Qu'est-ce qu'un Transfert de Zone DNS ?
Un transfert de zone (AXFR) est un mécanisme pour répliquer des bases de données DNS entre serveurs. Bien qu'essentiel pour la redondance DNS, permettre des transferts de zone non autorisés expose toute votre structure DNS.
Risques de Sécurité des Transferts de Zone Ouverts
- Divulgation d'Information : Révèle tous les sous-domaines et noms d'hôtes internes Reveals all subdomains and internal hostnames
- Cartographie de Surface d'Attaque : Aide les attaquants à identifier des cibles Helps attackers identify targets
- Exposition de Topologie Réseau : Montre les adresses IP internes Shows internal IP addresses
- Problèmes de Conformité : Peut violer les politiques de sécurité May violate security policies
Comment Sécuriser les Transferts de Zone
- Restreindre AXFR aux serveurs de noms secondaires autorisés uniquement
- Utiliser TSIG (Signatures de Transaction) pour l'authentification
- Configurer les règles de pare-feu pour bloquer le port 53 TCP des IP non autorisées
- Auditer régulièrement les configurations des serveurs DNS
Foire Aux Questions
Le transfert de zone est-il toujours mauvais ?
Non, les transferts de zone entre vos propres serveurs autorisés sont nécessaires pour la redondance DNS. Seuls les transferts non autorisés sont un risque de sécurité.
Et si mon test affiche "vulnérable" ?
Configurez votre serveur de noms pour restreindre les requêtes AXFR à des adresses IP spécifiques ou utilisez l'authentification TSIG.