IT2web

Системному администратору Windows Server

Главная --> DNS --> Управление глобальным списком блокировки запросов (Global Query Block List)

Управление глобальным списком блокировки запросов (Global Query Block List)

Индекс материала
Управление глобальным списком блокировки запросов (Global Query Block List)
Протокол ISATAP
Применение
Важно
Все страницы
Функция динамического обновления DNS позволяет клиентским компьютерам регистрировать и динамически обновлять свои записи ресурсов на DNS-сервере при каждом изменении сетевого адреса или имени узла. Это сокращает необходимость в ручном администрировании записей зоны. Однако это удобство приводит к некоторому ущербу, так как любой авторизованный клиент может зарегистрировать любое неиспользуемое имя узла, даже имя узла, которое может иметь особое значение для некоторых приложений. Это может позволить злоумышленнику присвоить специальное имя и переключать определенные типы сетевого трафика на свой компьютер.

Два часто развертываемых протокола особенно уязвимы для этого типа перехвата: протокол автоматического обнаружения веб-прокси (WPAD) и протокол внутриузловой автоматической туннельной адресации (ISATAP). Даже если в сети не развернуты эти протоколы, клиенты, настроенные на их использование, уязвимы для перехвата, который делает возможным динамическое обновление DNS. Чтобы предотвратить такой перехват, роль DNS-сервера в Windows Server 2008 включает глобальный список блокировки запросов, который способен помешать злоумышленнику перехватывать имена DNS, имеющие специальное назначение.

Большинство браузеров использует протокол WPAD для обнаружения и применения параметров конфигурации, которые позволяют им использовать сетевой прокси-сервер. Эти параметры конфигурации содержатся в файле, расположенном на сервере. Браузер находит этот сервер, запрашивая у DHCP-сервера URL-адрес сетевого сервера WPAD. Если запрос приводит к неудаче, браузер пытается обнаружить WPAD-сервер с помощью стандартных запросов разрешения имен DNS.

Например, если браузер работает на компьютере под управлением Windows с именем laptop.acctg.corp.contoso.com, то он попытается найти файл конфигурации WPAD по следующим URL-адресам:

  • http://wpad.acctg.corp.contoso.com/wpad.dat
  • http://wpad.corp.contoso.com/wpad.dat
  • http://wpad.contoso.com/wpad.dat

Если браузер обнаружит файл Wpad.dat в любом из этих расположений, он считает его содержимое и настроит свои параметры соответствующим образом.

К сожалению, обезопасить данный процесс автоматического обнаружения невозможно. Любой компьютер, зарегистрированный в зоне DNS с именем wpad, может предоставить конфигурацию WPAD клиентам в сети, даже если соответствующий файл содержит параметры, заставляющие клиентов использовать ложный прокси-сервер, например, чтобы перенаправить браузер клиента на поддельные веб-узлы. Функция динамического обновления DNS позволяет злоумышленнику добиться этого без участия системного администратора DNS, просто назначив компьютеру имя wpad и подключив его к сети. Если в зоне нет другого компьютера с таким же именем, компьютер злоумышленника может зарегистрировать свое имя на DNS-сервере, заслуживающем доверия для его зоны, а затем направлять все запросы WPAD на себя.

Функция списка блокировки, обеспечиваемая ролью DNS-сервера в Windows Server 2008, помогает предотвратить перехват WPAD, гарантируя, что запросы WPAD-серверов всегда будут приводить к неудаче, если WPAD не исключен из списка блокировки.