После установки обновления для системы безопасности 953230 (MS08-037) DNS-запросы, посылаемые через брандмауэр, не используют произвольные номера портов-источников.

Переводы статьи Переводы статьи
Код статьи: 956190 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

Проблема

После установки обновления для системы безопасности 953230 (MS08-037) на компьютере с системой Microsoft Windows DNS-запросы, отправляемые с компьютера через брандмауэр, не используют произвольные номера портов-источников.

Причина

Причина этого заключается в том, что устройства, выполняющие преобразование сетевых адресов (NAT), изменяют IP-адреса источника и назначения. Также эти устройства часто изменяют номер порта-источника, чтобы избежать конфликтов ресурсов, которые могут возникнуть, когда несколько внутренних узлов пытаются отправить трафик с использованием одного порта-источника. Поскольку многие современные брандмауэры фактически блокируют исходящий трафик и создают для NAT новые внешние интерфейсы, эти брандмауэры не могут использовать одинаковые номера портов-источников при одном внешнем IP-адресе без возникновения конфликта. Таким образом, брандмауэры используют последовательное назначение номеров портов трафику от устройств NAT. Произвольные номера портов, которые используются обновленным распознавателем DNS, могут наблюдаться извне как использующие последовательное присвоение номеров портов даже после применения обновления для системы безопасности 953230 к внутреннему узлу NAT.

Решение

Для решения этой проблемы воспользуйтесь одним из описанных ниже способов.
  • Создайте между DNS-сервером и Интернетом сетевое отношение с маршрутизацией. Возможность и способ выполнения этого зависят от используемой технологии брандмауэра. Может потребоваться перенос DNS-сервера в другую подсеть, чтобы отношение между севером и Интернетом более не использовало NAT.
  • При наличии одного DNS-сервера можно реализовать разделенное DNS-решение в DNS-службах Windows Server 2003 или Windows Server 2008. В этом случае DNS-сервер должен быть доступен с двух IP-адресов. Один IP-адрес при этом является внутренним для сети NAT-сервера, а другой внешним. Внутренние рабочие станции выполняют запросы к DNS-серверу. Если установлено обновление для системы безопасности 953230, DNS-сервер использует произвольное распределение портов для перенаправления внешних запросов к другим DNS-серверам.

    Чтобы выполнить это, откройте средство администрирования DNS, выберите сервер и двойным щелчком выберите вкладку Пересылки. Щелкните вкладку Пересылки, а затем настройте параметр Остальные DNS-домены. После этого сервер будет автоматически пересылать все запросы DNS-доменов, которые он не обрабатывает, серверам, перечисленным в списке IP-адресов сервера пересылки для выбранного домена. Добавьте в этот список DNS-серверы вышестоящего поставщика.

    Внутренние рабочие станции должны быть настроены для использования внутреннего IP-адреса DNS-сервера. Это можно сделать вручную или с использованием параметров DHCP.

    Примечание Использование одного DNS-сервера в разделенном решении DNS обеспечивает клиентам преимущество произвольного распределения портов DNS. Однако в этой конфигурации добавляется маршрут из Интернета в корпоративную или локальную сеть. Это может увеличить уязвимость перед угрозами из Интернета.
  • Можно также настроить разделенное решение DNS для использования двух серверов вместо одного. В этом случае один из DNS-серверов является внешним по отношению к сети, содержащей NAT-сервер, а другой внутренним. Настройте внутренний сервер как описано для случая с одним DNS-сервером, но укажите в списке IP-адресов серверов пересылки адрес внешнего DNS-сервера, а не адрес вышестоящего поставщика. Поскольку внешний DNS-сервер расположен вне сети, которая содержит NAT-сервер, произвольное распределение портов при этом не прерывается.
  • Свяжитесь с изготовителем брандмауэра, чтобы узнать, планируется ли обновление его продукта.

Дополнительная информация

Дополнительные сведения см. в указанных ниже статьях базы знаний Майкрософт.
953230 MS08-037: уязвимости в службе доменных имен (DNS) могут привести к атакам злоумышленников
812873 Резервирование диапазона временных портов на компьютере с системой Windows Server 2003 или Windows 2000 Server (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
956188 После установки обновления безопасности 953230 (MS08-037) для службы DNS-сервера возникают проблемы с сетевыми службами, работающими с протоколом UDP
956187 Рекомендации корпорации Майкрософт по безопасности. Возросшая угроза использования уязвимости перед подменой DNS
956189 На компьютере с системой Windows SBS после установки обновления безопасности 953230 (MS08-037) для DNS-сервера некоторые службы могут не запускаться или работать неправильно

Свойства

Код статьи: 956190 - Последний отзыв: 31 июля 2008 г. - Revision: 1.1
Информация в данной статье относится к следующим продуктам.
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2 на следующих платформах
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1 на следующих платформах
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3 на следующих платформах
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows XP Service Pack 2 на следующих платформах
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
  • Microsoft Windows 2000 Server SP4 на следующих платформах
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • операционная система Microsoft Windows 2000 Server
    • Операционная система Microsoft Windows 2000 Professional
Ключевые слова: 
kbexpertiseinter kbtshoot KB956190

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com