Estás trabajando sin conexión, espera a que vuelva la conexión a Internet

Las consultas de DNS que se envían a través de un firewall no utiliza puertos de origen aleatorio después de instalar la actualización de seguridad 953230 (MS08-037)

Ha finalizado el soporte técnico para Windows XP

Microsoft puso fin al soporte técnico para Windows XP el 8 de abril de 2014. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

El soporte técnico para Windows Server 2003 finalizó el 14 de julio de 2015

Microsoft finalizó el soporte técnico para Windows Server 2003 el 14 de julio de 2015. Este cambio ha afectado a las actualizaciones de software y las opciones de seguridad. Sepa qué significa esto en su caso y cómo puede mantenerse protegido.

Síntomas
Después de instalar la actualización de seguridad 953230 (MS08-037) en un equipo con Microsoft Windows, las consultas de DNS (Sistema de nombres de dominio) que se envían desde dicho equipo a través de un firewall no utilizan puertos de origen aleatorios.
Causa
Este comportamiento se produce porque los dispositivos NAT (Traducción de direcciones de red) cambian las direcciones IP de origen y destino. Dichos dispositivos también cambian el puerto de origen con frecuencia para evitar los conflictos de recursos que pueden surgir cuando varios hosts internos intentan enviar tráfico a través del mismo puerto de origen. Dado que muchos firewalls modernos realmente interrumpen el tráfico saliente internamente y crean nuevos sockets externos para NAT, no pueden utilizar puertos de origen idénticos en la misma IP externa sin crear un conflicto. Por consiguiente, los firewalls utilizan la asignación secuencial de puertos para el tráfico del NAT. Externamente, puede parecer que los puertos aleatorios que va a utilizar la resolución DNS actualizada son asignaciones secuenciales de puertos, incluso después de que la actualización de seguridad 953230 se aplique al host NAT interno.
Solución
Para resolver este problema, utilice uno de los métodos siguientes:
  • Cree una relación de red enrutada entre el servidor DNS e Internet. La capacidad y metodología de este método depende de la tecnología de firewall que se use. Esto puede requerir que el servidor DNS se reasigne a otra subred, con el fin de que la relación entre el servidor e Internet deje de utilizar NAT.
  • Si tiene un solo servidor DNS, puede implementar una solución DNS dividida en los servicios de DNS de Windows Server 2003 o Windows Server 2008. En este escenario, el servidor DNS debe estar disponible desde dos direcciones IP. Una de estas direcciones IP es interna, mientras que la otra está fuera de la red del servidor NAT. Las estaciones de trabajo internas realizan las consultas al servidor DNS. Si ha instalado la actualización de seguridad 953230, el servidor DNS utiliza la aleatorización de puertos para reenviar las solicitudes externas a otros servidores DNS.

    Para ello, abra la herramienta de administración de DNS, haga clic en el servidor y, seguidamente, haga doble clic en Reenviadores. Haga clic en la ficha Reenviadores y, después, configure la opción Todos los otros dominios DNS. A continuación, el servidor reenviará automáticamente todas las solicitudes de dominios DNS que el servidor no gestione a los servidores que aparezcan en la lista de direcciones IP del reenviador de dominio seleccionado. Agregue los servidores DNS del proveedor ascendente a esta lista.

    Las estaciones de trabajo internas se deben configurar para utilizar la dirección IP interna del servidor DNS. Esta dirección se puede establecer manualmente o con las opciones de DHCP (Protocolo de configuración dinámica de host).

    Nota El uso de un único servidor DNS en una solución DNS dividida proporciona a los clientes las ventajas de la aleatorización de puertos DNS. Sin embargo, esta configuración agrega una ruta desde Internet a la red local o de la empresa. Esta configuración puede aumentar la exposición a amenazas de Internet.
  • También puede configurar una solución DNS dividida para utilizar dos servidores, en lugar de uno. En este escenario, uno de los servidores DNS está fuera de la red que contiene el servidor NAT, mientras que el otro está dentro de dicha red. Configure el servidor interno tal como se describe en el escenario de un solo servidor DNS, pero incluya la dirección del servidor DNS externo en la lista de direcciones IP del reenviador, en lugar de incluir el proveedor ascendente. Como el servidor DNS externo se encuentra fuera de la red que contiene el servidor NAT, la aleatorización de puertos no se interrumpe.
  • Para saber si hay actualizaciones planeadas para su producto de firewall, póngase en contacto con el proveedor del firewall.
Más información
Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
953230 MS08-037: Las vulnerabilidades en DNS podrían permitir la suplantación de identidad (spoofing)
812873Cómo reservar un rango de puertos efímeros en un equipo con Windows Server 2003 o Windows 2000 Server (en inglés)
956188 Después de instalar la actualización de seguridad del servicio Servidor DNS 953230 (MS08-037) tiene problemas con los servicios de red que dependen de UDP
956187 Aviso de seguridad de Microsoft: mayor amenaza para la vulnerabilidad de suplantación de identidad de DNS
956189 Después de instalar la actualización de seguridad de servidor DNS 953230 (MS08-037) es posible que algunos servicios no se inicien o no funcionen correctamente en un equipo con Windows SBS
Propiedades

Id. de artículo: 956190 - Última revisión: 07/31/2008 17:05:06 - Revisión: 1.2

Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Server SP4

  • kbexpertiseinter kbtshoot KB956190
Comentarios
y>display: none; " src="https://c1.microsoft.com/c.gif?DI=4050&did=1&t=">html>=">mp;t=">