953230 numaralı güvenlik güncelleştirmesi (MS08-037) yüklendikten sonra bir güvenlik duvarı üzerinden gönderilen DNS sorgularında rasgele kaynak bağlantı noktaları kullanılmıyor

Makale çevirileri Makale çevirileri
Makale numarası: 956190 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Belirtiler

Microsoft Windows tabanlı bir bilgisayara 953230 numaralı güvenlik güncelleştirmesi (MS08-037) yüklendikten sonra, bir bilgisayardan güvenlik duvarı üzerinden gönderilen Etki Alanı Adı Sistemi (DNS) sorgularında rasgele kaynak bağlantı noktaları kullanılmaz.

Neden

Bu davranış, Ağ Adresi Çevirisi (NAT) aygıtlarının kaynak ve hedef IP adreslerini değiştirmesi nedeniyle oluşur. Bu aygıtlar, birden çok iç ana bilgisayar aynı kaynak bağlantı noktasını kullanarak giden trafik oluşturmaya çalıştığında oluşabilecek kaynak çakışmalarını önlemek sık sık kaynak bağlantı noktasını da değiştirir. Günümüzdeki birçok modern güvenlik duvarı giden trafiği sistem içinde durdurup NAT için yeni dış yuvalar oluşturduğundan, güvenlik duvarları bir çakışmaya neden olmadan aynı dış IP üzerinde birbirinin aynı kaynak bağlantı noktaları kullanamamaktadır. Bu nedenle de güvenlik duvarları NAT trafiği için sıralı bağlantı noktası ataması kullanır. İç NAT ana bilgisayarına 953230 numaralı güvenlik güncelleştirmesi uygulandıktan sonra bile, güncelleştirilmiş DNS çözümleyicisi tarafından kullanılmakta olan rasgele bağlantı noktaları dışarıdan sıralı bağlantı noktası atamaları kullanıyor gibi görünebilir.

Çözüm

Bu sorunu gidermek için aşağıdaki yöntemlerden birini kullanın:
  • DNS sunucusu ile Internet arasında yönlendirilmiş bir ağ ilişkisi oluşturun. Bu ilişkinin özellikleri ve metodolojisi, kullanılan güvenlik duvarı teknolojisine bağlıdır. Bunun için DNS sunucusunun farklı bir alt ağda yeniden konumlandırılarak sunucu ile Internet arasındaki ilişkide artık NAT kullanılmamasının sağlanması gerekebilir.
  • Tek bir DNS sunucunuz varsa, Windows Server 2003 veya Windows Server 2008 DNS hizmetlerinde bölünmüş bir DNS çözümü kullanabilirsiniz. Bu senaryoda, DNS sunucusunun iki IP adresinden kullanılabilmesi gerekir. NAT sunucu ağı için, bu IP adreslerinden biri iç kullanım, diğeri ise dış kullanım içindir. İç iş istasyonları, sorguları DNS sunucusunda gerçekleştirir. 953230 numaralı güvenlik güncelleştirmesini yüklediyseniz, DNS sunucusu, yabancı istekleri diğer DNS sunucularına iletirken bağlantı noktalarını rasgele seçer.

    Bunu yapmak için, DNS yönetim aracını açın, sunucuyu tıklatın ve sonra da İleticiler'i çift tıklatın. İleticiler sekmesini tıklatın ve Tüm Diğer DNS Etki Alanları seçeneğini yapılandırın. Böylece sunucu, kendisinin işlemediği DNS etki alanları sorgularını otomatik olarak Seçili Etki Alanı İletici IP Adres Listesi'nde listelenen sunuculara iletir. Ters yönde sağlayıcının DNS sunucularını bu listeye ekleyin.

    İç iş istasyonları, DNS sunucunuzun iç IP adresini kullanacak biçimde yapılandırılmalıdır. Bu yapılandırma el ile veya Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) seçenekleri kullanılarak yapılabilir.

    Not Kullanıcılar bölünmüş bir DNS çözümündeki tek bir DNS sunucusu kullanarak, DNS bağlantı noktasını rasgele seçme avantajlarından yararlanabilir. Ancak bu yapılandırma, Internet'ten kuruluşunuza veya yerel ağınıza erişilmesine olanak verir. Bu yapılandırma Internet üzerinden tehditlere maruz kalma olasılığını artırabilir.
  • Bölünmüş bir DNS çözümünü bir yerine iki sunucu kullanacak biçimde de yapılandırabilirsiniz. Bu senaryoda, DNS sunucularınızdan birisi NAT sunucunuzun bulunduğu ağın dışında, diğeri ise NAT sunucusunun bulunduğu ağda yer alır. İç sunucuyu tek DNS sunucusu senaryosunda açıklandığı şekilde yapılandırın, ancak İletici IP Adres Listesi'nde ters yönde sağlayıcı yerine dış DNS sunucusunun adresini listeleyin. Dış DNS sunucusu, NAT sunucusunu barındıran ağın dışında bulunduğundan, bağlantı noktasını rasgele seçme işlemi kesintiye uğramaz.
  • Güvenlik duvarı ürünü için planlanmış güncelleştirmeler olup olmadığını öğrenmek üzere ürün satıcısına başvurun.

Daha fazla bilgi

Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
953230 MS08-037: DNS'deki güvenlik açıkları kimlik sahtekarlığına olanak verebilir
812873 Windows Server 2003 veya Windows 2000 Server çalışan bir bilgisayarda kısa ömürlü bağlantı noktaları aralığı nasıl ayrılır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
956188 DNS Sunucusu hizmetine yönelik 953230 numaralı güvenlik güncelleştirmesini (MS08-037) yükledikten sonra UDP kullanılan ağ hizmetlerinde sorunlarla karşılaşıyorsunuz
956187 Microsoft Güvenlik Danışma Belgesi: DNS'de kimlik sahtekarlığı güvenlik açığından kaynaklanan tehdit arttı
956189 Windows SBS çalışan bir bilgisayara DNS Sunucusu'na yönelik 953230 numaralı güvenlik güncelleştirmesi (MS08-037) yüklendikten sonra bazı hizmetler başlatılamayabilir veya düzgün çalışmayabilir

Özellikler

Makale numarası: 956190 - Last Review: 31 Temmuz 2008 Perşembe - Gözden geçirme: 1.1
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2, Ne zaman ne ile kullanilir:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Service Pack 1, Ne zaman ne ile kullanilir:
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Web Edition
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Service Pack 3, Ne zaman ne ile kullanilir:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Service Pack 2, Ne zaman ne ile kullanilir:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional Edition
  • Microsoft Windows 2000 Server SP4, Ne zaman ne ile kullanilir:
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Professional Edition
Anahtar Kelimeler: 
kbexpertiseinter kbtshoot KB956190

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com