Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

Po zainstalowaniu aktualizacji zabezpieczeń 953230 (MS08-037) kwerendy DNS wysyłane z komputera przez zaporę nie używają losowych portów źródłowych

Zakończono świadczenie pomocy technicznej dla systemu Windows XP

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows XP 8 kwietnia 2014. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Świadczenie pomocy technicznej dla systemu Windows Server 2003 zakończono 14 lipca 2015.

Firma Microsoft zakończyła świadczenie pomocy technicznej dla systemu Windows Server 2003 14 lipca 2015. Ta zmiana wpłynęła na Twoje aktualizacje oprogramowania i opcje zabezpieczeń. Dowiedz się, co to oznacza dla Ciebie i jak zapewnić sobie kontynuację ochrony.

Symptomy
Po zainstalowaniu aktualizacji zabezpieczeń 953230 (MS08-037) na komputerze z systemem Microsoft Windows może się okazać, że kwerendy DNS wysyłane z komputera przez zaporę nie używają losowych portów źródłowych.
Przyczyna
Przyczyną takiego działania jest to, że urządzenia NAT zmieniają źródłowe i docelowe adresy IP. Te urządzenia często zmieniają także port źródłowy w celu uniknięcia konfliktów zasobów, które mogą występować, gdy wiele wewnętrznych hostów próbuje wysyłać informacje za pomocą tego samego portu źródłowego. Wiele współczesnych zapór blokuje wewnętrznie ruch wychodzący i tworzy nowe gniazda zewnętrzne na potrzeby translacji NAT, dlatego takie zapory nie mogą używać identycznych portów źródłowych razem z tym samym zewnętrznym adresem IP bez powodowania konfliktu. Z tego powodu zapory używają sekwencyjnego przypisywania portów dla ruchu pochodzącego z translacji NAT. Losowe porty, które są używane przez zaktualizowany program rozpoznawania nazw DNS, na zewnątrz mogą być widoczne jako porty przypisane sekwencyjnie, nawet po zastosowaniu do wewnętrznego hosta NAT aktualizacji zabezpieczeń 953230.
Rozwiązanie
Aby rozwiązać ten problem, należy użyć jednej z następujących metod:
  • Należy utworzyć relację sieci trasowanej między serwerem DNS a Internetem. Możliwości i metodologia tego rozwiązania zależą od używanej technologii zapory. To rozwiązanie może wymagać przemieszczenia serwera DNS do innej podsieci, tak aby w relacji między serwerem a Internetem nie była używany translacja adresów sieciowych.
  • W przypadku używania pojedynczego serwera DNS można wdrożyć rozwiązanie z rozdzieleniem usługi DNS w systemie Windows Server 2003 lub Windows Server 2008. W tym scenariuszu serwer DNS musi być dostępny pod dwoma adresami IP. Jeden adres IP jest wewnętrzny, a drugi zewnętrzny w stosunku do sieci serwera NAT. Wewnętrzne stacje robocze wysyłają kwerendy do serwera DNS. Jeśli zainstalowano aktualizację zabezpieczeń 953230, serwer DNS będzie używać losowego generowania portów, aby przesłać obce żądania dalej do innych serwerów DNS.

    Aby zastosować to rozwiązanie, należy otworzyć narzędzie administracyjne usługi DNS, kliknąć odpowiedni serwer i kliknąć dwukrotnie pozycję Usługi przesyłania dalej. Następnie należy kliknąć kartę Usługi przesyłania dalej i skonfigurować opcję Wszystkie pozostałe domeny DNS. Serwer będzie automatycznie przesyłał wszystkie żądania dotyczące domen DNS, których nie obsługuje, dalej do serwerów wymienionych na liście adresów IP wybranych usług przesyłania dalej domeny. Do tej listy należy dodać serwery DNS dostawcy zapewniającego wysyłanie informacji.

    Wewnętrzne stacje robocze należy skonfigurować tak, aby używały wewnętrznego adresu IP serwera DNS. Taką konfigurację można przeprowadzić ręcznie lub za pomocą opcji protokołu dynamicznej konfiguracji hosta (DHCP).

    Uwaga Stosowanie rozwiązania rozdzielenia usługi DNS przy korzystaniu z pojedynczego serwera DNS zapewnia wiele korzyści związanych z losowym generowaniem portów. Jednak taka konfiguracja umożliwia uzyskanie dostępu do sieci lokalnej lub firmowej z Internetu. Wiąże się to z potencjalnym zwiększeniem narażenia na zagrożenia płynące z Internetu.
  • Rozwiązanie rozdzielenia usługi DNS można również skonfigurować przy użyciu dwóch serwerów zamiast jednego. W tym scenariuszu jeden z serwerów DNS jest serwerem zewnętrznym, a drugi wewnętrznym w stosunku do sieci zawierającej serwer NAT. Serwer wewnętrzny należy skonfigurować zgodnie z opisem w scenariuszu obejmującym używanie jednego serwera DNS. Jednak do listy adresów IP usługi przesyłania dalej zamiast serwerów dostawcy zapewniającego wysyłanie informacji należy dodać adres zewnętrznego serwera DNS. Ponieważ zewnętrzny serwer DNS jest umieszczony poza siecią zawierającą serwer NAT, losowe generowanie portów nie jest zakłócane.
  • Należy skontaktować się z dostawcą zapory, aby dowiedzieć się, czy są dla niej planowane jakiekolwiek aktualizacje.
Więcej informacji
Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
953230 MS08-037: Luki w zabezpieczeniach usługi DNS umożliwiają fałszowanie zawartości
812873Jak zarezerwować zakres tymczasowych portów na komputerze z systemem Windows Server 2003 lub Windows 2000 Server (j. ang.)
956188 Po zainstalowaniu aktualizacji zabezpieczeń 953230 (MS08-037) dla usługi serwera DNS występują problemy z usługami sieciowymi zależnymi od protokołu UDP
956187 Microsoft Security Advisory: Zwiększone zagrożenie spowodowane luką w zabezpieczeniach usługi DNS umożliwiającą fałszowanie zawartości
956189 Po zainstalowaniu aktualizacji zabezpieczeń 953230 (MS08-037) dla usługi serwera DNS na komputerze z systemem Windows SBS nie można uruchomić niektórych usług lub niektóre usługi nie działają poprawnie
Właściwości

Identyfikator artykułu: 956190 — ostatni przegląd: 07/31/2008 17:05:18 — zmiana: 1.1

Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Web Server 2008, Microsoft Windows Server 2003, Standard x64 Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter x64 Edition, Microsoft Windows XP Professional x64 Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows XP Service Pack 3, Microsoft Windows XP Service Pack 2, Microsoft Windows 2000 Server SP4

  • kbexpertiseinter kbtshoot KB956190
Opinia
mTracker.init();