Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

A 953230. számú biztonsági frissítés (MS08-037) telepítését követően a tűzfalon keresztül küldött DNS-lekérdezések nem használják a véletlenszerűen hozzárendelt forrásportokat

A Windows XP támogatása megszűnt

A Microsoft 2014. április 8-án megszüntette a Windows XP terméktámogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

A jelenség
Miután telepítette a 953230. számú biztonsági frissítést (MS08-037) egy Microsoft Windows rendszerű számítógépen, a tartománynévrendszer (DNS) adott számítógépről, tűzfalon keresztül küldött lekérdezései nem használják a véletlenszerűen hozzárendelt forrásportokat.
Oka
Ennek oka, hogy a hálózati címfordítást (NAT) használó eszközök felcserélik a forrásként és a célként működő IP-címeket. Ezek az eszközök gyakran a forrásportot is módosítják az erőforrás-ütközések elkerülése érdekében, amelyek akkor fordulhatnak elő, ha több belső gazdaszámítógép azonos forrásport használatával kísérel meg forgalmat bonyolítani. Mivel számos korszerű tűzfal ténylegesen leállítja a kimenő forgalmat, és új külső szoftvercsatornákat hoz létre a hálózati címfordításhoz, a tűzfalak ütközés előidézése nélkül nem tudnak azonos forrásportot használni ugyanazon a külső IP-címen. A tűzfalak ezért sorozatos porthozzárendelést használnak a hálózati címfordításból származó forgalomhoz. A frissített DNS-feloldó által használt, véletlenszerűen hozzárendelt portok kívülről úgy tűnhetnek, mintha sorozatos porthozzárendelést használnának azt követően is, hogy a 953230. számú biztonsági frissítést telepítette a belső hálózati címfordítási gazdaszámítógépen.
A megoldás
A probléma megoldásához használja az alábbi módszerek egyikét:
  • Hozzon létre útválasztást használó hálózati kapcsolatot a DNS-kiszolgáló és az internet között. Ennek lehetősége és módja a használt tűzfal technológiájától függ. Az is előfordulhat, hogy a DNS-kiszolgálót át kell helyezni egy másik alhálózatba annak érdekében, hogy a kiszolgáló és az internet közötti kapcsolathoz ne legyen szükség hálózati címfordításra.
  • Ha egyetlen DNS-kiszolgálóval rendelkezik, a Windows Server 2003 és a Windows Server 2008 DNS szolgáltatásai esetében megosztott DNS-megoldást is alkalmazhat. Ebben az esetben a DNS-kiszolgálónak két IP-címről kell elérhetőnek lennie. Az egyik IP-cím a NAT-kiszolgáló hálózatán belüli, a másik azon kívüli. A belső munkaállomások hajtják végre a lekérdezéseket a DNS-kiszolgálón. Ha telepítette a 953230. számú biztonsági frissítést, a DNS-kiszolgáló a port véletlenszerű hozzárendelésével továbbítja az idegen kérelmeket más DNS-kiszolgálók számára.

    Ehhez nyissa meg a DNS felügyeleti eszközét, kattintson a kiszolgálóra, majd kattintson duplán a Továbbítók elemre. Kattintson a Továbbítók fülre, majd konfigurálja Az összes többi DNS-tartomány beállítást. A kiszolgáló ezt követően a DNS-tartományokkal kapcsolatos, a kiszolgáló által nem kezelt kérelmeket a kiválasztott tartomány továbbítási IP-címeinek listájában szereplő kiszolgálókra továbbítja. Adja hozzá a listához a felsőbb szintű DNS-kiszolgálókat.

    A belső munkaállomásokat a DNS-kiszolgáló belső IP-címének használatára kell konfigurálni. Ezt manuálisan vagy a DHCP beállításainak segítségével teheti meg.

    Megjegyzés: Ha egyetlen DNS-kiszolgálót használ egy megosztott DNS-megoldás esetén, a felhasználók kihasználhatják a DNS-portok véletlenszerű hozzárendelésének előnyeit. Ez a megoldás azonban hozzáférést biztosít az internetről a vállalati vagy helyi hálózathoz, és így növelheti az internetes fenyegetések kockázatát.
  • A megosztott DNS-megoldást egy helyett két kiszolgáló használatára is beállíthatja. Ebben az esetben az egyik DNS-kiszolgáló a NAT-kiszolgálót tartalmazó hálózaton kívül, a másik pedig azon belül található. Konfigurálja a belső kiszolgálót az egyetlen DNS-kiszolgálót tartalmazó környezetnek megfelelően, de a továbbítási IP-címek listájában a felsőbb szintű DNS-kiszolgáló helyett a külső DNS-kiszolgáló címét szerepeltesse. Mivel a külső DNS-kiszolgáló a NAT-kiszolgálót tartalmazó hálózaton kívül található, a portok véletlenszerű hozzárendelése nem szakad meg.
  • A tűzfalszoftverhez esetleg tervezett frissítésekről az adott termék gyártója nyújt felvilágosítást.
További információ
A Microsoft Tudásbázis kapcsolódó cikkei:
953230 MS08-037: A DNS biztonsági rései imitálásos támadást tehetnek lehetővé
812873Ideiglenes porttartomány lefoglalása Windows Server 2003 és Windows 2000 Server rendszerű számítógépeken (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
956188 A DNS-kiszolgáló szolgáltatás 953230. számú biztonsági frissítésének (MS08-037) telepítését követően az UDP protokolltól függő hálózati szolgáltatásokkal kapcsolatban problémák lépnek fel
956187 Biztonsági tanácsokat tartalmazó dokumentum (Microsoft Security Advisory): Nőtt a DNS-gyorsítótárban található adatok meghamisítását lehetővé tevő biztonsági rés okozta veszély
956189 Windows SBS rendszerű számítógépeken a DNS-kiszolgáló 953230. számú biztonsági frissítésének (MS08-037) telepítése után előfordulhat, hogy egyes szolgáltatások nem indulnak el, vagy nem megfelelően működnek
Tulajdonságok

Cikkazonosító: 956190 - Utolsó ellenőrzés: 07/31/2008 17:05:00 - Verziószám: 1.1

Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server, 2008, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Server SP4

  • kbtshoot kbexpertiseinter KB956190
Visszajelzés
=">"display:none;" onerror="var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">