DNS-Zonenübertragungen mit dem AXFR-Protokoll sind der einfachste Mechanismus zum Replizieren von DNS-Einträgen auf DNS-Servern. Um zu vermeiden, dass Informationen auf mehreren DNS-Servern bearbeitet werden müssen, können Sie Informationen auf einem Server bearbeiten und AXFR verwenden, um Informationen auf andere Server zu kopieren. Wenn Sie Ihre Server jedoch nicht schützen, können böswillige Parteien AXFR verwenden, um Informationen über alle Ihre Hosts abzurufen.
Wie DNS funktioniert
DNS (Domain Name System) ist wie ein Internet-Telefonbuch. Es ist verantwortlich für die Auflösung von menschenlesbaren Hostnamen in maschinenlesbare IP-Adressen. Das System umfasst autoritative DNS-Server, die Informationen bereitstellen, und DNS-Caches, in denen diese Informationen vorübergehend für Clientsuchen gespeichert werden. Eine typische DNS-Abfrage ist sehr einfach: Ein Client gibt einen für Menschen lesbaren Hostnamen an und erhält als Antwort eine IP-Adresse. Das System geht jedoch davon aus, dass der anfragende Client den Hostnamen kennt.
DNS-Server hosten Zonen. Eine DNS-Zone ist ein Teil des Domänennamenbereichs, der von einem DNS-Server bereitgestellt wird. Zum Beispiel, Beispiel.com mit all seinen Subdomains kann eine Zone sein. Jedoch, second.example.com kann auch eine separate Zone sein.
Warum ist DNS-Zonenübertragung erforderlich?
DNS ist ein kritischer Dienst. Wenn ein DNS-Server für eine Zone nicht funktioniert und die zwischengespeicherten Informationen abgelaufen sind, ist die Domäne für alle Dienste (Web, E-Mail usw.) nicht zugänglich. Daher sollte jede Zone mindestens zwei DNS-Server haben. Für kritischere Zonen kann es noch mehr geben.
Eine Zone kann jedoch groß sein und häufige Änderungen erfordern. Wenn Sie Zonendaten auf jedem Server separat manuell bearbeiten, dauert dies viel Zeit und es besteht ein großes Fehlerpotenzial. Aus diesem Grund ist die DNS-Zonenübertragung erforderlich.Sie können verschiedene Mechanismen für die DNS-Zonenübertragung verwenden, aber der einfachste ist AXFR (technisch gesehen bezieht sich AXFR auf das Protokoll, das während einer DNS-Zonenübertragung verwendet wird). Es handelt sich um eine vom Client initiierte Anfrage. Daher können Sie Informationen auf dem primären DNS-Server bearbeiten und dann AXFR vom sekundären DNS-Server verwenden, um die gesamte Zone herunterzuladen.
Initiieren einer DNS-Zonenübertragung
Das Initiieren einer AXFR-Zonenübertragungsanforderung von einem sekundären Server ist so einfach wie die Verwendung der folgenden dig Befehle, wobei zonetransfer.me ist die Domäne, für die wir einen Zonentransfer initiieren möchten. Zuerst müssen wir die Liste der DNS-Server für die Domäne abrufen:
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.Jetzt können wir eine AXFR-Anforderung initiieren, um eine Kopie der Zone vom Primärserver abzurufen:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)AXFR Vulnerability and Prevention
AXFR bietet keine Authentifizierung, sodass jeder Client einen DNS-Server nach einer Kopie der gesamten Zone fragen kann. Dies bedeutet, dass ein Angreifer, sofern kein Schutz eingeführt wird, eine Liste aller Hosts für eine Domäne abrufen kann, wodurch er viele potenzielle Angriffsvektoren erhält.
Um das Auftreten dieser Sicherheitsanfälligkeit zu verhindern, sollte der DNS-Server so konfiguriert werden, dass nur Zonenübertragungen von vertrauenswürdigen IP-Adressen zulässig sind. Im Folgenden finden Sie ein Beispiel dafür, wie dies im BIND-DNS-Server erreicht werden kann.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};Darüber hinaus wird empfohlen, Transaktionssignaturen (TSIG) für Zonenübertragungen zu verwenden, um IP-Spoofing-Versuche zu verhindern.
Häufig gestellte Fragen
Eine DNS-Zone ist ein Satz von DNS-Einträgen für eine bestimmte Domäne. Es ist eine Einheit, die von DNS-Servern zum Speichern von DNS-Informationen verwendet wird.
Erfahren Sie, wie DNS funktioniert.
Eine DNS-Zonenübertragung ist eine Prozedur, mit der zwei DNS-Server ihre Zonen austauschen können. Dies ist für die Redundanz erforderlich. Es gibt mehrere Zonenübertragungsmethoden, aber die gebräuchlichste verwendet das AXFR-Protokoll.
Erfahren Sie mehr über das AXFR-Protokoll.
Wenn DNS-Zonenübertragungen mit dem AXFR-Protokoll durchgeführt werden, gibt es keine Verschlüsselung und keine Authentifizierung. Jeder kann die gesamte Zone mit dem AXFR-Protokoll abrufen. Böswillige Hacker können die darin enthaltenen Informationen für Angriffe verwenden.
Erfahren Sie mehr über Angriffe mit AXFR.
Die einfachste Möglichkeit, Zonenübertragungen zu sichern, besteht darin, AXFR-Anforderungen auf vertrauenswürdige IP-Adressen zu beschränken. Sie können dies in Ihrer DNS-Serverkonfiguration oder in Ihrer Firewall tun. Sie können zusätzlich Transaktionssignaturen verwenden.
Erfahren Sie, wie Sie Transaktionssignaturen im BIND-DNS-Server verwenden.
Holen Sie sich die neuesten Inhalte auf Web-Sicherheit
in Ihrem Posteingang jede Woche.
TEILE DIESEN BEITRAG
DER AUTOR
Technischer Redakteur
Tomasz Andrzej Nidecki (auch bekannt als tonid) ist ein technischer Redakteur bei Acunetix. Als Journalist, Übersetzer und technischer Redakteur mit 25 Jahren IT-Erfahrung war Tomasz in den Anfangsjahren leitender Redakteur des hakin9 IT-Sicherheitsmagazins und leitete einen großen technischen Blog zum Thema E-Mail-Sicherheit.