Início > Não categorizado > ISA Server LockDown Mode

ISA Server LockDown Mode

Saudações,

Acabo de verificar uma estrutura de ISA Server 2006 com uma alta demanda de acesso internet e praticamente nenhuma regra de bloqueio, ou seja, neste cliente, vc acessa de tudo a qualquer hora e em qualquer lugar.

Verifiquei no event viewer o erro ID 21210:

Event Type: Error
Event Source: Microsoft ISA Server Control
Event Category: None
Event ID: 21210
Date:  6/18/2009
Time:  3:27:06 AM
User:  N/A
Computer: ************

Description:
The new configuration cannot be set, and configuration settings cannot be reverted to last known good values. As a result ISA Server is now in lockdown mode. For more information, see the topic Lockdown Mode in ISA Server online help. The error description is: Some configuration changes were not applied. See the Windows event viewer for more details.

Além desse erro, verifiquei outros que impediam a gravação de alterações feitas no Firewall Policy.

Em tese este comportamento ocorre quando um determinado ataque deixa o servidor ISA em um estado crítico. Neste momento a primeira reação é isolar o equipamento do acesso a internet evitando comprometer o ambiente. Em condições normais, você vai analisar o origem do ataque e colocar seu ambiente novamente em operação.

A feature de lockdown veio com o ISA Server 2004 combinando a necessidade de isolamento com a necessidade de estar conectado. Toda vez que este comportamento ocorre o ISA Server entra no lockdown mode.

Ocorre em alguns dos casos abaixo:

  • Algum evento configurado no servidor para que, em determinado momento o ISA Server entre em lockdown mode.
  • Quando o serviço de firewall do ISA é manualmente parado.
Quando em lockdown mode, são aplicáveis as seguintes funcionalidades:
  • Nenhum acesso de fora para dentro ocorre, pois, conforme falamos, o modo isola o equipamento 
  • VPN não funciona
  • Permite ICMP de servidores internos para o local host.
  • Permite gerenciamento remoto via MMC e RDP

Quando o ISA sai do estado de lockdown, qualquer mudança efetuada em regras são aplicadas normalmente.

No caso deste cliente, temos um um consumo exagerado, sem regras de bloqueio e nem normas definidas do que pode ou o que não pode ser acessado. Além disso, os servidor foram montados com 2 arrays, o primeiro em RAID 1 e outro em RAID 5, sendo que neste último rodam cache e logs.

O ISA Server sobrecarregado na gravação de log’s e cache entendeu este estado crítico como um ataque e entrou no lockdown mode.

Obviamente que num ambiente com um link de quase 300 Mbps e quase 10.000 acessos sem normas de bloqueio e um servidor montado desta forma, teremos esses tipos de problema.

Portanto:

Recomendo que para montagem do servidor utilize sempre um array group para cache e outro para log’s. Use sempre 1 array com RAID 1 para SO e ISA Server e outros dois, também em RAID 1 para cache e log’s respectivamente. Vc pode também montar um RAID 10 em dois RAID 1 para obter performance.

Manter uma política de acessos, pelo menos razoável. Neste cliente temos pessoas baixando filmes, acessando MSN o tempo todo, sites de conexão bi-direcional como Torrent.

Evite alocar muito espaço para arquivo de cache. No link abaixo você encontra recomendações da Microsoft para este tema:

http://www.microsoft.com/resources/documentation/isa/2000/enterprise/proddocs/en-us/isadocs/m_p_c_caching.mspx?mfr=true

Espero ter sido útil e que não passem por isso..rs..rs

Abraços

Uilson

Categorias:Não categorizado
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: