Mikä on DNS-vyöhykesiirto?
Vyöhykesiirto (AXFR) on mekanismi DNS-tietokantojen replikoimiseksi palvelimien välillä. Vaikka se on välttämätön DNS-redundanssin kannalta, luvattomien vyöhykesiirtojen salliminen paljastaa koko DNS-rakenteesi.
Avointen vyöhykesiirtojen turvallisuusriskit
- Tietojen paljastuminen: Paljastaa kaikki aliverkkotunnukset ja sisäiset isäntänimet Reveals all subdomains and internal hostnames
- Hyökkäyspinnan kartoitus: Auttaa hyökkääjiä tunnistamaan kohteita Helps attackers identify targets
- Verkkotopologian paljastuminen: Näyttää sisäiset IP-osoitteet Shows internal IP addresses
- Vaatimustenmukaisuusongelmat: Saattaa rikkoa turvallisuuskäytäntöjä May violate security policies
Miten suojata vyöhykesiirrot
- Rajoita AXFR vain valtuutetuille toissijaisille nimipalvelimille
- Käytä TSIG:tä (tapahtuman allekirjoituksia) todennukseen
- Määritä palomuurisäännöt estämään portti 53 TCP luvattomilta IP-osoitteilta
- Auditoi säännöllisesti DNS-palvelimen konfiguraatiot
Usein kysytyt kysymykset
Onko vyöhykesiirto aina huono asia?
Ei, vyöhykesiirrot omien valtuutettujen palvelimiesi välillä ovat välttämättömiä DNS-redundanssin kannalta. Vain luvattomat siirrot ovat turvallisuusriski.
Entä jos testini näyttää "haavoittuva"?
Määritä nimipalvelimesi rajoittamaan AXFR-pyynnöt tiettyihin IP-osoitteisiin tai käytä TSIG-todennusta.