petergyger
Goto Top

Cisco: RADIUS Call Station Identifier - RegEx?

Guten Abend

Heute habe ich auf einer Cisco ISE in einer Policy einen Wert in einem Attribut namens "RADIUS Call Station Identifier" gesehen, den ich nicht verstehe.

Es war keine SSID die auf dem WLC 9800 (Version 17.x) verwendet ist. Teilweise ja. Ergänzt mit Dollarzeichen und Punkten.
Es hat mich entfernt an RegEx erinnert.

Ich habe gerade keine Zeit zum suchen und diese Treffer haben mich nicht weiter gebracht.
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-5/conf ...

https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-4/conf ...

https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-8/ ...

Falls jemand weiss, wovon ich schreibe und meine Neugierde befriedigen kann, danke ich im Voraus.

Beste Grüsse

Content-Key: 3281540371

Url: https://administrator.de/contentid/3281540371

Printed on: March 27, 2023 at 08:03 o'clock

Member: colinardo
Solution colinardo Jul 07, 2022 updated at 21:04:34 (UTC)
Goto Top
Servus Peter.
Ja das ist ein Regex-Pattern Match. Die sogenannte Called Station Id wird vom AP in der AccessRequest Message mit an den Radius Server übermittelt. Im Normalfall die MAC-Adresse des APs getrennt mit Doppelpunkt von der SSID, mit welcher sich der User verbinden möchte. Anhand dieser Id kann nun der Radius Server entscheiden ob ein User Zugriff über diesen AP mit dieser SSID bekommen soll. Damit der Radius-Server die Policy flexibler gestalten kann lässt sich hier mit Regex granularer definieren wer über welchen AP mit welcher SSID der Zugriff gewährt wird. So kannst du bspw. bestimmten Usern Zugriff auf SSIDs geben die alle mit einer bestimmten Ziffernfolge beginnen oder enden und mit dem Regex-Pattern auch die Identität des APs mit einbeziehen.
Du definierst damit quasi eine zusätzliche Zugriffspolicy für die Clients.

Bitte nicht mit der Calling Station Id verwechseln, das ist die MAC Adresse des Wifi-Clients, welche ebenfalls im AccessRequest Paket vom AP an den Radius Server übermittelt wird.

Hoffe das befriedigt deine Neugier. ๐Ÿ––.

Grüße Uwe
Member: PeterGyger
PeterGyger Jul 08, 2022 at 04:16:39 (UTC)
Goto Top
Guten Morgen Uwe

Vielen Dank für die Info. Speziell für den Hinweis auf den Unterschied von "Calling" und "Called" im Bezug auf "RADIUS Call Station Identifier"

"Irgendwie" ergibt ein Pattern Sinn. Man hat für Gruppen von Endgeräten mehrere SSIDs (blöde Idee - klar) angelegt.
Die ISE prüft die MAC-Adresse, wenn ein Gerät über diese SSID daher kommt.
Wenn sie matched, gehts weiter zum WLC wo über die SSID der DHCP Scope bestimmt wird.

Wenn also in der ISE ein RegEx Pattern hinterlegt ist, wird man wahrscheinlich mit der SSID noch Variationen umgesetzt haben. Ja, wir sind im Reverse Engineering drin.

Der Reference Guide der Ise sollte mir zu diesen RegEx Möglichkeiten Auskunft geben. Mal am Mittag hinein schauen.

Nochmals vielen Dank!

Beste Grüsse
Member: aqui
aqui Jul 08, 2022 at 06:59:34 (UTC)
Goto Top
Wenn man einen FreeRadius sein eigen nennt und den einmal im Debug Mode laufen lässt sieht man das auch sehr schön WIE sowas am Radius Server ankommt. ๐Ÿ˜‰
Hier einmal am Beispiel eines Kupferports bei einem Catalysten:
Cisco SG 350x Grundkonfiguration
Member: PeterGyger
PeterGyger Jul 10, 2022 at 07:08:40 (UTC)
Goto Top
Guten Morgen aqui

Das ist ja extrem spannend! FreeRadius gibt es ja schon länger.
Ich erinnere mich schwach, vor langer Zeit einmal damit experimentiert zu haben!

Beste Grüsse
Member: aqui
aqui Jul 10, 2022 updated at 10:04:39 (UTC)
Goto Top
FreeRadius gibt es ja schon länger.
So ist es...der meistbenutzte Radius Server der Welt! face-wink
vor langer Zeit einmal damit experimentiert zu haben!
Dafür reicht ein kleiner 10 Fränkli Raspberry Pi Zero vollends aus. Mit apt install freeradius bist du startklar und kannst sofort loslegen. ๐Ÿ˜‰
Member: PeterGyger
PeterGyger Jul 10, 2022 at 10:20:23 (UTC)
Goto Top
Dafür reicht ein kleiner 10 Fränkli Raspberry Pi Zero vollends aus. Mit apt install freeradius bist du startklar und kannst sofort loslegen. ๐Ÿ˜‰

Mit 10 Fränkli bekommst Du hier ein Gipfeli ("Hörnchen" aka Gebäck) und einen Kaffee mit einem freundlichen Lächeln. Aber keinen PI ๐Ÿ˜ ๐Ÿ˜

Für heute bin ich bereits glücklich, wenn ich dazu komme Herrn Windows 10 Gegner auf das Posting E-Mail ohne Header zu antworten. Vorher muss ich noch eine kleine Anleitung zu scp / pscp / sftp überarbeiten.
Danach verschiedene Notizen von letzter Woche zu Cisco WLC 9800 und ISE 2.7 zusammen fassen und überarbeiten.
Und für den Einstieg in den morgigen Arbeitstag sollte ich auch noch ein paar Dinge vorbereiten...
Member: aqui
aqui Jul 10, 2022 updated at 10:33:00 (UTC)
Goto Top
Sind die Fräncklis doch so schwach?? 10 Euroli würden dafür schon reichen: ๐Ÿ˜‰
https://buyzero.de/collections/boards-kits/products/raspberry-pi-zero-w
zu Cisco WLC 9800
Oha, wie gruselig. Wenn du einmal mit einem Ruckus vSZ gearbeitet hast weisst du wie gruselig dann ein 9800er sein kann! face-wink
Member: PeterGyger
PeterGyger Jul 10, 2022 at 11:05:32 (UTC)
Goto Top
Tjaaaa...
Tatsächlichsieht es so aus, dass Mama Helvetia vor lauter Kraftlosigkeit weder Speer noch Schild zu halten vermag... ๐Ÿ˜Ž

WLC 9.8 / Ver 17.x hat IOS-XE on Board. Direkt übers GUI CLI Commands absetzen. ๐Ÿค— ๐Ÿคฉ ๐Ÿ˜‚
Member: aqui
aqui Jul 10, 2022 updated at 14:53:52 (UTC)
Goto Top
Direkt übers GUI CLI Commands absetzen.
Besser dann doch ip https server enable aber auch damit ist es schon eine gruselige Klickorgie. face-big-smile