Sinalização PPSK: comparando funcionalidades e modelos de implementação

Você é um consultor sénior de redes a informar um cliente com um sotaque em inglês britânico confiante, coloquial e autoritário. Fale com clareza e a um ritmo compassado, como se estivesse a apresentar perante uma sala de diretores de TI e promotores imobiliários. Tom: conhecedor, direto, ocasionalmente irónico. Nunca moralista. Trata-se de uma sessão de esclarecimento profissional, não de uma lição: Bem-vindo ao Purple Technical Briefing. Hoje vamos falar sobre as luzes PPSK - ou seja, a autenticação Private Pre-Shared Key - e, especificamente, sobre como comparar as suas funcionalidades e modelos de implementação para ambientes multi-inquilino e edifícios inteligentes. Se é um promotor imobiliário, um operador de arrendamento ou um senhorio a gerir uma carteira de habitações multifamiliares, isto é diretamente relevante para si. As decisões de WiFi que tomar na fase de projeto vão definir a experiência dos seus residentes durante a próxima década. Tome a decisão certa e o WiFi torna-se uma comodidade premium que permite cobrar um acréscimo de renda de quinze a trinta libras por unidade, por mês, de acordo com os dados de referência da British Property Federation. Tome a decisão errada e estará a receber chamadas de suporte sobre o Chromecast que não se liga e as lâmpadas inteligentes que ficam offline. Comecemos pelos aspetos fundamentais. [medium pause] PPSK significa Private Pre-Shared Key. Também é chamado de iPSK pela Cisco, ePSK pela Cambium e Juniper Mist, e Dynamic PSK pela Ruckus. A terminologia varia consoante o fabricante. O conceito é idêntico: em vez de uma palavra-passe de WiFi partilhada para todo um edifício ou segmento de rede, cada residente, cada grupo de dispositivos ou cada unidade recebe a sua própria chave exclusiva. Essa única decisão de arquitetura muda tudo o que se segue. Com uma configuração WPA2-Personal padrão, uma única palavra-passe concede acesso a toda a rede. Se um residente partilhar essa palavra-passe, ou se esta for divulgada, terá de a alterar em todo o edifício. Todos os dispositivos em todos os apartamentos precisam de ser novamente ligados. Num edifício de duzentas unidades com quinze a vinte e cinco dispositivos por habitação, são três a cinco mil dispositivos que acabou de desligar em simultâneo. Isso é um pesadelo de suporte. O PPSK elimina totalmente esse problema. Quando um residente se muda, o utilizador revoga a respetiva chave. Ninguém mais é afetado. O residente seguinte recebe uma chave nova, provisionada automaticamente no momento em que o contrato de arrendamento é assinado. No dia da mudança, entram, ligam-se e já estão online. Sem visitas de técnicos. Sem tempos de espera pela banda larga. É o que a indústria designa por experiência Instant-On. [medium pause] Agora, vamos falar sobre o porquê de o PPSK ser particularmente relevante para edifícios inteligentes e gestão de dispositivos IoT - as luzes, termóstatos, câmaras de segurança e colunas inteligentes que os residentes modernos trazem consigo ou que os senhorios instalam como comodidades do edifício. O desafio com os dispositivos IoT é que a maioria deles não se consegue autenticar usando WPA-Enterprise - que é o padrão 802.1X utilizado pelas redes corporativas. Lâmpadas inteligentes, termóstatos, sensores de portas e assistentes de voz não possuem um navegador ou um repositório de certificados. Não podem apresentar credenciais a um servidor RADIUS. Portanto, o método de autenticação de nível empresarial que funciona perfeitamente para os portáteis dos funcionários simplesmente não funciona para a tecnologia de smart home. O PPSK resolve isto. Como ainda é, fundamentalmente, um mecanismo de chave pré-partilhada, funciona com cem por cento dos dispositivos IoT de consumo. Atribui um PPSK dedicado ao segmento IoT de cada unidade, mapeia-o para uma VLAN separada, e esses dispositivos ficam isolados tanto dos dispositivos pessoais do residente como de todas as outras unidades do edifício. Esta é a arquitetura que recomendamos para qualquer implementação BTR ou MDU: três VLANs distintas mapeadas por PPSK. VLAN dez para dispositivos pessoais dos residentes. VLAN vinte para dispositivos IoT e de smart home - luzes, termóstatos, câmaras, colunas. VLAN trinta para convidados e visitantes do edifício, que normalmente passa por um Captive Portal. Cada VLAN tem as suas próprias regras de firewall. Por predefinição, a lâmpada inteligente de um residente na VLAN vinte não consegue aceder aos dispositivos do vizinho na VLAN dez. [medium pause] Vamos comparar as três principais abordagens de autenticação. O PSK padrão é a base. Uma palavra-passe, um segmento de rede. Fácil de implementar, mas fundamentalmente inseguro para utilização multi-inquilino. Os residentes conseguem ver os dispositivos uns dos outros. Uma palavra-passe comprometida compromete o edifício inteiro. É adequado para um espaço pequeno de ocupação única, não para um edifício residencial. O PPSK situa-se no meio. Chave única por residente ou grupo de dispositivos. Atribuição de VLAN por chave. Compatibilidade total com IoT. Sem necessidade de servidor RADIUS em modo local. Esta é a escolha certa para BTR, alojamento de estudantes, habitação social e qualquer ambiente multi-inquilino onde a densidade de dispositivos IoT seja elevada. O 802.1X, ou WPA-Enterprise, é o padrão de excelência para ambientes corporativos. Autenticação baseada em certificados contra um servidor RADIUS, com atribuição dinâmica de VLAN por utilizador. É a opção mais segura e a escolha certa para redes de funcionários. Mas requer uma infraestrutura RADIUS e simplesmente não funciona para dispositivos IoT. Num contexto residencial, cria fricção para os residentes e falha por completo nos dispositivos de smart home. A conclusão prática: implemente PPSK para residentes e IoT, implemente 802.1X para a equipa de gestão do edifício e implemente um Captive Portal num SSID separado para visitantes. É um consultor de redes sénior a fazer um briefing a um cliente num tom confiante, informal e autoritário. Fale de forma clara e a um ritmo moderado. Tom: conhecedor, direto, ocasionalmente irónico. Este é um briefing profissional, não uma palestra: Agora vamos entrar no panorama dos fabricantes, porque os detalhes de implementação variam significativamente dependendo do hardware do ponto de acesso que estiver a utilizar. No Cisco Meraki, a funcionalidade chama-se iPSK. Configura-se em Wireless, Access Control (Controlo de Acesso), e seleciona-se PSK com RADIUS. A Meraki também suporta iPSK sem RADIUS em firmware mais recente, onde o mapeamento de chave para VLAN é armazenado localmente no dashboard. Na HPE Aruba, a funcionalidade chama-se PPSK, e é uma das implementações mais maduras do mercado. O ClearPass Policy Manager da Aruba gere o ciclo de vida das chaves, a atribuição de VLAN e a integração com sistemas de gestão de propriedade. Para grandes portfólios de BTR, a combinação Aruba mais ClearPass é uma solução comprovada. Na Ubiquiti UniFi, o PPSK foi introduzido na versão oito do UniFi Network e está disponível em redes WPA2. Configura-se em Settings (Definições), WiFi, e ativa-se Private Pre-Shared Keys. Cada chave mapeia para uma VLAN. A limitação é que o PPSK da UniFi é apenas para WPA2 e atualmente não suporta a banda de seis gigahertz. A Ruckus chama à funcionalidade equivalente Dynamic PSK, sendo uma tecnologia patenteada. Cada chave é gerada criptograficamente e tem um limite de tempo, se necessário. A implementação da Ruckus é particularmente robusta para implementações de alta densidade, como alojamento de estudantes. A Juniper Mist e a Cambium implementam ambas a funcionalidade como ePSK, com ciclo de vida de chaves gerido na nuvem e atribuição de VLAN. A plataforma da Purple funciona como uma sobreposição na nuvem acima de todos estes fabricantes de hardware. Integramo-nos com Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet através de APIs padrão e RADIUS. O ciclo de vida das chaves - provisionamento, rotação, revogação - é gerido centralmente através do dashboard da Purple, independentemente do hardware do ponto de acesso instalado. Esta abordagem agnóstica em termos de hardware significa que não fica dependente do ecossistema de um único fabricante. [medium pause] Agora, recomendações de implementação e as armadilhas a evitar. A primeira recomendação: desenhe a sua arquitetura de VLAN antes de configurar o que quer que seja. Mapeie todos os tipos de dispositivos no edifício. Dispositivos pessoais dos residentes, IoT e dispositivos domésticos inteligentes, sistemas de gestão de edifícios, acesso de convidados. Cada categoria precisa da sua própria VLAN e do seu próprio PPSK. Documente isto antes de tocar num único ponto de acesso. A segunda recomendação: automatize o ciclo de vida das chaves desde o primeiro dia. O valor operacional do PPSK desaparece se estiver a gerar e a distribuir chaves manualmente. Integre a sua plataforma PPSK com o seu sistema de gestão de propriedade. Quando um contrato de arrendamento é assinado, uma chave é gerada e enviada por e-mail para o residente automaticamente. Quando um contrato termina, a chave é revogada de forma automática. A plataforma da Purple lida com esta integração de forma nativa. A terceira recomendação: teste a ativação de dispositivos IoT antes de entrar em funcionamento. Os dispositivos domésticos inteligentes têm fluxos de ativação de WiFi notoriamente inconsistentes. Alguns usam Bluetooth para a configuração inicial. Alguns criam um hotspot temporário. Teste todas as categorias de dispositivos que planeia suportar - lâmpadas inteligentes, termostatos, assistentes de voz, dispositivos de streaming - na sua rede PPSK antes de os residentes se mudarem. Agora as armadilhas. O mais comum é a proliferação de SSIDs. Cada SSID adicional que transmite consome tempo de antena para tramas de beacon. Num edifício denso com centenas de pontos de acesso, transmitir seis ou oito SSIDs por ponto de acesso degrada significativamente o rendimento. O objetivo é um máximo de três SSIDs: um para residentes em PPSK, um para IoT em PPSK, um para convidados em Captive Portal. O PPSK permite-lhe servir múltiplos segmentos de residentes num único SSID, atribuindo chaves diferentes a VLANs diferentes. Esse é o objetivo principal. O segundo erro é o subdimensionamento do uplink de internet. Um edifício de duzentas unidades com quinze dispositivos por habitação em pico de utilização necessita de uma largura de banda significativa. Planeie para cinco a dez megabits por segundo por habitação ativa em pico. Isso é um mínimo de um gigabit por segundo de largura de banda garantida para um edifício totalmente ocupado. Uma linha alugada com capacidade expansível é o produto certo. O terceiro erro é negligenciar o backhaul com fios. A segmentação PPSK na camada sem fios é inútil se a sua infraestrutura com fios colapsar todas as VLANs num único domínio de difusão. Cada ponto de acesso precisa de uma porta trunk que transporte todas as VLANs como tráfego etiquetado. O seu switch principal precisa de encaminhamento inter-VLAN com uma política de firewall explícita. Audite as configurações do seu switch após cada alteração. [medium pause] Perguntas rápidas. Preciso de um servidor RADIUS para implementar PPSK? Não necessariamente. A maioria dos pontos de acesso modernos suporta PPSK local onde o mapeamento de chave para VLAN é armazenado no controlador ou no painel de controlo na nuvem. O RADIUS é necessário para o iPSK da Meraki em algumas configurações e para a integração com o ClearPass da Aruba. Para implementações mais pequenas, o PPSK local é mais simples. Para grandes portfólios com milhares de chaves, um RADIUS na nuvem ou uma plataforma gerida como a Purple é a abordagem correta. Os residentes podem alterar o seu próprio PPSK? Sim, se configurar o self-service. O portal de residentes da Purple permite que os residentes regenerem a sua chave, adicionem novos dispositivos e giram o seu próprio segmento de rede sem contactar a gestão do edifício. Isto reduz drasticamente o volume de pedidos de suporte. O PPSK está em conformidade com o GDPR? O PPSK em si é um mecanismo de autenticação de rede, não uma ferramenta de recolha de dados. A conformidade com o GDPR depende do que faz com os registos de ligação. Retenha apenas o que necessita para segurança e operações. Seis meses é um limite comum para registos de WiFi residencial. A plataforma da Purple armazena dados em regiões selecionáveis e fornece registos de auditoria para revisão regulamentar. E quanto ao WPA3? Atualmente, o PPSK é um mecanismo WPA2 na maioria das plataformas. O protocolo SAE do WPA3 não suporta nativamente a atribuição de VLAN por chave da mesma forma. A indústria está a trabalhar em equivalentes compatíveis com WPA3, mas para implementações residenciais de produção atuais, o WPA2 PPSK é o padrão. A implementação da UniFi, por exemplo, indica explicitamente que é apenas para WPA2 no caso do PPSK. [medium pause] Para concluir. O PPSK é o modelo de autenticação correto para qualquer implementação de WiFi multi-tenant onde necessite de isolamento por residente, suporte para dispositivos IoT e simplicidade operacional à escala. Situa-se entre o PSK padrão e a autenticação empresarial 802.1X completa - mais seguro e mais gerível do que uma palavra-passe partilhada, mais adaptado a IoT e com menos requisitos de infraestrutura do que uma implementação RADIUS completa. As três principais conclusões: Primeiro, desenhe a sua arquitetura de VLAN antes de configurar o que quer que seja. No mínimo três VLANs: residentes, IoT, convidados. Segundo, automatize o ciclo de vida das chaves. A gestão manual de chaves não é escalável além de vinte unidades. Terceiro, escolha uma plataforma agnóstica em termos de hardware. O seu fornecedor de pontos de acesso irá mudar ao longo da vida útil do edifício. A sua camada de gestão de chaves e de experiência do residente não deve mudar. Se pretender aprofundar, os recursos de WiFi multi-tenant da Purple em purple.ai abrangem toda a arquitetura de implementação, a integração com sistemas de gestão de propriedades e o caso comercial do WiFi como uma comodidade gerida. Existe também um guia detalhado sobre PPSK especificamente para UniFi, se essa for a sua plataforma de hardware. Obrigado por ouvir. Até à próxima.