Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Nach Installation des Sicherheitsupdates 953230 (MS08-037) verwenden DNS-Abfragen, die durch eine Firewall gesendet werden, keine nach dem Zufallsprinzip ausgewählten Quellports

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Problembeschreibung
Nach Installation des Sicherheitsupdates 953230 (MS08-037) auf einem Computer mit Microsoft Windows verwenden DNS-Abfragen (Domain Name System), die vom Computer durch eine Firewall gesendet werden, keine nach dem Zufallsprinzip ausgewählten Quellports.
Ursache
Dieses Verhalten erfolgt, da NAT-Geräte (Network Address Translation, Netzwerkadressübersetzung) die Quell- und Ziel-IP-Adresse und häufig auch den Quellport ändern, um Ressourcenkonflikte zu vermeiden, die ggf. auftreten, wenn mehrere interne Hosts versuchen, Datenverkehr über denselben Quellport zu senden. Da viele moderne Firewalls den ausgehenden Datenverkehr intern unterbinden und neue externe Sockets für NAT einrichten, können die Firewalls keine identischen Quellports für dieselbe externe IP-Adresse verwenden, ohne einen Konflikt zu verursachen. Deshalb verwenden die Firewalls für vom NAT-Gerät stammenden Datenverkehr die sequenzielle Portzuweisung. Die nach dem Zufallsprinzip ausgewählten Ports, die von der aktualisierten DNS-Auflösung verwendet werden, werden ggf. extern so bewertet, als würden sie sequenzielle Portzuweisungen verwenden, auch nachdem das Sicherheitsupdate 953230 auf den internen NAT-Host angewendet wurde.
Lösung
Wenden Sie eine der folgenden Methoden an, um dieses Problem zu beheben:
  • Richten Sie eine geroutete Netzwerkbeziehung zwischen dem DNS-Server und dem Internet ein. Die zu verwendende Vorgehensweise hängt von der verwendeten Firewalltechnologie ab und erfordert ggf., dass der DNS-Server in ein anderes Subnetz verschoben wird, damit die Beziehung zwischen Server und Internet nicht mehr mit NAT arbeitet.
  • Wenn Sie nur einen DNS-Server haben, können Sie eine geteilte DNS-Lösung in die DNS-Dienste von Windows Server 2003 bzw. Windows Server 2008 implementieren. Bei diesem Szenario muss der DNS-Server an zwei IP-Adressen zur Verfügung stehen. Die eine IP-Adresse gilt intern, die andere extern für das NAT-Servernetzwerk. Interne Arbeitsstationen fragen den DNS-Server ab. Wenn Sie das Sicherheitsupdate 953230 installiert haben, verwendet der DNS-Server die Portauswahl nach dem Zufallsprinzip, um externe Abfragen an andere DNS-Server weiterzuleiten.

    Öffnen Sie hierzu das DNS-Verwaltungsprogramm, klicken Sie auf den Server, und doppelklicken Sie dann auf Weiterleitungen. Klicken Sie auf die Registerkarte Weiterleitungen , und konfigurieren Sie anschließend die Option Alle anderen DNS-Domänen. Der Server leitet anschließend alle Anfragen nach DNS-Servern, die der Server nicht verarbeitet, an die Server in der Liste Weiterleitungs-IP-Adressliste der gewählten Domänen weiter. Fügen Sie die DNS-Server des Upstreamproviders dieser Liste hinzu.

    Die internen Arbeitsstationen müssen für die Verwendung der internen IP-Adresse Ihres DNS-Servers konfiguriert werden. Die IP-Adresse kann manuell oder mithilfe von DHCP-Optionen (Dynamic Host Configuration Protocol) festgelegt werden.

    Hinweis Das Verwenden eines einzelnen DNS-Servers in einer geteilten DNS-Lösung bietet den Benutzern die Vorteile der DNS-Portauswahl nach dem Zufallsprinzip. Diese Konfiguration fügt jedoch einen Zugriffspfad aus dem Internet zu Ihrem Unternehmens- oder lokalen Netzwerk hinzu, was die Angriffsfläche für Bedrohungen aus dem Internet erhöhen kann.
  • Sie können eine geteilte DNS-Lösung auch mit zwei Servern konfigurieren. Bei diesem Szenario gilt einer der DNS-Server extern für das Netzwerk, das Ihren NAT-Server enthält, und einer intern für das Netzwerk mit dem NAT-Server. Konfigurieren Sie den internen Server gemäß den Anweisungen für das Szenario mit einem DNS-Server, geben Sie jedoch in der Liste Weiterleitungs-IP-Adressliste der gewählten Domänen die Adresse des externen DNS-Servers anstatt die des Upstreamproviders an. Da sich der externe DNS-Server außerhalb des Netzwerks mit dem NAT-Server befindet, wird die Portauswahl nach dem Zufallsprinzip nicht unterbrochen.
  • Wenden Sie sich an den Firewallanbieter, um zu erfahren, ob Updates für sein Firewallprodukt geplant sind.
Weitere Informationen
Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
953230 MS08-037: Sicherheitsanfälligkeit in DNS kann Spoofing ermöglichen
812873Reservieren eines Bereichs temporärer Ports auf einem Computer mit Windows Server 2003 oder Windows 2000 Server (englisch)
956188 Nach Installation des Sicherheitsupdates 953230 (MS08-037) für den DNS-Serverdienst treten u. U. Probleme mit von UDP abhängigen Netzwerkdiensten auf
956187 Microsoft-Sicherheitsempfehlung: Erhöhte Bedrohung durch Sicherheitsanfälligkeit durch Spoofing-Angriff auf DNS
956189 Einige Dienste können auf Computern mit Windows SBS ggf. nicht gestartet werden oder funktionieren nicht ordnungsgemäß, nachdem das Sicherheitsupdate 953230 (MS08-037) für den DNS-Serverdienst installiert wurde
Eigenschaften

Artikelnummer: 956190 – Letzte Überarbeitung: 07/31/2008 17:05:42 – Revision: 1.1

Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Server SP4

  • kbexpertiseinter kbtshoot KB956190
Feedback