Mis on DNS-i tsooniülekanne?
Tsooniülekanne (AXFR) on mehhanism DNS-andmebaaside replikeerimiseks serverite vahel. Kuigi see on oluline DNS-i redundantsuse jaoks, paljastab volitamata tsooniülekannete lubamine kogu teie DNS-struktuuri.
Avatud tsooniülekannete turvariskid
- Teabe avalikustamine: Paljastab kõik alamdomeenid ja sisemised hostinimed Reveals all subdomains and internal hostnames
- Rünnakupinna kaardistamine: Aitab ründajatel sihtmärke tuvastada Helps attackers identify targets
- Võrgu topoloogia paljastamine: Näitab sisemisi IP-aadresse Shows internal IP addresses
- Vastavusprobleemid: Võib rikkuda turvapoliitikaid May violate security policies
Kuidas turvata tsooniülekandeid
- Piirake AXFR-i ainult volitatud sekundaarsetele nimeserveritele
- Kasutage autentimiseks TSIG-i (tehingu allkirju)
- Konfigureerige tulemüüri reeglid, et blokeerida port 53 TCP volitamata IP-delt
- Kontrollige regulaarselt DNS-serveri konfiguratsioone
Korduma kippuvad küsimused
Kas tsooniülekanne on alati halb?
Ei, tsooniülekanded teie enda volitatud serverite vahel on DNS-i redundantsuse jaoks vajalikud. Ainult volitamata ülekanded on turvarisk.
Mis siis, kui mu test näitab "haavatav"?
Konfigureerige oma nimeserver piirama AXFR-päringuid kindlatele IP-aadressidele või kasutage TSIG-autentimist.