e 6 GHz para aplicações de elevada largura de banda, como portáteis e consolas. Isto reduz a interferência de canais partilhados na banda de 5 GHz e melhora o desempenho geral da rede.

Use WiFi Analytics para áreas comuns. Os dados agregados e anonimizados de tráfego pedonal de átrios, ginásios e espaços de co-working ajudam a otimizar a utilização do espaço e a justificar o investimento em áreas de comodidades adicionais.

Resolução de problemas e mitigação de riscos

Mesmo com um SLA de tempo de atividade de 99,999%, ocorrem problemas físicos e de RF. Prepare-se para estes modos de falha comuns.

Interferência de co-canal (CCI). Em implementações BTR densas com um AP em cada unidade, os APs no mesmo canal irão interferir uns com os outros. Ative a gestão automática de recursos de rádio (RRM) no seu controlador de hardware para ajustar dinamicamente os canais e a potência de transmissão. No Cisco Meraki, isto é Radio Settings > Auto RF. No HPE Aruba, isto é ARM (Adaptive Radio Management).

Inundação de multicast e broadcast. Os dispositivos de casa inteligente dependem fortemente de tráfego multicast, especificamente mDNS para a deteção de Chromecast, Apple TV e Sonos. O tráfego multicast não controlado degrada o desempenho da rede para todos os residentes. Utilize as funcionalidades de gateway mDNS do seu hardware para conter o tráfego de deteção dentro do VLAN de iPSK específico ou do grupo de políticas. No Ruckus, isto é o proxy mDNS do SmartZone. No Juniper Mist, isto é a política mDNS.

Interceção de Captive Portal e randomização de MAC. Para a rede de convidados, as atualizações modernas de OS, incluindo iOS 14+ e Android 10+, randomizam os endereços MAC por predefinição, o que pode interromper os fluxos do Captive Portal. Certifique-se de que o seu walled garden permite o acesso a URLs essenciais de validação de OS, incluindo captive.apple.com e connectivitycheck.gstatic.com. Para uma alternativa sem interrupções, implemente o Passpoint (Hotspot 2.0) para uma associação automática baseada em certificados sem necessidade de login num portal.

Disponibilidade do servidor RADIUS. Se o seu servidor RADIUS estiver indisponível, a autenticação iPSK falha e os residentes não conseguem ligar-se. O Cloud RADIUS da Purple é geo-redundante com 99,999% de tempo de atividade. Se utilizar um servidor RADIUS local, configure um servidor RADIUS secundário em cada grupo de APs para redundância.

ROI e impacto empresarial

Um serviço gerido de WiFi altera o modelo financeiro de um custo de capital irrecuperável para uma despesa operacional previsível. A comparação abaixo ilustra as principais diferenças.

Para os operadores BTR, tratar o WiFi como uma comodidade gerida gera retornos mensuráveis. As propriedades com WiFi gerido de classe empresarial exigem uma renda superior. O WiFi gerido como uma comodidade é consistentemente positivo para o NOI quando implementado como uma sobreposição de software em hardware próprio, de acordo com as referências da National Apartment Association. O modelo deteriora-se quando o WiFi é empacotado com um contrato de banda larga de terceiros que captura o valor.

Os ganhos de eficiência operacional são igualmente significativos. A eliminação de redefinições de palavra-passe e do onboarding manual poupa horas ao departamento de TI todos os meses. A gestão de chaves em modo self-service significa que os residentes adicionam novos dispositivos sem abrir um pedido de suporte. Quando um residente se muda, a Purple revoga a sua chave automaticamente se estiver integrada com o sistema de gestão de propriedade.

Para ambientes de retalho , a camada de análise de Guest WiFi adiciona uma dimensão extra. A Purple recolheu 29 mil milhões de pontos de dados (dados internos da Purple) em mais de 80 000 locais. Esses dados traduzem-se em padrões de afluência, análise de tempo de permanência e taxas de visitantes recorrentes que informam as decisões de merchandising e de pessoal.

Para interfaces de transporte e instalações de saúde , a postura de conformidade e segurança de um serviço gerido reduz a carga de trabalho de auditoria. A certificação ISO 27001, a conformidade com o GDPR e a certificação Cyber Essentials são herdadas da plataforma em vez de serem auditadas internamente.

Ouça o nosso briefing técnico completo abaixo para uma discussão mais aprofundada sobre estratégias de implementação e potenciais problemas.

Definições Principais

iPSK (Identity Pre-Shared Key)

Um mecanismo de segurança que permite o funcionamento de múltiplas palavras-passe WPA2 ou WPA3 únicas num único SSID. O servidor RADIUS utiliza a palavra-passe específica para identificar o utilizador e aplicar uma atribuição de VLAN ou política. Também designado por PPSK pela HPE Aruba e Personal Private Network pela Cisco Meraki.

Essencial para ambientes multi-inquilino. Fornece isolamento de residentes sem necessitar de centenas de SSIDs ou VLANs separadas configuradas ao nível do hardware.

RADIUS (Remote Authentication Dial-In User Service)

Um protocolo de rede que fornece gestão centralizada de Autenticação, Autorização e Auditoria (AAA) para utilizadores que se ligam a um serviço de rede. Definido no RFC 2865.

O motor de autenticação por trás do 802.1X e do iPSK. A Purple fornece Cloud RADIUS, eliminando a necessidade de servidores RADIUS locais e os custos de manutenção associados.

VLAN (Virtual Local Area Network)

Uma sub-rede lógica que agrupa uma coleção de dispositivos de diferentes LANs físicas. Definida em IEEE 802.1Q. Isola o tráfego de difusão (broadcast) e melhora a segurança ao impedir o movimento lateral entre segmentos.

Utilizado para separar o tráfego dos residentes do tráfego dos colaboradores e para isolar os residentes individualmente dentro do mesmo edifício.

Captive Portal

Uma página web que um utilizador deve visualizar e com a qual deve interagir antes de lhe ser concedido acesso à rede. Normalmente utilizada para apresentar termos e condições e capturar dados primários (first-party data).

Adequado para Guest WiFi em átrios e áreas comuns. Não é adequado para redes de residentes, onde é necessária uma conectividade automática e persistente.

802.1X

Um padrão IEEE para controlo de acesso à rede baseado em portas (PNAC). Fornece um mecanismo de autenticação que requer credenciais individuais antes de o acesso à rede ser concedido. Comumente implementado com EAP-TLS (baseado em certificado) ou PEAP (nome de utilizador e palavra-passe).

O padrão de excelência para Staff WiFi. Requer credenciais únicas associadas a um fornecedor de identidade em vez de uma palavra-passe partilhada, permitindo a revogação instantânea de acessos quando os colaboradores saem da empresa.

BTR (Build-to-Rent)

Empreendimentos residenciais construídos de raiz concebidos especificamente para arrendamento a longo prazo em vez de venda. Caracterizam-se por uma gestão profissional, comodidades partilhadas e um foco na experiência do residente.

Um mercado primordial para WiFi gerido multi-inquilino. A conectividade é tratada como uma comodidade essencial comparável ao acesso ao ginásio, justificando um aumento mensurável no valor do arrendamento.

Passpoint (Hotspot 2.0)

Um padrão da Wi-Fi Alliance que permite a deteção e associação automática e segura de redes sem necessidade de um Captive Portal. Os dispositivos ligam-se utilizando certificados ou credenciais SIM, proporcionando uma experiência de roaming semelhante à da rede móvel.

Utilizado para eliminar inícios de sessão repetidos em Captive Portals para visitantes frequentes e para fornecer roaming contínuo em implementações multi-site.

Cloud overlay

Uma camada de gestão e políticas baseada em software que opera acima do hardware de rede físico. Gere a autenticação, a aplicação de políticas, a análise de dados e a integração de utilizadores sem exigir alterações na configuração do hardware subjacente.

O modelo arquitetónico que torna o Purple independente de hardware. A sobreposição integra-se com a API do hardware em vez de substituir o hardware, preservando o investimento existente.

WPA3 (Wi-Fi Protected Access 3)

A atual geração do protocolo de segurança WiFi, definida pela Wi-Fi Alliance. Introduz a Autenticação Simultânea de Iguais (SAE) para substituir o vulnerável handshake de 4 vias do WPA2-PSK, proporcionando confidencialidade avançada (forward secrecy) e resistência a ataques de dicionário offline.

Recomendado para todas as novas implementações. Suportado em hardware Cisco Meraki, HPE Aruba, Ruckus e Juniper Mist. A maioria dos dispositivos fabricados após 2020 suporta WPA3.

Exemplos Práticos

Um empreendimento Build-to-Rent de 250 unidades em Manchester precisa de fornecer WiFi seguro para residentes, funcionários e visitantes. O gestor da propriedade pretende incluir WiFi de 100Mbps na renda base, com a opção de os residentes fazerem um upgrade para 1Gbps. Como deve ser desenhada a arquitetura de rede?

Implementar uma única rede física utilizando pontos de acesso HPE Aruba, um por unidade. Implementar a sobreposição de nuvem da Purple para gerir três serviços distintos a partir de uma única plataforma. O WiFi dos funcionários utiliza autenticação 802.1X associada ao Microsoft Entra ID. O WiFi de convidados implementa um Captive Portal no lobby e no ginásio para visitantes e potenciais inquilinos. O WiFi dos residentes utiliza iPSK: a Purple gera uma chave única para cada apartamento na assinatura do contrato de arrendamento. O perfil de chave predefinido é limitado a 100Mbps através de atributos RADIUS. Quando um residente adquire o nível de upgrade, o perfil RADIUS é atualizado para 1Gbps de forma automática. Sem alterações de hardware. Sem visitas de técnicos. O sistema de gestão de propriedade aciona a atualização da chave através da Purple API.

Comentário do Examinador: Esta abordagem utiliza uma sobreposição de nuvem agnóstica em termos de hardware para segmentar o tráfego de forma lógica e não física. A utilização de atributos RADIUS para controlar a largura de banda por chave iPSK permite vendas adicionais integradas sem intervenção manual de TI, apoiando diretamente o modelo de NOI por porta. A principal conclusão é que a camada de serviço gerido - e não o hardware - é onde reside a diferenciação comercial.

Uma cadeia de retalho nacional com 400 localizações necessita de lançar uma experiência de WiFi de convidados consistente. A sua configuração autogerida atual requer atualizações manuais de firmware, resultando em posturas de segurança inconsistentes entre os locais. Também precisam de recolher dados de marketing primários em conformidade com a legislação.

Transição para um serviço gerido de WiFi. Implementar pontos de acesso Cisco Meraki em todas as 400 localizações, geridos através de um painel centralizado. Integrar o Captive Portal da Purple em todas as localizações a partir de uma única conta de nuvem. O serviço gerido trata das atualizações automáticas e programadas de firmware fora das horas de expediente, garantindo tempo de inatividade zero e uma postura de segurança consistente. O portal Purple apresenta uma opção de consentimento explícito e de escolha consciente para marketing, capturando dados primários (e-mail, dados demográficos) e enviando-os diretamente para o CRM da cadeia através da camada de integração da Purple. A conformidade com o GDPR é herdada da plataforma.

Comentário do Examinador: Este cenário destaca a transição de custos de TI para utilidade gerida. O retalhista elimina o risco de atualizações manuais e obtém um mecanismo de recolha de dados pronto para conformidade. O detalhe crítico é o consentimento por escolha consciente: a recolha passiva de dados sem consentimento explícito viola o GDPR. O Captive Portal da Purple foi concebido para cumprir este requisito de forma nativa.

Perguntas de Prática

Q1. Está a implementar uma rede para um complexo de alojamento de estudantes com 500 camas. O operador pretende que os residentes liguem smart TVs, consolas de videojogos e smartphones. Atualmente, planeiam utilizar um único SSID com um Captive Portal que requer o registo do endereço MAC para dispositivos sem ecrã (headless). Qual é a falha neste plano e qual é a abordagem correta?

Dica: Considere como dispositivos como o Chromecast detetam o smartphone de controlo numa rede e o que o isolamento de clientes faz a esse processo de deteção.

Ver resposta modelo

A falha é que um Captive Portal com isolamento de clientes impede a deteção de dispositivos. Um smartphone não consegue transmitir para uma smart TV porque os dispositivos não se conseguem ver mutuamente na rede. O registo de endereços MAC para dispositivos sem ecrã também é operacionalmente insustentável numa escala de 500 camas. A abordagem correta é o iPSK. Forneça a cada estudante uma frase de acesso única. Isto cria uma bolha VLAN privada para esse estudante, permitindo que os seus dispositivos comuniquem entre si enquanto permanecem isolados dos restantes 499 residentes. Os dispositivos sem ecrã ligam-se utilizando a mesma frase de acesso do telemóvel do estudante, não exigindo qualquer registo de MAC.

Q2. Uma cadeia de hotéis deseja atualizar o seu Staff WiFi. Atualmente, todos os colaboradores utilizam uma única palavra-passe WPA2-PSK. Quando um colaborador sai, a equipa de IT raramente altera a palavra-passe devido à complexidade de atualizar todos os dispositivos. Recomende uma solução segura, de nível empresarial, e explique o benefício operacional imediato.

Dica: Procure um método de autenticação que associe o acesso à rede a identidades de utilizadores individuais em vez de um segredo partilhado.

Ver resposta modelo

Substitua o WPA2-PSK partilhado por autenticação 802.1X (WPA2 ou WPA3-Enterprise). Integre a rede sem fios com o fornecedor de identidade do hotel, como o Microsoft Entra ID. Os colaboradores autenticam-se utilizando as suas credenciais corporativas individuais. Quando um colaborador sai, a sua conta do Entra ID é desativada, revogando imediatamente o seu acesso WiFi sem afetar nenhum outro colaborador. Sem rotação de palavras-passe. Sem reconfiguração de dispositivos. O benefício operacional é o offboarding automatico (zero-touch): o IT desativa uma conta e o acesso à rede é revogado de forma automática.

Q3. Um promotor imobiliário de BTR está a planear um empreendimento de 300 unidades. O seu diretor financeiro pergunta por que razão não podem simplesmente utilizar um router de banda larga doméstico por unidade em vez de um serviço WiFi gerido. Construa um caso de negócio com três pontos para o modelo de serviço gerido.

Dica: Considere o impacto no NOI, a complexidade operacional e os fatores de diferenciação na experiência do residente.

Ver resposta modelo

Ponto um: NOI por porta. Um serviço WiFi gerido gera um prémio de arrendamento mensurável por unidade, por mês. Os contratos de banda larga por unidade captam esse valor para o ISP, e não para o operador. Uma sobreposição de software em hardware próprio retém o valor. Ponto dois: eficiência operacional. Os routers domésticos exigem manutenção por unidade, atualizações de firmware e reposições de palavras-passe. Um serviço gerido trata de tudo isto centralmente. Quando um residente se muda, a sua chave é revogada automaticamente. Sem visitas de técnicos. Ponto três: experiência do residente. Os routers domésticos não conseguem suportar 15 a 25 dispositivos IoT por habitação com o isolamento adequado. Um serviço iPSK gerido proporciona uma experiência semelhante à de casa, onde os dispositivos inteligentes funcionam corretamente, reduzindo os pedidos de suporte e melhorando a retenção.

Continue a ler esta série

PPSK unifi: comparando funcionalidades e modelos de implementação

Este guia aborda a implementação de PPSK (Private Pre-Shared Key) na infraestrutura Ubiquiti UniFi para ambientes multi-inquilino, incluindo Build to Rent, alojamento de estudantes e hotelaria. Compara PPSK com 802.1X e PSK padrão, detalha dois modelos de implementação - UniFi nativo e overlay cloud RADIUS - e explica como a Purple automatiza a gestão de credenciais à escala. Promotores imobiliários, senhorios e operadores BTR encontrarão orientações de arquitetura acionáveis, casos de estudo reais e um caso de negócio claro para tratar o WiFi como um serviço gerido.

O que é PPSK: comparando funcionalidades e modelos de implementação

Este guia técnico de referência abrangente analisa a arquitetura PPSK (Private Pre-Shared Key), comparando-a com iPSK e 802.1X para ajudar operadores de locais e equipas de TI a selecionar o modelo de autenticação correto. Fornece estratégias de implementação acionáveis para ambientes multi-tenant, garantindo redes WiFi seguras, isoladas e fáceis de gerir.

iPSK para edifícios multifamiliares: um guia completo para empresas

Este guia explica como o iPSK (Identity Pre-Shared Key) resolve o principal desafio de conectividade em edifícios residenciais multi-inquilino - oferecendo um WiFi privado com qualidade de rede doméstica para cada residente numa infraestrutura partilhada. Abrange a arquitetura de autenticação, as etapas de implementação e o caso comercial para tratar o WiFi gerido como uma comodidade geradora de receitas em ambientes BTR e MDU.