wat zijn DNS-zoneoverdrachten (AXFR)

DNS

DNS-zoneoverdrachten met behulp van het AXFR-protocol zijn het eenvoudigste mechanisme om DNS-records te repliceren tussen DNS-servers. Om te voorkomen dat informatie op meerdere DNS-servers moet worden bewerkt, kunt u informatie op één server bewerken en AXFR gebruiken om informatie naar andere servers te kopiëren. Als u uw servers echter niet beschermt, kunnen kwaadaardige partijen AXFR gebruiken om informatie over al uw hosts te krijgen.

Hoe werkt DNS

DNS (Domain Name System) is als een internet telefoonboek. Het is verantwoordelijk voor het oplossen van mens-leesbare hostnamen in machine-leesbare IP-adressen. Het systeem bevat gezaghebbende DNS-servers die informatie bieden en DNS-caches die die informatie tijdelijk opslaan voor client lookups. Een typische DNS-query is heel eenvoudig: een client levert een door mensen leesbare hostnaam en ontvangt als antwoord een IP-adres. Het systeem gaat er echter van uit dat de querying client de hostnaam kent.

DNS-servers hostzones. Een DNS-zone is een deel van de domeinnaamruimte dat wordt bediend door een DNS-server. Bijvoorbeeld, bijvoorbeeld.com met al zijn subdomeinen kan een zone zijn. Echter, second.example.com kan ook een aparte zone.

Waarom is DNS zoneoverdracht nodig

DNS is een kritieke dienst. Als een DNS-server voor een zone niet werkt en de gegevens in de cache zijn verlopen, is het domein niet toegankelijk voor alle services (web, mail en meer). Daarom moet elke zone ten minste twee DNS-servers hebben. Voor meer kritieke zones kunnen er nog meer zijn.

een zone kan echter groot zijn en vaak veranderingen vereisen. Als u zonegegevens op elke server afzonderlijk handmatig bewerkt, kost het veel tijd en er is veel potentieel voor een fout. Daarom is DNS zoneoverdracht nodig.

u kunt verschillende mechanismen gebruiken voor DNS-zoneoverdracht, maar de eenvoudigste is AXFR (technisch gesproken verwijst AXFR naar het protocol dat gebruikt wordt tijdens een DNS-zoneoverdracht). Het is een door de klant geïnitieerd verzoek. Daarom kunt u informatie over de primaire DNS-server bewerken en vervolgens AXFR van de secundaire DNS-server gebruiken om de hele zone te downloaden.

een DNS-zoneoverdracht starten

een AXFR-zoneoverdrachtverzoek starten vanaf een secundaire server is zo eenvoudig als het gebruik van de volgende dig opdrachten, waarbij zonetransfer.me is het domein waarvoor we een zoneoverdracht willen starten. Eerst moeten we de lijst met DNS-servers voor het domein ophalen:

$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.

nu kunnen we een AXFR-verzoek starten om een kopie van de zone te krijgen van de primaire server:

$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)

AXFR kwetsbaarheid en preventie

AXFR biedt geen authenticatie, dus elke client kan een DNS-server vragen om een kopie van de hele zone. Dit betekent dat, tenzij er enige vorm van bescherming wordt geïntroduceerd, een aanvaller een lijst van alle hosts voor een domein kan krijgen, wat hen veel potentiële aanvalsvectoren geeft.

om te voorkomen dat deze kwetsbaarheid optreedt, moet de DNS-server worden geconfigureerd om alleen zoneoverdrachten van vertrouwde IP-adressen toe te staan. Het volgende is een voorbeeld van hoe dit kan worden bereikt in de BIND DNS server.

# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};

daarnaast wordt het ook aanbevolen om transaction signatures (TSIG) te gebruiken voor zoneoverdrachten om IP-spoofingpogingen te voorkomen.

Veelgestelde vragen

een DNS-zone is een verzameling DNS-records voor een bepaald domein. Het is een eenheid die door DNS-servers wordt gebruikt om DNS-informatie op te slaan.

leer hoe DNS werkt.

een DNS-zoneoverdracht is een procedure waarmee twee DNS-servers hun zones kunnen uitwisselen. Dit is nodig voor redundantie. Er zijn verschillende zoneoverdrachtmethoden, maar de meest voorkomende maakt gebruik van het AXFR-protocol.

leer meer over het AXFR-protocol.

als DNS-zoneoverdrachten worden gedaan met behulp van het AXFR-protocol, is er geen versleuteling en is er geen authenticatie. Iedereen kan de hele zone krijgen met behulp van het AXFR protocol. Kwaadaardige hackers kunnen de informatie in zones gebruiken om aanvallen uit te voeren.

meer informatie over aanvallen met behulp van AXFR.

De eenvoudigste manier om zoneoverdrachten te beveiligen is door AXFR-aanvragen te beperken tot vertrouwde IP-adressen. U kunt dit doen in uw DNS server configuratie of op uw firewall. U kunt bovendien transactiehandtekeningen gebruiken.

leer hoe u transactiehandtekeningen kunt gebruiken op de BIND DNS-server.

haal elke week de nieuwste inhoud op webbeveiliging
in uw postvak in.

SHARE THIS POST

de auteur
iv Tomasz Andrzej nidecki (ook bekend als tonid) is een schrijver van technische inhoud die werkt voor Acunetix. Een journalist, vertaler en technisch schrijver met 25 jaar IT-ervaring, Tomasz is de Managing Editor van de hakin9 IT Security magazine in zijn vroege jaren en gebruikt om een grote technische blog gewijd aan e-mailbeveiliging.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.