As consultas DNS enviadas por um firewall não usam portas de origem aleatórias depois que você instala a atualização de segurança 953230 (MS08-037)

Traduções deste artigo Traduções deste artigo
ID do artigo: 956190 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Sintomas

Depois que você instalar a atualização de segurança 953230 (MS08-037) em um computador com Microsoft Windows, as consultas de DNS que forem enviadas do computador através de um firewall não usarão portas de origem aleatórias.

Causa

Esse comportamento ocorre porque os dispositivos NAT alteram os endereços de IP de origem e de destino. Com freqüência, esses dispositivos também alteram a porta de origem para evitar conflitos de recursos que podem ocorrer quando vários hosts internos tentam enviar tráfego pela mesma porta de origem. Como vários firewalls modernos na verdade param o tráfego de saída internamente e criam novos soquetes externos para o NAT, os firewalls não podem usar portas de origem idênticas no mesmo IP externo sem criar um conflito. Assim, os firewalls usam uma atribuição de portas seqüencial para o tráfego do NAT. As portas aleatórias que são usadas pelo resolvedor de DNS atualizado podem ser percebidas externamente como se usassem atribuições de portas seqüenciais, mesmo depois que a atualização de segurança 953230 for aplicada ao host NAT interno.

Resolução

Para resolver esse problema, execute um dos seguintes métodos:
  • Crie uma relação de rede roteada entre o servidor DNS e a Internet. A capacidade e a metodologia para isso dependem da tecnologia de firewall usada. Isso pode exigir que o servidor DNS seja relocado para uma sub-rede diferente para que a relação entre o servidor e a Internet não use mais o NAT.
  • Se houver um único servidor DNS, você poderá implementar uma solução de DNS dividido no Windows Server 2003 ou nos serviços de DNS do Windows Server 2008. Nesse cenário, o servidor DNS deve estar disponível a partir de dois endereços IP. Um endereço IP interno e o outro externo à rede do servidor NAT. As estações de trabalho internas realizam consultas no servidor DNS. Se você tiver instalado a atualização de segurança 953230, o servidor DNS usará portas aleatórias para encaminhar solicitações de fora para outros servidores DNS.

    Para isso, abra a ferramenta administrativa do DNS, clique no servidor e clique duas vezes em Encaminhadores. Clique na guia Encaminhadores e configure a opção All Other DNS Domains (Todos os Outros Domínios de DNS). Então, o servidor encaminhará automaticamente todas as solicitações de domínios DNS que o servidor não processar para os servidores listados na lista de endereços IP de encaminhadores do domínio selecionado. Adicione os servidores DNS do provedor upstream.

    As estações de trabalho internas devem ser configuradas para usar os endereços IP internos do seu servidor DNS. Isso pode ser configurado manualmente ou por meio das opções do protocolo DHCP.

    Observação O uso de um único servidor DNS em uma solução de DNS dividido oferece aos clientes as vantagens das portas de DNS aleatórias. No entanto, essa configuração adiciona um caminho da Internet para sua rede corporativa ou local. Essa configuração pode aumentar a exposição a ameaças da Internet.
  • Você também pode configurar uma solução de DNS dividido para usar dois servidores em vez de um. Neste cenário, um dos servidores DNS é externo à rede e contém seu servidor NAT e um é interno à rede que contém o servidor NAT. Configure o servidor interno conforme descrito no cenário de servidor DNS único, mas liste o endereço do servidor DNS externo na lista de endereços IP do encaminhador, em vez de listar o provedor upstream. Como o servidor de DNS externo reside fora da rede que contém o servidor NAT, o uso de portas aleatórias não é interrompido.
  • Contate o fornecedor do firewall para verificar se há atualizações planejadas para o seu firewall.

Mais Informações

Para obter mais informações, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (alguns artigos podem estar em inglês):
953230 MS08-037: Vulnerabilidades no DNS podem permitir falsificação
812873 Como reservar um intervalo de portas efêmeras em um computador que está executando o Windows Server 2003 ou o Windows 2000 Server (inglês)
956188 Você encontra problemas com os serviços de rede dependentes do UDP depois de instalar a atualização de segurança 953230 (MS08-037) do serviço de Servidor DNS.
956187 Comunicado de Segurança da Microsoft: Ameaça intensificada para a vulnerabilidade de falsificação de DNS
956189 Alguns serviços podem não ser iniciados ou não trabalhar corretamente em computadores que estejam executando o Windows SBS depois que você instalar a atualização de segurança 953230 (MS08-037) do Servidor DNS.

Propriedades

ID do artigo: 956190 - Última revisão: quinta-feira, 31 de julho de 2008 - Revisão: 1.2
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 nas seguintes plataformas
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 nas seguintes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 nas seguintes plataformas
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbexpertiseinter kbtshoot KB956190

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com