Makale numarası: 956190 - Son Gözden Geçirme: 31 Temmuz 2008 Perşembe - Gözden geçirme: 1.1
953230 numaralı güvenlik güncelleştirmesi (MS08-037) yüklendikten sonra bir güvenlik duvarı üzerinden gönderilen DNS sorgularında rasgele kaynak bağlantı noktaları kullanılmıyor
Microsoft Windows tabanlı bir bilgisayara 953230 numaralı güvenlik güncelleştirmesi (MS08-037) yüklendikten sonra, bir bilgisayardan güvenlik duvarı üzerinden gönderilen Etki Alanı Adı Sistemi (DNS) sorgularında rasgele kaynak bağlantı noktaları kullanılmaz.
Bu davranış, Ağ Adresi Çevirisi (NAT) aygıtlarının kaynak ve hedef IP adreslerini değiştirmesi nedeniyle oluşur. Bu aygıtlar, birden çok iç ana bilgisayar aynı kaynak bağlantı noktasını kullanarak giden trafik oluşturmaya çalıştığında oluşabilecek kaynak çakışmalarını önlemek sık sık kaynak bağlantı noktasını da değiştirir. Günümüzdeki birçok modern güvenlik duvarı giden trafiği sistem içinde durdurup NAT için yeni dış yuvalar oluşturduğundan, güvenlik duvarları bir çakışmaya neden olmadan aynı dış IP üzerinde birbirinin aynı kaynak bağlantı noktaları kullanamamaktadır. Bu nedenle de güvenlik duvarları NAT trafiği için sıralı bağlantı noktası ataması kullanır. İç NAT ana bilgisayarına 953230 numaralı güvenlik güncelleştirmesi uygulandıktan sonra bile, güncelleştirilmiş DNS çözümleyicisi tarafından kullanılmakta olan rasgele bağlantı noktaları dışarıdan sıralı bağlantı noktası atamaları kullanıyor gibi görünebilir.
Bu sorunu gidermek için aşağıdaki yöntemlerden birini kullanın:
DNS sunucusu ile Internet arasında yönlendirilmiş bir ağ ilişkisi oluşturun. Bu ilişkinin özellikleri ve metodolojisi, kullanılan güvenlik duvarı teknolojisine bağlıdır. Bunun için DNS sunucusunun farklı bir alt ağda yeniden konumlandırılarak sunucu ile Internet arasındaki ilişkide artık NAT kullanılmamasının sağlanması gerekebilir.
Tek bir DNS sunucunuz varsa, Windows Server 2003 veya Windows Server 2008 DNS hizmetlerinde bölünmüş bir DNS çözümü kullanabilirsiniz. Bu senaryoda, DNS sunucusunun iki IP adresinden kullanılabilmesi gerekir. NAT sunucu ağı için, bu IP adreslerinden biri iç kullanım, diğeri ise dış kullanım içindir. İç iş istasyonları, sorguları DNS sunucusunda gerçekleştirir. 953230 numaralı güvenlik güncelleştirmesini yüklediyseniz, DNS sunucusu, yabancı istekleri diğer DNS sunucularına iletirken bağlantı noktalarını rasgele seçer.
Bunu yapmak için, DNS yönetim aracını açın, sunucuyu tıklatın ve sonra da İleticiler'i çift tıklatın. İleticiler sekmesini tıklatın ve Tüm Diğer DNS Etki Alanları seçeneğini yapılandırın. Böylece sunucu, kendisinin işlemediği DNS etki alanları sorgularını otomatik olarak Seçili Etki Alanı İletici IP Adres Listesi'nde listelenen sunuculara iletir. Ters yönde sağlayıcının DNS sunucularını bu listeye ekleyin.
İç iş istasyonları, DNS sunucunuzun iç IP adresini kullanacak biçimde yapılandırılmalıdır. Bu yapılandırma el ile veya Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) seçenekleri kullanılarak yapılabilir.
Not Kullanıcılar bölünmüş bir DNS çözümündeki tek bir DNS sunucusu kullanarak, DNS bağlantı noktasını rasgele seçme avantajlarından yararlanabilir. Ancak bu yapılandırma, Internet'ten kuruluşunuza veya yerel ağınıza erişilmesine olanak verir. Bu yapılandırma Internet üzerinden tehditlere maruz kalma olasılığını artırabilir.
Bölünmüş bir DNS çözümünü bir yerine iki sunucu kullanacak biçimde de yapılandırabilirsiniz. Bu senaryoda, DNS sunucularınızdan birisi NAT sunucunuzun bulunduğu ağın dışında, diğeri ise NAT sunucusunun bulunduğu ağda yer alır. İç sunucuyu tek DNS sunucusu senaryosunda açıklandığı şekilde yapılandırın, ancak İletici IP Adres Listesi'nde ters yönde sağlayıcı yerine dış DNS sunucusunun adresini listeleyin. Dış DNS sunucusu, NAT sunucusunu barındıran ağın dışında bulunduğundan, bağlantı noktasını rasgele seçme işlemi kesintiye uğramaz.
Güvenlik duvarı ürünü için planlanmış güncelleştirmeler olup olmadığını öğrenmek üzere ürün satıcısına başvurun.
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
953230
(http://support.microsoft.com/kb/953230/
)
MS08-037: DNS'deki güvenlik açıkları kimlik sahtekarlığına olanak verebilir
812873
(http://support.microsoft.com/kb/812873/
)
Windows Server 2003 veya Windows 2000 Server çalışan bir bilgisayarda kısa ömürlü bağlantı noktaları aralığı nasıl ayrılır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
956188
(http://support.microsoft.com/kb/956188/
)
DNS Sunucusu hizmetine yönelik 953230 numaralı güvenlik güncelleştirmesini (MS08-037) yükledikten sonra UDP kullanılan ağ hizmetlerinde sorunlarla karşılaşıyorsunuz
956187
(http://support.microsoft.com/kb/956187/
)
Microsoft Güvenlik Danışma Belgesi: DNS'de kimlik sahtekarlığı güvenlik açığından kaynaklanan tehdit arttı
956189
(http://support.microsoft.com/kb/956189/
)
Windows SBS çalışan bir bilgisayara DNS Sunucusu'na yönelik 953230 numaralı güvenlik güncelleştirmesi (MS08-037) yüklendikten sonra bazı hizmetler başlatılamayabilir veya düzgün çalışmayabilir
Bu makaleyi kullanmak için ne kadar kişisel çaba harcadınız?
Çok az
Az
Orta
Fazla
Çok fazla
Bu bilgiyi geliştirmemiz için nedenleri ve bu konuda neler yapabileceğimizi paylaşın
Teşekkürler! Görüşleriniz, destek içeriğimizi geliştirmemize yardımcı olmak için kullanılmaktadır. Diğer yardım seçenekleri için, lütfen Yardım ve Destek Giriş Sayfasını ziyaret edin.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Üste
