mercoledì, aprile 22, 2009

MS09-008 - Impedisce la distribuzione della configurazione con WPAD

error E' stato gia' segnalato sul blog di ISAserver.it da Mauro Cerutti che la patch ha una influenza diretta sul comportamento del DNS per ISA Server.
La patch introduce in Windows Server 2000/2003 la block list, funzionalità originariamente presente solo in Windows 2008. 
Con la block list sono bloccate le query DNS inerenti il resource record WPAD, utilizzato per configurare automaticamente i client ISA Server di tipo Firewall Client e WebProxy Client.
Il funzionamento della block list è abbastanza semplice:
confronta la parte più a sinistra della query DNS (hostname) con il contenuto della lista. Se il servizio DNS trova una corrispondenza, la query non ottiene risposta.

03 
Questo comportamento è valido solo per le query indirizzate a zone primarie/secondarie presenti sul server DNS.

E' importante mettere in evidenza che la block list è attiva solo sui server DNS dove è applicata la patch relativa alla vulnerabililità MS09-008 e non è stato ancora configurato il resource record WPAD. La block list non è attiva su installazioni già in essere con WPAD.

Ad oggi, a seguito dell'installazione della patch, sui sistemi Windows 2000 SP4, Windows 2003 SP1+, Windows 2008 è attiva la block list. Quindi se partite con un deployment che prevede l'utilizzo del WPAD per ISA Server su un DNS 2000/2003/2008 dovete sbloccare l'entry WPAD sul server DNS.

Windows 2000/2003
si deve intervenire direttamente sul registry di sistema nella sezione:
HKLM\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

01
02
Il servizio DNS deve essere riavviato per rendere attive le modifiche.

Windows Server 2008
si può utilizzare il comando DNSCMD per disattivare la block list
DNSCMD /config /enableglobalqueryblocklist 0


DHCP Server
Se si distribuisce la configurazione tramite DHCP server non corriamo rischi di blocco A MENO CHE NON UTILIZZIAMO come server di distribuzione un server che abbia nome host WPAD o alias WPAD. In quest'ultimo caso la block list entrerebbe in gioco bloccando la risoluzione dei nomi. Solitamente la configurazione WPAD punta direttamente all'FQDN di ISA Server - es. FI-ISA01.isaserver.it -, se non direttamente con l'indirizzo IP dell'interfaccia di rete interna.
L'articolo KB968732 di Microsoft comunque nella sezione FAQ, punto 6. dice:

"...I have a WPAD server deployed in my network. Will I be affected?
Answer: No. If you have WPAD deployed in a network, and you already have the name WPAD registered in DNS, then it will not be blocked. However, if you have WPAD in the network and it uses DHCP to distribute the wpad.dat file with nothing in DNS, then the DNS query for WPAD will be blocked..."

A mio avviso l'affermazione non sembra corretta in quanto la block list entra in gioco solo su hostname WPAD e nel caso in cui, come frequentemente avviene, ISA Server è anche il server di distribuzione - con hostname ovviamente diverso dal "WPAD" - il blocco risulta inapplicabile. Se la DHCP Option usa l'FQDN di ISA la query DNS NON SARA' BLOCCATA, risolvendo e ditribuendo tranquillamente la configurazione ai client Firewall Client e WebProxy.

Di seguito il tracciato in cui il server DHCP comunca la client la configurazione DHCP Option 252:

06
e subito dopo la query verso il server DNS per la risoluzione del nome
07 
...con relativa risposta. Ovviamente la block list era attiva sul server DNS ma come è giusto aspettarsi su hostname NON WPAD non interviene.
08 
Per domande e commenti vi aspetto sul forum di ISAserver.it, oppure sul blog.
Luca

Luca Conte, MCSE/MCSA:Security, MCT, MCTIP: Windows 2008
MCTS: Windows Virtualization, VMWare VCP
Consulting Services & Professional Training
ISA Server Jumpstart 2009 - http://www.isaserverjumpstart.com
ISA Server Technical Days - http://days.isaserverjumpstart.com
ISA Server Workbook 2a Ed - http://workbook.isaserverjumpstart.com

Riferimenti

Microsoft Security Bulletin MS09-008 – Important
KB961063-MS09-008: Description of the security update for DNS server: March 10, 2009
KB968732-Changes to DNS server behavior after you install the security update for DNS server
Windows Server 2008 DNS Block Feature - ISA Team Blog 
DNS Server Global Query Block List
Windows DNS and the Kaminsky bug
Automatic Discovery (WPAD) vs DNS Server Global Query Block List (W2k8) - ISAserver.it
Automatic Discovery con ISA Server 2006/2004

Etichette: , , ,

posted by Luca Conte MCSE MCT MCSA VCP @ 18:14   0 comments

mercoledì, giugno 04, 2008

Automatic Discovery (WPAD) vs DNS Server Global Query Block List (W2k8)

Una delle funzionalità di protezione introdotte in Windows Server 2008 influenza il comportamento del resource record WPAD. Quest'ultimo viene utilizzato dai client WEBProxy e Firewall Client per rilevare automaticamente il server ISA presente in rete e ricevere la relativa configurazione (wpad.dat).

Nell'articolo Automatic Discovery con ISA Server 2006/2004 abbiamo visto come configurare il DHCP ed DNS in esecuzione su Windows Server 2003 per configurare automaticamente i client.

Windows Server 2008 introduce per il DNS una nuova funzionalità di protezione, la Global Query Block List. Grazie a questa funzionalità, attiva di default, il server DNS di Windows Server 2008 impedisce la risoluzione dei nomi per nome host WPAD registrati nella zona DNS gestita dal nostro server DNS. Indipendentemente dal fatto che il resource record WPAD sia stato creato a mano dall'amministratore oppure mediante il processo di Dynamic Update. La funzionalità introdotta con Windows Server 2008 vuole andare a scongiurare proprio quest'ultima condizione - WPAD creato tramite Dynamic Update da server non autorizzati -. Purtroppo non esiste un meccanismo che permetta di garantire che il server che pubblica il file di configurazione wpad.dat sia un ISA Server e non un qualunque altro server non sotto il nostro diretto controllo. 

Questa problematica la vedremo con maggior dettaglio in un'altro articolo. Per ora quello che ci interessa è riabilitare la risoluzione dei nomi per il record WPAD. Per riuscirci dobbiamo istruire il server DNS affinché risolva query anche con nome host WPAD. Prima di tutto verifichiamo se è attiva la Global Query Block List. Basta eseguire sul nostro server DNS Windows Server 2008 il comando:

dnscmd /info /enableglobalqueryblocklist

Se il valore restituio è 1 (default) allora è attiva.

DNSWin2008

Per visualizzare l'elenco dei nomi host bloccati basta eseguire il comando

dnscmd /info /globalqueryblocklist

image

Di default sono bloccate le query per nomi host WPAD e ISATAP.  Se vogliamo utilizzare il server DNS Windows 2008 ed implementare il WPAD allora dobbiamo rimuovere dalla Global Query Block List i nomi host bloccati. Per farlo basta lanciare il seguente comando

dnscmd /config /globalqueryblocklist

W2k8-3

In questo modo svuotiamo TUTTA la lista. Possiamo verificare che la lista risulta TUTTA svuotata lanciando nuovamente il comando:

dnscmd /info /globalqueryblocklist

W2k8-4

Se abbiamo seguito la procedura indicata nell'articolo Automatic Discovery con ISA Server 2006/2004 siamo pronti per utilizzare il WPAD ed il nostro nuovo server DNS in esecuzione su Windows Server 2008.

Nota: per riabilitare la Global Query Block List basta utilizzare il seguente comando aggiungendo anche i nomi host da bloccare:

dnscmd /config /globalqueryblocklist wpad isatap

Per domande e commenti vi aspetto sul forum di ISAserver.it

Etichette: , ,

posted by Luca Conte MCSE MCT MCSA VCP @ 01:12   0 comments