DNS-vyöhykesiirrot AXFR-protokollaa käyttäen ovat yksinkertaisin mekanismi DNS-tietueiden monistamiseen DNS-palvelimilla. Jos haluat välttää useiden DNS-palvelimien tietojen muokkaamisen, voit muokata tietoja yhdellä palvelimella ja käyttää AXFR: ää tietojen kopioimiseen muille palvelimille. Kuitenkin, jos et suojaa palvelimia, haitalliset osapuolet voivat käyttää AXFR saada tietoja kaikista isännät.
miten DNS toimii
DNS (Domain Name System) on kuin Internetin puhelinluettelo. Sen tehtävänä on ratkaista ihmisten luettavissa olevat isäntänimet koneellisesti luettaviksi IP-osoitteiksi. Järjestelmä sisältää arvovaltaiset DNS-palvelimet, jotka tarjoavat tietoja ja DNS-välimuistit, jotka tallentavat nämä tiedot väliaikaisesti asiakkaan hakuja. Tyypillinen DNS-kysely on hyvin yksinkertainen: asiakas antaa ihmisen luettavan hostnimen ja saa vastaukseksi IP-osoitteen. Järjestelmä kuitenkin olettaa, että kyselevä asiakas tietää palvelinnimen.
DNS-palvelimet isäntävyöhykkeet. DNS-alue on osa verkkotunnusavaruudesta, jota palvelee DNS-palvelin. Esimerkiksi.com kaikkine aliverkkotunnuksineen voi olla vyöhyke. Kuitenkin second.example.com voi olla myös erillinen vyöhyke.
miksi tarvitaan DNS-vyöhykkeen siirtoa
DNS on kriittinen palvelu. Jos DNS-palvelin alueelle ei toimi ja Välimuistiin tallennetut tiedot ovat vanhentuneet, verkkotunnus on saavuttamattomissa kaikkiin palveluihin (web, mail, ja enemmän). Siksi jokaisella vyöhykkeellä tulisi olla vähintään kaksi DNS-palvelinta. Kriittisemmillä alueilla voi olla vielä enemmän.
alue voi kuitenkin olla suuri ja se voi vaatia toistuvia muutoksia. Jos manuaalisesti muokata alueen tietoja kunkin palvelimen erikseen, se vie paljon aikaa ja on paljon mahdollisuuksia virhe. Siksi tarvitaan DNS-vyöhykkeen siirto.
DNS-alueen siirtoon voi käyttää erilaisia mekanismeja, mutta yksinkertaisin on AXFR (teknisesti ottaen AXFR viittaa DNS-alueen siirron aikana käytettyyn protokollaan). Se on asiakkaan aloittama pyyntö. Siksi, voit muokata tietoja ensisijainen DNS-palvelimen ja sitten käyttää AXFR toissijaisen DNS-palvelimen ladata koko vyöhykkeen.
DNS-alueen siirron käynnistäminen
AXFR-alueen siirtopyynnön käynnistäminen toissijaiselta palvelimelta on yhtä yksinkertaista kuin seuraavien dig komentojen käyttäminen, jossa zonetransfer.me on verkkotunnus, että haluamme aloittaa alueen siirto. Ensinnäkin, meidän täytyy saada luettelo DNS-palvelimet verkkotunnuksen:
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.nyt, voimme saada aloittaa AXFR pyyntö saada kopion vyöhykkeen ensisijainen palvelin:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)AXFR-haavoittuvuus ja ehkäisy
AXFR ei tarjoa todennusta, joten kuka tahansa asiakas voi pyytää DNS-palvelimelta kopion koko vyöhykkeestä. Tämä tarkoittaa, että ellei jonkinlaista suojaa oteta käyttöön, hyökkääjä voi saada listan kaikista verkkotunnuksen isännistä, mikä antaa heille paljon potentiaalisia hyökkäysvektoreita.
tämän haavoittuvuuden estämiseksi DNS-palvelin tulisi konfiguroida sallimaan vain luotettujen IP-osoitteiden aluesiirrot. Seuraavassa on esimerkki siitä, miten tämä voidaan toteuttaa BIND DNS-palvelimella.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};lisäksi on suositeltavaa käyttää TSIG: tä (transaction signatures) aluesiirroissa IP-huijausyritysten estämiseksi.
Frequently asked questions
a DNS-alue on joukko tietyn verkkotunnuksen DNS-tietueita. Se on yksikkö, jota DNS-palvelimet käyttävät DNS-tietojen tallentamiseen.
Opi miten DNS toimii.
DNS-vyöhykkeiden siirto on menettely, jossa kaksi DNS-palvelinta vaihtaa alueitaan. Tätä tarvitaan irtisanomisiin. Vyöhykkeensiirtomenetelmiä on useita, mutta yleisin käyttää AXFR-protokollaa.
Tutustu AXFR-protokollaan.
Jos DNS-alueen siirrot tehdään AXFR-protokollaa käyttäen, salausta ei ole eikä todennusta ole. Kuka tahansa voi saada koko alueen AXFR-protokollan avulla. Pahantahtoiset hakkerit saattavat käyttää vyöhykkeiden sisältämiä tietoja hyökkäysten tekemiseen.
Lue lisää hyökkäyksistä AXFR: n avulla.
yksinkertaisin tapa turvata aluesiirrot on rajoittaa AXFR-pyynnöt luotettaviin IP-osoitteisiin. Voit tehdä sen DNS-palvelimen määrityksessä tai palomuurissa. Voit myös käyttää tapahtumien allekirjoituksia.
Opi käyttämään tapahtuman allekirjoituksia BIND DNS-palvelimessa.
Hanki uusin sisältö web security
inboxiin joka viikko.
Jaa tämä viesti
tekijä
technical content writer
Tomasz Andrzej nidecki (tunnetaan myös nimellä tonid) on acunetixille työskentelevä teknisen sisällön kirjoittaja. Toimittaja, kääntäjä, ja tekninen kirjailija 25 vuoden IT-kokemus, Tomasz on ollut toimitusjohtaja päätoimittaja hakin9 tietoturva magazine sen alkuvuosina ja käytetään ajaa suuri tekninen blogi omistettu sähköpostin turvallisuus.