Cisco ASA 5505 não permitindo tráfego OPC

3

Estou integrando um firewall Cisco ASA 5505 da seguinte maneira:

Dentro da faixa de IP (VLAN-AWTP): 192.168.127.xxx (dispositivos industriais)

Faixa de IP da DMZ (VLAN-OPC): 192.168.77.xxx (somente o OPC Server PC acessa um dispositivo de rede industrial)

Fora do intervalo IP (VLAN-MWTP): 192.168.50.xxx (cliente OPC)

O objetivo do firewall é dar acesso VLAN-MWTP a um PC em VLAN-OPC (acesso FULL está ok) e fornecer acesso limitado (porta TCP única) a partir do Servidor OPC para o dispositivo industrial . Isso envolve o NAT e o que eu acho que implementei ok.

Aqui está minha situação atual e meu problema:

-VLAN-OPC pode acessar a VLAN-AWTP ok (pode acessar a porta TCP no dispositivo industrial).

-Um PC em VLAN-MWTP pode executar ping e rdp no PC do servidor VLAN-OPC usando o 192.168.50.32 (traduzido como 192.168.77.4), mas parece não pode navegar ou conecte-se ao servidor OPC. Eu recebo o erro "O servidor RPC não está disponível"

-Eu isolei isso para ser um problema de firewall, não Windows DCOM como é um problema comum com conexões OPC (tinha essa luta já!) Eu testei definindo IP do OPC PC para a mesma sub-rede como MWTP-VLAN e bypassed firewall . OK conectado.

-Eu tentei algumas coisas diferentes, como habilitar a inspeção DCERPC como instruído por alguns fóruns, mas ainda não há alegria, mas por este ponto eu me sinto fora da minha profundidade, então eu poderia muito bem estar fazendo algo errado. Provavelmente, você pode ver onde minhas políticas de inspeção começam a ficar desleixadas.

-Basicamente, eu ficaria satisfeito com o acesso total (incluindo RPC, DCOM, qualquer que seja) de VLAN-MWTP para VLAN-OPC. Eu não teria pensado que deveria ser tão difícil?

A configuração é a seguinte:

ASA Version 8.2(5)
!
hostname AAA-AAAAA
enable password HxFQQ4ozRZkZGyAK encrypted
passwd HxFQQ4ozRZkZGyAK encrypted
names
!
interface Ethernet0/0
 switchport access vlan 100
!
interface Ethernet0/1
 switchport access vlan 200
!
interface Ethernet0/2
 switchport access vlan 300
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
interface Vlan100
 no forward interface Vlan300
 nameif VLAN-AWTP
 security-level 100
 ip address 192.168.127.4 255.255.255.0
!
interface Vlan200
 nameif VLAN-OPC
 security-level 0
 ip address 192.168.77.1 255.255.255.0
!
interface Vlan300
 nameif VLAN-MWTP
 security-level 0
 ip address 192.168.50.245 255.255.255.0
!
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group network opc-chw-ip
access-list opc-access-in extended permit tcp host 192.168.77.4 host 192.168.77.50 eq 44818
access-list vws-access-out extended permit tcp host 192.168.77.4 host 192.168.127.50 eq 44818
pager lines 24
mtu VLAN-AWTP 1500
mtu VLAN-OPC 1500
mtu VLAN-MWTP 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (VLAN-AWTP,VLAN-OPC) 192.168.77.50 192.168.127.50 netmask 255.255.255.255
static (VLAN-OPC,VLAN-MWTP) 192.168.50.32 192.168.77.4 netmask 255.255.255.255
access-group vws-access-out out interface VLAN-AWTP
access-group opc-access-in in interface VLAN-OPC
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication telnet console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 192.168.127.0 255.255.255.0 VLAN-AWTP
ssh timeout 60
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username aaaaaaaa password Tpz8OQBnrHIDp010 encrypted privilege 15
!
class-map icmp-class
 match default-inspection-traffic
class-map inspection-default
class-map CM-DCERPC
 match port tcp eq 135
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map icmp_policy
 class icmp-class
  inspect icmp
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect ip-options
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect icmp
  inspect dcerpc
 class CM-DCERPC
  inspect dcerpc
policy-map PM-DCERPC
 class CM-DCERPC
  inspect dcerpc
!
service-policy global_policy global
service-policy icmp_policy interface VLAN-AWTP
service-policy PM-DCERPC interface VLAN-OPC
service-policy PM-DCERPC interface VLAN-MWTP
prompt hostname context
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email [email protected]
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:f545ff56444cbffecda9d652f2261e2d
: end

O PC do OPC que estou tentando conectar tem o IP estático 192.168.77.4/24 com um gateway 192.168.77.1 (este firewall).

Qualquer ajuda seria muito, muito apreciada!

    
por StaEV 08.09.2015 / 09:04

1 resposta

1

Você esqueceu a licença em uso, mas, considerando a "sem interface de encaminhamento Vlan300", estou assumindo a licença "Base".

De qualquer forma, por que essas declarações?

same-security-traffic permit intra-interface
...
access-list opc-access-in extended permit tcp host 192.168.77.4 host 192.168.77.50 eq 44818
...
access-group opc-access-in in interface VLAN-OPC

Parece que eles tentam filtrar o tráfego entre hosts nas mesmas sub-redes, mas esse tráfego não deve cruzar o firewall, não é? Quem é 192.168.77.50? A única coisa que posso pensar é que você está tentando mapear o dispositivo industrial com um IP da rede OPC ... fazendo "static (VLAN-AWTP, VLAN-OPC) 192.168.77.50 192.168.127.50 netmask 255.255.255.255" e aplicando intra-interface e assim por diante.

Além disso, as interfaces totalmente funcionais têm o mesmo nível de segurança (0) e, além disso, as políticas de serviço aplicadas a interfaces específicas não fazem muito sentido para mim.

Por favor, não me entenda mal, mas eu estou apenas tentando descobrir o quadro geral.

Indo para as possíveis soluções que posso pensar:

  1. Como existem diferentes variantes de RPC e como o RPC usa um mapeador de ponto final (EPM) para gerar novas conexões para o cliente que iniciam as solicitações na porta 135 (semelhante ao comportamento ativo do FTP), um possível problema pode estar relacionado ao suporte limitado de algumas variantes / mensagens RPC de versões ASA < 9.4 ( link - "DCERPC suporte de inspeção para a mensagem UUID do ISystemMapper RemoteGetClassObject opnum3 "); Dependendo das chamadas usadas pelo software (se chamadas não-EPM forem usadas, por exemplo), uma atualização pode ser necessária (lembre-se das alterações nas instruções de configuração, especialmente a partir de 8.3).

  2. Dado que você nos disse que o ping e o RDP funcionam, mas o RPC, retrabalho a configuração completa provavelmente não é uma ótima solução, mas tentarei escrever uma configuração mais simples, supondo que:

    • Você não precisa de NAT entre redes internas que usam endereçamento IP privado (o nat-control parece realmente desativado).
    • Você não precisa de comunicação intra-interface.
ASA Version 8.2(5)
!
hostname AAA-AAAAA
enable password HxFQQ4ozRZkZGyAK encrypted
passwd HxFQQ4ozRZkZGyAK encrypted
names
!
interface Ethernet0/0
 switchport nonegotiate
 switchport mode access
 switchport access vlan 100
!
interface Ethernet0/1
 switchport nonegotiate
 switchport mode access
 switchport access vlan 200
!
interface Ethernet0/2
 switchport nonegotiate
 switchport mode access
 switchport access vlan 300
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
interface Vlan100
 no forward interface Vlan300
 nameif VLAN-AWTP
 security-level 100
 ip address 192.168.127.4 255.255.255.0
!
interface Vlan200
 nameif VLAN-OPC
 security-level 20
 ip address 192.168.77.1 255.255.255.0
!
interface Vlan300
 nameif VLAN-MWTP
 security-level 90
 ip address 192.168.50.245 255.255.255.0
!
ftp mode passive
access-list vws-access-out extended permit tcp host 192.168.77.4 host 192.168.127.50 eq 44818
pager lines 24
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 3600
access-group vws-access-out out interface VLAN-AWTP
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 192.168.127.0 255.255.255.0 VLAN-AWTP
ssh timeout 60
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username aaaaaaaa password Tpz8OQBnrHIDp010 encrypted privilege 15
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect ip-options
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect icmp
  inspect dcerpc
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email [email protected]
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:f545ff56444cbffecda9d652f2261e2d
: end

Não posso garantir que funcione no seu contexto, é claro, mas o "debug dcerpc?" e "rastreador de pacotes?" comandos podem ser úteis para capturar os erros no seu dispositivo ao vivo.

    
por 14.09.2015 / 13:13

Tags