Le query DNS inviate attraverso un firewall non utilizzano le porte origine casuali dopo l'installazione dell'aggiornamento della protezione 953230 (MS08-037)

Traduzione articoli Traduzione articoli
Identificativo articolo: 956190 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sintomi

Dopo l'installazione dell'aggiornamento della protezione 953230 (MS08-037) in un computer con Microsoft Windows, le query DNS (Domain Name System) che vengono inviate dal computer attraverso un firewall non utilizzano le porte origine casuali.

Cause

Questo comportamento è causato dal fatto che i dispositivi NAT (Network Address Translation) modificano gli indirizzi IP di origine e di destinazione. Questi dispositivi cambiano di frequente anche la porta origine per evitare i conflitti di risorse che potrebbero verificarsi quando più host interni provano a inviare traffico utilizzando la stessa porta origine. Dal momento che molti firewall moderni effettivamente arrestano il traffico in uscita internamente e creano nuovi socket esterni per NAT, i firewall non possono utilizzare porte origine identiche sullo stesso IP esterno senza creare conflitto. Di conseguenza, i firewall utilizzano l'assegnazione delle porte sequenziale per il traffico proveniente da NAT. Le porte casuali che vengono utilizzate dal resolver DNS aggiornato potrebbero essere viste all'esterno in quanto si utilizza l'assegnazione delle porte sequenziale anche dopo l'applicazione dell'aggiornamento della protezione 953230 all'host NAT interno.

Risoluzione

Per risolvere il problema, utilizzare uno dei metodi seguenti:
  • Creare una relazione di rete instradata tra il server DNS e Internet. La capacità e la metodologia di tale relazione dipendono dalla tecnologia firewall utilizzata. Potrebbe essere necessario riallocare il server DNS in una subnet diversa in modo che per la relazione tra il server e Internet non venga più utilizzato NAT.
  • Se si dispone di un solo server DNS, è possibile implementare una soluzione DNS suddivisa nei servizi DNS di Windows Server 2003 o Windows Server 2008. In questo scenario, il server DNS deve essere disponibile da due indirizzi IP. Un indirizzo IP è interno e l'altro è esterno alla rete del server NAT. Le workstation interne eseguono query sul server DNS. Se è stato installato l'aggiornamento della protezione 953230, il server DNS utilizza la sequenza casuale della porta per inoltrare le richieste esterne ad altri server DNS.

    A tale scopo, aprire lo strumento di amministrazione di DNS, fare clic sul server e fare doppio clic su Server d'inoltro. Fare clic sulla scheda Server d'inoltro e configurare l'opzione Tutti gli altri domini DNS. Il server inoltrerà automaticamente qualsiasi richiesta non gestita per i domini DNS ai server presenti nell'Elenco indirizzi IP del server d'inoltro del dominio selezionato. Aggiungere all'elenco i server DNS del provider upstream.

    Configurare le workstation interne per l'utilizzo dell'indirizzo IP interno del server DNS. È possibile configurarle manualmente o tramite le opzioni Dynamic Host Configuration Protocol (DHCP).

    Nota L'utilizzo di un singolo server DNS in una soluzione DNS suddivisa offre ai clienti i vantaggi della sequenza casuale della porta. Questa configurazione tuttavia aggiunge un percorso da Internet alla rete locale o aziendale che potrebbe aumentare l'esposizione ai rischi di Internet.
  • È inoltre possibile configurare una soluzione DNS suddivisa per utilizzare due server anziché uno. In questo scenario, uno dei due server DNS è esterno alla rete del server NAT mentre l'altro è interno alla rete del server NAT. Configurare il server interno come descritto nello scenario del server DNS singolo, ma nell'Elenco indirizzi IP del server d'inoltro aggiungere l'indirizzo del server DNS esterno anziché il provider upstream. Dal momento che il server DNS esterno risiede all'esterno della rete del server NAT, la sequenza casuale della porta non viene interrotta.
  • Contattare il fornitore del firewall per verificare se sono stati pianificati aggiornamenti per il prodotto firewall.

Informazioni

Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
953230 MS08-037: Possibili rischi di spoofing a causa di una vulnerabilità di DNS
812873 Selezione di un intervallo di porte effimere in un computer che esegue Windows Server 2003 o Windows 2000 Server (in inglese)
956188 I problemi con i servizi di rete dipendenti da UPD si verificano dopo l'installazione dell'aggiornamento della protezione del servizio Server DNS 953230 (MS08-037)
956187 Avviso di sicurezza Microsoft: Un incremento della minaccia della vulnerabilità legata allo spoofing di DNS
956189 Alcuni servizi potrebbero non venire avviati o potrebbero non funzionare correttamente in un computer che esegue Windows SBS dopo l'installazione dell'aggiornamento della protezione server DNS 953230 (MS08-037)

Proprietà

Identificativo articolo: 956190 - Ultima modifica: giovedì 31 luglio 2008 - Revisione: 1.2
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 alle seguenti piattaforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 alle seguenti piattaforme
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 alle seguenti piattaforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 alle seguenti piattaforme
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 alle seguenti piattaforme
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Chiavi: 
kbexpertiseinter kbtshoot KB956190
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com