Was ist ein DNS-Zonentransfer?
Ein Zonentransfer (AXFR) ist ein Mechanismus zur Replikation von DNS-Datenbanken über Server hinweg. Obwohl für DNS-Redundanz unerlässlich, legt die Erlaubnis unbefugter Zonentransfers Ihre gesamte DNS-Struktur offen.
Sicherheitsrisiken offener Zonentransfers
- Informationspreisgabe: Enthüllt alle Subdomains und internen Hostnamen Reveals all subdomains and internal hostnames
- Angriffsflächen-Kartierung: Hilft Angreifern, Ziele zu identifizieren Helps attackers identify targets
- Enthüllung der Netzwerk-Topologie: Zeigt interne IP-Adressen Shows internal IP addresses
- Konformitätsprobleme: Kann gegen Sicherheitsrichtlinien verstoßen May violate security policies
Wie man Zonentransfers sichert
- Beschränken Sie AXFR nur auf autorisierte sekundäre Nameserver
- Verwenden Sie TSIG (Transaktionssignaturen) zur Authentifizierung
- Konfigurieren Sie Firewall-Regeln, um Port 53 TCP von unbefugten IPs zu blockieren
- Überprüfen Sie regelmäßig die DNS-Serverkonfigurationen
Häufig gestellte Fragen
Ist Zonentransfer immer schlecht?
Nein, Zonentransfers zwischen Ihren eigenen autorisierten Servern sind für die DNS-Redundanz notwendig. Nur unbefugte Transfers stellen ein Sicherheitsrisiko dar.
Was, wenn mein Test "verwundbar" anzeigt?
Konfigurieren Sie Ihren Nameserver so, dass AXFR-Anfragen auf bestimmte IP-Adressen beschränkt sind oder verwenden Sie TSIG-Authentifizierung.