Cos'è un Trasferimento Zona DNS?
Un trasferimento zona (AXFR) è un meccanismo per replicare i database DNS tra server. Sebbene essenziale per la ridondanza DNS, consentire trasferimenti zona non autorizzati espone l'intera struttura DNS.
Rischi di Sicurezza dei Trasferimenti Zona Aperti
- Divulgazione Informazioni: Rivela tutti i sottodomini e gli hostname interni Reveals all subdomains and internal hostnames
- Mappatura Superficie d'Attacco: Aiuta gli attaccanti a identificare obiettivi Helps attackers identify targets
- Esposizione Topologia Rete: Mostra indirizzi IP interni Shows internal IP addresses
- Problemi di Conformità: Potrebbe violare le policy di sicurezza May violate security policies
Come Proteggere i Trasferimenti Zona
- Limita AXFR solo ai nameserver secondari autorizzati
- Usa TSIG (Transaction Signatures) per l'autenticazione
- Configura regole firewall per bloccare la porta 53 TCP da IP non autorizzati
- Controlla regolarmente le configurazioni del server DNS
Domande Frequenti
Il trasferimento zona è sempre negativo?
No, i trasferimenti zona tra i tuoi server autorizzati sono necessari per la ridondanza DNS. Solo i trasferimenti non autorizzati sono un rischio per la sicurezza.
Cosa succede se il mio test mostra "vulnerabile"?
Configura il tuo nameserver per limitare le richieste AXFR a indirizzi IP specifici o usa l'autenticazione TSIG.