Ao trabalhar com políticas no Cisco ISE, é comum utilizar atributos como grupos de usuários, SSID, tipos de dispositivos ou status de postura. Mas o que poucos administradores compreendem a fundo é de onde vêm esses atributos e como o ISE os organiza.
A resposta está nos dicionários do Cisco ISE — componentes essenciais que estruturam toda a lógica de decisão da plataforma. Neste artigo, você vai entender o que são esses dicionários, como utilizá-los e por que dominá-los torna a administração do ISE muito mais eficiente e segura.
O que são dicionários no Cisco ISE?
No Cisco ISE, um dicionário é uma coleção de atributos relacionados a uma fonte específica de dados, como o RADIUS, Active Directory, posture ou profiling. Esses dicionários são usados para criar condições em regras de autenticação, autorização, perfil de dispositivos e outras funcionalidades da plataforma.
Você pode pensar em um dicionário como uma “tabela de atributos” que o ISE consulta para entender o contexto da conexão ou a identidade do usuário/dispositivo.
Tipos de Dicionários no Cisco ISE
1. System Dictionary
Contém atributos internos do próprio ISE, como ISE Device, EndPointPolicy, AuthenticationStatus, entre outros. São amplamente usados para condições administrativas e controle interno.
2. RADIUS Dictionary
Lista atributos padrão definidos pelo protocolo RADIUS, como:
Radius:Calling-Station-ID
Radius:NAS-Port-Type
Radius:Framed-IP-Address
Esses atributos são usados frequentemente em políticas que analisam dados de portas, switches, SSIDs, entre outros.
3. Active Directory / LDAP Dictionaries
Quando o ISE se integra com um diretório externo (como o AD), ele importa um conjunto de atributos, como:
AD:MemberOf (grupo de segurança)
AD:sAMAccountName
AD:Department
LDAP:Title, LDAP:Manager
Esses atributos permitem decisões baseadas em identidade corporativa.
4. Posture and AnyConnect Dictionaries
Utilizados quando o ISE trabalha com avaliação de postura (NAC), especialmente com o agente Cisco AnyConnect. Exemplos:
Posture:Status
Cisco-AV-Pair: posture-token
ClientVersion, OS, AVCompliance
5. Profiling Dictionary
Contém atributos coletados automaticamente pelo mecanismo de profiling do ISE, como:
DeviceType
DeviceFamily
Manufacturer
OperatingSystem
Usados para identificar e classificar dispositivos conectados (impressoras, IP phones, câmeras, etc.).
6. Custom Dictionaries (Personalizados)
O administrador pode criar dicionários personalizados para suportar atributos específicos de aplicações ou extensões externas via pxGrid, scripts, APIs ou integração com firewalls.
Como os dicionários são usados nas políticas?
Os atributos presentes nos dicionários são utilizados ao criar condições dentro das Authentication ou Authorization Policies. Veja alguns exemplos práticos:
Exemplo de condição (IF)
Fonte do atributo
Radius:Calling-Station-ID = "Corp-WiFi"
RADIUS Dictionary
AD:MemberOf = "TI"
Active Directory Dictionary
Posture:Status = Compliant
Posture Dictionary
Endpoint:DeviceType = "Smartphone"
Profiling Dictionary
LDAP:Department = "Financeiro"
LDAP Dictionary
Essas condições permitem ações como: atribuir VLANs, aplicar SGTs, redirecionar para portais, bloquear acesso ou enviar CoA (Change of Authorization).
Onde visualizar e gerenciar dicionários no ISE?
Você pode acessar os dicionários e seus atributos em:
Menu: Policy > Policy Elements > Dictionaries
Nessa tela é possível:
Explorar todos os dicionários disponíveis
Ver os atributos disponíveis (nome, tipo, permissões)
Adicionar dicionários personalizados
Mapear novos atributos de um AD/LDAP
Importante: Nem todos os atributos são editáveis. A maioria dos dicionários padrão é de leitura apenas, mas os personalizados permitem configuração total.
Exemplos práticos
1. Usando um dicionário AD em uma regra
Objetivo: aplicar uma VLAN específica para usuários cujo campo Department no AD seja igual a “Segurança”.
Passo a passo:
Verifique se o atributo Department foi mapeado na integração com o AD.
Vá em Policy > Policy Sets > Authorization Policy
Crie uma condição: IF AD:Department EQUALS "Segurança" THEN Apply VLAN 60 + SGT “Security”
Simples e altamente eficaz. Você está aplicando segmentação baseada em um campo organizacional real, sem depender de múltiplos grupos de AD.
2. Adicionando um Dicionário RADIUS de um Fabricante Externo no Cisco ISE
Em muitos cenários de integração — como com firewalls Palo Alto, Fortinet, F5, Aruba, etc. — é comum que esses dispositivos utilizem atributos RADIUS proprietários ou Vendor-Specific Attributes (VSAs) para enviar dados adicionais em pacotes RADIUS.
Por padrão, o Cisco ISE reconhece os atributos mais comuns do protocolo. No entanto, se você quiser consumir atributos personalizados de outro fabricante, precisará importar ou criar um dicionário RADIUS específico para esse vendor.
Exemplo de uso:
Você deseja criar uma regra no ISE baseada em um atributo específico enviado por um firewall Palo Alto, como PaloAlto-User-Group.
Passo a passo: como adicionar um dicionário RADIUS personalizado
Acesse o menu de dicionários: No ISE 3.1 ou superior, vá em: Policy > Policy Elements > Dictionaries > RADIUS > RADIUS Vendors
Clique em “Add” (Adicionar)
Preencha os campos principais:
Vendor Name: nome do fabricante (ex: PaloAlto)
Vendor ID: o ID atribuído pelo IANA (ex: 25461 para Palo Alto)
Vendor Type: selecione RADIUS
Clique em Submit
Adicione os atributos específicos do vendor: Após criar o dicionário, clique sobre ele e vá em “Attributes” > “Add”. Exemplo de atributo:
Name: PaloAlto-User-Group
Attribute ID: conforme a documentação do fabricante (ex: 1)
Data Type: String, Integer, Boolean, etc.
Length: se necessário
Direction: geralmente “Input” (se o ISE vai ler esse valor)
Clique em Submit para salvar o atributo.
Usar o novo atributo em políticas: Agora que o atributo faz parte de um dicionário válido, você pode utilizá-lo em condições dentro de Authorization Policies, exatamente como faria com um atributo RADIUS nativo.
Onde obter os detalhes dos atributos?
Consulte a documentação oficial do fabricante (Palo Alto, Fortinet, etc.) para obter:
O Vendor ID (IANA)
A lista de atributos disponíveis
Os Vendor-Specific Attribute IDs e seus tipos
Exemplo: O Vendor ID da Palo Alto Networks é 25461. Um dos atributos mais usados é o PaloAlto-User-Group, que pode ser utilizado para segmentação baseada em grupos de usuários na rede.
Benefícios dessa integração
Facilita a integração com soluções de segurança de terceiros em ambientes heterogêneos
Permite que o ISE reconheça e atue com base em atributos personalizados enviados por firewalls, proxies ou NACs externos
Expande a capacidade de decisões contextuais com dados além do AD ou RADIUS padrão
Conclusão
Os dicionários no Cisco ISE são mais do que uma lista de atributos — eles são a base para políticas inteligentes, dinâmicas e contextuais. Ao dominar seu uso, você:
Cria regras mais precisas e alinhadas ao negócio
Reduz erros ao aplicar permissões
Ganha flexibilidade para integrações com AD, firewalls, posture e profiling
Imagine que o Cisco ISE (Identity Services Engine) é como o controle de acesso de um prédio inteligente. Quando alguém tenta entrar, o sistema verifica quem é e decide aonde essa pessoa pode ir, com base em regras pré-definidas. Esse é o papel das políticas no ISE: verificar e decidir.
Neste artigo, vamos explorar:
O que são os Policy Sets no ISE
Como funciona a lógica “IF → THEN” (SE → ENTÃO)
Como o ISE aplica ações como VLAN, ACL, SGT
Exemplos práticos e dicas para aplicar no seu ambiente
1. O que são os Policy Sets no Cisco ISE?
Os Policy Sets são o ponto de entrada da lógica de decisão do ISE. Eles funcionam como grandes agrupadores de políticas que separam diferentes contextos de acesso, como:
Acesso cabeado com 802.1X
Dispositivos legados via MAB (MAC Authentication Bypass)
Visitantes usando WebAuth
Conexões VPN, SSID específicos, etc.
O ISE analisa os Policy Sets de cima para baixo, e entra no primeiro que corresponder à requisição recebida (com base em atributos como protocolo, switch, SSID, porta, etc).
IF protocolo = EAP-TLS AND NAS-Port-Type = Ethernet THEN usar o Policy Set “Acesso Corporativo”
Cada Policy Set contém:
Authentication Policy (quem está se conectando?)
Authorization Policy (o que esse usuário/dispositivo pode fazer?)
2. Como funciona a lógica IF → THEN no ISE
O motor de decisão do Cisco ISE é baseado em estruturas condicionais, muito semelhantes à lógica de programação:
IF [Condição for verdadeira] THEN [Aplique determinada ação]
Essa lógica é aplicada em três níveis principais:
a) Policy Set Selection
IF protocolo = EAP THEN usar o Policy Set "Acesso Wireless"
b) Authentication Policy
IF método = EAP-PEAP AND origem = Switch 01 THEN verificar credencial no Active Directory
c) Authorization Policy
IF grupo_AD = "TI" AND tipo_dispositivo = Laptop THEN aplicar VLAN 10 + SGT Admin + ACL liberada
Essas regras são sempre avaliadas de cima para baixo, e o ISE aplica a primeira regra que for compatível com os atributos da sessão.
3. Ações aplicadas pelo ISE (o “THEN”)
Depois que o ISE entende quem está se conectando e com quais atributos, ele aplica uma série de ações que definem o comportamento de rede para aquele dispositivo:
Tipo de ação
Exemplos
VLAN Assignment
VLAN 10 para TI, VLAN 30 para visitantes
SGT (TrustSec)
SGT Admin, HR, Printer – para microsegmentação
ACL/DACL
Downloadable ACLs com restrições de acesso
Redirecionamento
Para portal de convidados, posture, BYOD, etc.
Autorização negativa
VLAN de quarentena ou DACL “deny-all”
4. Exemplo prático de fluxo de decisão
Cenário:
Funcionário do RH acessando via 802.1X em switch
Impressora HP conectada via MAB
Visitante acessando via WebAuth
Como o ISE decide:
IF autenticação via 802.1X AND grupo AD = "RH" THEN aplicar VLAN 20 + SGT RH
IF autenticação via MAB AND perfil do endpoint = Printer THEN aplicar VLAN 40 + SGT Printer
IF autenticação via WebAuth THEN aplicar VLAN 30 + ACL restritiva
E se nada for compatível?
IF nenhuma condição for satisfeita THEN aplicar VLAN de quarentena + DACL deny-all
Diagrama simplificado da lógica
flowchart TD A[Solicitação de conexão] --> B{Policy Set Match?} B -- Sim --> C[Authentication Policy] C --> D{Autenticação válida?} D -- Sim --> E[Authorization Policy] E --> F{Grupo = TI?} --> G[Aplique VLAN 10 + SGT Admin] F --> H{Dispositivo = Impressora?} --> I[Aplique VLAN 40 + ACL] D -- Não --> Z[Aplicar VLAN de quarentena ou negar acesso]
Conclusão
O Cisco ISE não é uma “caixa preta”. Ele funciona com base em lógica condicional simples, clara e previsível. Entendendo os blocos de decisão (Policy Set, AuthZ/AuthC) e como as regras “IF → THEN” se aplicam, você consegue:
Criar políticas mais seguras e granulares
Automatizar respostas com base em contexto
Reduzir ACLs e VLANs fixas, com TrustSec (SGTs)
Melhorar a experiência do usuário com decisões inteligentes
Perguntas Frequentes sobre Políticas no Cisco ISE (FAQ)
1. O que acontece se nenhuma regra for compatível com a sessão?
O ISE aplica a última regra default (geralmente negativa), como uma VLAN de quarentena ou uma DACL com bloqueio total. Isso evita acessos não autorizados.
2. Qual a diferença entre Authentication e Authorization Policy?
Authentication verifica quem é o usuário/dispositivo e se as credenciais são válidas.
Authorization decide o que ele pode fazer na rede, como VLAN, ACL ou SGT.
3. Posso usar atributos de dispositivos (profiling) nas regras de autorização?
Sim. O ISE permite usar atributos de profiling, como tipo de sistema operacional ou fabricante, para criar regras mais granulares.
4. O ISE avalia todas as regras de Authorization ou só a primeira compatível?
O ISE avalia as regras de cima para baixo e aplica apenas a primeira que for compatível. A ordem das regras é extremamente importante.
5. É possível usar grupos do Active Directory como condição de autorização?
Sim. O ISE pode integrar-se ao AD e utilizar grupos de segurança como parte da lógica condicional (ex: grupo = “Financeiro”).
6. Posso aplicar múltiplas ações (ex: VLAN + ACL + SGT) ao mesmo tempo?
Sim. Uma única regra de autorização pode combinar várias ações de controle de acesso de forma simultânea, dependendo da infraestrutura de rede compatível.
No mundo digital de hoje, onde ameaças cibernéticas evoluem constantemente, proteger sua rede não é apenas uma opção—é uma necessidade. O Cisco Identity Services Engine (ISE) é uma ferramenta poderosa que ajuda as organizações a controlar quem e o que está acessando seus recursos de rede. Mas como o ISE consegue fazer isso de forma tão eficaz? A resposta está nas suas personas.
As personas no Cisco ISE representam diferentes papéis ou funções que os nós podem desempenhar dentro do sistema, trabalhando em conjunto para fornecer uma solução completa de segurança e gerenciamento de acesso. Vamos explorar por que elas são tão importantes.
Neste artigo vamos falar sobre como é essa estrutura de Personas existente no Cisco Identity Service Engine (ISE). Existem quatro tipos principais de personas: Admin, Policy Service Node (PSN), Monitoring and Troubleshooting (MnT) e Platform Exchange Grid (pxGrid), vamos entender o papel de cada um.
Entendendo o papel de cada Persona
Administration Persona (Policy Administration Node – PAN):
A persona de Admin fornece as interfaces de gerenciamento, tanto a interface gráfica baseada na web (GUI) quanto a interface de linha de comando (CLI), para configurar e administrar todo o sistema do Cisco ISE.
Funções Principais:
Configuração do Sistema: Permite aos administradores definir configurações globais, como políticas de autenticação, autorização e perfilamento.
Gerenciamento de Políticas: Criação e gerenciamento de políticas de acesso à rede, incluindo regras de segurança e conformidade.
Administração de Certificados: Gerencia certificados digitais para comunicação segura entre nós e dispositivos.
Gerenciamento de Nós: Adiciona, remove e gerencia outros nós e personas dentro da implantação do ISE.
Em um ambiente de implementação distribuído é possível pode ter um máximo de dois nós rodando a função de Administration Persona. O Administration Persona pode ser aplicado em um servidor standalone ou em ambiente distribuído.
Persona de Serviço (Policy Service Node – PSN)
Conhecido como Nó de Serviço, o PSN é responsável por aplicar as políticas definidas e fornecer serviços de acesso à rede, como autenticação, autorização, perfilamento e avaliação de postura.
Funções Principais:
Processamento AAA: Lida com solicitações de Autenticação, Autorização e Contabilização (AAA) de dispositivos de rede.
Serviços RADIUS e TACACS+: Fornece protocolos para autenticar usuários e dispositivos que tentam acessar a rede.
Perfilamento de Dispositivos: Identifica e classifica dispositivos na rede com base em características observadas.
Avaliação de Postura: Verifica se os dispositivos estão em conformidade com as políticas de segurança antes de conceder acesso.
Persona de Monitoramento e Solução de Problemas (Monitoring and Troubleshooting – MnT)
A persona MnT coleta, armazena e analisa logs e dados operacionais do Cisco ISE, fornecendo ferramentas para monitoramento, relatórios e solução de problemas.
Funções Principais:
Coleta de Logs: Agrega logs de autenticação, autorização, contabilização e eventos do sistema de todos os nós PSN.
Relatórios e Dashboards: Oferece relatórios predefinidos e personalizados, além de painéis para visualizar o status do sistema e tendências.
Análise e Solução de Problemas: Auxilia na identificação e resolução de problemas relacionados ao acesso à rede e desempenho do sistema.
Alertas e Notificações: Configura alertas baseados em eventos ou condições específicas para proatividade na gestão da rede.
Persona Platform Exchange Grid (pxGrid)
Descrição: O pxGrid é uma plataforma que permite a integração e o compartilhamento seguro de informações contextuais entre o Cisco ISE e outras soluções de segurança de rede.
Funções Principais:
Integração de Sistemas: Conecta o ISE a produtos de segurança de terceiros, como firewalls, sistemas de prevenção de intrusões e SIEMs.
Compartilhamento de Contexto: Distribui informações sobre usuários, dispositivos, sessões e políticas para melhorar a inteligência de segurança.
Automação de Respostas: Permite que sistemas conectados tomem ações baseadas em políticas, como isolamento de dispositivos comprometidos.
Escalabilidade e Flexibilidade: Utiliza um modelo de publicação/assinatura para troca eficiente de informações em grandes ambientes.
Resumo Geral:
Admin: Centraliza a configuração e o gerenciamento da aplicação do ISE.
PSN (Service Node): Executa as políticas de segurança, processando solicitações de acesso à rede.
MnT: Fornece visibilidade e insights operacionais por meio de monitoramento e relatórios.
pxGrid: Facilita a colaboração e integração com outras soluções de segurança, ampliando a capacidade de resposta a ameaças.
Agora que entendemos como cada persona funciona, vamos entender os dois modos de implementação possíveis do ISE, Standalone e Distributed.
Modo Standalone
No modo Standalone, toda a funcionalidade do Cisco ISE é executada em um único nó ou servidor. Este nó único incorpora todas as personas (Admin, Policy Service Node – PSN, Monitoring and Troubleshooting – MnT e pxGrid) em uma única instalação.
Funcionamento
Implementação Simples: Ideal para ambientes menores ou de teste, onde a carga de trabalho é limitada e a alta disponibilidade não é um requisito crítico.
Todas as Personas em um Único Nó: O servidor Standalone lida com a administração, processamento de políticas, monitoramento e integração com outros sistemas, tudo a partir de um único ponto.
Facilidade de Gerenciamento: Com apenas um nó para gerenciar, a configuração e manutenção são simplificadas.
Cenários de Uso
Ambientes de Laboratório ou Teste: Onde o objetivo é avaliar ou demonstrar as capacidades do Cisco ISE.
Pequenas Empresas: Com um número limitado de usuários e dispositivos, onde a carga não excede a capacidade de um único servidor.
Implementações Temporárias: Situações onde uma solução rápida é necessária sem a complexidade de uma arquitetura distribuída.
Vantagens e Limitações
Vantagens:
Implementação e configuração rápidas.
Menor custo inicial de hardware e licenciamento.
Simplicidade na gestão diária.
Limitações:
Escalabilidade Limitada: Não adequado para grandes ambientes ou crescimento futuro.
Ausência de Redundância: Se o nó único falhar, todos os serviços do ISE ficam indisponíveis.
Desempenho: Pode sofrer com lentidão se sobrecarregado.
Modo Distribuído
No modo Distributed, o Cisco ISE é implementado em múltiplos nós, distribuindo as diferentes personas entre eles. Isso permite escalabilidade, redundância e melhor desempenho, atendendo às necessidades de redes de médio a grande porte.
Funcionamento
Segregação de Personas: As diferentes funções (Admin, PSN, MnT, pxGrid) são atribuídas a nós dedicados ou compartilhadas conforme a necessidade.
Escalabilidade Horizontal: Novos nós podem ser adicionados para suportar cargas de trabalho crescentes.
Alta Disponibilidade: Implementação de nós redundantes para evitar pontos únicos de falha.
Sincronização e Replicação: Os dados de configuração e políticas são sincronizados entre os nós Admin, enquanto os dados operacionais são agregados pelos nós MnT.
Vantagens
Escalabilidade: Capacidade de adicionar mais nós para suportar aumento de carga.
Redundância: Múltiplos nós evitam pontos únicos de falha, aumentando a resiliência.
Desempenho Otimizado: Distribuição da carga de trabalho melhora a eficiência do sistema.
Flexibilidade: Permite customizar a implantação de acordo com as necessidades específicas da rede.
Cenários de Uso
Médias e Grandes Empresas: Onde há um grande número de usuários, dispositivos e solicitações de autenticação.
Ambientes que Exigem Alta Disponibilidade: Redes críticas que não podem tolerar tempo de inatividade.
Ambientes Distribuídos Geograficamente: Onde os PSNs podem ser posicionados próximos aos usuários para reduzir a latência.
Considerações
Complexidade: Requer planejamento cuidadoso e conhecimento para implementar e gerenciar.
Custo: Investimento maior em hardware, licenças e manutenção.
Gerenciamento Centralizado: Necessidade de sincronização entre nós e monitoramento constante.
Comparação entre Standalone e Distributed
Escalabilidade:
Standalone: Limitada, adequado para pequenas cargas.
Distributed: Altamente escalável, suporta crescimento da rede.
Redundância:
Standalone: Não possui; falha do nó resulta em perda total de serviço.
Distributed: Suporta alta disponibilidade com nós redundantes.
Complexidade de Implementação:
Standalone: Simples e rápido de configurar.
Distributed: Mais complexo, requer planejamento e recursos adicionais.
Desempenho:
Standalone: Pode ser afetado sob carga pesada.
Distributed: Desempenho otimizado através da distribuição de carga.
Custo:
Standalone: Menor investimento inicial.
Distributed: Maior investimento, mas necessário para ambientes críticos.
A escolha entre os modos Standalone e Distributed do Cisco ISE depende das necessidades específicas da organização:
Modo Standalone é ideal para ambientes menores, onde simplicidade e baixo custo são prioridades, e os requisitos de desempenho e disponibilidade são modestos.
Modo Distributed é necessário em ambientes maiores ou críticos, onde a escalabilidade, redundância e desempenho são essenciais para suportar uma grande quantidade de usuários e dispositivos, além de garantir a continuidade do serviço.
Ambos os modos oferecem as funcionalidades completas do Cisco ISE, mas o modo Distributed permite uma abordagem mais robusta e flexível, alinhada com as demandas de redes corporativas modernas e complexas.
Conclusão
Em suma, o Cisco ISE, com suas personas interconectadas e modos de operação adaptáveis, oferece uma solução abrangente que capacita as organizações a alcançar excelência em segurança de rede e eficiência operacional. É uma ferramenta essencial para navegar no complexo panorama da segurança cibernética atual, garantindo que sua rede permaneça segura, eficiente e preparada para o futuro.
Links de referência
Para aprofundar ainda mais seu conhecimento no Cisco ISE, compartilho alguns links úteis:
Com a crescente dependência de redes corporativas para a realização de operações críticas, a segurança dessas redes tornou-se uma preocupação primordial. A tecnologia MacSec (Media Access Control Security) surgiu como uma solução robusta para garantir a integridade e confidencialidade dos dados transmitidos em redes Ethernet. Este artigo explora a definição de MacSec, sua evolução histórica e como sua implementação pode elevar os níveis de segurança em uma rede corporativa.
O que é MacSec?
MacSec, ou Media Access Control Security, é um padrão de segurança definido pelo IEEE 802.1AE que fornece autenticação, integridade e confidencialidade para o tráfego de dados nas camadas inferiores da rede, especificamente na camada de enlace (Layer 2). O objetivo principal do MacSec é proteger os dados enquanto eles são transmitidos entre dispositivos na rede, evitando ataques como interceptação, adulteração e repetição de pacotes.
Vantagens do MacSec
O MacSec oferece múltiplas vantagens em comparação com outras tecnologias de segurança de rede:
1. Criptografia e Integridade de Dados: MacSec criptografa cada pacote de dados na camada 2, garantindo que os dados não possam ser lidos ou alterados durante o trânsito sem detecção.
2. Proteção contra Ataques de Interceptação: Ao operar na camada de enlace, o MacSec protege contra ataques como spoofing e man-in-the-middle, que são comuns em redes menos seguras.
3. Desempenho: Diferente de soluções que operam em camadas superiores, o MacSec tem um impacto mínimo no desempenho da rede, pois utiliza hardware específico para a criptografia e descriptografia dos pacotes.
4. Flexibilidade e Escalabilidade: É possível implementar o MacSec em uma ampla gama de dispositivos de rede, de switches a roteadores, e a tecnologia é escalável de pequenas a grandes redes.
Evolução Histórica do MacSec
Início e Desenvolvimento
Desenvolvido e padronizado pelo IEEE como 802.1AE em 2006, o MacSec surgiu como uma resposta às crescentes demandas por segurança em redes locais (LANs) e metropolitanas (MANs). Originalmente concebido para proteger redes Ethernet, o MacSec foi evoluindo ao longo dos anos com adições significativas, como o suporte a redes ponto a ponto e a expansão para proteger também as redes virtuais (VLANs).
As primeiras implementações de MacSec concentravam-se principalmente em ambientes corporativos de grande escala, onde a integridade e a confidencialidade dos dados são críticas. Com o tempo, a tecnologia se adaptou para oferecer soluções também para pequenas e médias empresas, graças à redução de custos e à maior facilidade de implementação.
Adaptação e Adoção
Com a introdução do 802.1AE, os fabricantes de hardware e software começaram a integrar suporte para MacSec em seus dispositivos. A adoção do MacSec foi gradual, inicialmente limitado a ambientes de alta segurança. No entanto, à medida que as ameaças à segurança cibernética evoluíram e se tornaram mais sofisticadas, a implementação de MacSec em redes corporativas tornou-se uma prática recomendada.
Benefícios do MacSec na Segurança de Redes Corporativas
Proteção Contra Ameaças Internas e Externas
MacSec fornece uma linha de defesa crítica contra ameaças internas e externas. Ao criptografar os dados na camada de enlace, ele protege contra a interceptação de informações sensíveis por agentes maliciosos dentro da rede (ameaças internas) e ataques de interceptação de dados por invasores externos.
Autenticação e Controle de Acesso
MacSec utiliza mecanismos de autenticação robustos para garantir que apenas dispositivos autorizados possam participar da rede. Isso impede que dispositivos não autorizados acessem ou interfiram no tráfego da rede, protegendo contra ataques de dispositivos não confiáveis.
Integridade e Confidencialidade de Dados
Ao garantir a integridade e confidencialidade dos dados, MacSec assegura que as informações transmitidas não sejam alteradas ou acessadas por partes não autorizadas. Isso é particularmente importante para empresas que lidam com informações sensíveis ou regulamentadas, onde a integridade dos dados é crítica.
Simplificação da Segurança em Redes Ethernet
MacSec simplifica a implementação de segurança em redes Ethernet ao fornecer uma solução integrada para autenticação, integridade e criptografia. Isso reduz a necessidade de múltiplas soluções de segurança, facilitando a gestão e a manutenção da segurança da rede.
Estrutura de um frame 802.1AE
A estrutura de um frame 802.1AE, também conhecido como MacSec (Media Access Control Security), é uma extensão do frame Ethernet padrão que inclui campos adicionais para fornecer autenticação, integridade e confidencialidade dos dados transmitidos. Vamos detalhar os componentes de um frame 802.1AE e como eles se integram ao frame Ethernet.
Um frame 802.1AE é composto por várias partes principais:
Cabeçalho Ethernet (Ethernet Header)
Campo de Tipo/Comprimento (Type/Length Field)
Cabeçalho de Segurança MacSec (SecTAG – Security Tag)
Dados Encriptados (Encrypted Data)
Código de Verificação de Integridade (ICV – Integrity Check Value)
Trailer Ethernet (Ethernet Trailer)
Componentes em Detalhe
1. Cabeçalho Ethernet (Ethernet Header)
O frame 802.1AE (MacSec) é uma extensão do frame Ethernet padrão que inclui campos adicionais para autenticação, integridade e confidencialidade dos dados. Ao incorporar o SecTAG, os dados encriptados e o ICV, MacSec oferece uma camada robusta de segurança para a transmissão de dados em redes Ethernet, protegendo contra uma ampla gama de ameaças de segurança.
O cabeçalho Ethernet padrão contém os seguintes campos:
MAC deDestino (Destination MAC Address): O endereço MAC do destinatário.
MAC de Origem (Source MAC Address): O endereço MAC do remetente.
Campo de Tipo/Comprimento (Type/Length Field): Indica o protocolo de camada superior ou o comprimento do frame.
Estrutura de frame 802.1AE
2. Campo de Tipo/Comprimento (Type/Length Field)
Neste contexto, o campo de Tipo/Comprimento é configurado para indicar que o frame contém um cabeçalho de segurança MacSec. O valor específico utilizado é 0x88E5, que identifica um frame MacSec.
3. Cabeçalho de Segurança MacSec (SecTAG)
O SecTAG é um campo adicionado pelos mecanismos de segurança MacSec. Ele contém várias sub-campos que ajudam na autenticação e integridade dos dados:
Tag Control Information (TCI): Indica o uso de proteção criptográfica e o tipo de frame (unicast, multicast).
Packet Number (PN): Um contador que garante a unicidade de cada frame, ajudando a prevenir ataques de repetição.
Association Number (AN): Identifica a chave de associação usada para proteger o frame.
4. Dados Encriptados (Encrypted Data)
Os dados reais da camada superior (payload) são encriptados para garantir a confidencialidade. Apenas dispositivos autorizados e que possuem a chave de decriptação correta podem acessar o conteúdo original.
5. Código de Verificação de Integridade (ICV)
O ICV é um valor calculado a partir do conteúdo do frame e é usado para verificar a integridade dos dados. Se o ICV calculado no receptor não corresponder ao ICV enviado, o frame é considerado adulterado e descartado.
6. Trailer Ethernet (Ethernet Trailer)
O trailer Ethernet geralmente contém o valor do FCS (Frame Check Sequence), que é usado para detectar erros no frame transmitido.
Configuração com IBNS1 e IBNS2
Antes de vermos na prática como o MacSec é configurado, vamos entender os conceitos sobre IBNS (Identity-Based Networking Services) nas versões 1 e 2. Para os exemplos de configuração será utilizado o padrão mais recente IBNS2.
IBNS (Identity-Based Networking Services) é um conjunto de soluções desenvolvidas pela Cisco para fornecer controle de acesso e políticas de segurança baseadas na identidade dos usuários e dispositivos. Existem duas versões principais de IBNS: IBNS1 e IBNS2. Abaixo, vamos detalhar as diferenças entre esses dois padrões.
IBNS1
Arquitetura e Funcionamento:
Baseado em Portas: IBNS1 utiliza autenticação 802.1X em portas individuais. Cada porta pode ser configurada para autenticar os dispositivos conectados a ela.
Configuração Estática: As políticas de segurança e acesso são configuradas estaticamente nas portas dos switches e roteadores.
Controle de Acesso: Utiliza ACLs (Access Control Lists) e VLANs (Virtual Local Area Networks) para controlar o acesso dos dispositivos autenticados.
Flexibilidade Limitada: A configuração e a gestão das políticas são menos flexíveis, uma vez que dependem de configurações estáticas.
Características Principais:
Autenticação 802.1X: Suporta autenticação de dispositivos via 802.1X.
ACLs e VLANs: Utiliza ACLs e VLANs para aplicar políticas de segurança e segmentação.
Gerenciamento de Políticas: As políticas são aplicadas diretamente nas portas dos dispositivos de rede.
Cisco IBNS1
IBNS2
Arquitetura e Funcionamento:
Baseado em Sessões: IBNS2 evoluiu para uma abordagem baseada em sessões, permitindo maior flexibilidade e dinamismo na aplicação de políticas.
Configuração Dinâmica: As políticas são configuradas dinamicamente e aplicadas com base na identidade do usuário ou dispositivo, permitindo uma melhor adaptação às mudanças no ambiente de rede.
Segmentação e Automação: Utiliza técnicas avançadas de segmentação e automação para aplicar políticas de segurança de maneira mais eficiente e adaptável.
Cisco TrustSec: Integra-se com a tecnologia Cisco TrustSec para fornecer segmentação baseada em identidade e políticas de segurança dinâmicas.
Características Principais:
Segmentação Baseada em Identidade: Permite segmentar a rede com base na identidade do usuário ou dispositivo.
Políticas Dinâmicas: As políticas de segurança são aplicadas dinamicamente, adaptando-se às necessidades e ao contexto de cada sessão.
Automação: Suporte para automação de políticas e respostas a eventos de segurança.
Suporte para SD-Access: Integrado com a solução Cisco SD-Access, permitindo uma abordagem de rede definida por software para segurança e segmentação.
Cisco IBNS2
Comparação Resumida
Característica
IBNS1
IBNS2
Abordagem
Baseado em portas
Baseado em sessões
Configuração
Estática
Dinâmica
Controle de Acesso
ACLs e VLANs
Segmentação baseada em identidade
Flexibilidade
Limitada
Alta
Automação
Baixa
Alta
Integração com TrustSec
Não
Sim
Suporte para SD-Access
Não
Sim
Tabela com as diferenças entre IBNS1 e IBNS2
A principal diferença entre IBNS1 e IBNS2 está na abordagem de implementação e flexibilidade. Enquanto IBNS1 utiliza uma configuração mais estática e baseada em portas, IBNS2 oferece uma solução dinâmica e baseada em sessões, permitindo uma maior flexibilidade, automação e segurança adaptativa. A escolha entre os dois depende das necessidades específicas da rede e dos requisitos de segurança da organização.
Fundamentos de AAA (Authentication, Authorization, Accounting)
Autenticação, Autorização e Auditoria
AAA, que significa Authentication, Authorization, and Accounting (Autenticação, Autorização e Auditoria), é um framework crucial em redes e segurança da informação para gerenciar quem pode acessar os recursos, o que eles podem fazer e como registrar suas atividades. Vamos explorar as diferenças e funções de cada um dos três componentes de AAA.
Authentication (Autenticação)
Definição: Autenticação é o processo de verificar a identidade de um usuário, dispositivo ou sistema que deseja acessar um recurso.
Função:
Verificação de Identidade: A autenticação confirma que o usuário ou dispositivo é realmente quem diz ser. Isso é feito através de credenciais, como senhas, certificados digitais, tokens ou biometria.
Métodos Comuns: Incluem senhas, cartões inteligentes, autenticação de dois fatores (2FA) e certificados digitais.
Exemplo: Quando você faz login em uma rede com um nome de usuário e senha, o sistema verifica se essas credenciais correspondem a um usuário autorizado.
Authorization (Autorização)
Definição: Autorização é o processo de conceder ou negar permissões aos usuários ou dispositivos autenticados para acessar recursos específicos.
Função:
Controle de Acesso: Após a autenticação, a autorização determina quais recursos e serviços o usuário ou dispositivo pode acessar e que operações pode realizar.
Políticas de Acesso: Baseia-se em políticas que definem os direitos de acesso, como permissões de leitura, escrita ou execução em um sistema de arquivos ou acesso a determinadas áreas de uma rede.
Exemplo: Um usuário autenticado pode ser autorizado a acessar arquivos específicos em um servidor, mas não a modificar configurações do sistema.
Accounting (Auditoria)
Definição: Auditoria é o processo de registrar e monitorar as atividades dos usuários e dispositivos na rede.
Função:
Registro de Atividades: Registra quem fez o quê, quando e onde. Isso inclui logins, acessos a recursos, modificações feitas e duração das sessões.
Monitoramento e Relatórios: Fornece dados para análise de segurança, conformidade e faturamento. Ajuda a identificar comportamentos anômalos e pode ser usado para investigações de segurança.
Exemplo: Um sistema de contabilidade registra que um usuário acessou um servidor específico, baixou um arquivo e saiu da sessão às 10:30 AM.
Comparação Resumida
Componente
Função Principal
Exemplos de Uso
Authentication
Verificar a identidade do usuário ou dispositivo
Login com nome de usuário e senha
Authorization
Controlar o acesso aos recursos
Permissão para acessar arquivos
Accounting
Registrar e monitorar atividades
Logs de acesso e uso de recursos
Comparação entre AAA
Como Funcionam Juntos
Em uma implementação de AAA típica, esses componentes funcionam em conjunto para fornecer um controle de acesso robusto e seguro:
Autenticação: O usuário fornece suas credenciais. O sistema verifica se são válidas.
Autorização: Uma vez autenticado, o sistema verifica as permissões do usuário e concede acesso aos recursos autorizados.
Auditoria: Todas as atividades do usuário são registradas para fins de monitoramento e auditoria.
A combinação de Autenticação, Autorização e Auditoria forma um framework integral para gerenciar a segurança e o controle de acesso em redes e sistemas de informação. Cada componente desempenha um papel crucial: a autenticação assegura que apenas usuários legítimos possam acessar a rede, a autorização define o que esses usuários podem fazer, e a auditoria monitora e registra suas atividades para garantir conformidade e segurança contínuas.
Métodos de autenticação
A autenticação de rede é um componente crucial para garantir que apenas usuários e dispositivos autorizados possam acessar recursos de rede. Existem vários métodos de autenticação utilizados para este fim, cada um com suas próprias características e casos de uso específicos. Vamos explorar as diferenças entre IEEE 802.1X, MAC Authentication Bypass (MAB), Web Authentication e EasyConnect.
IEEE 802.1X
Definição: IEEE 802.1X é um padrão para controle de acesso à rede baseado em portas que fornece autenticação para dispositivos que desejam se conectar a uma LAN ou WLAN.
Características:
Autenticação Forte: Utiliza protocolos de autenticação como EAP (Extensible Authentication Protocol) para verificar a identidade dos dispositivos.
Suporte para Vários Métodos de EAP: Pode usar EAP-TLS, EAP-PEAP, EAP-TTLS, entre outros, dependendo dos requisitos de segurança.
Autenticação Mútua: Permite a autenticação tanto do cliente quanto do servidor, aumentando a segurança.
Integração com RADIUS: Normalmente, é integrado com servidores RADIUS para gestão centralizada de autenticação.
Aplicação: Comumente usado em redes corporativas e de campus para garantir que apenas dispositivos autorizados possam se conectar.
MAC Authentication Bypass (MAB)
Definição: MAB é um método de autenticação que utiliza o endereço MAC de um dispositivo como credencial para permitir o acesso à rede.
Características:
Simplicidade: Fácil de implementar, pois não requer configurações adicionais nos dispositivos cliente.
Autenticação de Dispositivos Legados: Útil para dispositivos que não suportam 802.1X, como impressoras e telefones IP.
Menor Segurança: Menos seguro, pois os endereços MAC podem ser facilmente falsificados (spoofing).
Integração com RADIUS: Pode ser integrado com servidores RADIUS para validação de endereços MAC contra uma base de dados centralizada.
Aplicação: Usado como uma medida de autenticação de fallback para dispositivos que não suportam 802.1X.
Web Authentication (WebAuth)
Definição: Web Authentication (WebAuth) é um método de autenticação onde os usuários são redirecionados para uma página web para fornecer credenciais antes de obter acesso à rede.
Características:
Portal Captive: Utiliza um portal captive onde os usuários inserem nome de usuário e senha.
Fácil de Usar: Fácil para os usuários finais, pois a autenticação é feita via navegador web.
Flexibilidade: Pode ser configurado para redirecionar para páginas de login personalizadas.
Menor Segurança Comparada ao 802.1X: Não fornece autenticação mútua e depende da segurança do navegador.
Aplicação: Comumente usado em redes Wi-Fi públicas e ambientes de convidados, onde é necessário fornecer acesso temporário à rede.
EasyConnect
Definição: EasyConnect é uma solução de autenticação que permite a integração de dispositivos na rede com uma experiência de autenticação simplificada, geralmente combinando métodos de autenticação como 802.1X e MAB.
Características:
Experiência de Usuário Simplificada: Visa simplificar a autenticação para os usuários finais, muitas vezes automatizando a seleção do método de autenticação apropriado.
Combinação de Métodos de Autenticação: Pode utilizar 802.1X para dispositivos que o suportam e MAB para aqueles que não o fazem, garantindo cobertura abrangente.
Automação e Gerenciamento: Pode incluir funcionalidades de automação para simplificar a configuração e gestão da autenticação de rede.
Flexibilidade: Adequado para ambientes mistos onde diferentes dispositivos e requisitos de autenticação coexistem.
Aplicação: Ideal para grandes redes corporativas onde a simplificação da experiência do usuário e a gestão centralizada de autenticação são críticas.
Comparação Resumida
Método
Características Principais
Casos de Uso Comuns
IEEE 802.1X
Autenticação forte via EAP, suporte para autenticação mútua, integração com RADIUS
Redes corporativas e de campus
MAC Authentication Bypass (MAB)
Utiliza endereço MAC como credencial, simples de implementar, menos seguro
Dispositivos legados, fallback para 802.1X
Web Authentication (WebAuth)
Autenticação via portal web, fácil para usuários, flexível, menor segurança comparada ao 802.1X
Redes Wi-Fi públicas, ambientes de convidados
EasyConnect
Combina métodos de autenticação, experiência simplificada, automação e gerenciamento centralizado
Grandes redes corporativas
Cada método de autenticação possui suas próprias vantagens e desvantagens, e a escolha do método adequado depende das necessidades específicas da rede e dos dispositivos conectados. IEEE 802.1X oferece a autenticação mais robusta, enquanto MAB e WebAuth são opções viáveis para dispositivos legados e ambientes onde a simplicidade e a flexibilidade são essenciais. EasyConnect proporciona uma abordagem híbrida, combinando múltiplos métodos para proporcionar uma experiência de autenticação simplificada e abrangente.
O gráfico abaixo apresenta de forma visual uma comparação entre a complexidade de implementação x o nível de segurança que cada método apresenta.
Nível de complexidade de implementação x nível de segurança
Conclusão
Nessa primeira parte do artigo focamos em apresentar os conceitos básicos sobre MacSec e métodos de autenticação. Na parte 2 vamos entender na prática como tudo isso funciona, com exemplos de configuração em um switch e com o Cisco ISE.
Layer 3 Tecno 