انجمن مدیران و راهبران شبکه

Network Managers and Administrators

انجمن مدیران و راهبران شبکه

Network Managers and Administrators

راه حل مشکل عدم دسترسی به شبکه در Microsoft Forefront TMG 2010





پیغام خطای گزارش شده توسط  Forefront TMG 2010 :


Denied Connection

Log type: Firewall service

Status: A packet was dropped because Forefront TMG determined that the source IP address is spoofed.



Iman Mojtahedin Yazdi - Forefront TMG 2010 - IP Spoofing




شرح ماجرا و نحوه عکس العمل Forefront TMG در مقابل Spoofed Packets :


مکانیزم دفاعی سیستم فایروال Microsoft Forefront به نحوی است که اگر یک بسته اطلاعات با سورس IP مربوط به یکی از رنج شبکه های سگمنت Internal بر روی کارت شبکه متصل به شبکه External دریافت شود انتظار میرود که این بسته اطلاعات از جانب فایروال Drop شود. شیوه تحلیل سیستم IDS سرور Forefront به منظور تشخیص معتبر بودن یک بسته دریافتی بصورت زیر است به عبارت دیگر یک بسته اطلاعات معتبر است اگر دارای دو شرط زیر باشد:

· The IP address is included in the IP address ranges assigned to the network of the network adapter through which it was received.

· The routing table indicates that traffic destined to that address can be routed through a network adapter belonging to that network.


در صورتیکه Source IP بسته دریافتی از سوی Forefront بر اساس دو قانون فوق معتبر شناخته نشود، Forefront بسته دریافتی را Drop نموده و با صدور یک Event نسبت به ایجاد یک گزارش از نوع IP Spoofing alert  اقدام خواهد نمود.


در سناریویی که من تجربه کردم، سرور Forefront  به عنوان VPN Server پیکربندی شده بود و با وجود اینکه کاربران VPN در لحظات ابتدایی راه اندازی سرور همانطور که انتظار می رفت به اینترنت دسترسی داشتند اما پس از گذشت چند لحظه تمامی بسته های ارسال شده توسط کاربران VPN توسط سرور فایروال Drop می شدند.


راه حل :


با مشاهده گزارشSpoofing توسط سرور Forefront TMG  اولین قدم حصول اطمینان از این موضوع است که رنج IP تنظیم شده برای VPN Client ها با رنج IP شبکه Internal یا Perimeter همپوشانی (Overlap) نداشته باشد.

دومین موردی که می تواند بصورت ناخواسته باعث وقوع این وضعیت نامطلوب در عملکرد Forefront شده باشد ، عدم تنظیم Default Gateway بر روی حداقل یکی از کارت شبکه های مربوط به سرور Forefront است و دقیقا مشکل بوجود آمده برای من نیز همین مطلب بود. دلیل اینکه من تنظیمات Default Gateway را بر روی سرور انجام نداده بودم این بود که نحوه دسترسی سرور Forefront در سناریوی مورد بحث من از طریق یک مودم ADSL محقق می گردید که به دلیل موارد امنیتی آن را در مود Bridge پیکربندی کرده بودم. بنابر این دسترسی به اینترنت از طریق یک اتصال از نوع PPOE بر روی سرور بر قرار می شد. لذا با وجود این مطلب نیازی به تنظیم Default Gateway بر روی کارت شبکه متصل به مودم نبود اما همین مطلب باعث ایجاد رفتار نامطلوب در نحوه عملکرد سیستم IDS سرور Forefront شده بود.


موفق و پیروز باشید (;