Τα ερωτήματα DNS που αποστέλλονται σε ένα τείχος προστασίας δεν χρησιμοποιούν τυχαίες θύρες προέλευσης μετά την εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας 953230 (MS08-037)

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 956190 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Συμπτώματα

Μετά την εγκατάσταση της ενημερωμένης έκδοσης ασφάλειας 953230 (MS08-037) σε έναν υπολογιστή που βασίζεται σε Microsoft Windows, τα ρωτήματα Domain Name System (DNS) που στέλνονται από τον υπολογιστή σε ένα τείχος προστασίας δεν χρησιμοποιούν τυχαίες θύρες προέλευσης.

Αιτία

Αυτή η συμπεριφορά εμφανίζεται επειδή οι συσκευές Network Address Translation (NAT) αλλάζουν τις διευθύνσεις ΙΡ προέλευσης και προορισμού. Αυτές οι συσκευές, επίσης, αλλάζουν συχνά τη θύρα προέλευσης για να αποφύγουν διενέξεις πόρων που ενδέχεται να προκύψουν όταν πολλοί εσωτερικοί κεντρικοί υπολογιστές προσπαθούν να στείλουν την κίνηση χρησιμοποιώντας την ίδια θύρα προέλευσης. Επειδή πολλά σύγχρονα τείχη προστασίας στην πραγματικότητα διακόπτουν την εξερχόμενη κίνηση εσωτερικά και δημιουργούν νέες εξωτερικές υποδοχές για ΝΑΤ, τα τείχη προστασίας δεν μπορούν να χρησιμοποιήσουν όμοιες θύρες προέλευσης στην ίδια εξωτερική ΙΡ χωρίς να προκύπτει διένεξη. Γιαυτό, τα τείχη προστασίας χρησιμοποιούν την αντιστοίχιση διαδοχικών θυρών για την κίνηση από το ΝΑΤ. Οι τυχαίες θύρες που χρησιμοποιούνται από το ενημερωμένο πρόγραμμα ανάλυσης DNS μπορούν να είναι ορατές εξωτερικά με τη χρήση αντιστοιχίσεων διαδοχικών θυρών ακόμα και αφού η ενημερωμένη έκδοση ασφαλείας 953230 εφαρμοστεί στον εσωτερικό κεντρικό υπολογιστή NAT.

Προτεινόμενη αντιμετώπιση

Για να επιλύσετε αυτό το ζήτημα, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:
  • Δημιουργήστε μία δρομολογημένη σχέση δικτύου μεταξύ του διακομιστή DNS και του Internet. Η δυνατότητα και η μεθοδολογία για αυτό εξαρτάται από την τεχνολογία του τείχους προστασίας που χρησιμοποιείται. Αυτό μπορεί να σημαίνει ότι ο διακομιστής DNS θα εκχωρηθεί ξανά σε ένα διαφορετικό υποδίκτυο έτσι ώστε η σχέση μεταξύ του διακομιστή και του Internet να μην χρησιμοποιεί πλέον NAT.
  • Εάν έχετε έναν μεμονωμένο διακομιστή DNS, μπορείτε να υλοποιήσετε μία λύση διαίρεσης DNS στις υπηρεσίες Windows Server 2003 ή Windows Server 2008 DNS. Σε αυτό το σενάριο, ο διακομιστής DNS πρέπει να είναι διαθέσιμος από δύο διευθύνσεις IP. Η μία διεύθυνση ΙΡ είναι εσωτερική και η άλλη είναι εξωτερική στο δίκτυο διακομιστών ΝΑΤ. Οι εσωτερικοί σταθμοί εργασίας πραγματοποιούν ερωτήματα στον διακομιστή DNS. Εάν έχετε εγκαταστήσει την ενημερωμένη έκδοση ασφαλείας 953230, ο διακομιστής DNS χρησιμοποιεί τυχαία ρύθμιση θύρας για να προωθήσει εξωτερικές αιτήσεις σε άλλους διακομιστές DNS.

    Για να γίνει αυτό, ανοίξτε το εργαλείο διαχείρισης DNS, κάντε κλικ στον διακομιστή και στη συνέχεια κάντε διπλό κλικ στο Forwarders. Κάντε κλικ στην καρτέλα Forwarders, και στη συνέχεια ρυθμίστε την επιλογή Όλοι οι άλλοι τομείς DNS. Ο διακομιστής θα προωθήσει στη συνέχεια αυτόματα κάθε αίτηση για τομείς DNS που δεν χειρίζεται ο διακομιστής στους διακομιστές που έχουν καταγραφεί στον κατάλογο των διεύθύνσεων IP προωθήσεων του επιλεγμένου τομέα. Προσθέστε τους νέους διακομιστές DNS της υπηρεσίας παροχής σε αυτόν τον κατάλογο.

    Οι εσωτερικοί σταθμοί εργασίας πρέπει να ρυθμιστούν ώστε να χρησιμοποιούν την εσωτερική διεύθυνση του διακομιστή σας DNS. Αυτό μπορεί να ρυθμιστεί μη αυτόματα ή χρησιμοποιώντας επιλογές του πρωτοκόλλου Dynamic Host Configuration (DHCP).

    Σημείωση Η χρήση ενός μεμονωμένου διακομιστή DNS σε μία λύση διαίρεσης DNS παρέχει στους πελάτες τη δυνατότητα να ρυθμίζουν τυχαίες θύρες DNS. Ωστόσο, αυτή η ρύθμιση προσθέτει μία δίοδο από το Internet προς την επιχείρησή σας ή το τοπικό δίκτυο. Αυτή η ρύθμιση θα μπορούσε να ρυθμίσει την έκθεση σε απειλές από το Internet.
  • Μπορείτε επίσης να ρυθμίσετε μία λύση διαίρεσης DNS για να χρησιμοποιείτε δύο διακομιστές αντί έναν. Σε αυτό το σενάριο, ένας από τους διακομιστές σας DNS είναι εξωτερικός στο δίκτυο που περιλαμβάνει τον διακομιστή NAT και άλλος είναι εσωτερικός στο δίκτυο που περιέχει τον διακομιστή NAT. Ρυθμίστε τον εσωτερικό διακομιστή όπως περιγράφεται σε ένα σενάριο μεμονωμένου διακομιστή DNS, αλλά καταγράψτε τη διεύθυνση του εξωτερικού διακομιστή DNS στη λίστα διευθύνσεων IP προωθήσεων αντί να καταγράψετε τη νέα υπηρεσία παροχής. Επειδή ο εξωτερικός διακομιστής DNS βρίσκεται εκτός του δικτύου που περιλαμβάνει τον διακομιστή NAT, η τυχαία ρύθμιση θύρας δεν διακόπτεται.
  • Επικοινωνήστε με τον κατασκευαστή του τείχους προστασίας για να δείτε εάν υπάρχουν ενημερώσεις προγραμματισμένες για το δικό τους προϊόν.

Περισσότερες πληροφορίες

Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
953230 MS08-037: Θέματα ευπάθειας στο DNS θα μπορούσαν να επιτρέψουν την πλαστογράφηση
812873 Τρόπος δέσμευσης μίας περιοχής προσωρινών θυρών σε έναν υπολογιστή που λειτουργεί με Windows Server 2003 ή Windows 2000 Server (US)
956188 Αντιμετωπίζετε δυσκολίες με τις υπηρεσίες δικτύου που εξαρτώνται από UDP μετά την εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας 953230 (MS08-037) στον διακομιστή DNS.
956187 Συμβουλευτικό δελτίο ασφαλείας της Microsoft: Αυξημένη απειλή για την ευπάθεια πλαστογράφησης DNS
956189 Μερικές υπηρεσίες ενδέχεται να μην ξεκινούν ή να μην λειτουργούν σωστά σε έναν υπολογιστή με Windows SBS μετά την εγκατάσταση της ενημερωμένης έκδοσης ασφαλείας του διακομιστή DNS 953230 (MS08-037)

Ιδιότητες

Αναγν. άρθρου: 956190 - Τελευταία αναθεώρηση: Πέμπτη, 31 Ιουλίου 2008 - Αναθεώρηση: 1.1
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 στις ακόλουθες πλατφόρμες
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 στις ακόλουθες πλατφόρμες
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 στις ακόλουθες πλατφόρμες
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 στις ακόλουθες πλατφόρμες
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 στις ακόλουθες πλατφόρμες
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Λέξεις-κλειδιά: 
kbexpertiseinter kbtshoot KB956190

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com