As consultas de DNS que são enviadas através de uma firewall não utilizam portas de origem aleatórias depois de instalar a actualização de segurança 953230 (MS08-037)

Traduções de Artigos Traduções de Artigos
Artigo: 956190 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Sintomas

Depois de instalar a actualização de segurança 953230 (MS08-037) num computador em ambiente Microsoft Windows, as consultas do Sistema de nomes de domínio (DNS), que são enviadas do computador através de uma firewall, não utilizam portas de origem aleatórias.

Causa

Este comportamento ocorre porque os dispositivos de Tradução de endereços de rede (NAT) alteram os endereços IP de origem e destino. Frequentemente, estes dispositivos alteram também a porta de origem para evitar conflitos de recursos que possam ocorrer quando vários anfitriões internos tentam enviar tráfego, utilizando a mesma porta de origem. Devido ao facto de muitas firewalls modernas bloquearem internamente, de facto, o tráfego de saída e criarem novas sockets externas para o NAT, as firewalls não podem utilizar portas de origem idênticas no mesmo IP externo sem criar um conflito. Assim, as firewalls utilizam a atribuição de portas sequencial para o tráfego originado no NAT. As portas aleatórias utilizadas pelo resolvedor DNS actualizado podem ser consideradas, do lado exterior, como estando a utilizar atribuições de portas sequenciais, mesmo depois de aplicada a actualização de segurança 953230 ao anfitrião NAT interno.

Resolução

Para solucionar este problema, utilize um dos seguintes métodos:
  • Crie uma relação de rede encaminhada entre o servidor DNS e a Internet. A capacidade e a metodologia para esta relação dependem da tecnologia da firewall utilizada. Isto pode exigir que o servidor DNS seja reposicionado numa sub-rede diferente para que a relação entre o servidor e a Internet deixe de utilizar o NAT.
  • Se tiver um único servidor DNS, pode aplicar uma solução DNS dividida nos serviços Windows Server 2003 ou Windows Server 2008 DNS. Neste caso, o servidor DNS tem de estar disponível a partir de dois endereços IP. Um endereço IP é interno, enquanto o outro é externo à rede do servidor NAT. As estações de trabalho internas realizam consultas ao servidor DNS. Se tiver instalado a actualização de segurança 953230, o servidor DNS utiliza a aleatoriedade das portas para reencaminhar os pedidos externos para outros servidores DNS.

    Para o efeito, abra a ferramenta administrativa DNS, clique no servidor e, em seguida, faça duplo clique em Reencaminhadores. Clique no separador Reencaminhadores e, em seguida, configure a opção Todos os outros domínios DNS. Em seguida, o servidor reencaminhará automaticamente todos os pedidos de domínios DNS que o servidor não processa para os servidores que estão na lista de Endereços IP do reencaminhador do domínio seleccionado. Acrescente os servidores DNS do fornecedor a montante a esta lista.

    As estações internas devem ser configuradas para utilizarem o endereço IP interno do seu servidor DNS. Isto pode ser definido manualmente ou utilizando as opções Protocolo de configuração dinâmica de anfitrião (DHCP).

    Nota A utilização de um único servidor DNS numa solução DNS dividida proporciona aos clientes as vantagens da aleatoriedade das portas DNS. Porém, esta configuração acrescenta um caminho a partir da Internet para a sua rede de empresa ou local. Esta configuração poderá aumentar a exposição a ameaças provenientes da Internet.
  • Poderá igualmente configurar uma solução DNS dividida para utilizar dois servidores em vez de um. Neste caso, um dos seus servidores DNS é exterior à rede que contém o servidor NAT, enquanto outro é interior à rede que contém o servidor NAT. Configure o servidor interno conforme descrito no caso do servidor DNS único, mas inclua o endereço do servidor DNS externo na lista de Endereços IP do reencaminhador, em vez de incluir o fornecedor a montante. Devido ao facto de este servidor DNS externo estar localizado fora da rede que contém o servidor NAT, a aleatoriedade das portas é interrompida.
  • Contacte o fornecedor da firewall para ver se estão previstas actualizações para a firewall por ele fornecida.

Mais Informação

Para obter mais informações, clique nos seguintes números de artigo para ver os artigos na Base de Dados de Conhecimento da Microsoft:
953230 MS08-037: Vulnerabilidades no DNS podem permitir fraude
812873 Como reservar um intervalo de portas efémeras num computador com o Windows Server 2003 ou o Windows 2000 Server instalado (em inglês)
956188 Problemas que ocorrem nos serviços de rede dependentes do UDP depois de instalar a actualização de segurança do serviço 953230 (MS08-037) do Servidor DNS
956187 Conselho de Segurança da Microsoft: Aumento da ameaça relativamente à vulnerabilidade a fraude de DNS:
956189 É possível que alguns serviços não arranquem ou não funcionem correctamente num computador com o Windows SBS instalado, depois de instalar a actualização de segurança 953230 (MS08-037) do Servidor DNS

Propriedades

Artigo: 956190 - Última revisão: 31 de julho de 2008 - Revisão: 1.1
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Service Pack 2 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server SP4 nas seguintes plataformas
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbexpertiseinter kbtshoot KB956190

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com