Início > ISA Server 2006 > Intermitência em aplicações publicadas no ISA Server 2006

Intermitência em aplicações publicadas no ISA Server 2006

Saudações,

Anteontem (23/11) atendi a um case de intermitência em aplicações web publicadas em um ISA Server 2006. Durante o processo de uso em determinado momento a conexão caía e o usuário recebia uma mensagem de erro avisando que o número de conexões HTTP por minuto havia excedido.

Em conjunto com a equipe de suporte a aplicações fizemos testes internos e o problema não ocorria, porém, para os parceiros externos da empresa, o error persistia.

Para que o leitor tenha uma idéia, imagine o seguinte ambiente:

Uma DMZ com servidores de aplicação, banco de dados e um ISA Server 2006 protegida por um Firewall CheckPoint na borda. O ISA Server faz o serviço do proxy reverso, aumentando a segurança no acesso as aplicações. Os bancos ficam separados por VLAN´s também protegidas por regras de firewall.

O ISA Server trabalha no padrão Edge com duas placas de rede (Interna e Externa). O roteamento interno é feito através de rotas estáticas e o gateway configurado em placa de rede é o da rede externa.

Ao analisar o tráfego, verifiquei que, após alguns minutos de uso da aplicação, uma série de eventos de bloqueio ocorriam a partir do IP de gateway da rede externa com o seguinte erro:

Error 12219: The number of HTTP requests per minute exceeded the configured limit. Contact your Forefront TMG administrator.

Repetimos o teste e o problema persistiu.

Acima de 600 conexões HTTP por minuto, o ISA Sever efetua o block das mesmas, por entender como sendo um ataque. Este behavior fazer parte das políticas de flood mitigation do produto que funciona da mesma forma no Forefront TMG. Veja tela abaixo:

image

 O limite é 600 e você pode aumentar até 6000, mas, sinceramente, não recomendo alteração destes números, sendo que os mesmos já estão num padrão aceitável.

Para resolver o poblema por hora, e por se tratar de um IP do próprio gateway da DMZ, inseri ele na parte de IP Exceptions (veja aba na figura acima).

Após este procedimento o problema não mais ocorreu, porém, ele não é e não pode ser a solução final. Fiz algumas recomendações para os responsáveis tais como, verificação no router (origem do IP do gateway), verificação das estações e infra estrutura da origem dos acessos e também uma análise na aplicação, que, por sua vez, pode estar abrindo diversas conexões e causando ao ISA Server a impressão de um ataque.

Colocar um host como exceção pode ser considerado em casos de servidores AD, DNS e outros após prévia análise.

Alterar os valores de flood mitigation somente com uma profunda análise e testes.

Lembrando que as recomendações acima também servem para o Forefront TMG.

Espero que o cenário possa ser útil e ajudar ao colegas.

Abraços

Uilson

Categorias:ISA Server 2006
  1. Valmor Lima
    25 de novembro de 2011 às 21:22

    Muito bom material! Parabens!

    • 26 de novembro de 2011 às 9:33

      Valmor, obrigado pelo apoio e feedback no blog! Continue participando!

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: