Какво е трансфер на DNS зона?
Трансферът на зона (AXFR) е механизъм за репликиране на DNS бази данни между сървъри. Въпреки че е от съществено значение за DNS редундантността, разрешаването на неоторизирани трансфери на зони излага цялата ви DNS структура.
Рискове за сигурността при отворени трансфери на зони
- Разкриване на информация: Разкрива всички поддомейни и вътрешни хост имена Reveals all subdomains and internal hostnames
- Картографиране на повърхността за атака: Помага на нападателите да идентифицират цели Helps attackers identify targets
- Излагане на мрежова топология: Показва вътрешни IP адреси Shows internal IP addresses
- Проблеми със съответствието: Може да наруши политиките за сигурност May violate security policies
Как да защитите трансферите на зони
- Ограничете AXFR само до оторизирани вторични сървъри за имена
- Използвайте TSIG (Transaction Signatures) за удостоверяване
- Конфигурирайте правила на защитната стена, за да блокирате порт 53 TCP от неоторизирани IP адреси
- Редовно одитирайте конфигурациите на DNS сървъра
Често задавани въпроси
Винаги ли е лош трансферът на зона?
Не, трансферите на зони между вашите собствени оторизирани сървъри са необходими за DNS редундантност. Само неоторизираните трансфери са риск за сигурността.
Какво става, ако тестът ми покаже "уязвим"?
Конфигурирайте вашия сървър за имена, за да ограничите AXFR заявките до конкретни IP адреси или използвайте TSIG удостоверяване.