Kaj je prenos cone DNS?
Prenos cone (AXFR) je mehanizem za repliciranje baz podatkov DNS med strežniki. Čeprav je bistven za redundanco DNS, dovoljevanje nepooblaščenih prenosov cone izpostavi celotno vašo strukturo DNS.
Varnostna tveganja odprtih prenosov cone
- Razkritje informacij: Razkrije vse poddomene in notranja imena gostiteljev Reveals all subdomains and internal hostnames
- Kartiranje napadalne površine: Pomaga napadalcem identificirati cilje Helps attackers identify targets
- Izpostavljenost topologije omrežja: Prikaže notranje naslove IP Shows internal IP addresses
- Vprašanja skladnosti: Lahko krši varnostne politike May violate security policies
Kako zavarovati prenose cone
- Omejite AXFR samo na pooblaščene sekundarne imenske strežnike
- Za preverjanje pristnosti uporabite TSIG (Transaction Signatures)
- Konfigurirajte pravila požarnega zidu za blokiranje vrat 53 TCP pred nepooblaščenimi IP-ji
- Redno preverjajte konfiguracije DNS strežnikov
Pogosto zastavljena vprašanja
Je prenos cone vedno slab?
Ne, prenosi cone med vašimi lastnimi pooblaščenimi strežniki so potrebni za redundanco DNS. Tveganje za varnost predstavljajo le nepooblaščeni prenosi.
Kaj če moj test pokaže "ranljivo"?
Konfigurirajte svoj imenski strežnik, da omejite zahteve AXFR na določene naslove IP, ali uporabite preverjanje pristnosti TSIG.