Mi az a DNS Zóna Transzfer?
A zóna transzfer (AXFR) a DNS adatbázisok szerverek közötti replikálásának mechanizmusa. Bár elengedhetetlen a DNS redundanciához, az illetéktelen zóna transzferek engedélyezése az egész DNS struktúrát feltárja.
A Nyílt Zóna Transzferek Biztonsági Kockázatai
- Információ Kiadása: Feltárja az összes aldomént és belső gépnevet Reveals all subdomains and internal hostnames
- Támadási Felület Feltérképezése: Segít a támadóknak a célpontok azonosításában Helps attackers identify targets
- Hálózati Topológia Feltárása: Megmutatja a belső IP-címeket Shows internal IP addresses
- Megfelelőségi Problémák: Sértheti a biztonsági irányelveket May violate security policies
Hogyan Biztosítsuk a Zóna Transzfereket
- Korlátozza az AXFR-t csak a felhatalmazott másodlagos névszerverekre
- Használjon TSIG (Tranzakció Aláírás) hitelesítést
- Konfigurálja a tűzfal szabályokat a TCP 53-as port blokkolására illetéktelen IP-kről
- Rendszeresen auditálja a DNS szerver konfigurációkat
Gyakori Kérdések
A zóna transzfer mindig rossz?
Nem, a saját felhatalmazott szerverei közötti zóna transzferek szükségesek a DNS redundanciához. Csak az illetéktelen transzferek jelentenek biztonsági kockázatot.
Mi van, ha a tesztem "sebezhető"-t mutat?
Konfigurálja a névszerverét, hogy korlátozza az AXFR kéréseket adott IP-címekre, vagy használjon TSIG hitelesítést.