Guia de PPSK em PDF: comparação de funcionalidades e modelos de implementação

Bem-vindo ao Briefing Técnico Purple. Hoje vamos abordar o PPSK - Private Pre-Shared Key WiFi - o que é, como se compara com as alternativas e onde realmente faz sentido implementá-lo numa propriedade residencial multifamiliar ou comercial. Comecemos pelo problema que resolve. Numa rede WPA2 Personal padrão, todos os dispositivos partilham a mesma palavra-passe. Isso é aceitável para uma casa. É um risco de segurança para um empreendimento de arrendamento de 200 frações, um bloco de alojamento estudantil ou um hotel com 300 quartos. Quando um residente se muda, ou se altera a palavra-passe para todos - afetando a TV inteligente, o termostato e a consola de videojogos de todos os outros residentes no processo - ou se deixa o antigo residente com acesso. Nenhuma das opções é aceitável. O PPSK resolve isto ao atribuir a cada residente, a cada apartamento ou a cada grupo de dispositivos a sua própria chave WiFi única. Todos se ligam ao mesmo SSID - o mesmo nome de rede - mas cada chave é mapeada para uma VLAN separada. O Apartamento 12 está na VLAN 10. O Apartamento 13 está na VLAN 20. Os dispositivos IoT estão na VLAN 99. O ponto de acesso trata do mapeamento da chave para a VLAN de forma automática. Não é necessário um servidor RADIUS para o modelo básico. Sem infraestrutura de certificados. Sem suplicante 802.1X no dispositivo. Agora vamos falar sobre a terminologia, porque varia de acordo com o fabricante e isso causa uma enorme confusão no mercado. A Aruba chama-lhe PPSK - Private Pre-Shared Key. A Cisco Meraki chama-lhe iPSK - Identity PSK, ou Personal Private Network. A Juniper Mist utiliza ePSK. A Extreme Networks, que originalmente desenvolveu o conceito sob a marca Aerohive, chama-lhe Private PSK. A Ubiquiti UniFi chama-lhe simplesmente PPSK. A Cambium também utiliza ePSK. O mecanismo subjacente é idêntico em todos eles: um SSID, múltiplas chaves únicas, com cada chave associada a uma VLAN ou a um grupo de políticas. Tecnicamente, eis o que acontece na camada de associação. Quando um dispositivo se liga, apresenta a sua chave pré-partilhada durante o handshake de quatro vias do WPA2. O ponto de acesso - ou o controlador cloud por trás dele - procura essa chave no repositório PPSK, identifica a qual VLAN ela se mapeia e etiqueta o tráfego do dispositivo em conformidade a partir desse momento. O dispositivo vê uma ligação WiFi normal. Não faz ideia de que foi colocado num segmento isolado. O seu Chromecast funciona. A sua coluna inteligente emparelha. A sua consola obtém o tipo de NAT correto. Tudo se comporta como uma rede doméstica - porque, na perspetiva do dispositivo, é. Esta é a distinção fundamental face ao 802.1X, que é o padrão empresarial para redes de funcionários e ambientes corporativos. O 802.1X requer um servidor RADIUS, um fornecedor de identidade - Microsoft Entra ID, Okta ou Google Workspace - e um suplicante em cada dispositivo. Esse suplicante é o componente de software que lida com a troca de autenticação EAP. Cada portátil gerido, cada telemóvel corporativo, possui um. O frigorífico inteligente do seu residente não possui. O controlador de climatização (HVAC) do seu edifício não possui. Os seus sensores IoT não possuem. O PPSK funciona com todos eles porque opera na camada WPA Personal, e não na camada WPA Enterprise. Dito isto, o PPSK não é um substituto para o 802.1X em ambientes corporativos. É uma ferramenta diferente para um problema diferente. Se gere uma rede de colaboradores onde a responsabilidade individual é importante - onde precisa de saber que uma pessoa específica se autenticou num momento específico, e precisa de revogar o seu acesso no momento em que deixa a organização - o 802.1X é a resposta certa. Se gere uma rede residencial onde precisa de isolamento por habitação, suporte para IoT e simplicidade operacional à escala, o PPSK é a resposta certa. Vamos analisar os três principais modelos de implementação em produção atualmente. O primeiro é o modelo de controlador na nuvem, que é o mais comum para novas implementações. Os seus pontos de acesso - quer sejam Cisco Meraki, HPE Aruba, Ruckus, Juniper Mist, Ubiquiti UniFi, Cambium, Extreme ou Fortinet - ligam-se a uma plataforma de gestão na nuvem. O armazenamento de chaves PPSK reside no controlador na nuvem. Quando regista um novo residente, cria uma chave no portal, atribui-a a uma VLAN, e o controlador envia a política para todos os pontos de acesso no edifício. O residente recebe a sua chave - via e-mail, SMS ou um código QR num pacote de boas-vindas - e liga-se. Quando se muda, o utilizador elimina a chave. Os seus dispositivos deixam de se ligar. Ninguém mais é afetado. O segundo modelo de implementação é o PPSK com um backend RADIUS local. Algumas implementações empresariais utilizam um servidor RADIUS para armazenar e validar credenciais PPSK, o que lhe confere registo centralizado, pistas de auditoria e integração com a sua plataforma de gestão de identidade. Isto adiciona custos de infraestrutura, mas dá-lhe a responsabilidade do 802.1X com a compatibilidade de dispositivos do PPSK. É o modelo certo para ambientes mistos - por exemplo, um espaço de coworking onde tem tanto dispositivos corporativos geridos como equipamentos IoT pertencentes aos membros. O terceiro modelo é híbrido: PPSK para residentes e IoT, 802.1X para colaboradores e sistemas de gestão. Esta é a arquitetura que a Purple recomenda para implementações de arrendamento habitacional (build-to-rent) e unidades multi-residenciais. Os residentes utilizam PPSK. Os sistemas de gestão do edifício, CCTV e controlo de acessos recebem a sua própria VLAN de IoT com PPSK. Os dispositivos da equipa de gestão de propriedade utilizam 802.1X contra o Microsoft Entra ID ou Okta. Três modelos de autenticação distintos, três VLANs distintas, uma infraestrutura física. Agora vamos entrar na implementação. Se está a implementar PPSK para um empreendimento de arrendamento habitacional ou uma propriedade multi-residencial, eis a sequência que funciona. Comece pelo seu design lógico antes de tocar no hardware. Mapeie o seu número de residentes, as suas categorias de dispositivos IoT e quaisquer sistemas de colaboradores ou de gestão. Atribua VLANs. Uma implementação típica de BTR é assim: VLANs 10 até ao número que o seu total de unidades exigir para os residentes - uma VLAN por apartamento ou uma VLAN por andar, dependendo da sua densidade. VLAN 99 para IoT. VLAN 100 para gestão do edifício. VLAN 200 para WiFi de convidados em áreas comuns. Em seguida, documente o seu esquema de endereçamento IP. Num edifício de 200 unidades, poderá ter de três a cinco mil dispositivos na rede a qualquer momento. Este é o valor de 15 a 25 dispositivos por habitação, de acordo com dados de pesquisa da British Property Federation. Os seus âmbitos de DHCP precisam de acomodar isso. Utilize endereçamento privado RFC 1918 com tamanhos de sub-rede suficientes por VLAN. Um slash 24 disponibiliza 254 endereços utilizáveis. Um slash 23 disponibiliza 510. Redimensione em conformidade. Sobre a seleção de hardware: o PPSK é suportado em todas as principais plataformas de pontos de acesso empresariais. A Cisco Meraki chama-lhe iPSK e gere-o através do dashboard Meraki com políticas de chave por SSID. A HPE Aruba implementa-o nativamente no ArubaOS e no Aruba Central. A Ruckus suporta-o através do SmartZone e da plataforma Ruckus Cloud. A Juniper Mist utiliza ePSK com gestão de RF baseada em IA. O Ubiquiti UniFi dispõe de PPSK desde 2023, embora devesse notar que atualmente suporta apenas WPA2 e não funcionará na banda de 6 gigahertz. A Cambium e a Extreme suportam ambas através das suas respetivas plataformas na nuvem. Uma limitação crítica a assinalar: a implementação de PPSK da UniFi é exclusivamente WPA2. Se estiver a especificar pontos de acesso WiFi 6E e quiser utilizar a banda de 6 gigahertz para clientes PPSK, precisará de uma plataforma que suporte WPA3-SAE com PPSK, ou terá de restringir os clientes PPSK às bandas de 2,4 e 5 gigahertz. A Aruba, a Ruckus e a Meraki suportam todas PPSK em configurações WPA3. Agora falemos sobre os erros comuns. Estes são os modos de falha que vejo repetidamente em implementações de produção. O primeiro é a proliferação de SSIDs. Cada SSID transmitido consome tempo de antena para tramas de beacon. Num edifício residencial denso, se estiver a transmitir seis ou oito SSIDs por ponto de acesso, estará a degradar o desempenho de todos. Mantenha um máximo de quatro SSIDs por rádio. Utilize PPSK para servir múltiplos segmentos de residentes a partir de um único SSID, em vez de criar um SSID separado por apartamento ou por piso. O segundo erro comum é a configuração insuficiente das portas de trunk. Desenha um esquema de VLAN limpo, implementa os pontos de acesso e, em seguida, o tráfego cai silenciosamente porque alguém se esqueceu de permitir as VLANs relevantes numa ligação de trunk entre o comutador de distribuição e a camada de acesso. Valide todas as portas de trunk durante o comissionamento. Documente-o. Teste-o com um dispositivo em cada VLAN antes de os residentes se mudarem. O terceiro erro comum é a distribuição de chaves. Gerar chaves é fácil. Fazê-las chegar aos residentes de forma segura e operacionalmente gerível é mais difícil. Um código QR no pacote de boas-vindas funciona bem para o dia da mudança. Um portal de residentes onde estes possam recuperar a sua chave e adicionar novos dispositivos é melhor para as operações diárias. Desenhe o fluxo de trabalho de distribuição de chaves antes de implementar, não depois. Agora, uma rápida sessão de perguntas e respostas sobre as questões que surgem com mais frequência. Quantas chaves PPSK pode um único ponto de acesso suportar? A maioria das plataformas empresariais suporta milhares de chaves por SSID. Cisco Meraki suporta até 5.000 entradas iPSK por rede. Aruba suporta uma escala semelhante. Ubiquiti UniFi suporta até 1.000 entradas PPSK por rede. Para um edifício de 200 unidades, está bem dentro dos limites em qualquer plataforma. O PPSK funciona com WPA3? Sim, na maioria das plataformas empresariais. O WPA3-SAE oferece uma proteção mais forte contra ataques de dicionário offline em comparação com o WPA2-PSK, pelo que implementar PPSK em WPA3 onde os seus dispositivos de cliente o suportem é a abordagem correta. A exceção é o UniFi, que atualmente apenas suporta WPA2 para PPSK. Posso integrar o PPSK com o meu sistema de gestão de propriedades? Sim, através da API do fornecedor. Aruba Central, Meraki, Ruckus e Mist expõem APIs REST para gestão de chaves PPSK. A plataforma Purple Multi-Tenant WiFi assenta sobre estas APIs e fornece uma camada de gestão única para todos os fornecedores de hardware, com webhooks para acionar o provisionamento e a revogação de chaves a partir do seu sistema de gestão de propriedades de forma automática. E em relação ao GDPR? As chaves PPSK são credenciais, não dados pessoais em si. No entanto, se associar uma chave a um residente identificado - o que fará por razões operacionais - essa ligação constitui dados pessoais ao abrigo do UK GDPR. Armazene-a de forma segura, retenha-a apenas pelo tempo necessário e garanta que o seu acordo de processamento de dados com o fornecedor da plataforma WiFi cobre isto. A Purple é certificada pela ISO 27001, em conformidade com o GDPR e certificada pelo Cyber Essentials. Vamos encerrar com as principais conclusões. Primeiro: o PPSK é o modelo de autenticação correto para ambientes residenciais multi-inquilino. Proporciona isolamento por habitação, compatibilidade com IoT e uma simplicidade operacional que o PSK standard e o 802.1X não conseguem igualar em simultâneo. Segundo: a terminologia varia consoante o fornecedor - PPSK, iPSK, ePSK, Personal Private Network - mas o mecanismo é o mesmo. Não permita que a confusão de nomes atrase a sua decisão de aquisição. Terceiro: desenhe o seu esquema de VLAN antes de tocar no hardware. O desenho lógico é a parte difícil. A implementação física decorre a partir dele. Quarto: mantenha a sua contagem de SSIDs abaixo de quatro por rádio. Utilize o PPSK para consolidar segmentos num único SSID em vez de proliferar nomes de redes. Quinto: crie o seu fluxo de trabalho de distribuição de chaves antes do lançamento. O dia da mudança não é a altura ideal para descobrir falhas no seu processo de integração. Se pretender aprofundar qualquer um destes pontos - seleção de hardware, desenho de VLAN para uma propriedade específica ou integração do PPSK com o seu sistema de gestão de propriedades - a equipa de Purple Multi-Tenant WiFi pode orientá-lo. Encontrará o guia escrito completo e os diagramas de arquitetura em purple.ai. Obrigado por ouvir.