Hvad er en DNS-zoneoverførsel?
En zoneoverførsel (AXFR) er en mekanisme til at replikere DNS-databaser på tværs af servere. Mens det er vigtigt for DNS-redundans, eksponerer tilladelse af uautoriserede zoneoverførsler hele din DNS-struktur.
Sikkerhedsrisici ved åbne zoneoverførsler
- Informationsafsløring: Afslører alle underdomæner og interne værtsnavne Reveals all subdomains and internal hostnames
- Kortlægning af angrebsoverflade: Hjælper angribere med at identificere mål Helps attackers identify targets
- Netværkstopologieksponering: Viser interne IP-adresser Shows internal IP addresses
- Overholdelsesproblemer: Kan overtræde sikkerhedspolitikker May violate security policies
Sådan sikres zoneoverførsler
- Begræns AXFR til kun autoriserede sekundære navneservere
- Brug TSIG (Transaction Signatures) til autentificering
- Konfigurer firewall-regler til at blokere port 53 TCP fra uautoriserede IP'er
- Revider regelmæssigt DNS-serverkonfigurationer
Ofte stillede spørgsmål
Er zoneoverførsel altid dårligt?
Nej, zoneoverførsler mellem dine egne autoriserede servere er nødvendige for DNS-redundans. Kun uautoriserede overførsler er en sikkerhedsrisiko.
Hvad hvis min test viser "sårbar"?
Konfigurer din navneserver til at begrænse AXFR-anmodninger til specifikke IP-adresser eller brug TSIG-godkendelse.