UniFi PPSK: comparando funcionalidades e modelos de implementação

Bem-vindo ao Purple Technical Briefing. Hoje vamos abordar o UniFi PPSK - o que é, onde se enquadra no seu conjunto de ferramentas de design de rede e, crucialmente, quando deve usá-lo em comparação com as alternativas. Deixe-me enquadrar o cenário. É um promotor imobiliário, um operador de BTR ou um gestor de TI responsável por um edifício com centenas de residentes ou inquilinos. Precisa de WiFi que isole cada agregado familiar dos outros, suporte dispositivos domésticos inteligentes e não exija a alteração de uma palavra-passe partilhada sempre que alguém se muda. Esse é o problema que o PPSK foi concebido para resolver - e vale a pena compreender tanto os seus pontos fortes como os seus limites estritos antes de se comprometer com ele. Então, o que é exatamente o PPSK? PPSK significa Private Pre-Shared Key. É uma funcionalidade integrada no UniFi Network que lhe permite executar um único SSID de WiFi com várias palavras-passe diferentes, em que cada palavra-passe mapeia para uma VLAN específica. O conceito é simples. Em vez de uma palavra-passe partilhada para todos, emite uma palavra-passe diferente para cada inquilino, cada grupo de dispositivos ou cada caso de utilização. Quando um dispositivo se liga usando essa palavra-passe, o controlador UniFi coloca-o automaticamente na VLAN correspondente. Sem necessidade de servidor RADIUS. Sem certificados. Sem infraestrutura complexa 802.1X. Ora, ouvirá chamar ao PPSK nomes diferentes dependendo do fabricante com quem estiver a falar. A Aruba chama-lhe MPSK. A Cisco Meraki chama-lhe iPSK. A Ruckus chama-lhe DPSK. O conceito subjacente é o mesmo em todos eles: um SSID, muitas chaves, cada chave associada a um segmento de rede. A implementação da UniFi chama-se PPSK e reside nativamente dentro do controlador UniFi Network sem custos adicionais de licenciamento. Vamos entrar na arquitetura técnica. Quando ativa o PPSK num SSID UniFi, está a criar uma rede WPA2-Personal com múltiplas chaves pré-partilhadas. Cada chave está associada a um ID de VLAN específico que já configurou no seu switch e controlador UniFi. Quando um dispositivo cliente se autentica usando uma dessas chaves, o ponto de acesso etiqueta o tráfego do cliente com o ID de VLAN correspondente antes de o encaminhar a montante. O cliente comporta-se exatamente como se estivesse numa VLAN dedicada - isolado de clientes noutras VLANs, com a sua própria gama de DHCP e as suas próprias regras de firewall. Isto é genuinamente útil para vários cenários. Num edifício residencial, atribui a cada apartamento o seu próprio PPSK. Todos os dispositivos desse apartamento - telemóveis, computadores portáteis, colunas inteligentes, consolas de videojogos - ligam-se usando a mesma chave e vão parar à mesma VLAN. Podem descobrir-se mutuamente, transmitir conteúdo entre si e emparelhar-se, exatamente como fariam numa rede doméstica. Mas estão completamente invisíveis para o apartamento ao lado. Num hotel, pode usar o PPSK para separar o tráfego de hóspedes do tráfego de funcionários e de dispositivos IoT, como smart TVs e fechaduras de portas - tudo num único SSID. Num ambiente de retalho, pode isolar os terminais de pagamento na sua própria VLAN para apoiar a conformidade com PCI-DSS, mantendo os dispositivos dos funcionários e o WiFi dos clientes em segmentos separados.Agora, aqui está a limitação crítica que precisa de compreender antes de continuar. O PPSK é uma funcionalidade exclusiva de WPA2. Não funciona com WPA3. E como a banda de 6 GHz - usada pelo WiFi 6E e WiFi 7 - exige WPA3, não pode utilizar PPSK em rádios de 6 GHz. Isto não é uma limitação específica da UniFi. É uma restrição fundamental do padrão 802.11. O WPA3 atualmente apenas permite uma única chave pré-partilhada por SSID, pelo que a arquitetura de chaves múltiplas em que o PPSK se baseia é simplesmente incompatível com WPA3. O que significa isto na prática? Se ativar o PPSK num SSID, esse SSID apenas irá transmitir em 2.4 GHz e 5 GHz. Os seus pontos de acesso WiFi 6E e WiFi 7 mais recentes não irão utilizar os seus rádios de 6 GHz para essa rede. Para a maioria das implementações residenciais atuais, isto é aceitável. Mas é uma restrição que precisa de considerar no seu plano de rede a cinco anos, particularmente à medida que a adoção do WiFi 7 acelera. Vamos comparar o PPSK diretamente com as duas principais alternativas: RADIUS com 802.1X, e uma solução iPSK gerida na nuvem como a Purple. O RADIUS com 802.1X - também chamado WPA2-Enterprise ou WPA3-Enterprise - é o padrão de excelência para a autenticação empresarial. Cada utilizador ou dispositivo tem credenciais exclusivas. O servidor RADIUS valida essas credenciais e atribui dinamicamente o cliente a uma VLAN. Suporta WPA3, funciona em 6 GHz e dimensiona-se para utilizadores ilimitados. A desvantagem é a complexidade. Precisa de um servidor RADIUS, local ou alojado na nuvem. Precisa de gerir certificados se estiver a utilizar EAP-TLS. E de forma crítica, muitos dispositivos IoT - colunas inteligentes, consolas de videojogos, sensores domésticos inteligentes - não conseguem de todo ligar-se a redes 802.1X. O UniFi PPSK situa-se no meio. É mais simples do que o RADIUS - sem necessidade de infraestrutura de servidor, sem certificados, funciona com todos os dispositivos. Mas é menos escalável. A implementação nativa de PPSK da UniFi armazena as chaves localmente no controlador. O limite prático para a maioria das implementações é de algumas centenas de chaves. Para um edifício BTR de 50 frações, é perfeitamente adequado. Para um empreendimento de 500 frações, irá encontrar fricção na gestão rapidamente. É aí que uma sobreposição na nuvem como a Purple altera a equação. A solução Multi-Tenant WiFi da Purple corre sobre o seu hardware UniFi existente. Gere o ciclo de vida das chaves de forma centralizada na nuvem. Quando um novo residente se muda, a Purple fornece a sua chave automaticamente. Quando sai, a Purple revoga-a. Os dispositivos do residente perdem o acesso imediatamente, sem afetar qualquer outro residente. A Purple integra-se com o Microsoft Entra ID e Okta para automatizar totalmente esse ciclo de vida. Agora vamos analisar dois cenários reais de implementação. Cenário um: um empreendimento de Build to Rent de 120 unidades. O operador pretende que os residentes tenham uma experiência de WiFi idêntica à de casa desde o primeiro dia - sem esperas por um técnico de banda larga, sem partilha de palavras-passe, com suporte total para smart home. O hardware é UniFi em toda a infraestrutura. Cada residente recebe uma chave única disponibilizada através da plataforma Purple, associada ao seu registo de arrendamento. Os seus dispositivos são direcionados para uma VLAN dedicada. O Chromecast funciona. As consolas de jogos obtêm NAT aberto. As colunas inteligentes emparelham corretamente. Quando um residente se muda, a chave é revogada em segundos. O operador reporta uma redução de 40% nos pedidos de suporte relacionados com WiFi nos primeiros três meses. Cenário dois: um hotel de 200 quartos que utiliza pontos de acesso UniFi. A equipa de TI necessita de segmentar o WiFi de convidados, o WiFi de funcionários e os dispositivos IoT - smart TVs, fechaduras eletrónicas, sensores HVAC - sem disponibilizar SSIDs separados para cada um. Ativam o PPSK nativamente no UniFi. Três chaves: uma para convidados, uma para funcionários e uma para IoT. Três VLANs. Um SSID. O resultado: um ambiente de RF limpo com menos SSIDs, segmentação de tráfego clara e conformidade PCI-DSS para os sistemas de pagamento na VLAN dos funcionários. Deixe-me apresentar os erros de implementação a evitar. Primeiro: configuração de VLAN antes do PPSK. Deve configurar as suas VLANs no switch e controlador UniFi antes de criar registos PPSK. Construa sempre a sua segmentação de rede primeiro. Segundo: a armadilha dos 6 GHz. Se estiver a implementar pontos de acesso WiFi 6E ou WiFi 7 e pretender utilizar 6 GHz para áreas de alta densidade, não poderá utilizar PPSK nessas redes. Planeie a sua arquitetura de SSID em conformidade. Terceiro: gestão de chaves em escala. Se estiver a gerir mais de 100 unidades nativamente no UniFi sem uma sobreposição na nuvem, sentirá rapidamente a dificuldade do aprovisionamento manual de chaves. Quarto: mDNS e deteção de dispositivos. Por predefinição, os dispositivos em VLANs diferentes não se conseguem detetar mutuamente. Se pretender que o Chromecast ou o AirPlay funcionem dentro da VLAN de um residente, necessita de ativar a reflexão mDNS. O UniFi suporta isto, mas tem de ser configurado explicitamente por VLAN. Perguntas rápidas. Posso utilizar PPSK e RADIUS no mesmo controlador UniFi? Sim. Pode executar um SSID PPSK e um SSID WPA2-Enterprise em simultâneo. O PPSK suporta o modo de transição WPA3? Não. O PPSK é apenas WPA2. Qual é o número máximo de chaves PPSK no UniFi? A experiência da comunidade sugere que o desempenho diminui além de algumas centenas de chaves num único SSID. Para grandes implementações, uma camada de gestão na nuvem é a resposta certa. Para concluir: o UniFi PPSK é uma ferramenta genuinamente útil para implementações de pequena a média dimensão onde necessita de segmentação por VLAN sem infraestrutura RADIUS. É a escolha certa para um edifício de 50 unidades, um hotel boutique ou um pequeno escritório com tipos de dispositivos mistos. Para implementações maiores - qualquer cenário acima de 100 unidades ou onde necessite de uma gestão automatizada do ciclo de vida - necessita de uma sobreposição na nuvem como a Purple para tornar o projeto operacionalmente viável. A estrutura de decisão fundamental é simples. Faça a si mesmo três perguntas. De quantas chaves exclusivas preciso? Se for menos de 100, o PPSK nativo funciona. Se for mais de 100, precisa de uma camada de gestão. Preciso de 6 GHz? Se sim, o PPSK não é a resposta. E preciso de aprovisionamento automatizado associado a um sistema de tenancy ou de RH? Se sim, uma sobreposição de nuvem como o Purple é a escolha certa. Para saber mais sobre a solução de WiFi Multi-Tenant do Purple e como se implementa em hardware UniFi, visite purple dot ai. Obrigado por ouvir o Purple Technical Briefing.