Uu PPSK hukumonline: comparando características e modelos de implementação

Bem-vindo ao Purple Technical Briefing. Hoje vamos falar sobre PPSK WiFi - Private Pre-Shared Key - o que é, como se compara com as alternativas e onde realmente faz sentido implementá-lo. Comecemos pelo problema que resolve. Numa rede WPA2 Personal tradicional, todos os dispositivos na rede partilham a mesma palavra-passe. Isso é aceitável para uma casa. É um risco de segurança para um empreendimento de Build to Rent com 200 frações, um bloco de alojamento de estudantes ou um hotel com 300 quartos. Quando um residente se muda, ou se altera a palavra-passe para todos - afetando a TV inteligente, o termóstato e a consola de todos os outros residentes - ou se deixa o antigo residente com acesso. Nenhuma das opções é aceitável. O PPSK resolve este problema ao atribuir a cada residente, a cada apartamento ou a cada grupo de dispositivos a sua própria chave WiFi exclusiva. Todos se ligam ao mesmo SSID - o mesmo nome de rede - mas cada chave é mapeada para uma VLAN distinta. O Apartamento 12 está na VLAN 10. O Apartamento 13 está na VLAN 20. Os dispositivos IoT estão na VLAN 99. O ponto de acesso trata do mapeamento da chave para a VLAN de forma automática. Sem necessidade de servidor RADIUS. Sem infraestrutura de certificados. Sem suplicante 802.1X no dispositivo. Agora vamos falar sobre a terminologia, porque esta varia consoante o fabricante e isso gera uma confusão real no mercado. A Aruba chama-lhe PPSK - Private Pre-Shared Key. A Cisco Meraki chama-lhe iPSK - Identity PSK. A Juniper Mist utiliza ePSK. A Extreme Networks, que originalmente desenvolveu o conceito sob a marca Aerohive, chama-lhe Private PSK. A Ubiquiti UniFi chama-lhe simplesmente PPSK. A Cambium também utiliza ePSK. O mecanismo subjacente é idêntico em todas elas: um SSID, múltiplas chaves exclusivas, cada chave associada a uma VLAN ou a um grupo de políticas. Tecnicamente, eis o que acontece na camada de associação. Quando um dispositivo se liga, apresenta a sua chave pré-partilhada durante o handshake de quatro vias do WPA2. O ponto de acesso - ou o controlador de nuvem por trás dele - procura essa chave no armazenamento PPSK, identifica a que VLAN está mapeada e etiqueta o tráfego do dispositivo em conformidade. O dispositivo deteta uma ligação WiFi normal. Não faz ideia de que foi colocado num segmento isolado. O seu Chromecast funciona. A sua coluna inteligente emparelha. A sua consola obtém o tipo de NAT correto. Tudo funciona como uma rede doméstica - porque, na perspetiva do dispositivo, é uma. Esta é a distinção crucial em relação ao 802.1X, que é o padrão empresarial para redes de funcionários e ambientes corporativos. O 802.1X requer um servidor RADIUS, um fornecedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - e um suplicante em cada dispositivo. Esse suplicante é o componente de software que lida com a troca de autenticação EAP. Todos os portáteis geridos, todos os telemóveis corporativos têm um. O frigorífico inteligente do seu residente não tem. O controlador HVAC do seu edifício não tem. Os seus sensores IoT não têm. O PPSK funciona com todos eles porque opera na camada WPA Personal, e não na camada WPA Enterprise.Dito isto, o PPSK não substitui o 802.1X em ambientes empresariais. É uma ferramenta diferente para um problema diferente. Se gere uma rede de colaboradores onde a responsabilidade individual é importante - o 802.1X é a resposta certa. Se gere uma rede residencial onde necessita de isolamento por habitação, suporte para IoT e simplicidade operacional à escala, o PPSK é a resposta certa. Analisemos os modelos de implementação. Existem três padrões principais em produção atualmente. O primeiro é o modelo de controlador na nuvem, que é o mais comum para novas implementações. Os seus pontos de acesso - sejam eles Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet - ligam-se a uma plataforma de gestão na nuvem. O armazenamento de chaves PPSK reside no controlador na nuvem. Quando regista um novo residente, cria uma chave no portal, atribui-a a uma VLAN e o controlador envia a política para todos os pontos de acesso no edifício. O residente recebe a sua chave por email, SMS ou através de um código QR num pacote de boas-vindas, e liga-se. Quando se muda, elimina-se a chave. Os seus dispositivos deixam de se ligar. Ninguém mais é afetado. O segundo modelo é o PPSK com uma infraestrutura local de RADIUS. Algumas implementações empresariais utilizam um servidor RADIUS para armazenar e validar credenciais PPSK, o que lhe confere registo centralizado, pistas de auditoria e integração com a sua plataforma de gestão de identidades. Isto adiciona custos gerais de infraestrutura, mas oferece-lhe a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK. O terceiro modelo é o híbrido: PPSK para residentes e IoT, 802.1X para colaboradores e sistemas de gestão. Esta é a arquitetura que a Purple recomenda para implementações de Build to Rent e edifícios multifamiliares. Os residentes utilizam PPSK. Os sistemas de gestão de edifícios, CCTV e controlo de acessos recebem a sua própria VLAN de IoT com PPSK. Os dispositivos da equipa de gestão de propriedades utilizam 802.1X face ao Microsoft Entra ID ou Okta. Três modelos de autenticação distintos, três VLANs distintas, uma infraestrutura física. Passemos agora à implementação. Comece pelo seu design lógico antes de tocar no hardware. Mapeie o número de residentes, as categorias de dispositivos IoT e quaisquer sistemas de colaboradores ou de gestão. Atribua VLANs. Uma implementação típica de BTR tem o seguinte aspeto: VLAN 10 até ao número exigido pelas suas frações para residentes, uma VLAN por apartamento ou uma VLAN por piso, dependendo da sua densidade. VLAN 99 para IoT. VLAN 100 para gestão de edifícios. VLAN 200 para WiFi de convidados em áreas comuns. Num edifício de 200 frações, estamos a falar de 3.000 a 5.000 dispositivos na rede a qualquer momento. Esse é o número de 15 a 25 dispositivos por habitação apontado pela pesquisa da British Property Federation. Os seus intervalos de DHCP precisam de acomodar isso. Utilize endereçamento privado RFC 1918 com tamanhos de sub-rede suficientes por VLAN. Um slash 24 oferece 254 endereços utilizáveis. Um slash 23 oferece 510. Dimensione em conformidade. Relativamente à seleção de hardware: o PPSK é suportado em todas as principais plataformas de pontos de acesso empresariais. A Cisco Meraki chama-lhe iPSK e gere-o através do dashboard Meraki. A HPE Aruba implementa-o nativamente no ArubaOS e no Aruba Central. A Ruckus suporta-o através do SmartZone. A Juniper Mist utiliza ePSK com gestão de RF baseada em IA. A Ubiquiti UniFi disponibiliza PPSK desde 2023, embora atualmente seja apenas WPA2. A Aruba, a Ruckus e a Meraki suportam todas PPSK em configurações WPA3. Agora as armadilhas. A primeira é a proliferação de SSIDs. Cada SSID transmitido consome tempo de antena para tramas de sinalização (beacon frames). Mantenha um máximo de quatro SSIDs por rádio. Utilize PPSK para servir múltiplos segmentos de residentes a partir de um único SSID, em vez de criar um SSID separado por apartamento. A segunda armadilha é a configuração insuficiente das portas trunk. Desenha um esquema de VLAN limpo, implementa os pontos de acesso e depois o tráfego cai silenciosamente porque alguém se esqueceu de autorizar as VLANs relevantes numa ligação trunk. Valide todas as portas trunk durante a colocação em funcionamento. Teste com um dispositivo em cada VLAN antes de os residentes se mudarem. A terceira armadilha é a distribuição de chaves. Gerar chaves é fácil. Entregá-las aos residentes de forma segura é mais difícil. Um código QR no pacote de boas-vindas funciona bem para o dia da mudança. Um portal do residente é melhor para as operações do dia a dia. Crie o fluxo de trabalho de distribuição de chaves antes de implementar, não depois. Agora, perguntas rápidas. Quantas chaves PPSK pode um único ponto de acesso suportar? A Cisco Meraki suporta até 5.000 entradas iPSK por rede. A Aruba suporta uma escala semelhante. A Ubiquiti UniFi suporta até 1.000 entradas PPSK por rede. Para um edifício de 200 frações, está perfeitamente dentro dos limites em qualquer plataforma. O PPSK funciona com WPA3? Sim, na maioria das plataformas empresariais. O WPA3-SAE oferece maior proteção contra ataques de dicionário offline. A exceção é a UniFi, que atualmente apenas suporta WPA2 para PPSK. Posso integrar o PPSK com o meu sistema de gestão de propriedades? Sim, através da API do fabricante. A plataforma Multi-Tenant WiFi da Purple funciona como uma sobreposição na cloud no topo do seu hardware existente e trata do aprovisionamento de chaves, atribuição de VLAN e integração de residentes através de um único dashboard - com integrações em plataformas de gestão de propriedades para fluxos de trabalho automatizados de entrada e saída de residentes. Em resumo. O PPSK é o modelo de autenticação certo para ambientes residenciais multi-inquilino, alojamentos de estudantes e implementações ricas em IoT, onde a compatibilidade de dispositivos importa mais do que a identidade baseada em certificados. Proporciona isolamento de rede por habitação, suporta todos os tipos de dispositivos e escala para milhares de chaves sem infraestrutura RADIUS. O modelo híbrido - PPSK para residentes, 802.1X para funcionários - oferece-lhe o melhor de dois mundos numa única rede física. As três coisas a acertar desde o primeiro dia são: o design da sua VLAN, o seu fluxo de trabalho de distribuição de chaves e a configuração das portas trunk. Acerte nestas três e o resto virá por acréscimo. Para saber mais sobre a plataforma WiFi Multi-Tenant da Purple e como esta lida com o aprovisionamento de PPSK em escala, visite purple.ai. Obrigado por ouvir.