Tag: ACLs

Entendendo os Policy Sets no Cisco ISE

Imagine que o Cisco ISE (Identity Services Engine) é como o controle de acesso de um prédio inteligente. Quando alguém tenta entrar, o sistema verifica quem é e decide aonde essa pessoa pode ir, com base em regras pré-definidas. Esse é o papel das políticas no ISE: verificar e decidir.

Neste artigo, vamos explorar:

O que são os Policy Sets no ISE

  1. Como funciona a lógica “IF → THEN” (SE → ENTÃO)
  2. Como o ISE aplica ações como VLAN, ACL, SGT
  3. Exemplos práticos e dicas para aplicar no seu ambiente

1. O que são os Policy Sets no Cisco ISE?

Os Policy Sets são o ponto de entrada da lógica de decisão do ISE. Eles funcionam como grandes agrupadores de políticas que separam diferentes contextos de acesso, como:

  • Acesso cabeado com 802.1X
  • Dispositivos legados via MAB (MAC Authentication Bypass)
  • Visitantes usando WebAuth
  • Conexões VPN, SSID específicos, etc.

O ISE analisa os Policy Sets de cima para baixo, e entra no primeiro que corresponder à requisição recebida (com base em atributos como protocolo, switch, SSID, porta, etc).

IF protocolo = EAP-TLS AND NAS-Port-Type = Ethernet
THEN usar o Policy Set “Acesso Corporativo”

Cada Policy Set contém:

  • Authentication Policy (quem está se conectando?)
  • Authorization Policy (o que esse usuário/dispositivo pode fazer?)

2. Como funciona a lógica IF → THEN no ISE

O motor de decisão do Cisco ISE é baseado em estruturas condicionais, muito semelhantes à lógica de programação:

IF [Condição for verdadeira]
THEN [Aplique determinada ação]

Essa lógica é aplicada em três níveis principais:

a) Policy Set Selection

IF protocolo = EAP
THEN usar o Policy Set "Acesso Wireless"

b) Authentication Policy

IF método = EAP-PEAP AND origem = Switch 01
THEN verificar credencial no Active Directory

c) Authorization Policy

IF grupo_AD = "TI" AND tipo_dispositivo = Laptop
THEN aplicar VLAN 10 + SGT Admin + ACL liberada

Essas regras são sempre avaliadas de cima para baixo, e o ISE aplica a primeira regra que for compatível com os atributos da sessão.

3. Ações aplicadas pelo ISE (o “THEN”)

Depois que o ISE entende quem está se conectando e com quais atributos, ele aplica uma série de ações que definem o comportamento de rede para aquele dispositivo:

Tipo de açãoExemplos
VLAN AssignmentVLAN 10 para TI, VLAN 30 para visitantes
SGT (TrustSec)SGT Admin, HR, Printer – para microsegmentação
ACL/DACLDownloadable ACLs com restrições de acesso
RedirecionamentoPara portal de convidados, posture, BYOD, etc.
Autorização negativaVLAN de quarentena ou DACL “deny-all”

4. Exemplo prático de fluxo de decisão

Cenário:

  • Funcionário do RH acessando via 802.1X em switch
  • Impressora HP conectada via MAB
  • Visitante acessando via WebAuth

Como o ISE decide:

IF autenticação via 802.1X AND grupo AD = "RH"
THEN aplicar VLAN 20 + SGT RH

IF autenticação via MAB AND perfil do endpoint = Printer
THEN aplicar VLAN 40 + SGT Printer

IF autenticação via WebAuth
THEN aplicar VLAN 30 + ACL restritiva

E se nada for compatível?

IF nenhuma condição for satisfeita
THEN aplicar VLAN de quarentena + DACL deny-all

Diagrama simplificado da lógica

flowchart TD
A[Solicitação de conexão] --> B{Policy Set Match?}
B -- Sim --> C[Authentication Policy]
C --> D{Autenticação válida?}
D -- Sim --> E[Authorization Policy]
E --> F{Grupo = TI?} --> G[Aplique VLAN 10 + SGT Admin]
F --> H{Dispositivo = Impressora?} --> I[Aplique VLAN 40 + ACL]
D -- Não --> Z[Aplicar VLAN de quarentena ou negar acesso]

Conclusão

O Cisco ISE não é uma “caixa preta”. Ele funciona com base em lógica condicional simples, clara e previsível. Entendendo os blocos de decisão (Policy Set, AuthZ/AuthC) e como as regras “IF → THEN” se aplicam, você consegue:

  • Criar políticas mais seguras e granulares
  • Automatizar respostas com base em contexto
  • Reduzir ACLs e VLANs fixas, com TrustSec (SGTs)
  • Melhorar a experiência do usuário com decisões inteligentes

Perguntas Frequentes sobre Políticas no Cisco ISE (FAQ)

1. O que acontece se nenhuma regra for compatível com a sessão?

O ISE aplica a última regra default (geralmente negativa), como uma VLAN de quarentena ou uma DACL com bloqueio total. Isso evita acessos não autorizados.

2. Qual a diferença entre Authentication e Authorization Policy?

  • Authentication verifica quem é o usuário/dispositivo e se as credenciais são válidas.
  • Authorization decide o que ele pode fazer na rede, como VLAN, ACL ou SGT.

3. Posso usar atributos de dispositivos (profiling) nas regras de autorização?

Sim. O ISE permite usar atributos de profiling, como tipo de sistema operacional ou fabricante, para criar regras mais granulares.

4. O ISE avalia todas as regras de Authorization ou só a primeira compatível?

O ISE avalia as regras de cima para baixo e aplica apenas a primeira que for compatível. A ordem das regras é extremamente importante.

5. É possível usar grupos do Active Directory como condição de autorização?

Sim. O ISE pode integrar-se ao AD e utilizar grupos de segurança como parte da lógica condicional (ex: grupo = “Financeiro”).

6. Posso aplicar múltiplas ações (ex: VLAN + ACL + SGT) ao mesmo tempo?

Sim. Uma única regra de autorização pode combinar várias ações de controle de acesso de forma simultânea, dependendo da infraestrutura de rede compatível.