9
Cisco: RADIUS Call Station Identifier - RegEx?
Guten Abend
Heute habe ich auf einer Cisco ISE in einer Policy einen Wert in einem Attribut namens "RADIUS Call Station Identifier" gesehen, den ich nicht verstehe.
Es war keine SSID die auf dem WLC 9800 (Version 17.x) verwendet ist. Teilweise ja. Ergänzt mit Dollarzeichen und Punkten.
Es hat mich entfernt an RegEx erinnert.
Ich habe gerade keine Zeit zum suchen und diese Treffer haben mich nicht weiter gebracht.
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-5/conf ...
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-4/conf ...
https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-8/ ...
Falls jemand weiss, wovon ich schreibe und meine Neugierde befriedigen kann, danke ich im Voraus.
Beste Grüsse
Heute habe ich auf einer Cisco ISE in einer Policy einen Wert in einem Attribut namens "RADIUS Call Station Identifier" gesehen, den ich nicht verstehe.
Es war keine SSID die auf dem WLC 9800 (Version 17.x) verwendet ist. Teilweise ja. Ergänzt mit Dollarzeichen und Punkten.
Es hat mich entfernt an RegEx erinnert.
Ich habe gerade keine Zeit zum suchen und diese Treffer haben mich nicht weiter gebracht.
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-5/conf ...
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/17-4/conf ...
https://www.cisco.com/c/en/us/td/docs/wireless/controller/technotes/8-8/ ...
Falls jemand weiss, wovon ich schreibe und meine Neugierde befriedigen kann, danke ich im Voraus.
Beste Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3281540371
Url: https://administrator.de/contentid/3281540371
Printed on: March 27, 2023 at 08:03 o'clock
9 Comments
Latest comment
Servus Peter.
Ja das ist ein Regex-Pattern Match. Die sogenannte Called Station Id wird vom AP in der AccessRequest Message mit an den Radius Server übermittelt. Im Normalfall die MAC-Adresse des APs getrennt mit Doppelpunkt von der SSID, mit welcher sich der User verbinden möchte. Anhand dieser Id kann nun der Radius Server entscheiden ob ein User Zugriff über diesen AP mit dieser SSID bekommen soll. Damit der Radius-Server die Policy flexibler gestalten kann lässt sich hier mit Regex granularer definieren wer über welchen AP mit welcher SSID der Zugriff gewährt wird. So kannst du bspw. bestimmten Usern Zugriff auf SSIDs geben die alle mit einer bestimmten Ziffernfolge beginnen oder enden und mit dem Regex-Pattern auch die Identität des APs mit einbeziehen.
Du definierst damit quasi eine zusätzliche Zugriffspolicy für die Clients.
Bitte nicht mit der Calling Station Id verwechseln, das ist die MAC Adresse des Wifi-Clients, welche ebenfalls im AccessRequest Paket vom AP an den Radius Server übermittelt wird.
Hoffe das befriedigt deine Neugier. 🖖.
Grüße Uwe
Ja das ist ein Regex-Pattern Match. Die sogenannte Called Station Id wird vom AP in der AccessRequest Message mit an den Radius Server übermittelt. Im Normalfall die MAC-Adresse des APs getrennt mit Doppelpunkt von der SSID, mit welcher sich der User verbinden möchte. Anhand dieser Id kann nun der Radius Server entscheiden ob ein User Zugriff über diesen AP mit dieser SSID bekommen soll. Damit der Radius-Server die Policy flexibler gestalten kann lässt sich hier mit Regex granularer definieren wer über welchen AP mit welcher SSID der Zugriff gewährt wird. So kannst du bspw. bestimmten Usern Zugriff auf SSIDs geben die alle mit einer bestimmten Ziffernfolge beginnen oder enden und mit dem Regex-Pattern auch die Identität des APs mit einbeziehen.
Du definierst damit quasi eine zusätzliche Zugriffspolicy für die Clients.
Bitte nicht mit der Calling Station Id verwechseln, das ist die MAC Adresse des Wifi-Clients, welche ebenfalls im AccessRequest Paket vom AP an den Radius Server übermittelt wird.
Hoffe das befriedigt deine Neugier. 🖖.
Grüße Uwe
3
Guten Morgen Uwe
Vielen Dank für die Info. Speziell für den Hinweis auf den Unterschied von "Calling" und "Called" im Bezug auf "RADIUS Call Station Identifier"
"Irgendwie" ergibt ein Pattern Sinn. Man hat für Gruppen von Endgeräten mehrere SSIDs (blöde Idee - klar) angelegt.
Die ISE prüft die MAC-Adresse, wenn ein Gerät über diese SSID daher kommt.
Wenn sie matched, gehts weiter zum WLC wo über die SSID der DHCP Scope bestimmt wird.
Wenn also in der ISE ein RegEx Pattern hinterlegt ist, wird man wahrscheinlich mit der SSID noch Variationen umgesetzt haben. Ja, wir sind im Reverse Engineering drin.
Der Reference Guide der Ise sollte mir zu diesen RegEx Möglichkeiten Auskunft geben. Mal am Mittag hinein schauen.
Nochmals vielen Dank!
Beste Grüsse
Vielen Dank für die Info. Speziell für den Hinweis auf den Unterschied von "Calling" und "Called" im Bezug auf "RADIUS Call Station Identifier"
"Irgendwie" ergibt ein Pattern Sinn. Man hat für Gruppen von Endgeräten mehrere SSIDs (blöde Idee - klar) angelegt.
Die ISE prüft die MAC-Adresse, wenn ein Gerät über diese SSID daher kommt.
Wenn sie matched, gehts weiter zum WLC wo über die SSID der DHCP Scope bestimmt wird.
Wenn also in der ISE ein RegEx Pattern hinterlegt ist, wird man wahrscheinlich mit der SSID noch Variationen umgesetzt haben. Ja, wir sind im Reverse Engineering drin.
Der Reference Guide der Ise sollte mir zu diesen RegEx Möglichkeiten Auskunft geben. Mal am Mittag hinein schauen.
Nochmals vielen Dank!
Beste Grüsse
Wenn man einen FreeRadius sein eigen nennt und den einmal im Debug Mode laufen lässt sieht man das auch sehr schön WIE sowas am Radius Server ankommt. 😉
Hier einmal am Beispiel eines Kupferports bei einem Catalysten:
Cisco SG 350x Grundkonfiguration
Hier einmal am Beispiel eines Kupferports bei einem Catalysten:
Cisco SG 350x Grundkonfiguration
1
Guten Morgen aqui
Das ist ja extrem spannend! FreeRadius gibt es ja schon länger.
Ich erinnere mich schwach, vor langer Zeit einmal damit experimentiert zu haben!
Beste Grüsse
Das ist ja extrem spannend! FreeRadius gibt es ja schon länger.
Ich erinnere mich schwach, vor langer Zeit einmal damit experimentiert zu haben!
Beste Grüsse
FreeRadius gibt es ja schon länger.
So ist es...der meistbenutzte Radius Server der Welt! 
vor langer Zeit einmal damit experimentiert zu haben!
Dafür reicht ein kleiner 10 Fränkli Raspberry Pi Zero vollends aus. Mit apt install freeradius bist du startklar und kannst sofort loslegen. 😉1Dafür reicht ein kleiner 10 Fränkli Raspberry Pi Zero vollends aus. Mit apt install freeradius bist du startklar und kannst sofort loslegen. 😉
Mit 10 Fränkli bekommst Du hier ein Gipfeli ("Hörnchen" aka Gebäck) und einen Kaffee mit einem freundlichen Lächeln. Aber keinen PI 😁 😏
Für heute bin ich bereits glücklich, wenn ich dazu komme Herrn Windows 10 Gegner auf das Posting E-Mail ohne Header zu antworten. Vorher muss ich noch eine kleine Anleitung zu scp / pscp / sftp überarbeiten.
Danach verschiedene Notizen von letzter Woche zu Cisco WLC 9800 und ISE 2.7 zusammen fassen und überarbeiten.
Und für den Einstieg in den morgigen Arbeitstag sollte ich auch noch ein paar Dinge vorbereiten...
Sind die Fräncklis doch so schwach?? 10 Euroli würden dafür schon reichen: 😉
https://buyzero.de/collections/boards-kits/products/raspberry-pi-zero-w
https://buyzero.de/collections/boards-kits/products/raspberry-pi-zero-w
zu Cisco WLC 9800
Oha, wie gruselig. Wenn du einmal mit einem Ruckus vSZ gearbeitet hast weisst du wie gruselig dann ein 9800er sein kann! 1
Tjaaaa...
Tatsächlichsieht es so aus, dass Mama Helvetia vor lauter Kraftlosigkeit weder Speer noch Schild zu halten vermag... 😎
WLC 9.8 / Ver 17.x hat IOS-XE on Board. Direkt übers GUI CLI Commands absetzen. 🤗 🤩 😂
Tatsächlichsieht es so aus, dass Mama Helvetia vor lauter Kraftlosigkeit weder Speer noch Schild zu halten vermag... 😎
WLC 9.8 / Ver 17.x hat IOS-XE on Board. Direkt übers GUI CLI Commands absetzen. 🤗 🤩 😂
Direkt übers GUI CLI Commands absetzen.
Besser dann doch ip https server enable aber auch damit ist es schon eine gruselige Klickorgie. 
