Cisco ASA 5505 не дозволяє трафіку OPC

Я інтегрую брандмауер Cisco ASA 5505 таким чином:

Внутрішній діапазон IP (VLAN-AWTP): 192.168.127.xxx (промислові пристрої)

Діапазон IP DMZ (VLAN-OPC): 192.168.77.xxx (лише ПК із сервером OPC, який здійснює доступ до пристрою промислової мережі)

Зовнішній діапазон IP (VLAN-MWTP): 192.168.50.xxx (клієнт OPC)

Метою брандмауера є надання доступу VLAN-MWTP до ПК на VLAN-OPC (FULL доступ нормальний) та надання обмеженого доступу (один TCP-порт) від сервера OPC до промислового пристрою . Це стосується NATING і таких, які, я думаю, я реалізував нормально.

Ось мій поточний стан справ і моє питання:

-VLAN-OPC може отримати доступ до VLAN-AWTP ok (може отримати доступ до порту TCP на промисловому пристрої).

-Пакет на VLAN-MWTP може пінг і rdp на ПК сервера VLAN-OPC за допомогою NATed 192.168.50.32 (перекладається на 192.168.77.4), але, здається, він не може переглядати або підключатися до сервера OPC. Я отримую помилку "Сервер RPC недоступний"

-Я виділив це як проблему з брандмауером, а не з Windows DCOM, як це звичайна проблема з підключеннями OPC (була ця боротьба вже!) Я перевірив, встановивши IP ПК OPC на ту ж підмережу, що і MWTP-VLAN, і обійшов брандмауер. Підключено добре.

-Я спробував декілька різних речей, таких як включення інспекції DCERPC згідно інструкцій декількох форумів, але все одно не раді, але до цього моменту я відчуваю себе в глибині, тому я міг би зробити щось не так. Ви, напевно, можете бачити, звідки мої правила перевірки починають скуватися.

-Зазвичай, я був би задоволений повним доступом (включаючи RPC, DCOM, що завгодно) від VLAN-MWTP до VLAN-OPC. Я б не подумав, що це має бути так важко ??

Конфігурація така:

ASA Version 8.2(5)
!
hostname AAA-AAAAA
enable password HxFQQ4ozRZkZGyAK encrypted
passwd HxFQQ4ozRZkZGyAK encrypted
names
!
interface Ethernet0/0
 switchport access vlan 100
!
interface Ethernet0/1
 switchport access vlan 200
!
interface Ethernet0/2
 switchport access vlan 300
!
interface Ethernet0/3
 shutdown
!
interface Ethernet0/4
 shutdown
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
interface Vlan100
 no forward interface Vlan300
 nameif VLAN-AWTP
 security-level 100
 ip address 192.168.127.4 255.255.255.0
!
interface Vlan200
 nameif VLAN-OPC
 security-level 0
 ip address 192.168.77.1 255.255.255.0
!
interface Vlan300
 nameif VLAN-MWTP
 security-level 0
 ip address 192.168.50.245 255.255.255.0
!
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group network opc-chw-ip
access-list opc-access-in extended permit tcp host 192.168.77.4 host 192.168.77.50 eq 44818
access-list vws-access-out extended permit tcp host 192.168.77.4 host 192.168.127.50 eq 44818
pager lines 24
mtu VLAN-AWTP 1500
mtu VLAN-OPC 1500
mtu VLAN-MWTP 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (VLAN-AWTP,VLAN-OPC) 192.168.77.50 192.168.127.50 netmask 255.255.255.255
static (VLAN-OPC,VLAN-MWTP) 192.168.50.32 192.168.77.4 netmask 255.255.255.255
access-group vws-access-out out interface VLAN-AWTP
access-group opc-access-in in interface VLAN-OPC
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication telnet console LOCAL
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 192.168.127.0 255.255.255.0 VLAN-AWTP
ssh timeout 60
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
username aaaaaaaa password Tpz8OQBnrHIDp010 encrypted privilege 15
!
class-map icmp-class
 match default-inspection-traffic
class-map inspection-default
class-map CM-DCERPC
 match port tcp eq 135
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map icmp_policy
 class icmp-class
  inspect icmp
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect ip-options
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect icmp
  inspect dcerpc
 class CM-DCERPC
  inspect dcerpc
policy-map PM-DCERPC
 class CM-DCERPC
  inspect dcerpc
!
service-policy global_policy global
service-policy icmp_policy interface VLAN-AWTP
service-policy PM-DCERPC interface VLAN-OPC
service-policy PM-DCERPC interface VLAN-MWTP
prompt hostname context
no call-home reporting anonymous
call-home
 profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:f545ff56444cbffecda9d652f2261e2d
: end

ПК OPC, до якого я намагаюся підключитися, має статичний IP 192.168.77.4/24 із шлюзом 192.168.77.1 (цей брандмауер).

Будь-яка допомога буде дуже вдячна!

Ви забули ліцензію у користуванні, але з огляду на "відсутність прямого інтерфейсу Vlan300" я припускаю ліцензію "Base".

У всякому разі, чому ці заяви?

внутрішній інтерфейс дозволу на безпечний трафік
...
список доступу opc-доступ-розширений дозвіл хост tcp 192.168.77.4 хост 192.168.77.50 eq 44818
...
опц-доступ групи доступу в інтерфейсі VLAN-OPC

Здається, вони намагаються фільтрувати трафік між хостами в одній підмережі, але цей трафік не повинен перетинати міжмережевий екран, чи не так? Хто 192.168.77.50? Єдине, що я можу подумати - це те, що ви намагаєтеся зіставити промисловий пристрій з IP-адресою мережі OPC ... виконуючи "статичну (VLAN-AWTP, VLAN-OPC) 192.168.77.50 192.168.127.50 мережну маску 255.255.255.255" застосовуючи внутрішньоінтерфейс тощо.

Крім того, обидва повнофункціональні інтерфейси мають однаковий рівень безпеки (0), і крім того, сервісні політики, застосовані до конкретних інтерфейсів, не мають для мене особливого сенсу.

Будь ласка, не зрозумійте мене неправильно, але я просто намагаюся з'ясувати загальну картину.

Переходячи до можливих рішень, я можу подумати:

1. Оскільки існують різні варіанти RPC і оскільки RPC використовує Mapper Map End (EPM) для генерування нових з'єднань для клієнта, який запускає запити на порт 135 (подібно до поведінки Active FTP), одна можлива проблема може бути пов'язана з обмеженою підтримка деяких варіантів / повідомлень RPC версій ASA <9.4 ( http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/release/notes/asarn94.html - "перевірка DCERPC підтримка повідомлення UUID ISystemMapper RemoteGetClassObject opnum3 "); залежно від дзвінків, використовуваних вашим програмним забезпеченням (якщо, наприклад, використовуються дзвінки, що не належать до EPM), може бути необхідним оновлення (майте на увазі зміни в конфігураційних висловлюваннях, особливо з 8.3).

2. З огляду на те, що ви нам сказали, що ping і RDP працюють, але RPC, повторна робота повного конфігурації, ймовірно, не є чудовим рішенням, але я спробую написати більш простий, який може бути відповідним, припускаючи, що:

   • Вам не потрібен NAT між внутрішніми мережами, які використовують приватну IP-адресування (nat-control, здається, дійсно вимкнено).
   • Вам не потрібно внутрішньоінтерфейсне спілкування.

Версія 8.2 ASA (5)
!
ім'я хоста AAA-AAAAA
включити пароль HxFQQ4ozRZkZGyAK в зашифрованому вигляді
passwd HxFQQ4ozRZkZGyAK зашифровано
імена
!
інтерфейс Ethernet0 / 0
 комутатор не домовлявся
 доступ до режиму комутації
 доступ до комутатора vlan 100
!
інтерфейс Ethernet0 / 1
 комутатор не домовлявся
 доступ до режиму комутації
 комутаційний доступ vlan 200
!
інтерфейс Ethernet0 / 2
 комутатор не домовлявся
 доступ до режиму комутації
 комутаційний доступ vlan 300
!
інтерфейс Ethernet0 / 3
 закрити
!
інтерфейс Ethernet0 / 4
 закрити
!
інтерфейс Ethernet0 / 5
 закрити
!
інтерфейс Ethernet0 / 6
 закрити
!
інтерфейс Ethernet0 / 7
 закрити
!
інтерфейс Vlan100
 немає інтерфейсу прямого Vlan300
 nameif VLAN-AWTP
 рівень безпеки 100
 ip адреса 192.168.127.4 255.255.255.0
!
інтерфейс Vlan200
 nameif VLAN-OPC
 рівень безпеки 20
 ip адреса 192.168.77.1 255.255.255.0
!
інтерфейс Vlan300
 nameif VLAN-MWTP
 рівень безпеки 90
 ip адреса 192.168.50.245 255.255.255.0
!
FTP режим пасивний
список доступу vws-access-out розширений дозвіл tcp хост 192.168.77.4 хост 192.168.127.50 eq 44818
пейджерські лінії 24
icmp недоступний ліміт швидкості 1 розмір вибуху 1
не вмикається історія asdm
тайм-ауп арп 3600
група доступу vws-вихід з інтерфейсу VLAN-AWTP
тайм-аут xlate 3:00:00
timeout conn 1:00:00 напівзакритий 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
тайм-аут ковток 0:30:00 sip_media 0:02:00 sip-запрошення 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 абсолютний
тайм-аут tcp-proxy-збирання 0:01:00
timeout floating-conn 0:00:00
динамічний-доступ-політика-запис DfltAccessPolicy
aaa аутентифікація консолі ssh LOCAL
немає місцезнаходження snmp-сервера
немає контакту snmp-сервера
snmp-сервер увімкнення пастки з’єднання аутентифікації snmp
час життя секунди 28800 секунд
кілобайт 4608000, пов'язаний із захистом крипто ipsec
тайм-аут telnet 5
ssh 192.168.127.0 255.255.255.0 VLAN-AWTP
тайм-аут ssh 60
тайм-аут консолі 0
виявлення загрози basic-пагроза
Список доступу до статистики виявлення загроз
немає статистики виявлення загрози tcp-intercept
ім'я користувача aaaaaaaa зашифровано привілей Tpz8OQBnrHIDp010 15
!
class-map testing_default
 збігаються за замовчуванням-перевірка-трафік
!
!
тип карт-політики перевірити dns preset_dns_map
 параметри
  максимальна довжина повідомлення клієнта автоматично
  довжина повідомлення максимум 512
поліс-карта global_policy
 клас Inspection_default
  перевірити dns preset_dns_map
  оглянути ftp
  оглянути h323 h225
  оглянути h323 ras
  перевірити ip-параметри
  оглянути netbios
  оглянути рш
  оглянути rtsp
  оглянути худий
  оглянути esmtp
  оглянути sqlnet
  оглянути sunrpc
  оглянути tftp
  оглянути ковток
  перевірити xdmcp
  оглянути icmp
  оглянути dcerpc
!
сервісна політика global_policy глобальна
контекстний ім'я хоста
немає анонімних повідомлень про виклики додому
виклик додому
 профіль CiscoTAC-1
  немає активних
  адреса призначення http https://tools.cisco.com/its/service/oddce/services/DDCEService
  адреса призначення електронної пошти callhome@cisco.com
  транспортний метод призначення http
  підписатися на оповіщення групи діагностики
  середовище підписки на сповіщення
  періодично щомісяця підписуйтесь на сповіщення групи сповіщень
  періодичні щомісячні налаштування групи підписки на сповіщення
  періодичні щоденні підписки на групу сповіщень
Криптовалюта: f545ff56444cbffecda9d652f2261e2d
: кінець

Я не можу гарантувати, що він працює у вашому контексті, звичайно, але "налагодження dcerpc?" і "тракер пакетів?" команди можуть бути корисними для виявлення помилок на вашому реальному пристрої.