Les requêtes DNS envoyées au-delà du pare-feu n'utilisent pas de ports source aléatoires après l'installation de la mise à jour de sécurité 953230 (MS08-037)

Traductions disponibles Traductions disponibles
Numéro d'article: 956190 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Une fois la mise à jour de sécurité 953230 (MS08-037) installée sur un ordinateur Microsoft Windows, les requêtes DNS (Domain Name System) envoyées à partir de l'ordinateur et qui traversent un pare-feu n'utilisent pas les ports source aléatoires.

Cause

Ce comportement se produit car les périphériques NAT (Network Address Translation - Traduction d'adresses réseau) modifient les adresses IP source et de destination. Ces périphériques modifient également souvent le port source pour éviter les conflits de ressources susceptibles de survenir lorsque plusieurs hôtes internes tentent d'envoyer du trafic en utilisant le même port source. Étant donné que de nombreux pare-feu modernes bloquent en réalité le trafic sortant en interne et créent des sockets externes pour NAT, les pare-feu ne peuvent pas utiliser des ports source identiques sur la même adresse IP externe sans créer de conflit. Par conséquent, les pare-feu utilisent l'affectation de port séquentielle pour le trafic provenant de NAT. Les ports aléatoires utilisés par la résolution DNS mise à jour peuvent être considérés en externe comme utilisant des affectations de ports séquentielles, même après l'application de la mise à jour de sécurité 953230 à l'hôte NAT interne.

Résolution

Pour résoudre ce problème, appliquez l'une des méthodes ci-dessous :
  • Créez une relation de réseau routé entre le serveur DNS et Internet. La capacité et la méthodologie dépendent de la technologie de pare-feu utilisée. Elles peuvent nécessiter le déplacement du serveur DNS vers un autre sous-réseau pour que la relation entre le serveur et Internet n'utilisent plus NAT.
  • Si vous disposez d'un serveur DNS, vous pouvez mettre en ?uvre une solution DNS fractionnée dans les services DNS de Windows Server 2003 ou Windows Server 2008. Dans ce scénario, le serveur DNS doit être disponible depuis deux adresses IP. Une adresse IP est interne et l'autre externe au réseau du serveur NAT. Les stations de travail internes exécutent des requêtes sur le serveur DNS. Si vous avez installé la mise à jour de sécurité 953230, le serveur DNS utilise la randomisation du port pour transmettre les requêtes étrangères à d'autres serveurs DNS.

    Pour ce faire, ouvrez l'outil d'administration DNS, cliquez sur le serveur, puis double-cliquez sur Redirecteurs. Cliquez sur l'onglet Redirecteurs, puis configurez l'option Tous les autres domaines DNS. Le serveur transmet alors automatiquement les requêtes pour les domaines DNS que le serveur ne gère pas aux serveurs répertoriés dans la Liste d'adresses IP du redirecteur du domaine sélectionné. Ajoutez les serveurs DNS du fournisseur en amont à cette liste.

    Les stations de travail internes doivent être configurées pour utiliser l'adresse IP interne de votre serveur DNS. Elles peuvent l'être manuellement ou à l'aide des options du protocole DHCP (Dynamic Host Configuration Protocol).

    Remarque L'utilisation d'un seul serveur DNS dans une solution DNS fractionnée offre aux clients les avantages de la randomisation du port DNS. Toutefois, cette configuration ajoute une voie entre Internet et votre entreprise ou votre réseau local. Cette configuration peut accroître les risques de menace provenant d'Internet.
  • Vous pouvez également configurer une solution DNS fractionnée pour utiliser deux serveurs au lieu d'un. Dans ce scénario, l'un de vos serveurs DNS est externe au réseau qui contient votre serveur NAT et l'autre est interne au réseau qui contient le serveur NAT. Configurez le serveur interne comme décrit dans le scénario à un seul serveur DNS, mais répertoriez l'adresse du serveur DNS externe dans la Liste d'adresses IP du redirecteur au lieu de répertorier le fournisseur en amont. Étant donné que le serveur DNS externe réside en-dehors du réseau qui contient le serveur NAT, la randomisation du port n'est pas interrompue.
  • Contactez le fournisseur du pare-feu pour savoir si des mises à jour sont prévues pour le pare-feu.

Plus d'informations

Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants de la Base de connaissances Microsoft.
953230 MS08-037 : Des vulnérabilités dans DNS peuvent permettre l'usurpation d'identité
812873 Procédure de réservation d'une plage de ports éphémères sur un ordinateur exécutant Windows Server 2003 ou Windows 2000 Server (en anglais)
956188 Vous rencontrez des problèmes avec les services de réseau dépendants UDP après l'installation de la mise à jour de sécurité du service de serveur DNS 953230 (MS08-037)
956187 Avis de sécurité Microsoft : Élévation du niveau de menace concernant la vulnérabilité d'attaque par usurpation DNS
956189 Certains services peuvent ne pas démarrer ou fonctionner correctement sur un ordinateur qui exécute Windows SBS après l'installation de la mise à jour de sécurité du serveur DNS 953230 (MS08-037)

Propriétés

Numéro d'article: 956190 - Dernière mise à jour: jeudi 31 juillet 2008 - Version: 1.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 sur le système suivant
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 sur le système suivant
    • Microsoft Windows XP Édition familiale
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 sur le système suivant
    • Microsoft Windows XP Édition familiale
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 sur le système suivant
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professionnel
Mots-clés : 
kbexpertiseinter kbtshoot KB956190
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com