Po zainstalowaniu aktualizacji zabezpiecze� 953230 (MS08-037) kwerendy DNS wysy�ane z komputera przez zapor� nie u�ywaj� losowych port�w �r�d�owych

Numer ID artyku�u: 956190 - Zobacz jakich produkt�w dotycz� zawarte w tym artykule porady.

Symptomy

Po zainstalowaniu aktualizacji zabezpiecze� 953230 (MS08-037) na komputerze z systemem Microsoft Windows mo�e si� okaza�, �e kwerendy DNS wysy�ane z komputera przez zapor� nie u�ywaj� losowych port�w �r�d�owych.

Powr�t na g�r� | Przeka� opini�

Przyczyna

Przyczyn� takiego dzia�ania jest to, �e urz�dzenia NAT zmieniaj� �r�d�owe i docelowe adresy IP. Te urz�dzenia cz�sto zmieniaj� tak�e port �r�d�owy w celu unikni�cia konflikt�w zasob�w, kt�re mog� wyst�powa�, gdy wiele wewn�trznych host�w pr�buje wysy�a� informacje za pomoc� tego samego portu �r�d�owego. Wiele wsp�czesnych zap�r blokuje wewn�trznie ruch wychodz�cy i tworzy nowe gniazda zewn�trzne na potrzeby translacji NAT, dlatego takie zapory nie mog� u�ywa� identycznych port�w �r�d�owych razem z tym samym zewn�trznym adresem IP bez powodowania konfliktu. Z tego powodu zapory u�ywaj� sekwencyjnego przypisywania port�w dla ruchu pochodz�cego z translacji NAT. Losowe porty, kt�re s� u�ywane przez zaktualizowany program rozpoznawania nazw DNS, na zewn�trz mog� by� widoczne jako porty przypisane sekwencyjnie, nawet po zastosowaniu do wewn�trznego hosta NAT aktualizacji zabezpiecze� 953230.

Powr�t na g�r� | Przeka� opini�

Rozwi�zanie

Aby rozwi�za� ten problem, nale�y u�y� jednej z nast�puj�cych metod:

Nale�y utworzy� relacj� sieci trasowanej mi�dzy serwerem DNS a Internetem. Mo�liwo�ci i metodologia tego rozwi�zania zale�� od u�ywanej technologii zapory. To rozwi�zanie mo�e wymaga� przemieszczenia serwera DNS do innej podsieci, tak aby w relacji mi�dzy serwerem a Internetem nie by�a u�ywany translacja adres�w sieciowych.
W przypadku u�ywania pojedynczego serwera DNS mo�na wdro�y� rozwi�zanie z rozdzieleniem us�ugi DNS w systemie Windows Server 2003 lub Windows Server 2008. W tym scenariuszu serwer DNS musi by� dost�pny pod dwoma adresami IP. Jeden adres IP jest wewn�trzny, a drugi zewn�trzny w stosunku do sieci serwera NAT. Wewn�trzne stacje robocze wysy�aj� kwerendy do serwera DNS. Je�li zainstalowano aktualizacj� zabezpiecze� 953230, serwer DNS b�dzie u�ywa� losowego generowania port�w, aby przes�a� obce ��dania dalej do innych serwer�w DNS.

Aby zastosowa� to rozwi�zanie, nale�y otworzy� narz�dzie administracyjne us�ugi DNS, klikn�� odpowiedni serwer i klikn�� dwukrotnie pozycj� Us�ugi przesy�ania dalej. Nast�pnie nale�y klikn�� kart� Us�ugi przesy�ania dalej i skonfigurowa� opcj� Wszystkie pozosta�e domeny DNS. Serwer b�dzie automatycznie przesy�a� wszystkie ��dania dotycz�ce domen DNS, kt�rych nie obs�uguje, dalej do serwer�w wymienionych na li�cie adres�w IP wybranych us�ug przesy�ania dalej domeny. Do tej listy nale�y doda� serwery DNS dostawcy zapewniaj�cego wysy�anie informacji.

Wewn�trzne stacje robocze nale�y skonfigurowa� tak, aby u�ywa�y wewn�trznego adresu IP serwera DNS. Tak� konfiguracj� mo�na przeprowadzi� r�cznie lub za pomoc� opcji protoko�u dynamicznej konfiguracji hosta (DHCP).

Uwaga Stosowanie rozwi�zania rozdzielenia us�ugi DNS przy korzystaniu z pojedynczego serwera DNS zapewnia wiele korzy�ci zwi�zanych z losowym generowaniem port�w. Jednak taka konfiguracja umo�liwia uzyskanie dost�pu do sieci lokalnej lub firmowej z Internetu. Wi��e si� to z potencjalnym zwi�kszeniem nara�enia na zagro�enia p�yn�ce z Internetu.
Rozwi�zanie rozdzielenia us�ugi DNS mo�na r�wnie� skonfigurowa� przy u�yciu dw�ch serwer�w zamiast jednego. W tym scenariuszu jeden z serwer�w DNS jest serwerem zewn�trznym, a drugi wewn�trznym w stosunku do sieci zawieraj�cej serwer NAT. Serwer wewn�trzny nale�y skonfigurowa� zgodnie z opisem w scenariuszu obejmuj�cym u�ywanie jednego serwera DNS. Jednak do listy adres�w IP us�ugi przesy�ania dalej zamiast serwer�w dostawcy zapewniaj�cego wysy�anie informacji nale�y doda� adres zewn�trznego serwera DNS. Poniewa� zewn�trzny serwer DNS jest umieszczony poza sieci� zawieraj�c� serwer NAT, losowe generowanie port�w nie jest zak��cane.
Nale�y skontaktowa� si� z dostawc� zapory, aby dowiedzie� si�, czy s� dla niej planowane jakiekolwiek aktualizacje.

Powr�t na g�r� | Przeka� opini�

Wi�cej informacji

Aby uzyska� wi�cej informacji, kliknij nast�puj�ce numery artyku��w w celu wy�wietlenia tych artyku��w z bazy wiedzy Microsoft Knowledge Base:

953230

(http://support.microsoft.com/kb/953230/ )

MS08-037: Luki w zabezpieczeniach us�ugi DNS umo�liwiaj� fa�szowanie zawarto�ci

812873

(http://support.microsoft.com/kb/812873/ )

Jak zarezerwowa� zakres tymczasowych port�w na komputerze z systemem Windows Server 2003 lub Windows 2000 Server (j. ang.)

956188

(http://support.microsoft.com/kb/956188/ )

Po zainstalowaniu aktualizacji zabezpiecze� 953230 (MS08-037) dla us�ugi serwera DNS wyst�puj� problemy z us�ugami sieciowymi zale�nymi od protoko�u UDP

956187

(http://support.microsoft.com/kb/956187/ )

Microsoft Security Advisory: Zwi�kszone zagro�enie spowodowane luk� w zabezpieczeniach us�ugi DNS umo�liwiaj�c� fa�szowanie zawarto�ci

956189

(http://support.microsoft.com/kb/956189/ )

Po zainstalowaniu aktualizacji zabezpiecze� 953230 (MS08-037) dla us�ugi serwera DNS na komputerze z systemem Windows SBS nie mo�na uruchomi� niekt�rych us�ug lub niekt�re us�ugi nie dzia�aj� poprawnie

Powr�t na g�r� | Przeka� opini�