Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

953230 numaralı güvenlik güncelleştirmesi (MS08-037) yüklendikten sonra bir güvenlik duvarı üzerinden gönderilen DNS sorgularında rasgele kaynak bağlantı noktaları kullanılmıyor

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Support for Windows Server 2003 ended on July 14, 2015

Microsoft ended support for Windows Server 2003 on July 14, 2015. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

Belirtiler
Microsoft Windows tabanlı bir bilgisayara 953230 numaralı güvenlik güncelleştirmesi (MS08-037) yüklendikten sonra, bir bilgisayardan güvenlik duvarı üzerinden gönderilen Etki Alanı Adı Sistemi (DNS) sorgularında rasgele kaynak bağlantı noktaları kullanılmaz.
Neden
Bu davranış, Ağ Adresi Çevirisi (NAT) aygıtlarının kaynak ve hedef IP adreslerini değiştirmesi nedeniyle oluşur. Bu aygıtlar, birden çok iç ana bilgisayar aynı kaynak bağlantı noktasını kullanarak giden trafik oluşturmaya çalıştığında oluşabilecek kaynak çakışmalarını önlemek sık sık kaynak bağlantı noktasını da değiştirir. Günümüzdeki birçok modern güvenlik duvarı giden trafiği sistem içinde durdurup NAT için yeni dış yuvalar oluşturduğundan, güvenlik duvarları bir çakışmaya neden olmadan aynı dış IP üzerinde birbirinin aynı kaynak bağlantı noktaları kullanamamaktadır. Bu nedenle de güvenlik duvarları NAT trafiği için sıralı bağlantı noktası ataması kullanır. İç NAT ana bilgisayarına 953230 numaralı güvenlik güncelleştirmesi uygulandıktan sonra bile, güncelleştirilmiş DNS çözümleyicisi tarafından kullanılmakta olan rasgele bağlantı noktaları dışarıdan sıralı bağlantı noktası atamaları kullanıyor gibi görünebilir.
Çözüm
Bu sorunu gidermek için aşağıdaki yöntemlerden birini kullanın:
  • DNS sunucusu ile Internet arasında yönlendirilmiş bir ağ ilişkisi oluşturun. Bu ilişkinin özellikleri ve metodolojisi, kullanılan güvenlik duvarı teknolojisine bağlıdır. Bunun için DNS sunucusunun farklı bir alt ağda yeniden konumlandırılarak sunucu ile Internet arasındaki ilişkide artık NAT kullanılmamasının sağlanması gerekebilir.
  • Tek bir DNS sunucunuz varsa, Windows Server 2003 veya Windows Server 2008 DNS hizmetlerinde bölünmüş bir DNS çözümü kullanabilirsiniz. Bu senaryoda, DNS sunucusunun iki IP adresinden kullanılabilmesi gerekir. NAT sunucu ağı için, bu IP adreslerinden biri iç kullanım, diğeri ise dış kullanım içindir. İç iş istasyonları, sorguları DNS sunucusunda gerçekleştirir. 953230 numaralı güvenlik güncelleştirmesini yüklediyseniz, DNS sunucusu, yabancı istekleri diğer DNS sunucularına iletirken bağlantı noktalarını rasgele seçer.

    Bunu yapmak için, DNS yönetim aracını açın, sunucuyu tıklatın ve sonra da İleticiler'i çift tıklatın. İleticiler sekmesini tıklatın ve Tüm Diğer DNS Etki Alanları seçeneğini yapılandırın. Böylece sunucu, kendisinin işlemediği DNS etki alanları sorgularını otomatik olarak Seçili Etki Alanı İletici IP Adres Listesi'nde listelenen sunuculara iletir. Ters yönde sağlayıcının DNS sunucularını bu listeye ekleyin.

    İç iş istasyonları, DNS sunucunuzun iç IP adresini kullanacak biçimde yapılandırılmalıdır. Bu yapılandırma el ile veya Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) seçenekleri kullanılarak yapılabilir.

    Not Kullanıcılar bölünmüş bir DNS çözümündeki tek bir DNS sunucusu kullanarak, DNS bağlantı noktasını rasgele seçme avantajlarından yararlanabilir. Ancak bu yapılandırma, Internet'ten kuruluşunuza veya yerel ağınıza erişilmesine olanak verir. Bu yapılandırma Internet üzerinden tehditlere maruz kalma olasılığını artırabilir.
  • Bölünmüş bir DNS çözümünü bir yerine iki sunucu kullanacak biçimde de yapılandırabilirsiniz. Bu senaryoda, DNS sunucularınızdan birisi NAT sunucunuzun bulunduğu ağın dışında, diğeri ise NAT sunucusunun bulunduğu ağda yer alır. İç sunucuyu tek DNS sunucusu senaryosunda açıklandığı şekilde yapılandırın, ancak İletici IP Adres Listesi'nde ters yönde sağlayıcı yerine dış DNS sunucusunun adresini listeleyin. Dış DNS sunucusu, NAT sunucusunu barındıran ağın dışında bulunduğundan, bağlantı noktasını rasgele seçme işlemi kesintiye uğramaz.
  • Güvenlik duvarı ürünü için planlanmış güncelleştirmeler olup olmadığını öğrenmek üzere ürün satıcısına başvurun.
Daha fazla bilgi
Daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
953230 MS08-037: DNS'deki güvenlik açıkları kimlik sahtekarlığına olanak verebilir
812873Windows Server 2003 veya Windows 2000 Server çalışan bir bilgisayarda kısa ömürlü bağlantı noktaları aralığı nasıl ayrılır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
956188 DNS Sunucusu hizmetine yönelik 953230 numaralı güvenlik güncelleştirmesini (MS08-037) yükledikten sonra UDP kullanılan ağ hizmetlerinde sorunlarla karşılaşıyorsunuz
956187 Microsoft Güvenlik Danışma Belgesi: DNS'de kimlik sahtekarlığı güvenlik açığından kaynaklanan tehdit arttı
956189 Windows SBS çalışan bir bilgisayara DNS Sunucusu'na yönelik 953230 numaralı güvenlik güncelleştirmesi (MS08-037) yüklendikten sonra bazı hizmetler başlatılamayabilir veya düzgün çalışmayabilir
Özellikler

Makale No: 956190 - Son İnceleme: 07/31/2008 17:05:22 - Düzeltme: 1.1

  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003 Service Pack 2
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows XP Service Pack 3
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows 2000 Server SP4
  • kbexpertiseinter kbtshoot KB956190
Geri bildirim