Čo je prenos zóny DNS?
Prenos zóny (AXFR) je mechanizmus na replikáciu DNS databáz medzi servermi. Hoci je nevyhnutný pre redundanciu DNS, povolenie neoprávnených prenosov zóny vystavuje celú vašu štruktúru DNS riziku.
Bezpečnostné riziká otvorených prenosov zóny
- Únik informácií: Odhaľuje všetky subdomény a interné hostnames Reveals all subdomains and internal hostnames
- Mapovanie útočnej plochy: Pomáha útočníkom identifikovať ciele Helps attackers identify targets
- Odhalenie sieťovej topológie: Zobrazuje interné IP adresy Shows internal IP addresses
- Problémy s dodržiavaním predpisov: Môže porušovať bezpečnostné politiky May violate security policies
Ako zabezpečiť prenosy zóny
- Obmedzte AXFR len na autorizované sekundárne menné servery
- Použite TSIG (Transaction Signatures) na autentifikáciu
- Nakonfigurujte pravidlá firewallu na blokovanie portu 53 TCP z neautorizovaných IP
- Pravidelne auditujte konfigurácie DNS serverov
Často kladené otázky
Je prenos zóny vždy zlý?
Nie, prenosy zóny medzi vašimi vlastnými autorizovanými servermi sú nevyhnutné pre redundanciu DNS. Iba neoprávnené prenosy predstavujú bezpečnostné riziko.
Čo ak môj test ukáže "zraniteľný"?
Nakonfigurujte svoj menný server na obmedzenie požiadaviek AXFR na konkrétne IP adresy alebo použite TSIG autentifikáciu.