Como Utilizar Dicionários no Cisco ISE para Políticas Eficazes

Ao trabalhar com políticas no Cisco ISE, é comum utilizar atributos como grupos de usuários, SSID, tipos de dispositivos ou status de postura. Mas o que poucos administradores compreendem a fundo é de onde vêm esses atributos e como o ISE os organiza.

A resposta está nos dicionários do Cisco ISE — componentes essenciais que estruturam toda a lógica de decisão da plataforma. Neste artigo, você vai entender o que são esses dicionários, como utilizá-los e por que dominá-los torna a administração do ISE muito mais eficiente e segura.

O que são dicionários no Cisco ISE?

No Cisco ISE, um dicionário é uma coleção de atributos relacionados a uma fonte específica de dados, como o RADIUS, Active Directory, posture ou profiling. Esses dicionários são usados para criar condições em regras de autenticação, autorização, perfil de dispositivos e outras funcionalidades da plataforma.

Você pode pensar em um dicionário como uma “tabela de atributos” que o ISE consulta para entender o contexto da conexão ou a identidade do usuário/dispositivo.

Tipos de Dicionários no Cisco ISE

1. System Dictionary

Contém atributos internos do próprio ISE, como ISE Device, EndPointPolicy, AuthenticationStatus, entre outros. São amplamente usados para condições administrativas e controle interno.

2. RADIUS Dictionary

Lista atributos padrão definidos pelo protocolo RADIUS, como:

  • Radius:Calling-Station-ID
  • Radius:NAS-Port-Type
  • Radius:Framed-IP-Address

Esses atributos são usados frequentemente em políticas que analisam dados de portas, switches, SSIDs, entre outros.

3. Active Directory / LDAP Dictionaries

Quando o ISE se integra com um diretório externo (como o AD), ele importa um conjunto de atributos, como:

  • AD:MemberOf (grupo de segurança)
  • AD:sAMAccountName
  • AD:Department
  • LDAP:Title, LDAP:Manager

Esses atributos permitem decisões baseadas em identidade corporativa.

4. Posture and AnyConnect Dictionaries

Utilizados quando o ISE trabalha com avaliação de postura (NAC), especialmente com o agente Cisco AnyConnect. Exemplos:

  • Posture:Status
  • Cisco-AV-Pair: posture-token
  • ClientVersion, OS, AVCompliance

5. Profiling Dictionary

Contém atributos coletados automaticamente pelo mecanismo de profiling do ISE, como:

  • DeviceType
  • DeviceFamily
  • Manufacturer
  • OperatingSystem

Usados para identificar e classificar dispositivos conectados (impressoras, IP phones, câmeras, etc.).

6. Custom Dictionaries (Personalizados)

O administrador pode criar dicionários personalizados para suportar atributos específicos de aplicações ou extensões externas via pxGrid, scripts, APIs ou integração com firewalls.

Como os dicionários são usados nas políticas?

Os atributos presentes nos dicionários são utilizados ao criar condições dentro das Authentication ou Authorization Policies. Veja alguns exemplos práticos:

Exemplo de condição (IF)Fonte do atributo
Radius:Calling-Station-ID = "Corp-WiFi"RADIUS Dictionary
AD:MemberOf = "TI"Active Directory Dictionary
Posture:Status = CompliantPosture Dictionary
Endpoint:DeviceType = "Smartphone"Profiling Dictionary
LDAP:Department = "Financeiro"LDAP Dictionary

Essas condições permitem ações como: atribuir VLANs, aplicar SGTs, redirecionar para portais, bloquear acesso ou enviar CoA (Change of Authorization).

Onde visualizar e gerenciar dicionários no ISE?

Você pode acessar os dicionários e seus atributos em:

Menu:
Policy > Policy Elements > Dictionaries

Nessa tela é possível:

  • Explorar todos os dicionários disponíveis
  • Ver os atributos disponíveis (nome, tipo, permissões)
  • Adicionar dicionários personalizados
  • Mapear novos atributos de um AD/LDAP

Importante: Nem todos os atributos são editáveis. A maioria dos dicionários padrão é de leitura apenas, mas os personalizados permitem configuração total.

Exemplos práticos

1. Usando um dicionário AD em uma regra

Objetivo: aplicar uma VLAN específica para usuários cujo campo Department no AD seja igual a “Segurança”.

Passo a passo:

  1. Verifique se o atributo Department foi mapeado na integração com o AD.
  2. Vá em Policy > Policy Sets > Authorization Policy
  3. Crie uma condição: IF AD:Department EQUALS "Segurança" THEN Apply VLAN 60 + SGT “Security”

Simples e altamente eficaz. Você está aplicando segmentação baseada em um campo organizacional real, sem depender de múltiplos grupos de AD.

2. Adicionando um Dicionário RADIUS de um Fabricante Externo no Cisco ISE

Em muitos cenários de integração — como com firewalls Palo Alto, Fortinet, F5, Aruba, etc. — é comum que esses dispositivos utilizem atributos RADIUS proprietários ou Vendor-Specific Attributes (VSAs) para enviar dados adicionais em pacotes RADIUS.

Por padrão, o Cisco ISE reconhece os atributos mais comuns do protocolo. No entanto, se você quiser consumir atributos personalizados de outro fabricante, precisará importar ou criar um dicionário RADIUS específico para esse vendor.

Exemplo de uso:

Você deseja criar uma regra no ISE baseada em um atributo específico enviado por um firewall Palo Alto, como PaloAlto-User-Group.

Passo a passo: como adicionar um dicionário RADIUS personalizado

  1. Acesse o menu de dicionários:
    No ISE 3.1 ou superior, vá em:
    Policy > Policy Elements > Dictionaries > RADIUS > RADIUS Vendors
  2. Clique em “Add” (Adicionar)
  3. Preencha os campos principais:
    • Vendor Name: nome do fabricante (ex: PaloAlto)
    • Vendor ID: o ID atribuído pelo IANA (ex: 25461 para Palo Alto)
    • Vendor Type: selecione RADIUS
    • Clique em Submit
  4. Adicione os atributos específicos do vendor:
    Após criar o dicionário, clique sobre ele e vá em “Attributes” > “Add”. Exemplo de atributo:
    • Name: PaloAlto-User-Group
    • Attribute ID: conforme a documentação do fabricante (ex: 1)
    • Data Type: String, Integer, Boolean, etc.
    • Length: se necessário
    • Direction: geralmente “Input” (se o ISE vai ler esse valor)
    Clique em Submit para salvar o atributo.
  5. Usar o novo atributo em políticas:
    Agora que o atributo faz parte de um dicionário válido, você pode utilizá-lo em condições dentro de Authorization Policies, exatamente como faria com um atributo RADIUS nativo.

Onde obter os detalhes dos atributos?

Consulte a documentação oficial do fabricante (Palo Alto, Fortinet, etc.) para obter:

  • O Vendor ID (IANA)
  • A lista de atributos disponíveis
  • Os Vendor-Specific Attribute IDs e seus tipos

Exemplo:
O Vendor ID da Palo Alto Networks é 25461. Um dos atributos mais usados é o PaloAlto-User-Group, que pode ser utilizado para segmentação baseada em grupos de usuários na rede.

Benefícios dessa integração

Facilita a integração com soluções de segurança de terceiros em ambientes heterogêneos

Permite que o ISE reconheça e atue com base em atributos personalizados enviados por firewalls, proxies ou NACs externos

Expande a capacidade de decisões contextuais com dados além do AD ou RADIUS padrão

Conclusão

Os dicionários no Cisco ISE são mais do que uma lista de atributos — eles são a base para políticas inteligentes, dinâmicas e contextuais.
Ao dominar seu uso, você:

  • Cria regras mais precisas e alinhadas ao negócio
  • Reduz erros ao aplicar permissões
  • Ganha flexibilidade para integrações com AD, firewalls, posture e profiling
  • Torna sua rede mais segura e automatizada

Deixe um comentário