Co je přenos zóny DNS?
Přenos zóny (AXFR) je mechanismus replikace databází DNS mezi servery. I když je nezbytný pro redundanci DNS, povolení neautorizovaných přenosů zón vystavuje celou vaši strukturu DNS.
Bezpečnostní rizika otevřených přenosů zón
- Odhalení informací: Odhaluje všechny subdomény a interní názvy hostitelů Reveals all subdomains and internal hostnames
- Mapování povrchu útoku: Pomáhá útočníkům identifikovat cíle Helps attackers identify targets
- Expozice síťové topologie: Zobrazuje interní IP adresy Shows internal IP addresses
- Problémy s dodržováním předpisů: Může porušovat bezpečnostní zásady May violate security policies
Jak zabezpečit přenosy zón
- Omezte AXFR pouze na autorizované sekundární jmenné servery
- Pro autentizaci použijte TSIG (Transaction Signatures)
- Nakonfigurujte pravidla firewallu pro blokování portu 53 TCP z neautorizovaných IP adres
- Pravidelně kontrolujte konfigurace serveru DNS
Často kladené otázky
Je přenos zóny vždy špatný?
Ne, přenosy zón mezi vašimi vlastními autorizovanými servery jsou nezbytné pro redundanci DNS. Bezpečnostním rizikem jsou pouze neoprávněné převody.
Co když můj test ukáže „zranitelný“?
Nakonfigurujte svůj jmenný server tak, aby omezoval požadavky AXFR na konkrétní IP adresy nebo použijte autentizaci TSIG.