az AXFR protokollt használó DNS-zónaátvitel a legegyszerűbb mechanizmus a DNS-rekordok DNS-kiszolgálók közötti replikálására. Annak elkerülése érdekében, hogy több DNS-kiszolgálón kell szerkeszteni az információkat, szerkesztheti az információkat egy kiszolgálón, és az AXFR segítségével másolhatja az információkat más szerverekre. Ha azonban nem védi szervereit, a rosszindulatú felek az AXFR segítségével információkat szerezhetnek az összes gazdagépről.
hogyan működik a DNS
a DNS (Domain Name System) olyan, mint egy internetes telefonkönyv. Feladata az ember által olvasható gazdagépnevek géppel olvasható IP-címekké történő feloldása. A rendszer olyan mérvadó DNS-kiszolgálókat tartalmaz, amelyek információkat szolgáltatnak, valamint olyan DNS-gyorsítótárakat, amelyek ideiglenesen tárolják ezeket az információkat az ügyfélkeresésekhez. Egy tipikus DNS-lekérdezés nagyon egyszerű: az ügyfél ember által olvasható gazdagépnevet ad meg, válaszként pedig IP-címet kap. A rendszer azonban feltételezi, hogy a lekérdező ügyfél ismeri a gazdagépnevet.
DNS-kiszolgálók fogadó zónák. A DNS-zóna a DNS-kiszolgáló által kiszolgált tartománynév-terület egy része. Például, példa.a com minden aldomainjével zóna lehet. Azonban, second.example.com lehet külön zóna is.
miért van szükség DNS zóna átvitelre
a DNS kritikus szolgáltatás. Ha egy zóna DNS-kiszolgálója nem működik, és a gyorsítótárazott információk lejártak, a tartomány nem érhető el az összes szolgáltatás (web, mail stb.) számára. Ezért minden zónának legalább két DNS-kiszolgálóval kell rendelkeznie. A kritikus zónák esetében még több lehet.
azonban egy zóna nagy lehet, és gyakori változásokat igényelhet. Ha manuálisan szerkeszti a zónaadatokat az egyes szervereken külön-külön, sok időt vesz igénybe, és sok hiba lehet. Ezért van szükség DNS-zóna átvitelre.
különböző mechanizmusokat használhat a DNS zóna átviteléhez, de a legegyszerűbb az AXFR (technikailag az AXFR a DNS zóna átvitel során használt protokollra utal). Ez egy ügyfél által kezdeményezett kérés. Ezért szerkesztheti az elsődleges DNS-kiszolgálón található információkat, majd a másodlagos DNS-kiszolgálóról az AXFR segítségével letöltheti a teljes zónát.
A DNS-zóna átvitelének kezdeményezése
AXFR zóna-átviteli kérés kezdeményezése másodlagos kiszolgálóról olyan egyszerű, mint a következő dig parancsok használata, ahol zonetransfer.me az a tartomány, amelyhez zónát szeretnénk kezdeményezni. Először meg kell szereznünk a tartomány DNS-kiszolgálóinak listáját:
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.most kezdeményezhetünk egy AXFR kérést, hogy megkapjuk a zóna másolatát az elsődleges szerverről:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)AXFR sebezhetőség és megelőzés
az AXFR nem kínál hitelesítést, így bármely ügyfél kérheti a DNS-kiszolgálótól a teljes zóna másolatát. Ez azt jelenti, hogy hacsak nem vezetnek be valamilyen védelmet, a támadó megszerezheti a domain összes gazdagépének listáját, ami sok potenciális támadási vektort ad nekik.
a biztonsági rés előfordulásának megakadályozása érdekében a DNS-kiszolgálót úgy kell beállítani, hogy csak megbízható IP-címekről engedélyezze a zónaátviteleket. Az alábbiakban bemutatunk egy példát arra, hogyan lehet ezt elérni a BIND DNS-kiszolgálón.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};Ezenkívül ajánlott tranzakciós aláírásokat (TSIG) használni a zónaátvitelhez az IP-hamisítási kísérletek megakadályozása érdekében.
Gyakran Ismételt Kérdések
a DNS-zóna egy adott tartomány DNS-rekordjainak halmaza. Ez egy egység, amelyet a DNS-kiszolgálók használnak a DNS-információk tárolására.
Ismerje meg, hogyan működik a DNS.
a DNS-zóna átvitel egy olyan eljárás, amely lehetővé teszi két DNS-kiszolgáló számára a zónák cseréjét. Ez szükséges a redundanciához. Számos zónaátviteli módszer létezik, de a leggyakoribb az AXFR protokollt használja.
Ismerje meg az AXFR protokollt.
Ha a DNS zóna átvitele az AXFR protokoll használatával történik, nincs titkosítás és nincs hitelesítés. Bárki megszerezheti az egész zónát az AXFR protokoll segítségével. A rosszindulatú hackerek a zónákban található információkat támadások végrehajtására használhatják fel.
Tudjon meg többet az AXFR-t használó támadásokról.
a zónaátvitel biztosításának legegyszerűbb módja az AXFR kérések megbízható IP-címekre történő korlátozása. Ezt megteheti a DNS-kiszolgáló konfigurációjában vagy a tűzfalon. Ezenkívül tranzakciós aláírásokat is használhat.
Ismerje meg, hogyan használhatja a tranzakciós aláírásokat a BIND DNS-kiszolgálón.
Szerezd meg a legfrissebb tartalmat a webes biztonsági
a postaládájába minden héten.
ossza meg ezt a bejegyzést
A szerző
műszaki tartalom író
Tomasz Andrzej nidecki (más néven tonid) egy műszaki tartalom író dolgozik Acunetix. A 25 éves informatikai tapasztalattal rendelkező újságíró, fordító és műszaki író, Tomasz a hakin9 IT Security Magazin ügyvezető szerkesztője volt a korai években, és egy jelentős technikai blogot vezetett az e-mail biztonsággal kapcsolatban.