Ce este un Transfer de Zonă DNS?
Un transfer de zonă (AXFR) este un mecanism de replicare a bazelor de date DNS între servere. Deși esențial pentru redundanța DNS, permiterea transferurilor de zonă neautorizate expune întreaga structură DNS.
Riscuri de Securitate ale Transferurilor de Zonă Deschise
- Divulgarea Informațiilor: Dezvăluie toate subdomeniile și numele de host interne Reveals all subdomains and internal hostnames
- Maparea Suprafeței de Atac: Ajută atacatorii să identifice ținte Helps attackers identify targets
- Expunerea Topologiei Rețelei: Arată adresele IP interne Shows internal IP addresses
- Probleme de Conformitate: Poate încălca politicile de securitate May violate security policies
Cum să Securizați Transferurile de Zonă
- Restricționați AXFR doar la nameservere secundare autorizate
- Folosiți TSIG (Semnături de Tranzacție) pentru autentificare
- Configurați reguli firewall pentru a bloca portul 53 TCP de la IP-uri neautorizate
- Auditați regulat configurațiile serverelor DNS
Întrebări Frecvente
Este transferul de zonă întotdeauna rău?
Nu, transferurile de zonă între propriile servere autorizate sunt necesare pentru redundanța DNS. Doar transferurile neautorizate reprezintă un risc de securitate.
Ce se întâmplă dacă testul meu arată "vulnerabil"?
Configurați nameserverul pentru a restricționa cererile AXFR la adrese IP specifice sau folosiți autentificarea TSIG.