mercoledì, aprile 22, 2009

MS09-008 - Impedisce la distribuzione della configurazione con WPAD

error E' stato gia' segnalato sul blog di ISAserver.it da Mauro Cerutti che la patch ha una influenza diretta sul comportamento del DNS per ISA Server.
La patch introduce in Windows Server 2000/2003 la block list, funzionalità originariamente presente solo in Windows 2008. 
Con la block list sono bloccate le query DNS inerenti il resource record WPAD, utilizzato per configurare automaticamente i client ISA Server di tipo Firewall Client e WebProxy Client.
Il funzionamento della block list è abbastanza semplice:
confronta la parte più a sinistra della query DNS (hostname) con il contenuto della lista. Se il servizio DNS trova una corrispondenza, la query non ottiene risposta.

03 
Questo comportamento è valido solo per le query indirizzate a zone primarie/secondarie presenti sul server DNS.

E' importante mettere in evidenza che la block list è attiva solo sui server DNS dove è applicata la patch relativa alla vulnerabililità MS09-008 e non è stato ancora configurato il resource record WPAD. La block list non è attiva su installazioni già in essere con WPAD.

Ad oggi, a seguito dell'installazione della patch, sui sistemi Windows 2000 SP4, Windows 2003 SP1+, Windows 2008 è attiva la block list. Quindi se partite con un deployment che prevede l'utilizzo del WPAD per ISA Server su un DNS 2000/2003/2008 dovete sbloccare l'entry WPAD sul server DNS.

Windows 2000/2003
si deve intervenire direttamente sul registry di sistema nella sezione:
HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

01
02
Il servizio DNS deve essere riavviato per rendere attive le modifiche.

Windows Server 2008
si può utilizzare il comando DNSCMD per disattivare la block list
DNSCMD /config /enableglobalqueryblocklist 0


DHCP Server
Se si distribuisce la configurazione tramite DHCP server non corriamo rischi di blocco A MENO CHE NON UTILIZZIAMO come server di distribuzione un server che abbia nome host WPAD o alias WPAD. In quest'ultimo caso la block list entrerebbe in gioco bloccando la risoluzione dei nomi. Solitamente la configurazione WPAD punta direttamente all'FQDN di ISA Server - es. FI-ISA01.isaserver.it -, se non direttamente con l'indirizzo IP dell'interfaccia di rete interna.
L'articolo KB968732 di Microsoft comunque nella sezione FAQ, punto 6. dice:

"...I have a WPAD server deployed in my network. Will I be affected?
Answer: No. If you have WPAD deployed in a network, and you already have the name WPAD registered in DNS, then it will not be blocked. However, if you have WPAD in the network and it uses DHCP to distribute the wpad.dat file with nothing in DNS, then the DNS query for WPAD will be blocked..."

A mio avviso l'affermazione non sembra corretta in quanto la block list entra in gioco solo su hostname WPAD e nel caso in cui, come frequentemente avviene, ISA Server è anche il server di distribuzione - con hostname ovviamente diverso dal "WPAD" - il blocco risulta inapplicabile. Se la DHCP Option usa l'FQDN di ISA la query DNS NON SARA' BLOCCATA, risolvendo e ditribuendo tranquillamente la configurazione ai client Firewall Client e WebProxy.

Di seguito il tracciato in cui il server DHCP comunca la client la configurazione DHCP Option 252:

06
e subito dopo la query verso il server DNS per la risoluzione del nome
07 
...con relativa risposta. Ovviamente la block list era attiva sul server DNS ma come è giusto aspettarsi su hostname NON WPAD non interviene.
08 
Per domande e commenti vi aspetto sul forum di ISAserver.it, oppure sul blog.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti

Microsoft Security Bulletin MS09-008 – Important
KB961063-MS09-008: Description of the security update for DNS server: March 10, 2009
KB968732-Changes to DNS server behavior after you install the security update for DNS server
Windows Server 2008 DNS Block Feature - ISA Team Blog 
DNS Server Global Query Block List
Windows DNS and the Kaminsky bug
Automatic Discovery (WPAD) vs DNS Server Global Query Block List (W2k8) - ISAserver.it
Automatic Discovery con ISA Server 2006/2004

Etichette: , , ,

0 Comments:

Posta un commento

<< Home