globalqueryblocklist

Dawno dawno temu, w czasach Internet Explorera 4, grupa geniuszy z Inktomi, Microsoft, RealNetworks i Sun wpadla na swietny pomysl, polegajacy na tym, ze administratorom mozna oszczedzic nieco pracy. Idea oczywiscie jest wielce szczytna nawet, jezeli oszczednosc dotyczyla tak drobnego aspektu konfiguracji, jakim jest ustawienie proxy w przegladarce. Pomysl zostal spisany, opublikowany jako draft, oznaczony, ze wygasa w grudniu 1999 i zaimplementowany w Internet Explorerze 5. Jako, ze na rynku istnieje calkiem sporo przegladarek (a dokladniej User Agentów), idea sie rozpelzla po swiecie i niestety pokutuje do dzisiaj.

Osoby wyjatkowo bystre, osoby obdarzone dobra pamiecia oraz osoby z zamilowaniem do prehistorycznych rozwiazan pewnie wiedza juz, o co chodzi – o Web Proxy Auto-Discovery Protocol, dostepny nadal na stronach IETF.

W najwiekszym skrócie, istotna czesc idei WPAD polega na tym, ze przegladarka po uruchomieniu wysyla serie zapytan czy gdzies w sieci nie znajduje sie przypadkiem host o nazwie WPAD. Bo gdyby sie znajdowal, to pobierany jest z niego plik wpad.dat, w którym napisane moze byc miedzy innymi jak komunikowac sie z siecia Internet przy pomocy http i https.

To teraz pora na prosty scenariusz: jeden z uzytkowników firmowej sieci instaluje sobie maszyne, która nazywa WPAD a nastepnie (do czego zwykle ma pelne prawo) dodaje ja do Active Directory, powiedzmy corp.contoso.com. W efekcie, w domenowym DNSie pojawia sie rekord A dla hosta wpad.corp.contoso.com. To o ten wlasnie rekord zapytaja praktycznie wszyscy klienci http(s) w firmowej sieci i tym razem serwer DNS zna na to pytanie odpowiedz. Wystarczy wystawic w odpowiednim miejscu plik wpad.dat i skonfigurowac dzialajacy serwer proxy, zeby miec pelna (i praktycznie niezauwazalna dla uzytkowników) kontrole nad istotna czescia internetowego ruchu z firmowej sieci.

Kuszace? Dla administratorów dbajacych o bezpieczenstwo, zwykle niekoniecznie. Dla sieciowych lobuzów – calkiem calkiem.

Administrator nie jest jednak calkiem bezbronny i ma pare metod przeciwdzialania takim sytuacjom:

  • Uzyc opcji 252 z DHCP, poniewaz draft WPAD okresla, ze gdy DHCP odpowie, to DNSa klient juz nie pyta.
  • Uzyc centralnego zarzadzania konfiguracja przegladarek – na przyklad zgodnie z dokumentacja na stronach TechNet.
  • Sprawic, ze DNS nie zechce odpowiedziec na zapytanie o rekord o nazwie WPAD i pozwolic odejsc muzealnej technologii tam, gdzie jej miejsce.

Ta ostatnia opcja nie jest nowa (obecna w DNSach od Windows Server 2008), czesto jest domyslnie skonfigurowana poprawnie, ale warto upewnic sie, ze dziala tak, jak tego administrator oczekuje. Najlepiej zrobic to przy pomocy polecenia dnscmd.exe:

  • Sprawdzic czy serwer DNS blokuje odpowiedzi na pewne zapytania - dnscmd /info /enableglobalqueryblocklist
  • Sprawdzic jakie zapytania sa blokowane - dnscmd /info /globalqueryblocklist

Pierwsze z polecen przeklada sie na parametry zapisane w kluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\EnableGlobaQueryBlockList a drugie – w kluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

W GPO nie ma wprawdzie gotowych ustawien odpowiedzialnych za te parametry, ale samodzielne ich skonfigurowanie przez GPP jest bardzo proste i szybkie.

Posrednio, funkcjonalnosc blokowania zapytan o WPAD oznacza równiez, ze jezeli ktos koniecznie zapragnie uzywac w swojej sieci Web Proxy Autodiscovery Protocol, to moze zdarzyc sie, ze serwery nie beda wspólpracowac. Wtedy trzeba usunac wpis "wpad" z listy. Warto równiez wiedziec, ze serwer ignorujac istniejace rekordy takie jak WPAD, zapisuje w swoim logu, ze to zrobil swiadomie i celowo. Sluzy do tego event 7600:

wpad1

Serwer DNS robi to tylko raz i dopóki usluga nie zostanie zrestartowana, nowy event na ten temat nie zostanie zarejestrowany. Moze to troche utrudnic diagnostyke nieswiadomemu administratorowi, ale alternatywa byloby zasmiecenie logu – przeciez zapytanie o host WPAD wysylane jest przez kazdy komputer w sieci, próbujacy wyszukac ustawienia proxy.

Czy to dobre podejscie do archaicznej technologii jaka jest WPAD? Moze lepiej byloby calkowicie zerwac z zaszlosciami? Ciezko orzec. Ale tak naprawde administratorzy maja wybór i jezeli tylko wiedza jak swiadomie uzywac funkcjonalnosci DNS, moga ustawic swoja siec tak, jak potrzebuja.

Autor: Grzegorz Tworek [MVP]

PS Poza WPAD, drugim domyslnie blokowanym rekordem jest ISATAP. Rekord taki uzywany jest przez Intra-Site Automatic Tunnel Addressing Protocol, czyli oparta o DNS proteze zapewniajaca tunelowanie w mieszanych sieciach IPv4/IPv6. Scenariusze naduzycia moga byc ciekawsze niz w przypadku WPAD, ale sa nieco trudniejsze do zrozumienia i dlatego to na WPAD sie skupilem.