Kas ir DNS Zonas Pārsūtīšana?
Zonas pārsūtīšana (AXFR) ir mehānisms DNS datubāzu replicēšanai starp serveriem. Lai gan tas ir būtiski DNS redundancei, neautorizētu zonas pārsūtīšanu atļaušana atklāj visu jūsu DNS struktūru.
Atvērtu Zonas Pārsūtīšanu Drošības Riski
- Informācijas Atklāšana: Atklāj visus apakšdomēnus un iekšējos resursdatoru nosaukumus Reveals all subdomains and internal hostnames
- Uzbrukuma Virsmas Kartēšana: Palīdz uzbrucējiem identificēt mērķus Helps attackers identify targets
- Tīkla Topoloģijas Atklāšana: Parāda iekšējās IP adreses Shows internal IP addresses
- Atbilstības Problēmas: Var pārkāpt drošības politikas May violate security policies
Kā Nodrošināt Zonas Pārsūtīšanu
- Ierobežot AXFR tikai uz autorizētiem sekundārajiem nosaukumu serveriem
- Izmantot TSIG (Darījumu Paraksti) autentifikācijai
- Konfigurēt ugunsmūra noteikumus, lai bloķētu portu 53 TCP no neautorizētām IP
- Regulāri auditēt DNS servera konfigurācijas
Biežāk Uzdotie Jautājumi
Vai zonas pārsūtīšana vienmēr ir slikta?
Nē, zonas pārsūtīšana starp jūsu pašu autorizētiem serveriem ir nepieciešama DNS redundancei. Tikai neautorizēta pārsūtīšana ir drošības risks.
Ko darīt, ja mans tests rāda "ievainojams"?
Konfigurējiet savu nosaukumu serveri, lai ierobežotu AXFR pieprasījumus uz konkrētām IP adresēm vai izmantojiet TSIG autentifikāciju.