Cisco ASA 5505 lässt keinen OPC-Verkehr zu

3

Ich integriere eine Cisco ASA 5505-Firewall folgendermaßen:

Innerhalb des IP-Bereichs (VLAN-AWTP): 192.168.127.xxx (industrielle Geräte)

DMZ-IP-Bereich (VLAN-OPC): 192.168.77.xxx (nur OPC-Server-PC, der auf ein industrielles Netzwerkgerät zugreift)

Außerhalb des IP-Bereichs (VLAN-MWTP): 192.168.50.xxx (OPC-Client)

Der Zweck der Firewall besteht darin , VLAN-MWTP-Zugriff auf einen PC in VLAN-OPC zu gewähren (VOLLSTÄNDIGER Zugriff ist in Ordnung ) und den eingeschränkten Zugriff (einzelner TCP-Port) vom OPC-Server auf das industrielle Gerät zu gewähren . Dies beinhaltet NATing und solche, die ich denke, ich habe in Ordnung umgesetzt.

Hier ist mein aktueller Stand und mein Problem:

-VLAN-OPC kann auf das VLAN-AWTP zugreifen ok (kann auf den TCP-Port des industriellen Geräts zugreifen).

-Ein PC mit VLAN-MWTP kann mit NATed 192.168.50.32 (übersetzt in 192.168.77.4) einen Ping- und RDP-Befehl an den VLAN-OPC-Server senden. Es scheint jedoch, dass keine Verbindung zum OPC-Server hergestellt werden kann. Ich erhalte die Fehlermeldung "Der RPC-Server ist nicht verfügbar"

-Ich habe dies als Firewall-Problem isoliert, nicht als Windows DCOM-Problem, wie es bei OPC-Verbindungen häufig vorkommt (hatte diesen Kampf bereits!). Verbunden in Ordnung.

-Ich habe ein paar verschiedene Dinge ausprobiert, z. B. die Aktivierung der DCERPC-Inspektion, die von einigen Foren angewiesen wurde, aber immer noch keine Freude, aber zu diesem Zeitpunkt fühle ich mich überfordert, sodass ich sehr gut etwas falsch machen könnte. Sie können wahrscheinlich sehen, wo meine Inspektionsrichtlinien anfangen, schlampig zu werden.

- Grundsätzlich wäre ich mit dem vollständigen Zugriff (einschließlich RPC, DCOM usw.) von VLAN-MWTP auf VLAN-OPC zufrieden. Ich hätte nicht gedacht, dass es so schwer sein sollte?

Konfiguration ist wie folgt:

ASA Version 8.2(5)
!
hostname AAA-AAAAA
enable password HxFQQ4ozRZkZGyAK encrypted
passwd HxFQQ4ozRZkZGyAK encrypted
names
!
interface Ethernet0/0
 switchport access vlan 100
!
interface Ethernet0/1
 switchport access vlan 200
!
interface Ethernet0/2
 switchport access vlan 300
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
interface Vlan100
 no forward interface Vlan300
 nameif VLAN-AWTP
 security-level 100
 ip address 192.168.127.4 255.255.255.0
!
interface Vlan200
 nameif VLAN-OPC
 security-level 0
 ip address 192.168.77.1 255.255.255.0
!
interface Vlan300
 nameif VLAN-MWTP
 security-level 0
 ip address 192.168.50.245 255.255.255.0
!
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group network opc-chw-ip
access-list opc-access-in extended permit tcp host 192.168.77.4 host 192.168.77.50 eq 44818
access-list vws-access-out extended permit tcp host 192.168.77.4 host 192.168.127.50 eq 44818
pager lines 24
mtu VLAN-AWTP 1500
mtu VLAN-OPC 1500
mtu VLAN-MWTP 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (VLAN-AWTP,VLAN-OPC) 192.168.77.50 192.168.127.50 netmask 255.255.255.255
static (VLAN-OPC,VLAN-MWTP) 192.168.50.32 192.168.77.4 netmask 255.255.255.255
access-group vws-access-out out interface VLAN-AWTP
access-group opc-access-in in interface VLAN-OPC
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication telnet console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 192.168.127.0 255.255.255.0 VLAN-AWTP
ssh timeout 60
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username aaaaaaaa password Tpz8OQBnrHIDp010 encrypted privilege 15
!
class-map icmp-class
 match default-inspection-traffic
class-map inspection-default
class-map CM-DCERPC
 match port tcp eq 135
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map icmp_policy
 class icmp-class
  inspect icmp
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect ip-options
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect icmp
  inspect dcerpc
 class CM-DCERPC
  inspect dcerpc
policy-map PM-DCERPC
 class CM-DCERPC
  inspect dcerpc
!
service-policy global_policy global
service-policy icmp_policy interface VLAN-AWTP
service-policy PM-DCERPC interface VLAN-OPC
service-policy PM-DCERPC interface VLAN-MWTP
prompt hostname context
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email [email protected]
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:f545ff56444cbffecda9d652f2261e2d
: end

Der OPC-PC, zu dem ich eine Verbindung herstellen möchte, hat die statische IP 192.168.77.4/24 mit einem Gateway von 192.168.77.1 (diese Firewall).

Jede Hilfe wäre sehr, sehr dankbar!

firewall StaEV
quelle

Antworten:

1

Sie haben die verwendete Lizenz vergessen, aber angesichts der Tatsache, dass es keine Weiterleitungsschnittstelle für Vlan300 gibt, gehe ich von einer Basislizenz aus.

Wie auch immer, warum diese Aussagen?

dieselbe Sicherheitsverkehrserlaubnis innerhalb der Schnittstelle
...
Zugangsliste opc-access-in erweiterte Erlaubnis TCP-Host 192.168.77.4 Host 192.168.77.50 Gl. 44818
...
Zugriffsgruppe opc-access-in in der Schnittstelle VLAN-OPC

Es scheint, als würden sie versuchen, den Datenverkehr zwischen Hosts in denselben Subnetzen zu filtern, aber dieser Datenverkehr sollte nicht die Firewall passieren, oder? Wer ist 192.168.77.50? Ich kann mir nur vorstellen, dass Sie versuchen, das industrielle Gerät mit einer IP des OPC-Netzwerks zuzuordnen ... indem Sie "static (VLAN-AWTP, VLAN-OPC) 192.168.77.50 192.168.127.50 netmask 255.255.255.255" ausführen. und durch Anwenden von Intra-Interface und so weiter.

Außerdem haben beide voll funktionsfähigen Schnittstellen dieselbe Sicherheitsstufe (0), und außerdem ergeben die auf bestimmte Schnittstellen angewendeten Servicerichtlinien für mich keinen großen Sinn.

Verstehen Sie mich bitte nicht falsch, aber ich versuche nur, das Gesamtbild herauszufinden.

Zu den möglichen Lösungen gehen, die ich denken kann:

  1. Da es verschiedene RPC-Varianten gibt und RPC mithilfe eines End Point Mapper (EPM) neue Verbindungen für den Client generiert, mit denen die Anforderungen an Port 135 gestartet werden (ähnlich wie bei Active FTP), hängt möglicherweise ein Problem mit der eingeschränkten Funktionalität zusammen Unterstützung einiger RPC-Varianten / Meldungen von ASA-Versionen <9.4 ( http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/release/notes/asarn94.html - "DCERPC-Prüfung Unterstützung für ISystemMapper-UUID-Nachricht RemoteGetClassObject opnum3 "); Abhängig von den von Ihrer Software verwendeten Aufrufen (wenn beispielsweise Nicht-EPM-Aufrufe verwendet werden) kann ein Upgrade erforderlich sein (beachten Sie die Änderungen an den config-Anweisungen, insbesondere von 8.3).

  2. Angesichts der Tatsache, dass Sie uns mitgeteilt haben, dass Ping und RDP funktionieren, aber RPC, ist es wahrscheinlich keine gute Lösung, die vollständige Konfiguration erneut zu bearbeiten.

    • Sie benötigen kein NAT zwischen internen Netzwerken, die private IP-Adressen verwenden (Nat-Control scheint in der Tat deaktiviert zu sein).
    • Sie benötigen keine Kommunikation innerhalb der Schnittstelle.
ASA Version 8.2 (5)
!
Hostname AAA-AAAAA
Passwort aktivieren HxFQQ4ozRZkZGyAK verschlüsselt
passwd HxFQQ4ozRZkZGyAK verschlüsselt
Namen
!
Schnittstelle Ethernet0 / 0
 Switchport nicht verhandeln
 Switchport-Modus zugreifen
 switchport access vlan 100
!
Schnittstelle Ethernet0 / 1
 Switchport nicht verhandeln
 Switchport-Modus zugreifen
 switchport access vlan 200
!
Schnittstelle Ethernet0 / 2
 Switchport nicht verhandeln
 Switchport-Modus zugreifen
 switchport access vlan 300
!
Schnittstelle Ethernet0 / 3
 ausschalten
!
Schnittstelle Ethernet0 / 4
 ausschalten
!
Schnittstelle Ethernet0 / 5
 ausschalten
!
Schnittstelle Ethernet0 / 6
 ausschalten
!
Schnittstelle Ethernet0 / 7
 ausschalten
!
Schnittstelle Vlan100
 keine Forward-Schnittstelle Vlan300
 nameif VLAN-AWTP
 Sicherheitsstufe 100
 IP-Adresse 192.168.127.4 255.255.255.0
!
Schnittstelle Vlan200
 nameif VLAN-OPC
 Sicherheitsstufe 20
 IP-Adresse 192.168.77.1 255.255.255.0
!
Schnittstelle Vlan300
 nameif VLAN-MWTP
 Sicherheitsstufe 90
 IP-Adresse 192.168.50.245 255.255.255.0
!
FTP-Modus passiv
Zugangsliste vws-access-out erweiterte Erlaubnis TCP-Host 192.168.77.4 Host 192.168.127.50 Gl. 44818
Pagerleitungen 24
icmp nicht erreichbares Ratenlimit 1 Burst-Größe 1
keine asdm history aktivieren
Arp Timeout 3600
Zugangsgruppe vws-access-out-out-Schnittstelle VLAN-AWTP
timeout xlate 3:00:00
timeout conn 1:00:00 halb geschlossen 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
Timeout TCP-Proxy-Zusammenbau 0:01:00
Timeout Floating-Conn 0:00:00
Dynamic-Access-Policy-Record DfltAccessPolicy
aaa Authentifizierung ssh console LOCAL
kein snmp-server standort
kein snmp-server kontakt
SNMP-Server aktivieren Traps SNMP-Authentifizierung Linkup Linkdown Kaltstart
crypto ipsec security-association lifetime seconds 28800
Krypto-IPSec-Sicherheitszuordnung Lebensdauer Kilobyte 4608000
Telnet Timeout 5
ssh 192.168.127.0 255.255.255.0 VLAN-AWTP
SSH-Timeout 60
Konsolen-Timeout 0
Bedrohungserkennung Grundbedrohung
Zugriffsliste für Bedrohungserkennungsstatistiken
keine Bedrohungserkennungsstatistik tcp-intercept
Benutzername aaaaaaaa Passwort Tpz8OQBnrHIDp010 verschlüsseltes Privileg 15
!
class-map inspection_default
 Stimmt mit dem Standard-Inspektions-Verkehr überein
!
!
Policy-Map-Typ inspizieren DNS Preset_DNS_MAP
 Parameter
  Nachrichtenlänge maximal Client Auto
  Nachrichtenlänge maximal 512
policy-map global_policy
 Klasse inspection_default
  Überprüfen Sie DNS Preset_DNS_MAP
  Überprüfen Sie ftp
  Inspiziere h323 h225
  inspiziere h323 ras
  Überprüfen Sie die IP-Optionen
  Überprüfen Sie NetBIOS
  inspiziere rsh
  Überprüfen Sie rtsp
  inspizieren dünn
  Überprüfen Sie esmtp
  Überprüfen Sie sqlnet
  inspiziere sunrpc
  Überprüfen Sie tftp
  Schluck inspizieren
  inspiziere xdmcp
  icmp überprüfen
  inspiziere dcerpc
!
Servicerichtlinie global_policy global
prompt hostname context
Keine anonyme Rückrufmeldung
zu Hause anrufen
 Profil CiscoTAC-1
  nicht aktiv
  Zieladresse http https://tools.cisco.com/its/service/oddce/services/DDCEService
  Zieladresse E-Mail [email protected]
  Zieltransportmethode http
  Diagnose für das Abonnieren von Warnungsgruppen
  Alert-Gruppen-Umgebung abonnieren
  Monatliches Abonnieren des Inventars für Benachrichtigungsgruppen
  Monatliches Abonnieren der Konfiguration der Alarmgruppe
  Tägliches Abonnieren der Telemetrie für Alarmgruppen
Cryptochecksum: f545ff56444cbffecda9d652f2261e2d
: Ende

Ich kann natürlich nicht garantieren, dass es in Ihrem Kontext funktioniert, aber das "debug dcerpc?" und "Packet Tracer?" Befehle können nützlich sein, um die Fehler auf Ihrem Live-Gerät abzufangen.

Matteo
quelle
Vielen Dank für Ihre ausführliche Antwort und entschuldigen Sie die Verzögerung - ich habe einige Projekte in Arbeit. Ja, Lizenz ist Basislizenz. Ja, 192.168.77.50 ist die NAT-Adresse des Industriegeräts, zu dem ich eine Verbindung herstellen möchte (192.168.77.50 bedeutet 192.168.127.50). Während sich die Adressen in dieser ACL scheinbar im selben Subnetz befinden, ist eine der Adressen NATed, und meine Tests haben gezeigt, dass mit diesem NATed-Verkehr die richtige ACL verwendet wurde, um den Verkehr auf diesen einen Port zu beschränken.
24.
Die Anordnung des gleichen Sicherheitsverkehrs usw. ist im Wesentlichen mein bestes Ergebnis mit den Einschränkungen der Basislizenz. Ich habe einige Iterationen des Entwurfs dieser Lösung durchlaufen. Es mag (für mich) etwas kompliziert sein, meine Überlegungen jetzt durchzuarbeiten, aber ich bin ziemlich zufrieden mit der Architektur, vor allem angesichts der Tatsache, dass rdp und icmp so funktionieren, wie ich es erwartet habe. Um ehrlich zu sein, ergeben die Servicerichtlinien für mich zu diesem Zeitpunkt auch keinen Sinn. Sie sind das Ergebnis von Versuch und Irrtum, indem sie verschiedene Foren usw.
durchlaufen
Intra-Interface wurde beim Debuggen hinzugefügt. Ich denke nicht, dass es notwendig ist. RDP funktionierte ohne es, aber als ich es aktivierte, fing Ping an zu arbeiten. Ich denke es hat was mit dem NATing zu tun? Vielen Dank für einen Lösungsvorschlag - ich werde ihn weiter untersuchen und sicher zurückkommen.
24.