Las transferencias de zona DNS que utilizan el protocolo AXFR son el mecanismo más sencillo para replicar registros DNS en servidores DNS. Para evitar la necesidad de editar información en varios servidores DNS, puede editar información en un servidor y usar AXFR para copiar información a otros servidores. Sin embargo, si no protege sus servidores, las partes maliciosas pueden usar AXFR para obtener información sobre todos sus hosts.
Cómo funciona el DNS
El DNS (Sistema de Nombres de Dominio) es como una guía telefónica de Internet. Es responsable de resolver nombres de host legibles por humanos en direcciones IP legibles por máquinas. El sistema incluye servidores DNS autoritativos que proporcionan información y cachés DNS que almacenan esa información temporalmente para búsquedas de clientes. Una consulta DNS típica es muy simple: un cliente proporciona un nombre de host legible por humanos y en respuesta recibe una dirección IP. Sin embargo, el sistema asume que el cliente que realiza la consulta conoce el nombre de host.
Zonas de host de servidores DNS. Una zona DNS es una parte del espacio de nombres de dominio que sirve un servidor DNS. Por ejemplo, ejemplo.com con todos sus subdominios puede ser una zona. Sin embargo, second.example.com también puede ser una zona separada.
Por qué es necesaria la transferencia de zona DNS
El DNS es un servicio crítico. Si un servidor DNS para una zona no funciona y la información almacenada en caché ha caducado, el dominio es inaccesible para todos los servicios (web, correo electrónico y más). Por lo tanto, cada zona debe tener al menos dos servidores DNS. Para zonas más críticas, puede haber incluso más.
Sin embargo, una zona puede ser grande y requerir cambios frecuentes. Si edita manualmente los datos de zona en cada servidor por separado, toma mucho tiempo y hay muchas posibilidades de error. Esta es la razón por la que se necesita la transferencia de zona DNS.
Puede usar diferentes mecanismos para la transferencia de zona DNS, pero el más simple es AXFR (técnicamente hablando, AXFR se refiere al protocolo utilizado durante una transferencia de zona DNS). Es una solicitud iniciada por el cliente. Por lo tanto, puede editar la información en el servidor DNS principal y, a continuación, usar AXFR desde el servidor DNS secundario para descargar toda la zona.
Cómo iniciar una transferencia de zona DNS
Iniciar una solicitud de transferencia de zona AXFR desde un servidor secundario es tan simple como usar los siguientes comandos dig
, donde zonetransfer.me es el dominio para el que queremos iniciar una transferencia de zona. Primero, necesitamos obtener la lista de servidores DNS para el dominio:
$ dig +short ns zonetransfer.mensztm1.digi.ninja.nsztm2.digi.ninja.
Ahora, podemos iniciar una solicitud AXFR para obtener una copia de la zona desde el servidor principal:
$ dig axfr zonetransfer.me @nsztm1.digi.ninja.; <<>> DiG 9.8.3-P1 <<>> axfr zonetransfer.me @nsztm1.digi.ninja. ;; global options: +cmd zonetransfer.me. 7200 IN SOA nsztm1.digi.ninja. robin.digi.ninja. 2017042001 172800 900 1209600 3600 (...)
Prevención y vulnerabilidad de AXFR
AXFR no ofrece autenticación, por lo que cualquier cliente puede solicitar a un servidor DNS una copia de toda la zona. Esto significa que, a menos que se introduzca algún tipo de protección, un atacante puede obtener una lista de todos los hosts de un dominio, lo que le da una gran cantidad de vectores de ataque potenciales.
Para evitar que se produzca esta vulnerabilidad, el servidor DNS debe configurarse para permitir solo transferencias de zona desde direcciones IP de confianza. El siguiente es un ejemplo de cómo se puede lograr esto en el servidor DNS BIND.
# /etc/named.conf acl trusted-nameservers { 192.168.0.10; //ns2 192.168.1.20; //ns3 }; zone zonetransfer.me { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-nameservers; };};
Además, también se recomienda usar firmas de transacción (TSIG) para transferencias de zona para evitar intentos de suplantación de IP.
preguntas frecuentes
UNA zona DNS es un conjunto de registros de DNS para un dominio dado. Es una unidad utilizada por los servidores DNS para almacenar información DNS.
Aprenda cómo funciona el DNS.
UNA transferencia de zona DNS es un procedimiento que permite a los dos servidores DNS de intercambio de sus zonas. Esto es necesario para redundancia. Hay varios métodos de transferencia de zona, pero el más común utiliza el protocolo AXFR.
Conozca el protocolo AXFR.
Si las transferencias de zona DNS se realiza mediante la AXFR protocolo, no hay cifrado y no hay ninguna autenticación. Cualquiera puede obtener toda la zona usando el protocolo AXFR. Los hackers maliciosos pueden usar la información contenida en las zonas para realizar ataques.
Más información sobre los ataques con AXFR.
La forma más sencilla para asegurar las transferencias de zona es restringir AXFR las solicitudes a las direcciones IP fiables. Puede hacerlo en la configuración de su servidor DNS o en su firewall. Además, puede usar firmas de transacción.
Aprenda a usar firmas de transacción en el servidor DNS BIND.
Obtener el contenido más reciente en la web de la seguridad
en su bandeja de entrada cada semana.
COMPARTIR ESTE POST
AUTOR
Técnico redactor de Contenido
Tomasz Andrzej Nidecki (también conocido como tonid) es un Escritor del Contenido Técnico de trabajo para Acunetix. Periodista, traductor y escritor técnico con 25 años de experiencia en TI, Tomasz ha sido Editor Jefe de la revista de seguridad informática hakin9 en sus primeros años y solía dirigir un importante blog técnico dedicado a la seguridad del correo electrónico.