O que é uma Transferência de Zona DNS?
Uma transferência de zona (AXFR) é um mecanismo para replicar bases de dados DNS entre servidores. Embora essencial para redundância DNS, permitir transferências de zona não autorizadas expõe toda a sua estrutura DNS.
Riscos de Segurança de Transferências de Zona Abertas
- Divulgação de Informação: Revela todos os subdomínios e hostnames internos Reveals all subdomains and internal hostnames
- Mapeamento de Superfície de Ataque: Ajuda atacantes a identificar alvos Helps attackers identify targets
- Exposição da Topologia de Rede: Mostra endereços IP internos Shows internal IP addresses
- Problemas de Conformidade: Pode violar políticas de segurança May violate security policies
Como Proteger Transferências de Zona
- Restringir AXFR apenas a nameservers secundários autorizados
- Usar TSIG (Assinaturas de Transação) para autenticação
- Configurar regras de firewall para bloquear a porta 53 TCP de IPs não autorizados
- Auditar regularmente as configurações do servidor DNS
Perguntas Frequentes
A transferência de zona é sempre má?
Não, transferências de zona entre os seus próprios servidores autorizados são necessárias para a redundância DNS. Apenas transferências não autorizadas são um risco de segurança.
E se o meu teste mostrar "vulnerável"?
Configure o seu nameserver para restringir pedidos AXFR a endereços IP específicos ou use autenticação TSIG.