A 953230. számú biztonsági frissítés (MS08-037) telepítését követően a tűzfalon keresztül küldött DNS-lekérdezések nem használják a véletlenszerűen hozzárendelt forrásportokat

A cikk fordítása A cikk fordítása
Cikk azonosítója: 956190 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A jelenség

Miután telepítette a 953230. számú biztonsági frissítést (MS08-037) egy Microsoft Windows rendszerű számítógépen, a tartománynévrendszer (DNS) adott számítógépről, tűzfalon keresztül küldött lekérdezései nem használják a véletlenszerűen hozzárendelt forrásportokat.

Oka

Ennek oka, hogy a hálózati címfordítást (NAT) használó eszközök felcserélik a forrásként és a célként működő IP-címeket. Ezek az eszközök gyakran a forrásportot is módosítják az erőforrás-ütközések elkerülése érdekében, amelyek akkor fordulhatnak elő, ha több belső gazdaszámítógép azonos forrásport használatával kísérel meg forgalmat bonyolítani. Mivel számos korszerű tűzfal ténylegesen leállítja a kimenő forgalmat, és új külső szoftvercsatornákat hoz létre a hálózati címfordításhoz, a tűzfalak ütközés előidézése nélkül nem tudnak azonos forrásportot használni ugyanazon a külső IP-címen. A tűzfalak ezért sorozatos porthozzárendelést használnak a hálózati címfordításból származó forgalomhoz. A frissített DNS-feloldó által használt, véletlenszerűen hozzárendelt portok kívülről úgy tűnhetnek, mintha sorozatos porthozzárendelést használnának azt követően is, hogy a 953230. számú biztonsági frissítést telepítette a belső hálózati címfordítási gazdaszámítógépen.

A megoldás

A probléma megoldásához használja az alábbi módszerek egyikét:
  • Hozzon létre útválasztást használó hálózati kapcsolatot a DNS-kiszolgáló és az internet között. Ennek lehetősége és módja a használt tűzfal technológiájától függ. Az is előfordulhat, hogy a DNS-kiszolgálót át kell helyezni egy másik alhálózatba annak érdekében, hogy a kiszolgáló és az internet közötti kapcsolathoz ne legyen szükség hálózati címfordításra.
  • Ha egyetlen DNS-kiszolgálóval rendelkezik, a Windows Server 2003 és a Windows Server 2008 DNS szolgáltatásai esetében megosztott DNS-megoldást is alkalmazhat. Ebben az esetben a DNS-kiszolgálónak két IP-címről kell elérhetőnek lennie. Az egyik IP-cím a NAT-kiszolgáló hálózatán belüli, a másik azon kívüli. A belső munkaállomások hajtják végre a lekérdezéseket a DNS-kiszolgálón. Ha telepítette a 953230. számú biztonsági frissítést, a DNS-kiszolgáló a port véletlenszerű hozzárendelésével továbbítja az idegen kérelmeket más DNS-kiszolgálók számára.

    Ehhez nyissa meg a DNS felügyeleti eszközét, kattintson a kiszolgálóra, majd kattintson duplán a Továbbítók elemre. Kattintson a Továbbítók fülre, majd konfigurálja Az összes többi DNS-tartomány beállítást. A kiszolgáló ezt követően a DNS-tartományokkal kapcsolatos, a kiszolgáló által nem kezelt kérelmeket a kiválasztott tartomány továbbítási IP-címeinek listájában szereplő kiszolgálókra továbbítja. Adja hozzá a listához a felsőbb szintű DNS-kiszolgálókat.

    A belső munkaállomásokat a DNS-kiszolgáló belső IP-címének használatára kell konfigurálni. Ezt manuálisan vagy a DHCP beállításainak segítségével teheti meg.

    Megjegyzés: Ha egyetlen DNS-kiszolgálót használ egy megosztott DNS-megoldás esetén, a felhasználók kihasználhatják a DNS-portok véletlenszerű hozzárendelésének előnyeit. Ez a megoldás azonban hozzáférést biztosít az internetről a vállalati vagy helyi hálózathoz, és így növelheti az internetes fenyegetések kockázatát.
  • A megosztott DNS-megoldást egy helyett két kiszolgáló használatára is beállíthatja. Ebben az esetben az egyik DNS-kiszolgáló a NAT-kiszolgálót tartalmazó hálózaton kívül, a másik pedig azon belül található. Konfigurálja a belső kiszolgálót az egyetlen DNS-kiszolgálót tartalmazó környezetnek megfelelően, de a továbbítási IP-címek listájában a felsőbb szintű DNS-kiszolgáló helyett a külső DNS-kiszolgáló címét szerepeltesse. Mivel a külső DNS-kiszolgáló a NAT-kiszolgálót tartalmazó hálózaton kívül található, a portok véletlenszerű hozzárendelése nem szakad meg.
  • A tűzfalszoftverhez esetleg tervezett frissítésekről az adott termék gyártója nyújt felvilágosítást.

További információ

A Microsoft Tudásbázis kapcsolódó cikkei:
953230 MS08-037: A DNS biztonsági rései imitálásos támadást tehetnek lehetővé
812873 Ideiglenes porttartomány lefoglalása Windows Server 2003 és Windows 2000 Server rendszerű számítógépeken (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
956188 A DNS-kiszolgáló szolgáltatás 953230. számú biztonsági frissítésének (MS08-037) telepítését követően az UDP protokolltól függő hálózati szolgáltatásokkal kapcsolatban problémák lépnek fel
956187 Biztonsági tanácsokat tartalmazó dokumentum (Microsoft Security Advisory): Nőtt a DNS-gyorsítótárban található adatok meghamisítását lehetővé tevő biztonsági rés okozta veszély
956189 Windows SBS rendszerű számítógépeken a DNS-kiszolgáló 953230. számú biztonsági frissítésének (MS08-037) telepítése után előfordulhat, hogy egyes szolgáltatások nem indulnak el, vagy nem megfelelően működnek

Tulajdonságok

Cikk azonosítója: 956190 - Utolsó ellenőrzés: 2008. július 31. - Verziószám: 1.1
A cikkben található információ a következő(k)re vonatkozik:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server, 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 a következő platformokon
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 a következő platformokon
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 a következő platformokon
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 a következő platformokon
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 a következő platformokon
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Kulcsszavak: 
kbtshoot kbexpertiseinter KB956190
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com