WPAD, DNS block list & Windows Server 2003

Давно хотел написать заметку на тему wpad, но руки дошли только сейчас (:

Не думаю, что стоить останавливать на технологии, достаточно подробно о wpad написано здесь:

Настройка поддержки WPAD для веб прокси и Firewall клиентов

Здесь очень хорошо описаны проблемы безопастности данной технологии:

Слабые стороны технологии WPAD

Настроил виртуальных хост, создал файл wpad.dat, положил в корень, добавил запись в DNS. И решил протестировать работу на этом этапе. Но, что удивительно, nslookup на wpad никаким образом не реагировал. Пробовал разными способами, результат один, wpad в DNS не разрешается. Стало понятно, что Мелкомягкие каким-то образом заблокировали данное имя, закрыв тем самым дыру, позволяющую осуществить DNS-spoffing. В гугле отыскал ссылки, указывающие на DNS Server Global Query Block List, но все они относятся к windows server 2008, а команда dnscmd в Windows Server 2003 отсутствует.

Маялся, маялся, обратился к первоисточнику, прочитал документ, и в самом конце описывались ветки реестра, которые отвечают за блок листы DNS сервера.

Global query block list registry values

The DNS Server service uses the following registry values to store configuration information for the block list:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\EnableGlobaQueryBlockList

If you set the value of this registry key to 1 (the default), it instructs the DNS Server service to block name resolution in all zones that the server hosts for the names that are in the block list. If you set the value of this registry key to 0, it instructs the DNS Server service not to block name resolution for the names in the block list.

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

This registry key is a multistring value that contains the names that you want name resolution to block.

Нашел в реестре эти ключи, и убрал из них wpad. Перезапустил сервис DNS и все заработало.

Здесь ссылка на документ microsoft:

Windows Server 2008 – DNS Server Global Query Block List

Свежие посты

5 Комментариев

  1. ehpehp:

    http://download.microsoft.com/download/5/3/c/53cdc0bf-6609-4841-a7b9-cae98cc2e4a3/dns_server_global_%20query_block%20list.doc, кажется, сдохла.Показывает ошибка 404 — в чем может быть дело?

  2. derberg:

    Разрешите я утяну пост в свой блог ? На правах копи-паста. Ссылку на vipcon.ru само-собой поставлю..

  3. alex_cloud:

    позанимаюсь некрофилией:

    >dnscmd в Windows Server 2003 отсутствует.
    его можно поставить дополнительно, установив windows support tools

Добавить комментарий