Les transferts de zone DNS utilisant le protocole AXFR sont le mécanisme le plus simple pour répliquer les enregistrements DNS sur les serveurs DNS. Pour éviter d’avoir à modifier des informations sur plusieurs serveurs DNS, vous pouvez modifier des informations sur un serveur et utiliser AXFR pour copier des informations sur d’autres serveurs. Cependant, si vous ne protégez pas vos serveurs, des parties malveillantes peuvent utiliser AXFR pour obtenir des informations sur tous vos hôtes.

Comment fonctionne le DNS

Le DNS (Système de noms de domaine) est comme un répertoire Internet. Il est responsable de la résolution des noms d’hôtes lisibles par l’homme en adresses IP lisibles par la machine. Le système comprend des serveurs DNS faisant autorité qui fournissent des informations et des caches DNS qui stockent ces informations temporairement pour les recherches des clients. Une requête DNS typique est très simple : un client fournit un nom d’hôte lisible par l’homme et reçoit en réponse une adresse IP. Cependant, le système suppose que le client interrogateur connaît le nom d’hôte.

Zones hôtes des serveurs DNS. Une zone DNS est une partie de l’espace des noms de domaine desservie par un serveur DNS. Par exemple, exemple.com avec tous ses sous-domaines peut être une zone. Cependant, second.example.com peut également être une zone séparée.

Pourquoi le transfert de zone DNS Est-il nécessaire

Le DNS est un service critique. Si un serveur DNS pour une zone ne fonctionne pas et que les informations mises en cache ont expiré, le domaine est inaccessible à tous les services (web, courrier, etc.). Par conséquent, chaque zone doit avoir au moins deux serveurs DNS. Pour les zones plus critiques, il peut y en avoir encore plus.

Cependant, une zone peut être grande et nécessiter des changements fréquents. Si vous modifiez manuellement les données de zone sur chaque serveur séparément, cela prend beaucoup de temps et il y a beaucoup de risques d’erreur. C’est pourquoi un transfert de zone DNS est nécessaire.

Vous pouvez utiliser différents mécanismes pour le transfert de zone DNS mais le plus simple est AXFR (techniquement parlant, AXFR fait référence au protocole utilisé lors d’un transfert de zone DNS). Il s’agit d’une demande initiée par le client. Par conséquent, vous pouvez modifier les informations sur le serveur DNS principal, puis utiliser AXFR à partir du serveur DNS secondaire pour télécharger la zone entière.

Comment lancer un transfert de zone DNS

Lancer une demande de transfert de zone AXFR à partir d’un serveur secondaire est aussi simple que d’utiliser les commandes dig suivantes, où zonetransfer.me est le domaine pour lequel nous voulons initier un transfert de zone. Tout d’abord, nous devons obtenir la liste des serveurs DNS pour le domaine :

$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.

Maintenant, nous pouvons lancer une requête AXFR pour obtenir une copie de la zone à partir du serveur principal:

$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)

Vulnérabilité et prévention AXFR

AXFR n’offre aucune authentification, de sorte que tout client peut demander à un serveur DNS une copie de la zone entière. Cela signifie qu’à moins d’introduire une sorte de protection, un attaquant peut obtenir une liste de tous les hôtes d’un domaine, ce qui lui donne beaucoup de vecteurs d’attaque potentiels.

Afin d’éviter que cette vulnérabilité ne se produise, le serveur DNS doit être configuré pour autoriser uniquement les transferts de zone à partir d’adresses IP de confiance. Voici un exemple de la façon dont cela peut être accompli dans le serveur DNS BIND.

# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};

De plus, il est également recommandé d’utiliser des signatures de transaction (TSIG) pour les transferts de zone afin d’empêcher les tentatives d’usurpation d’adresse IP.

Foire aux questions

Une zone DNS est un ensemble d’enregistrements DNS pour un domaine donné. C’est une unité utilisée par les serveurs DNS pour stocker des informations DNS.

Découvrez comment fonctionne le DNS.

Un transfert de zone DNS est une procédure qui permet à deux serveurs DNS d’échanger leurs zones. Ceci est nécessaire pour la redondance. Il existe plusieurs méthodes de transfert de zone mais la plus courante utilise le protocole AXFR.

En savoir plus sur le protocole AXFR.

Si les transferts de zone DNS sont effectués à l’aide du protocole AXFR, il n’y a pas de cryptage et il n’y a pas d’authentification. Tout le monde peut obtenir toute la zone en utilisant le protocole AXFR. Les pirates malveillants peuvent utiliser les informations contenues dans les zones pour mener des attaques.

En savoir plus sur les attaques utilisant AXFR.

Le moyen le plus simple de sécuriser les transferts de zone consiste à restreindre les requêtes AXFR aux adresses IP de confiance. Vous pouvez le faire dans la configuration de votre serveur DNS ou sur votre pare-feu. Vous pouvez également utiliser des signatures de transaction.

Apprenez à utiliser les signatures de transaction dans le serveur DNS BIND.

Obtenez le dernier contenu sur la sécurité web
dans votre boîte de réception chaque semaine.

PARTAGEZ CET ARTICLE

L’AUTEUR

Tomasz Andrzej Nidecki
Rédacteur de Contenu Technique
LinkedIn

Tomasz Andrzej Nidecki (également connu sous le nom de tonid) est un Rédacteur de Contenu Technique travaillant pour Acunetix. Journaliste, traducteur et rédacteur technique avec 25 ans d’expérience en informatique, Tomasz a été rédacteur en chef du magazine de sécurité informatique hakin9 à ses débuts et dirigeait un important blog technique dédié à la sécurité des e-mails.