I trasferimenti di zona DNS utilizzando il protocollo AXFR sono il meccanismo più semplice per replicare i record DNS tra i server DNS. Per evitare la necessità di modificare le informazioni su più server DNS, è possibile modificare le informazioni su un server e utilizzare AXFR per copiare le informazioni su altri server. Tuttavia, se non si proteggono i server, i malintenzionati possono utilizzare AXFR per ottenere informazioni su tutti i propri host.
Come funziona DNS
DNS (Domain Name System) è come una rubrica Internet. È responsabile della risoluzione dei nomi host leggibili dall’uomo in indirizzi IP leggibili dalla macchina. Il sistema include server DNS autorevoli che forniscono informazioni e cache DNS che memorizzano temporaneamente tali informazioni per le ricerche dei client. Una tipica query DNS è molto semplice: un client fornisce un nome host leggibile dall’uomo e in risposta riceve un indirizzo IP. Tuttavia, il sistema presuppone che il client interrogante conosca il nome host.
server DNS host zone. Una zona DNS è una porzione dello spazio dei nomi di dominio servita da un server DNS. Ad esempio, esempio.com con tutti i suoi sottodomini può essere una zona. Tuttavia, second.example.com può anche essere una zona separata.
Perché è necessario il trasferimento di zona DNS
DNS è un servizio critico. Se un server DNS per una zona non funziona e le informazioni memorizzate nella cache sono scadute, il dominio è inaccessibile a tutti i servizi (web, mail e altro). Pertanto, ogni zona dovrebbe avere almeno due server DNS. Per le zone più critiche, ci possono essere ancora di più.
Tuttavia, una zona può essere grande e può richiedere frequenti modifiche. Se si modificano manualmente i dati di zona su ciascun server separatamente, ci vuole un sacco di tempo e c’è un sacco di potenziale per un errore. Questo è il motivo per cui è necessario il trasferimento della zona DNS.
È possibile utilizzare diversi meccanismi per il trasferimento di zone DNS, ma il più semplice è AXFR (tecnicamente parlando, AXFR si riferisce al protocollo utilizzato durante un trasferimento di zone DNS). È una richiesta avviata dal cliente. Pertanto, è possibile modificare le informazioni sul server DNS primario e quindi utilizzare AXFR dal server DNS secondario per scaricare l’intera zona.
Come avviare un trasferimento di zona DNS
Avviare una richiesta di trasferimento di zona AXFR da un server secondario è semplice come utilizzare i seguenti comandidig, dove zonetransfer.me è il dominio per cui vogliamo avviare un trasferimento di zona. Per prima cosa, dobbiamo ottenere l’elenco dei server DNS per il dominio:
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.Ora, possiamo avviare una richiesta AXFR per ottenere una copia della zona dal server primario:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)Vulnerabilità e prevenzione AXFR
AXFR non offre alcuna autenticazione, quindi qualsiasi client può chiedere a un server DNS una copia dell’intera zona. Ciò significa che a meno che non venga introdotto un qualche tipo di protezione, un utente malintenzionato può ottenere un elenco di tutti gli host per un dominio, che fornisce loro molti potenziali vettori di attacco.
Per evitare che questa vulnerabilità si verifichi, il server DNS deve essere configurato per consentire solo trasferimenti di zona da indirizzi IP attendibili. Di seguito è riportato un esempio di come questo può essere realizzato nel server DNS BIND.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};Inoltre, si consiglia di utilizzare le firme delle transazioni (TSIG) per i trasferimenti di zona per evitare tentativi di spoofing IP.
Domande frequenti
Una zona DNS è un insieme di record DNS per un determinato dominio. Si tratta di un’unità utilizzata dai server DNS per memorizzare le informazioni DNS.
Scopri come funziona il DNS.
Un trasferimento di zona DNS è una procedura che consente a due server DNS di scambiare le loro zone. Questo è necessario per la ridondanza. Esistono diversi metodi di trasferimento di zona, ma il più comune utilizza il protocollo AXFR.
Scopri il protocollo AXFR.
Se i trasferimenti di zona DNS vengono effettuati utilizzando il protocollo AXFR, non c’è crittografia e non c’è autenticazione. Chiunque può ottenere l’intera zona usando il protocollo AXFR. Gli hacker malintenzionati possono utilizzare le informazioni contenute nelle zone per condurre attacchi.
Scopri di più sugli attacchi usando AXFR.
Il modo più semplice per proteggere i trasferimenti di zona è limitare le richieste AXFR agli indirizzi IP attendibili. È possibile farlo nella configurazione del server DNS o sul firewall. È inoltre possibile utilizzare le firme delle transazioni.
Scopri come utilizzare le firme delle transazioni nel server DNS BIND.
Ricevi gli ultimi contenuti sulla sicurezza web
nella tua casella di posta ogni settimana.
CONDIVIDI QUESTO POST
AUTORE
Contenuto tecnico Scrittore
Tomasz Andrzej Nidecki (noto anche come tonid) è un Contenuto Tecnico Scrittore che lavora per Esso. Giornalista, traduttore e scrittore tecnico con 25 anni di esperienza IT, Tomasz è stato il caporedattore della rivista di sicurezza IT hakin9 nei suoi primi anni e ha gestito un importante blog tecnico dedicato alla sicurezza delle e-mail.