DNS zónatranszfer biztonságos kezelése

DNS zónatranszfer és biztonsági kockázatai – amit minden rendszergazdának tudnia kell

A DNS (Domain Name System) működése kulcsfontosságú minden weboldal, e-mail rendszer és hálózati szolgáltatás esetében. Ennek egyik kevésbé ismert, de technikailag jelentős eleme a zónatranszfer (AXFR/IXFR). Elsőre ártalmatlannak tűnhet, valójában viszont komoly biztonsági kockázatokat hordozhat magában, ha nem megfelelően konfigurált. Az alábbiakban bemutatjuk, hogyan működik a zónatranszfer, mikor van rá szükség, miért jelent veszélyt, és hogyan védekezhetünk ellene – mindezt a 1b.hu szakmai szemléletével.

Mi az a DNS zónatranszfer?

A DNS zónatranszfer egy protokollal szabályozott folyamat, amelynek során az egyik DNS szerver (általában a primer, azaz elsődleges) átadja egy másik DNS szervernek (szekunder, másodlagos) a teljes zónaadatbázist. Ez az adatbázis tartalmazza a domainhez tartozó összes rekordot: A, AAAA, MX, TXT, CNAME, NS, SRV stb.

A célja, hogy redundanciát biztosítson: ha a fő DNS szerver elérhetetlen, a másodlagos is képes legyen kiszolgálni a lekérdezéseket. Ez hasznos funkció, de csak akkor biztonságos, ha a hozzáférés korlátozott és ellenőrzött.

Hogyan lehet kihasználni a zónatranszfert?

A zónatranszferrel való visszaélés egyik leggyakoribb esete, amikor egy támadó megpróbálja lekérdezni a domain összes DNS rekordját egy nyitva hagyott vagy hibásan konfigurált névszerverről. Ezzel olyan információkhoz juthat, amelyeket egyébként nehéz lenne összegyűjteni:

Belső hálózati szerverek nevei és IP-címei

Alhálózatokra utaló subdomainek

E-mail szerverek, prioritások

TXT rekordokon keresztül SPF, DKIM és más azonosítási adatok

Potenciálisan elavult, de még működő szolgáltatások

Egy sikeres zónatranszfer egy nyílt könyvként szolgál a támadó számára – amit későbbi phishing, social engineering, vagy akár hálózati támadások (pl. pivoting) előkészítéséhez használhat.

Példák a valóságból

Több biztonsági audit során tapasztaltuk, hogy vállalatok – köztük kisebb webáruházak vagy informatikai cégek – nem veszik komolyan a DNS zónatranszfer korlátozását. Az 1b.hu elemzése szerint a magyar domainek egy részénél továbbra is engedélyezett az AXFR kérés ismeretlen IP-ről, ami azonnali biztonsági kockázatot jelent.

Egy tipikus esetben egy tesztdomain összes rekordja 0.5 másodperc alatt elérhető volt nyilvánosan. Ez egy támadónak aranybánya, mivel nem kell külön felderítenie a szervereket, alhálózatokat – a DNS megmondja helyette.

Hogyan lehet védekezni?

A legegyszerűbb módszer a zónatranszfer letiltása minden ismeretlen IP-címről. A modern DNS szerverek – például BIND, PowerDNS vagy Windows DNS – lehetővé teszik a jogosult másodlagos szerverek listájának IP-alapú szűrését.

Például BIND esetén:

zone "example.com" IN { type master;

file "db.example.com";

allow-transfer { 192.0.2.1; }; // csak ez az IP kérhet AXFR-t

};

Ha nincs másodlagos DNS szerver használatban, akkor a legjobb, ha teljesen letiltjuk a zónatranszfer lehetőségét. A 1b.hu ügyfelei esetében ez az alapértelmezett beállítás – nálunk nem engedélyezett semmilyen külső IP-cím számára az AXFR vagy IXFR típusú lekérdezés.

Hogyan ellenőrizheted, hogy a saját domain-ed védett-e?

Egyszerű parancssori eszközökkel is ellenőrizhető, hogy a zónád nyitva van-e. Például dig használatával:

dig AXFR example.com @ns1.example.com

Ha választ kapsz és látható az összes rekord, akkor azonnal intézkedni kell.

A DNSSEC és a zónatranszfer kapcsolata

Sokan keverik a DNSSEC-et a zónatranszferrel. Fontos tisztázni: a DNSSEC célja az adatok integritásának biztosítása (digitális aláírással), míg a zónatranszfer egy szinkronizációs mechanizmus a szerverek között. A DNSSEC önmagában nem véd a nyitott zónatranszfer ellen, így a két technológiát külön-külön kell kezelni.

Az 1b.hu-nál DNSSEC támogatás is elérhető, de kizárólag zárt zónatranszferrel kombinálva – így garantálható a maximális biztonság.

Összegzés

A DNS zónatranszfer hasznos funkció, de rosszul konfigurálva súlyos adatbiztonsági problémát okozhat. Minden rendszergazdának javasolt legalább az alábbiakat megtenni:

Ellenőrizze a zóna elérhetőségét kívülről

Engedélyezze a zónatranszfert kizárólag ismert IP-címekre

Rendszeresen auditálja DNS beállításait

Használja a 1b.hu által nyújtott DNS hostingot, ahol alapból védett a zóna

A DNS nem csak egyszerű névfeloldás – hanem egy érzékeny adatbázis. Ne hagyjuk nyitva az ajtót.

További információkért és biztonságos DNS tárhelyért látogass el a 1b.hu oldalra – ahol professzionális, IPv6-kompatibilis, DNSSEC-képes és zárt zónatranszfert biztosító megoldásokat kínálunk.