보안 업데이트 953230(MS08-037)을 설치한 후 방화벽을 거쳐 전송된 DNS 쿼리가 임의의 원본 포트를 사용하지 않음

기술 자료 번역 기술 자료 번역
기술 자료: 956190 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

현상

보안 업데이트 953230(MS08-037)을 Microsoft Windows 기반 컴퓨터에 설치하면 방화벽을 거쳐 컴퓨터에서 전송된 DNS(Domain Name System) 쿼리가 임의의 원본 포트를 사용하지 않습니다.

원인

NAT(Network Address Translation) 장치가 원본 및 대상 IP 주소를 변경하기 때문에 이 동작이 발생합니다. 또한 이러한 장치는 여러 개의 내부 호스트가 동일한 원본 포트를 사용하여 트래픽을 보내려고 할 때 발생할 수 있는 리소스 충돌을 방지하기 위해 원본 포트를 자주 변경합니다. 다양한 최신 방화벽에서 내부적으로는 나가는 트래픽이 실제로 중지되고 NAT를 위한 새 외부 소켓이 만들어지기 때문에 방화벽에서 충돌 없이 같은 외부 IP에서 동일한 원본 포트가 사용될 수 없습니다. 따라서 방화벽은 NAT의 트래픽에 대해 순차적으로 포트를 할당합니다. 보안 업데이트 953230이 내부 NAT 호스트에 적용된 후라도 순차적 포트 할당이 사용되기 때문에 업데이트된 DNS 확인자가 사용 중인 임의의 포트가 외부에 표시될 수 있습니다.

해결 방법

이 문제를 해결하려면 다음 방법 중 하나를 사용하십시오.
  • DNS 서버와 인터넷 사이에 라우트된 네트워크 관계를 만듭니다. 이에 대한 기능과 방법론은 사용되는 방화벽 기술에 따라 다릅니다. 그러므로 서버와 인터넷 사이의 관계에서 NAT이 더 이상 사용되지 않도록 DNS 서버를 다른 서브넷에 재배치할 필요가 있을 수 있습니다.
  • DNS 서버가 하나인 경우 Windows Server 2003이나 Windows Server 2008 DNS 서비스에서 분할 DNS 솔루션을 구현할 수 있습니다. 이 시나리오에서는 DNS 서버에서 두 개의 IP 주소를 사용할 수 있어야 합니다. 하나의 IP 주소는 내부용으로 사용되고 다른 하나는 NAT 서버 네트워크를 위한 외부용으로 사용됩니다. 내부 워크스테이션은 DNS 서버에 대한 쿼리를 수행합니다. 보안 업데이트 953230을 설치한 경우 DNS 서버는 포트 불규칙을 사용하여 다른 DNS 서버로 외부 요청을 전달합니다.

    이렇게 하려면 DNS 관리자 도구를 열고 서버를 클릭한 다음 전달자를 두 번 클릭합니다. 전달자 탭을 클릭한 다음 다른 모든 DNS 도메인 옵션을 구성합니다. 그러면 선택한 도메인의 전달자 IP 주소 목록에 나열되어 있는 서버로 처리되지 않은 DNS 도메인의 모든 요청이 서버에서 자동으로 전달됩니다. 업스트림 공급자의 DNS 서버를 이 목록에 추가합니다.

    내부 워크스테이션은 사용자의 DNS 서버의 내부 IP 주소를 사용하도록 구성되어야 합니다. 이 구성은 수동으로 설정하거나 DHCP(Dynamic Host Configuration Protocol) 옵션을 사용하여 설정할 수 있습니다.

    참고 분할 DNS 솔루션에서 단일 DNS 서버를 사용하면 사용자가 DNS 포트 불규칙의 혜택을 누릴 수 있습니다. 단, 이 구성을 사용하면 인터넷에서 사용자의 기업이나 로컬 네트워크까지의 경로가 추가됩니다. 이 구성으로 인해 인터넷으로 인한 위협이 높아질 수 있습니다.
  • 또한 분할 DNS 솔루션을 구성하여 한 대 대신 두 대의 서버를 사용할 수 있습니다. 이 시나리오에서는 DNS 서버 중 하나가 NAT 서버를 포함하는 네트워크의 외부용으로 사용되고 나머지 하나는 NAT 서버를 포함하는 네트워크의 내부용으로 사용됩니다. 단일 DNS 서버 시나리오에서 설명된 대로 내부 서버를 구성하지만 업스트림 공급자의 목록을 추가하는 대신 전달자 IP 주소 목록의 외부 DNS 서버의 주소 목록을 추가합니다. 외부 DNS 서버는 NAT 서버를 포함하는 네트워크의 외부에 있기 때문에 포트 불규칙이 중단되지 않습니다.
  • 방화벽 제품에 대해 계획된 업데이트가 있는지 여부는 방화벽 공급업체로 문의하십시오.

추가 정보

자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
953230 MS08-037: DNS의 취약점으로 인한 스푸핑 문제
812873 Windows Server 2003 또는 Windows 2000 Server가 실행되는 컴퓨터에서 사용 후 삭제 포트 범위를 예약하는 방법 (영어)
956188 DNS 서버 서비스 보안 업데이트 953230(MS08-037)을 설치한 후 UDP 종속 네트워크 서비스와 관련된 문제가 발생함
956187 Microsoft 보안 권고: DNS 스푸핑 취약점의 위협 증가
956189 Windows SBS를 실행하는 컴퓨터에서 DNS 서버 보안 업데이트 953230(MS08-037)을 설치하면 일부 서비스가 시작되지 않거나 잘못 작동할 수 있음

속성

기술 자료: 956190 - 마지막 검토: 2008년 7월 31일 목요일 - 수정: 1.1
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4?을(를) 다음과 함께 사용했을 때
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
키워드:?
kbexpertiseinter kbtshoot KB956190

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com