Kas yra DNS zonos perdavimas?
Zonos perdavimas (AXFR) yra mechanizmas, skirtas DNS duomenų bazėms replikuoti tarp serverių. Nors tai būtina DNS dubliavimui, neteisėtų zonos perdavimų leidimas atskleidžia visą jūsų DNS struktūrą.
Atvirų zonos perdavimų saugumo rizika
- Informacijos atskleidimas: Atskleidžia visus subdomenus ir vidinius hostų pavadinimus Reveals all subdomains and internal hostnames
- Atakos paviršiaus žemėlapis: Padeda užpuolikams nustatyti taikinius Helps attackers identify targets
- Tinklo topologijos atskleidimas: Rodo vidinius IP adresus Shows internal IP addresses
- Atitikties problemos: Gali pažeisti saugumo politiką May violate security policies
Kaip apsaugoti zonos perdavimus
- Apriboti AXFR tik įgaliotiems antriniams vardų serveriams
- Naudokite TSIG (Transaction Signatures) autentifikavimui
- Konfigūruokite ugniasienės taisykles, kad blokuotumėte prievadą 53 TCP iš neteisėtų IP
- Reguliariai tikrinkite DNS serverio konfigūracijas
Dažnai užduodami klausimai
Ar zonos perdavimas visada blogai?
Ne, zonos perdavimai tarp jūsų pačių įgaliotų serverių yra būtini DNS dubliavimui. Tik neteisėti perdavimai yra saugumo rizika.
Ką daryti, jei mano testas rodo "pažeidžiamas"?
Konfigūruokite savo vardų serverį taip, kad apribotų AXFR užklausas tik tam tikriems IP adresams, arba naudokite TSIG autentifikavimą.