Uu PPSK: comparando funcionalidades e modelos de implementação

UU PPSK: Comparando Funcionalidades e Modelos de Implementação Um Podcast de Briefing Técnico da Purple Duração aproximada: 14 minutos Bem-vindo ao Briefing Técnico da Purple. Vou orientá-lo numa das decisões mais importantes que tomará ao desenhar o WiFi para uma propriedade residencial ou comercial multi-inquilino: qual o modelo de chave pré-partilhada a implementar. E, especificamente, vamos focar-nos no UU PPSK, que significa Unique per-User Pre-Shared Key (Chave Pré-Partilhada Única por Utilizador), e porque é que se tornou a arquitetura de eleição para operadores de Build to Rent, fornecedores de alojamento estudantil e proprietários de MDU em todo o Reino Unido. Comecemos pelo problema. Se for um promotor imobiliário ou proprietário, está a gerir um edifício onde dezenas ou centenas de agregados familiares independentes partilham a mesma infraestrutura de rede física. Precisa que cada residente tenha uma experiência de WiFi privada, semelhante à de casa. O seu Chromecast precisa de encontrar o seu telemóvel. A sua coluna inteligente precisa de falar com as suas lâmpadas. E, crucialmente, nada disso deve ser visível para o residente do apartamento ao lado. A resposta tradicional para isto era ou uma palavra-passe partilhada, o que é um desastre de segurança à escala, ou uma implementação enterprise 802.1X completa, que requer uma Infraestrutura de Chaves Públicas, gestão de certificados e um servidor RADIUS que a maioria dos operadores imobiliários simplesmente não tem recursos de TI para gerir. Nenhuma destas opções é adequada para um bloco BTR de 200 unidades. É aí que entra o PPSK. PPSK significa Private Pre-Shared Key. O conceito é simples: em vez de uma palavra-passe de WiFi partilhada para todo o edifício, cada residente recebe a sua própria frase de acesso única. Ligam-se ao mesmo SSID, ao mesmo nome de rede, mas a chave é apenas sua. Se mudarem de casa, revoga-se a sua chave. Isso tem zero efeito em qualquer outro residente. Atualmente, existem na verdade três modelos distintos aqui, e compreender a diferença entre eles é crítico para tomar a decisão de arquitetura correta. O primeiro modelo é uma PSK partilhada padrão. Uma palavra-passe, todos na mesma rede. Isto é o que a maioria dos edifícios ainda utiliza hoje em dia. É simples de implementar, mas é um ponto único de falha. Um residente partilha a palavra-passe num fórum e perde-se o controlo da rede. Quer remover o acesso de um prestador de serviços? Tem de alterar a palavra-passe de todos. À escala, isto simplesmente não é gerível. O segundo modelo é o Group PPSK. Aqui, atribui uma chave única a cada grupo de utilizadores, talvez uma chave por piso ou uma chave por tipo de arrendamento. É melhor do que uma palavra-passe partilhada, mas ainda tem um problema de raio de impacto. Se uma chave de um grupo for comprometida, todo o grupo é afetado. E continua sem ser possível isolar residentes individuais uns dos outros na camada de rede.O terceiro modelo, e aquele em que nos focamos hoje, é o UU PPSK (Unique per-User Pre-Shared Key), também designado iPSK pela Cisco, DPSK pela Ruckus e MPSK pela HPE Aruba. A terminologia varia consoante o fabricante, mas o conceito é idêntico. Cada residente, cada grupo de dispositivos, obtém a sua própria chave criptograficamente única. E essa chave mapeia para a sua própria VLAN, o seu próprio segmento de rede, completamente isolado de qualquer outro residente no edifício. Esta é a arquitetura que proporciona aquilo a que chamo a bolha de WiFi. Os dispositivos do Residente A conseguem ver-se uns aos outros, podem fazer transmissão de ecrã (cast), emparelhar, partilhar ficheiros, exatamente como fariam numa rede doméstica. Mas o Residente A não consegue ver um único dispositivo pertencente ao Residente B, mesmo estando ambos ligados ao mesmo ponto de acesso, no mesmo SSID, utilizando a mesma infraestrutura de cabos física. Deixe-me orientá-lo através do fluxo de autenticação técnica, porque é aqui que a magia acontece. Quando o dispositivo de um residente se liga ao SSID, o Wireless LAN Controller interpeta a tentativa de ligação e reencaminha o endereço MAC do dispositivo para um servidor RADIUS. O servidor RADIUS, que pode ser alojado na nuvem, como é o da Purple, procura esse endereço MAC no seu repositório de identidades. Retorna uma resposta Access-Accept contendo a chave pré-partilhada única atribuída a esse residente. O controlador valida a chave que o dispositivo apresentou em relação à chave retornada. Se coincidirem, o dispositivo é autenticado e colocado na VLAN dedicada do residente. Crucialmente, essa resposta RADIUS também transporta a atribuição de VLAN. Assim, o dispositivo não é apenas autenticado. É colocado automaticamente no segmento de rede correto, com a política de largura de banda correta, as regras de firewall corretas, tudo a partir de um único SSID. Sem proliferação de SSID. Sem sobrecarga de beacons. Um nome de rede, centenas de redes privadas isoladas por baixo dele. Agora, uma palavra sobre a aleatorização de endereços MAC, porque este é o obstáculo que compromete a maioria das implementações. Desde o iOS 14, Android 10 e Windows 11, os dispositivos utilizam endereços MAC aleatórios por predefinição por motivos de privacidade. Se o seu servidor RADIUS estiver a efetuar uma pesquisa de MAC e o dispositivo apresentar um endereço aleatório, a pesquisa falha e o dispositivo não se consegue ligar. A solução passa por configurar o seu SSID para solicitar que os clientes utilizem o seu endereço MAC de hardware permanente, ou implementar um fluxo de trabalho de pré-registo onde os residentes registam o seu dispositivo antes de se ligarem. A plataforma da Purple lida com isto automaticamente como parte do fluxo de integração de novos residentes. Vamos falar sobre modelos de implementação, porque o UU PPSK pode ser implementado de três formas distintas, e a escolha certa depende do tamanho do seu edifício, dos seus recursos de TI e do seu orçamento. O primeiro é o PPSK local do controlador. Aqui, as chaves exclusivas são armazenadas diretamente no controlador sem fios, sem necessidade de um servidor RADIUS externo. Isto funciona bem para implementações mais pequenas, até cerca de 200 unidades, e é o mais simples de operar. O Ubiquiti UniFi suporta isto nativamente. A limitação é a escalabilidade. A maioria dos controladores tem um limite de algumas centenas de entradas PPSK locais, e perde-se a gestão de ciclo de vida centralizada que torna a operação de UU PPSK viável à escala. O segundo modelo é o PPSK baseado em RADIUS. Aqui, as chaves são armazenadas num servidor RADIUS externo, e o controlador consulta o servidor RADIUS a cada nova ligação. Isto escala para milhares de unidades. O TP-Link Omada suporta até 4.000 PPSKs com um servidor RADIUS externo. O Ruckus SmartZone, o HPE Aruba ClearPass e o Cisco ISE suportam todos este modelo. O custo operacional é mais elevado, mas a escalabilidade e as capacidades de gestão de ciclo de vida são significativamente melhores. O terceiro modelo, e aquele que a Purple recomenda para operadores de BTR e MDU, é o RADIUS-as-a-Service na nuvem. Aqui, a infraestrutura RADIUS é alojada e gerida pela Purple, e liga os seus pontos de acesso a ela através de uma sobreposição na nuvem. Isto dá-lhe a escalabilidade do PPSK baseado em RADIUS sem o custo operacional de gerir o seu próprio servidor RADIUS. A plataforma da Purple assenta sobre o seu hardware existente, quer seja Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme Networks ou Fortinet, e fornece a camada de orquestração para provisionamento de chaves, gestão de ciclo de vida e integração de residentes. O ciclo de vida das chaves é totalmente automatizado. Um residente muda-se, a sua chave é provisionada através da integração com o sistema de gestão de propriedade. Ele muda-se para fora, a sua chave é revogada instantaneamente, sem qualquer impacto em qualquer outro residente. Sem intervenção manual, sem lacunas de segurança, sem dramas de rotação de palavras-passe. Deixe-me dar-lhe dois cenários de implementação concretos para dar vida a isto. O primeiro é um empreendimento Build to Rent de 250 unidades. O promotor tinha especificado pontos de acesso Cisco Meraki em todo o edifício. Precisavam que cada residente tivesse uma experiência de WiFi privada com suporte total para IoT, prontidão de mudança no próprio dia e capacidade de suportar de 15 a 25 dispositivos por habitação. O agregado familiar médio de BTR liga agora 18 dispositivos ao WiFi, desde telemóveis e portáteis a colunas inteligentes, dispositivos de streaming e eletrodomésticos conectados. A arquitetura implementada foi um único SSID em todo o edifício, com UU PPSK através do serviço RADIUS na nuvem da Purple. Cada residente recebeu uma chave exclusiva ao mudar-se, entregue através da aplicação do residente. A chave mapeava para uma VLAN dedicada com uma sub-rede privada, dando a cada agregado familiar um segmento de rede totalmente isolado. A reflexão mDNS foi ativada em cada VLAN, pelo que o Chromecast, a Apple TV e a Sonos funcionaram como esperado. O edifício entrou em funcionamento com 250 VLANs de residentes ativos no primeiro dia, com zero configuração manual de RADIUS necessária por parte da equipa local. O segundo cenário é um bloco de alojamento para estudantes com 400 camas. O desafio aqui é a rotatividade anual de residentes. Em cada mês de agosto, 400 estudantes saem e 400 novos estudantes entram, frequentemente na mesma semana. Com um modelo de PSK partilhado, isto significa uma rotação de palavra-passe a nível de todo o edifício, afetando todos os residentes que regressam. Com o UU PPSK, significa revogar 400 chaves e provisionar 400 novas chaves, tudo automatizado através da integração com o sistema de gestão de estudantes. A implementação utilizou Ruckus SmartZone com DPSK, suportado pelo serviço RADIUS da Purple. Cada estudante recebeu a sua chave única por e-mail durante o registo prévio à chegada. A chave era válida durante o período do seu contrato de arrendamento e expirava automaticamente na data de término do contrato. A equipa de operações reportou uma redução de 70% nos pedidos de suporte relacionados com WiFi no primeiro período, principalmente porque os problemas de emparelhamento de Chromecast e smart TV que tinham afetado a implementação anterior com PSK partilhado foram completamente eliminados. Deixe-me agora abordar o aspeto da conformidade, porque isto é relevante para os operadores imobiliários de formas que por vezes são subvalorizadas. O GDPR exige que possa demonstrar responsabilidade pelo processamento de dados. Num contexto de WiFi, isso significa ser capaz de identificar qual o residente que gerou determinado tráfego de rede, e ser capaz de responder a um pedido de acesso de dados do titular ou a um pedido de aplicação da lei com dados precisos e específicos do residente. Com um PSK partilhado, isso é impossível. Cada dispositivo na rede parece idêntico sob a perspetiva do servidor RADIUS. Com o UU PPSK, cada ligação está associada a uma chave de residente específica, que por sua vez está associada a um registo de arrendamento específico. O seu registo de auditoria fica completo. Deixe-me dar-lhe três regras práticas antes de passarmos para as perguntas rápidas. Regra um: se o seu edifício tem mais de 50 frações, utilize UU PPSK suportado por RADIUS, e não PPSK local do controlador. O limite de escalabilidade do PPSK local do controlador irá causar-lhe problemas nos 12 meses seguintes à entrada em funcionamento. Regra dois: planeie a aleatorização de MAC desde o primeiro dia. Crie um fluxo de trabalho de pré-registo no seu processo de integração de residentes. Não assuma que os dispositivos irão apresentar o seu endereço MAC permanente por predefinição. Regra três: automatize o ciclo de vida das chaves. O valor operacional do UU PPSK em relação a um PSK partilhado depende inteiramente do facto de as chaves serem provisionadas e revogadas de forma automática. A gestão manual de chaves à escala não é viável. Integre com o seu sistema de gestão de propriedades ou sistema de gestão de estudantes desde o início. Certo, vamos fazer uma ronda rápida pelas perguntas que me fazem com mais frequência. O UU PPSK funciona com WPA3? Sim, com ressalvas. O WPA3-SAE altera o mecanismo de handshake. A maioria dos controladores modernos suporta UU PPSK no modo de transição WPA2 e WPA3 para retrocompatibilidade. Verifique a documentação específica do seu fornecedor antes de especificar uma implementação puramente WPA3.Quantas chaves exclusivas pode um único SSID suportar? Isto depende da sua plataforma de controlador. Com um servidor RADIUS externo, o limite prático é a capacidade da sua base de dados RADIUS. O serviço de cloud RADIUS da Purple escala para dezenas de milhares de chaves concorrentes. O UU PPSK é um substituto para o 802.1X? Não. Para frotas de dispositivos corporativos totalmente geridas, com terminais registados em MDM e infraestrutura de certificados já instalada, o WPA3-Enterprise com 802.1X é a postura de segurança mais forte. O UU PPSK é a ferramenta certa para ambientes onde não controla os dispositivos que se ligam à sua rede, o que é exatamente a situação em implementações de BTR, alojamento de estudantes e MDU. Em que hardware funciona? O overlay de cloud da Purple suporta Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme e Fortinet. Não precisa de substituir os seus pontos de acesso existentes. Para resumir: o UU PPSK é a arquitetura de autenticação que torna a operação de WiFi multi-tenant viável à escala residencial. Oferece isolamento de rede por residente, suporte total para IoT, gestão automatizada do ciclo de vida das chaves e uma pista de auditoria em conformidade com o GDPR, tudo a partir de um único SSID no seu hardware existente. Os três modelos de implementação - local no controlador, baseado em RADIUS e cloud RADIUS-as-a-Service - adequam-se a diferentes tamanhos de edifícios e níveis de recursos de TI. Para qualquer projeto acima de 50 unidades, o cloud RADIUS-as-a-Service é a escolha certa. Elimina os custos operacionais de gerir a sua própria infraestrutura RADIUS, ao mesmo tempo que lhe proporciona a escalabilidade e as capacidades de gestão do ciclo de vida de que necessita. A plataforma de Multi-Tenant WiFi da Purple disponibiliza exatamente isto. Fundada em 2012, operamos em mais de 80.000 locais ativos e a nossa plataforma processou 440 milhões de acessos apenas em 2024. Somos certificados com a norma ISO 27001, estamos em conformidade com o GDPR e somos agnósticos em relação ao hardware. Se está a planear uma implementação de BTR, alojamento de estudantes ou MDU e quer compreender como o UU PPSK se enquadra na sua arquitetura específica, os guias associados neste resumo são um bom ponto de partida. Obrigado por ouvir. Até à próxima.