Što je prijenos DNS zone?
Prijenos zone (AXFR) je mehanizam za repliciranje DNS baze podataka na poslužiteljima. Iako je bitan za DNS redundanciju, dopuštanje neovlaštenih prijenosa zone izlaže cijelu vašu DNS strukturu.
Sigurnosni rizici otvorenih prijenosa zona
- Otkrivanje informacija: Otkriva sve poddomene i interne nazive hostova Reveals all subdomains and internal hostnames
- Mapiranje površine napada: Pomaže napadačima identificirati ciljeve Helps attackers identify targets
- Izloženost topologije mreže: Prikazuje interne IP adrese Shows internal IP addresses
- Pitanja sukladnosti: Može kršiti sigurnosne politike May violate security policies
Kako osigurati prijenose zona
- Ogranicite AXFR samo na ovlaštene sekundarne imenske poslužitelje
- Koristite TSIG (Transaction Signatures) za autentifikaciju
- Konfigurirajte pravila vatrozida da blokirate port 53 TCP s neovlaštenih IP adresa
- Redovito revidirajte konfiguracije DNS poslužitelja
Često postavljana pitanja
Je li prijenos zone uvijek loš?
Ne, prijenosi zona između vaših ovlaštenih poslužitelja su neophodni za DNS redundanciju. Samo su neovlašteni prijenosi sigurnosni rizik.
Što ako moj test pokaže "ranjivo"?
Konfigurirajte svoj imenski poslužitelj da ograniči AXFR zahtjeve na određene IP adrese ili koristite TSIG autentifikaciju.