Início > Fore Front TMG 2010 > TMG – Troubleshooting

TMG – Troubleshooting

Saudações,

Caso ocorrido em uma infra estrutura TMG em que instabilidades ocorriam no acesso a internet. Depois de um intervalo de 5 a 10 mins, o problema simplesmente desaparecia. No Alert do TMG verificavamos eventos de SYN Attack.

No event viewer verificavamos diversos eventos de estações excedendo limites de conexões.

O post é meio grande, mas, vale a pena conferir:

Durante o processo de análise, geramos diversas queries do tráfego, além de ações pré-definidas com o intuito de mitigar o problema e nos proporcionar condições de analisar o caso sem eventos de indisponibilidade.

O resultado da primeira análise nos trouxe por muitas vezes o erro abaixo:

· Erro: 0xc0040017 = FWX_E_TCP_NOT_SYN_PACKET_DROPPED – Conexões enviadas para o TMG totalmente fora da sequencia do TCP.

Percebemos que no dia em que o problema voltou a ocorrer, tínhamos mais de 1000 eventos destes por servidor/minuto.

Uma quantidade alta de erros como este saindo das estações é um fator que pode causar o SYN-Attack.

Em análise feita no TMG verificamos que o range de IP da placa externa estava cadastrado na rede interna da ferramenta. Este cenário causa perda e acúmulo de conexões no servidor e consequentemente a instabilidade sentida pelo usuário.

Além disso, as log’s de análise da Microsoft mostravam um trafégo de quase 500 Mbps na rede interna, o que pode causar instabilidades no serviço de load balance.

A Microsoft recomenda fortemente a remoção de qualquer range de IP da rede interna que esteja no mesmo seguimento da rede externa.

Antes de efetuarmos a remoção do range, ligamos um Live Log por algum tempo para termos certeza de que nenhum IP nesta range estava sendo gerenciado pelo TMG. Como não houve nenhum tráfego de IP’s diferentes do que estão cadastrados na placa externa, prosseguimos com o trabalho.

Com base no que foi analisado, mapeamos alguns pontos a serem verificados e corrigidos:

· Alteração de parâmetros para mitigação do SYN Attack

O foco primário é um ajuste no parâmetro de SYN Attack para aliviar o problema em ambos os ambientes que utilizam o TMG.

Por padrão o TMG utiliza dois parâmetros para proteção da rede e do próprio TMG que identifica pacotes iniciados como SYN, mas que não são totalmente finalizados para o estabelecimento de uma conexão conhecida como Three-Way Handshake

Em mais detalhes o 3 Way Handshake é composto de três pacotes:

1. Cliente envia o pacote TCP SYN (S) para o Servidor WEB na Porta 80

10.99.99.30        207.46.19.60      TCP        TCP:Flags=……S., SrcPort=4465, DstPort=HTTP(80)

2. Servidor envia um ACK (A) e um SYN (S) para o Cliente

207.46.19.60      10.99.99.30        TCP        TCP:Flags=…A..S., SrcPort=HTTP(80), DstPort=4465

3. Cliente enviar um ACK para o recebimento do SYN do servidor.

10.99.99.30        207.46.19.60      TCP        TCP:Flags=…A…., SrcPort=4465, DstPort=HTTP(80)

Assim o SYN attack é composto quando há muitas conexões como o primeiro pacote (1) sem o devido acompanhamento dos demais dois pacotes (2 e 3) para fechar o 3 way handshake. Este tipo de conexão também conhecido pela terminologia TCP Half Open Connection.

O TMG por padrão possui os seguintes parâmetros padrões para controlar um ataque SYN:

SynAttackHalfOpenEnable – O processo de entrar no modo SYN Attack será acionado quando ocorrerem 1000 conexões SYN sem o devido fechamento do Three Way Handshake.

SynAttackHalfOpenDisable – O processo de SYN voltará ao modo normal quando tivermos 200 ou menos conexões SYN no TMG.

Mesmo sem estarem presentes na chave de registro, os valores acima são utilizados por padrão pelo TMG.

· Aplicação do Software Update 1 – Rollup’s 2 e 3

O produto estava com SP1 e o Software Update 1 Rollup 1.

· Aplicação das alterações

Com prévia apresentação da análise e aprovação do cliente, as seguintes alterações foram executadas:

Remoção do Range externa que estava cadastrada na rede interna do TMG

Aplicação do Software Update 1 Rollup 2

Alteração de parâmetros no registry para mitigação do SYN Attack – Como forma de alteração do comportamento padrão de detecção do Ataque SYN, fizemos a alteração dos parâmetros para os seguintes valores:

HKeyLocalMachine\SYSTEM\CurrentControlSet\Services\Fweng\Parameters

SynAttackHalfOpenEnable =2000

SynAttackHalfOpenDisable=1500

Esta alteração não significa a resolução total do problema, mas nos dará a possibilidade de alivio no mesmo. As análises de tráfego para tentar entender o que está gerando a quantidade exagerada de conexões TCP half-open continuam.

Após as alterações efetuadas na data acima, verificamos sensível mudança nos seguintes itens:

· Erro: 0xc0040017 = FWX_E_TCP_NOT_SYN_PACKET_DROPPED – Conexões enviadas para o TMG totalmente fora da sequencia do TCP.

Com a remoção dos ranges da placa externa da rede interna do TMG, este problema não mais ocorre, sendo fator considerável ao não acontecimento dos problemas de SYN-Attack.

· Alteração de parâmetros no registry para mitigação do SYN Attack

Após inclusão dos parâmetros de detecção de SYN-Attack do TMG, o mesmo deixou de usar o parâmetro default e agora utiliza os parâmetros abaixo:

HKeyLocalMachine\SYSTEM\CurrentControlSet\Services\Fweng\Parameters

SynAttackHalfOpenEnable =2000

SynAttackHalfOpenDisable=1500

Verificamos que após esta alteração, não mais registramos nehuma ocorrência de SYN-Attack que pudesse impactar no funcionamento do servidor e conseqüente parada no acesso internet para os usuários.

Entendemos estes valores como os ideais para o ambiente no que tange a continuidade dos serviços de acesso internet via proxy Forefront TMG.

Conclusão

Com as alterações efetuadas, o número de conexões caiu sensivelmente e o tráfego passando pela rede interna também (de quase 500 Mbps para 180).

Estamos a quase 2 meses sem um único problema de instabilidade e/ou parada no acesso internet.

Espero que as ações efetuadas possam ajudar aos colegas que passam por situação semelhante.

Abraços

Uilson

Categorias:Fore Front TMG 2010
  1. 29 de março de 2011 às 17:21

    Muito bommm!

    • 29 de março de 2011 às 18:53

      Valeu Érick…o seu blog também está muito bom e tem ajudado bastante em alguns cases que trabalhei com IIS.
      Abs!

  2. 29 de março de 2011 às 18:42

    Oi Uilson, tudo bem? Fico feliz sobre o seu “final feliz” neste caso.

    Tive o mesmo problema com esse “bendito” SYN Attack que meu caso ficou em chamado com a Mirosoft (também com o Daniel e o Yuri) durante 3 meses até o fechamento do chamado e mais uns 4 meses antes da abertura de chamado. Durou bastante tempo a coisa… Imagina, vocês ficaram 2 meses com essa instabilidade e no meu caso foram 7 meses… :S

    Na época só tinha o Update Rollup 1 (não era liberado publicamente) e demoramos muito para chegar no SYN Attack. Depois que chegamos lá por mais que toda a parametrização foi feita para ajustar o ambiente, fomos obrigados a desabilitar essa opção de tão feia que era a coisa.

    Parabéns pelo post e a forma que ele foi documentado. Também reconheço e reforço o belo atendimento feito pela equipe da Microsoft que me atenderam muito bem!

    Grande abraço!

    André Mailer
    contato@andremailer.com.br
    http://www.andremailer.com.br
    @andremailer

    • 29 de março de 2011 às 18:52

      Valeu André! Obrigado pelas palavras…entendo perfeitamente o que sofreu! Esse case que trabalhei com o Daniel durou dois meses, mas, já vinhamos desde novembro de 2010 com problemas e tentando achar a razão…felizmente tudo foi resolvido.
      Convido vc a participar do grupo que eu e meu amigo Paulo Oliveira estamos gerenciando no Linkedin – ISA/TMG Firewall Admins Brazil. Caso tenha conta lá, entra no opção de grupos e faça a busca pelo nome que passei…eu aprovo vc e já pode participar.
      Abraços!

      • 29 de março de 2011 às 19:11

        Procurei o grupo e não achou… Me manda o convite por e-mail ou twitter😉

        Abraços!

      • 11 de abril de 2011 às 17:16

        Já vou enviar o invite! Abs!

  3. Wisley Brito
    22 de setembro de 2014 às 16:32

    Olá Uilson , tudo bom cara !?
    Então , estou com um problema meio parecido com o deste post e venho tentando resolver , porem sem muito sucesso. Tenho um TMG 2010 que roda com web proxy e firewall ativos na minha rede , estou tentando obter acesso a internet em uma de nossas subnets (192.168.3.0) que fica localizada em ambiente físico separado de onde fica o TMG (192.168.1.0) , eu consigo obter comunicação entre as maquinas dessa filial com o TMG através de ping e vice versa , porém quando tento um acesso a internet ou tento comunicar o Client do TMG instalado nessa máquina não funciona , estive analisando os logs do TMG e ele apresenta o erro 0xc0040017 FWX_E_TCP_NOT_SYN_PACKET_DROPPED.

    Poderia me dar alguma dica baseado na sua experiência com esse tipo de problema ?

    Grato desde já ,

    Wisley Brito.

    • 23 de setembro de 2014 às 14:29

      Wisley, desculpe a demora…esses dias estava envolvido com a entrega de um webcast e me tomou muito tempo, além do trabalho!

      O range 192 está cadastrado na lista de IP´s da rede interna? Verifique isso.

      O roteamento entre as redes, pelo que vc me falou, parece estar OK, mas, de qualquer forma, veja se vc tem rotas estáticas no TMG para rede 192 ou se é feito via router e se lá tem algum problema.

      Outro fator a verificar é de repente vc não cria uma rede de perímetro no TMG colocando o range da sua rede 192 e adicionar nas regras existentes.

  1. 1 de maio de 2011 às 22:20

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: