¿Qué es una Transferencia de Zona DNS?
Una transferencia de zona (AXFR) es un mecanismo para replicar bases de datos DNS entre servidores. Aunque es esencial para la redundancia DNS, permitir transferencias de zona no autorizadas expone toda tu estructura DNS.
Riesgos de Seguridad de Transferencias de Zona Abiertas
- Divulgación de Información: Revela todos los subdominios y nombres de host internos Reveals all subdomains and internal hostnames
- Mapeo de Superficie de Ataque: Ayuda a los atacantes a identificar objetivos Helps attackers identify targets
- Exposición de Topología de Red: Muestra direcciones IP internas Shows internal IP addresses
- Problemas de Cumplimiento: Puede violar políticas de seguridad May violate security policies
Cómo Asegurar las Transferencias de Zona
- Restringir AXFR solo a servidores de nombres secundarios autorizados
- Usar TSIG (Firmas de Transacción) para autenticación
- Configurar reglas de firewall para bloquear el puerto 53 TCP de IPs no autorizadas
- Auditar regularmente las configuraciones del servidor DNS
Preguntas Frecuentes
¿Es siempre mala la transferencia de zona?
No, las transferencias de zona entre tus propios servidores autorizados son necesarias para la redundancia DNS. Solo las transferencias no autorizadas son un riesgo de seguridad.
¿Qué pasa si mi prueba muestra "vulnerable"?
Configura tu servidor de nombres para restringir las solicitudes AXFR a direcciones IP específicas o usa autenticación TSIG.