Il processo di installazione di pseudo VPN di Microsofts chiamato Accesso diretto mi richiede di rimuovere il Nome ISATAP dall'elenco di blocchi globali predefinito eseguendo questo comando:
dnscmd /config /globalqueryblocklist wpad
Quali sono le implicazioni dell'esecuzione di questo comando e quali sono i vantaggi di aver bloccato ISATAP bloccato?
Microsoft Dynamic DNS consente agli host di richiedere un nome host specifico che vorrebbero utilizzare. (Questo è ciò che significa la dinamica!)
Come previsto, non puoi usare questa funzione per rubare il nome di un host esistente, ma c'è un attacco correlato in cui rubi il nome di un host che non esiste, ma che i client cercano come parte di un protocollo di autodiscovery.
Ad esempio, quando Internet Explorer si avvia, prova a scoprire se c'è un server proxy che dovrebbe usare. Uno dei modi in cui lo fa è provare a collegarsi a un server chiamato wpad e scaricare un file di configurazione di rilevamento automatico del proxy Web.
Allo stesso modo, se si ha una rete IPv4 e un'applicazione client che vuole inviare il traffico IPv6 da qualche parte, il client deve trovare un router ISATAP (Automatic Tunnel Addressing Protocol) all'interno del sito - il client quindi avvolge il traffico IPV6 in un pacchetto IPV4 e lo invia al router ISATAP, che scava il traffico e lo invia. Avete indovinato: uno dei modi in cui il client trova un router adatto è provare la connessione a un server chiamato isatap e scaricare un elenco.
Quindi se non hanno host chiamati wpad e isatap, è necessario assicurarsi che un client malevolo non possa registrare questi nomi, altrimenti possono consegnare file di configurazione fasulli ai client e rubare il traffico.
Penseresti che diresti semplicemente al server DNS di non distribuire quei nomi, ma sarebbe troppo facile. Invece, si utilizza l'elenco di blocco globale, che è un elenco di nomi che il server DNS non mai risolverà, indipendentemente dal fatto che abbia o meno dei record. Di default questo elenco ha due voci, wpad e isatap.
Ciò significa, quindi, che se le cose cambiano e si imposta un host wpad / istap reale, è necessario rimuovere i loro nomi dall'elenco dei blocchi prima che funzioni.
Nella tua situazione specifica, l'accesso diretto è basato su IPV6 e gli host a cui i tuoi clienti si connettono devono tutti usare IPV6. Quindi, se si trovano su una rete solo IPV4, è necessario distribuire ISATAP affinché funzioni, e quindi è necessario rimuovere ISATAP dall'elenco bloccato globale.
Fare questo non dovrebbe introdurre un problema di sicurezza, perché una volta che l'accesso diretto è attivo, si avrà un vero host chiamato isatap e i client dannosi non saranno in grado di registrare quel nome.
Un'ultima nota per coloro che si chiedono perché dici dnscmd /config /globalqueryblocklist wpad quando è attiva l'isatap, non wpad. Questo comando imposta l'elenco dei blocchi sul valore specificato. Per impostazione predefinita, l'elenco dei blocchi legge "wpad isatap" e il comando lo cambia in "wpad".
Leggi altre domande sui tag windows ipv6 active-directory dns vpn