Las consultas de DNS que se envían a través de un firewall no utiliza puertos de origen aleatorio después de instalar la actualización de seguridad 953230 (MS08-037)

Seleccione idioma Seleccione idioma
Id. de artículo: 956190 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Después de instalar la actualización de seguridad 953230 (MS08-037) en un equipo con Microsoft Windows, las consultas de DNS (Sistema de nombres de dominio) que se envían desde dicho equipo a través de un firewall no utilizan puertos de origen aleatorios.

Causa

Este comportamiento se produce porque los dispositivos NAT (Traducción de direcciones de red) cambian las direcciones IP de origen y destino. Dichos dispositivos también cambian el puerto de origen con frecuencia para evitar los conflictos de recursos que pueden surgir cuando varios hosts internos intentan enviar tráfico a través del mismo puerto de origen. Dado que muchos firewalls modernos realmente interrumpen el tráfico saliente internamente y crean nuevos sockets externos para NAT, no pueden utilizar puertos de origen idénticos en la misma IP externa sin crear un conflicto. Por consiguiente, los firewalls utilizan la asignación secuencial de puertos para el tráfico del NAT. Externamente, puede parecer que los puertos aleatorios que va a utilizar la resolución DNS actualizada son asignaciones secuenciales de puertos, incluso después de que la actualización de seguridad 953230 se aplique al host NAT interno.

Solución

Para resolver este problema, utilice uno de los métodos siguientes:
  • Cree una relación de red enrutada entre el servidor DNS e Internet. La capacidad y metodología de este método depende de la tecnología de firewall que se use. Esto puede requerir que el servidor DNS se reasigne a otra subred, con el fin de que la relación entre el servidor e Internet deje de utilizar NAT.
  • Si tiene un solo servidor DNS, puede implementar una solución DNS dividida en los servicios de DNS de Windows Server 2003 o Windows Server 2008. En este escenario, el servidor DNS debe estar disponible desde dos direcciones IP. Una de estas direcciones IP es interna, mientras que la otra está fuera de la red del servidor NAT. Las estaciones de trabajo internas realizan las consultas al servidor DNS. Si ha instalado la actualización de seguridad 953230, el servidor DNS utiliza la aleatorización de puertos para reenviar las solicitudes externas a otros servidores DNS.

    Para ello, abra la herramienta de administración de DNS, haga clic en el servidor y, seguidamente, haga doble clic en Reenviadores. Haga clic en la ficha Reenviadores y, después, configure la opción Todos los otros dominios DNS. A continuación, el servidor reenviará automáticamente todas las solicitudes de dominios DNS que el servidor no gestione a los servidores que aparezcan en la lista de direcciones IP del reenviador de dominio seleccionado. Agregue los servidores DNS del proveedor ascendente a esta lista.

    Las estaciones de trabajo internas se deben configurar para utilizar la dirección IP interna del servidor DNS. Esta dirección se puede establecer manualmente o con las opciones de DHCP (Protocolo de configuración dinámica de host).

    Nota El uso de un único servidor DNS en una solución DNS dividida proporciona a los clientes las ventajas de la aleatorización de puertos DNS. Sin embargo, esta configuración agrega una ruta desde Internet a la red local o de la empresa. Esta configuración puede aumentar la exposición a amenazas de Internet.
  • También puede configurar una solución DNS dividida para utilizar dos servidores, en lugar de uno. En este escenario, uno de los servidores DNS está fuera de la red que contiene el servidor NAT, mientras que el otro está dentro de dicha red. Configure el servidor interno tal como se describe en el escenario de un solo servidor DNS, pero incluya la dirección del servidor DNS externo en la lista de direcciones IP del reenviador, en lugar de incluir el proveedor ascendente. Como el servidor DNS externo se encuentra fuera de la red que contiene el servidor NAT, la aleatorización de puertos no se interrumpe.
  • Para saber si hay actualizaciones planeadas para su producto de firewall, póngase en contacto con el proveedor del firewall.

Más información

Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
953230 MS08-037: Las vulnerabilidades en DNS podrían permitir la suplantación de identidad (spoofing)
812873 Cómo reservar un rango de puertos efímeros en un equipo con Windows Server 2003 o Windows 2000 Server (en inglés)
956188 Después de instalar la actualización de seguridad del servicio Servidor DNS 953230 (MS08-037) tiene problemas con los servicios de red que dependen de UDP
956187 Aviso de seguridad de Microsoft: mayor amenaza para la vulnerabilidad de suplantación de identidad de DNS
956189 Después de instalar la actualización de seguridad de servidor DNS 953230 (MS08-037) es posible que algunos servicios no se inicien o no funcionen correctamente en un equipo con Windows SBS

Propiedades

Id. de artículo: 956190 - Última revisión: jueves, 31 de julio de 2008 - Versión: 1.2
La información de este artículo se refiere a:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 sobre las siguientes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 sobre las siguientes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 sobre las siguientes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 sobre las siguientes plataformas
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Palabras clave: 
kbexpertiseinter kbtshoot KB956190

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com