Sårbarhed i forbindelse med DNS-zoneoverførsel

14 jul 2020
14 jul 2020

Hvad er DNS-zoneoverførsel?

DNS zoneoverførsel, også kendt som DNS forespørgselstype AXFR, er en proces, hvorved en DNS-server videregiver en kopi af en del af sin database til en anden DNS-server. Den del af databasen, der replikeres, kaldes en zone.

En zoneoverførsel anvender Transmission Control Protocol (TCP) og har form af en klient-server-transaktion.

Den klient, der anmoder om en zoneoverførsel, kan være en slaveserver eller sekundær server, der anmoder om data fra en masterserver eller en primær server.

Hvornår sker en DNS-zoneoverførsel normalt?

En zoneoverførsel sker normalt, når du sætter en ny DNS-server op som sekundær DNS-server.

Der sker en fuldstændig overførsel af alle zoneoplysningerne for at replikere de allerede eksisterende poster for den pågældende zone. Dette er en tidskrævende og ressourcekrævende proces. Derfor blev der udviklet inkrementelle DNS-overførsler.

I den inkrementelle overførsel henter serveren kun de ressourceposter, der er ændret i en zone, så den forbliver synkroniseret med den primære DNS-server.

Ved brug af inkrementel overførsel sammenlignes SOA-posten for at se, om der er foretaget ændringer. Hvis den primære navneserver har et højere SOA-versionnummer end den sekundære navneserver, igangsættes en zoneoverførsel.

Hvis SOA-posternes versionsnummer er det samme, igangsættes der ikke en zoneoverførsel.

Når der er foretaget ændringer i zonefilen på den primære navneserver, og der er en DNS-notifikationsliste, meddeler den primære navneserver straks den sekundære navneserver, at zonefilen er blevet ændret. Derefter instruerer den den om at indlede en zoneoverførsel uden at vente på, at opdateringsintervallet udløber.

Notifikationslisten er en liste over IP-adresser, der angiver, hvilke sekundære navneservere der har tilladelse til at få adgang til zoneoplysninger på den primære navneserver med henblik på zoneoverførsel.

Her er et eksempel, der viser, hvordan du udfører en DNS-zoneoverførsel ved hjælp af dig:

Kommando:

 dig axfr @nsztm1.digi.ninja zonetransfer.me 

Her er nsztm1.digi.ninja navneserveren og zonetransfer.me er domænenavnet.

Disse DNS-poster forklares nærmere nedenfor.

SOA record

Informationer, der er gemt i en DNS-zone, starter med en SOA-post (Start Of Authority).

Denne post indeholder oplysninger om:

  1. navnet på serveren

  2. navnet på administratoren af zonen

  3. den aktuelle version af SOA-posten

  4. det antal sekunder, en sekundær navneserver skal vente, før den kontrollerer, om der er opdateringer

  5. det antal sekunder, der skal vente, før en mislykket zoneoverførsel forsøges igen

  6. det maksimale antal sekunder, som en sekundær navneserver kan bruge data, før de enten skal opdateres eller udløbe

  7. det standardantal sekunder for den tid-to-live (TTL) på ressourceposter.

Her:

  1. zonetransfer.me er navnet på domænet

  2. nsztm1.digi.ninja.er den primære navneserver

  3. robin.digi.ninja. står for den ansvarlige for domænet

  4. e-mailadressen (byt første . for et @)

  5. 2014101601- Det aktuelle SOA-serienummer for domænet

  6. 172800- Antal sekunder, som en sekundær navneserver skal vente mellem anmodninger om ændringer

  7. 900- Antal sekunder, som en primær navneserver skal vente, hvis den ikke opdaterer korrekt

  8. 1209600- Antal sekunder, som en sekundær navneserver kan hævde at have autoritative oplysninger

  9. 3600- Minimum TTL

MX record

En Mail eXchange record (MX record) angiver den postserver, der er ansvarlig for at modtage e-mail-meddelelser på vegne af et domænenavn. Her bruger offeret Googles mailtjeneste. Dette er nyttige oplysninger, når der udføres eventuelle social engineering-angreb.

TXT record

En tekst (TXT)-post er en type ressourcepost i DNS (Domain Name System), der bruges til at give mulighed for at tilknytte vilkårlig tekst til en vært eller navne, f.eks. menneskeligt læsbare oplysninger, netværk, datacenter eller andre regnskabsoplysninger.

TXT records kan indeholde værdifulde oplysninger. Fra denne TXT-post fik vi et e-mail-id og et telefonnummer.

SRV-post

En SRV-post (Service) viser placeringen af SIP-serveren, identificerer en tjeneste ved at vise protokollen, værten og porten, som den kører på.

Dette peger på en server ved navn _sip._tcp.zonetransfer.me, der lytter på TCP-port 5060 for Session Initiation Protocol (SIP), og www.zonetransfer.me er den vært, der leverer tjenesten. Den prioritet, der gives her, er 0, og vægten er 0.

A record

En record kortlægger et domænenavn til den tilsvarende IP-adresse. Fra A record fik vi tre datacenter-IP’er og tre kontor-IP’er, hvilket giver i alt 6 mål.

CNAME

En Canonical Name (CNAME) record bruges til at mappe et alias fra et domænenavn til et andet domænenavn. Heraf kan vi se en test- og staging-server.

Indflydelse af sårbarhed i forbindelse med DNS-zoneoverførsel

DNS zoneoverførsel tilbyder ingen autentificering. Så enhver klient eller en person, der udgiver sig for at være klient, kan bede en DNS-server om en kopi af hele zonen.

Det betyder, at medmindre der indføres en form for beskyttelse, er enhver i stand til at få en liste over alle værter for det pågældende domæne, hvilket giver dem en masse potentielle angrebsvektorer.

Hvordan forebygger man sårbarheden ved DNS-zoneoverførsel?

  • Godkend kun zoneoverførsel fra betroede IP’er. Følgende er et eksempel på, hvordan dette kan løses i BIND DNS-serveren.

Navigér til /etc/named.conf, og tilføj disse:

 ACL trusted-servers { 173.88.21.10; // ns1 184.144.221.82; // ns2 }; zone securitytrails.com { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-servers; }; }; 
  • Brug Transaction SIGnatures (TSIG) til zoneoverførsler
Tjek sikkerheden på dit websted i dag, og

identificer sårbarheder, før hackere udnytter dem.

KOM I GANG

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.