DNS-vyöhykkeen siirron haavoittuvuus

14.7.2020
14.7.2020

Mikä on DNS-vyöhykkeen siirto?

DNS-vyöhykesiirto, joka tunnetaan myös nimellä DNS-kyselytyyppi AXFR, on prosessi, jossa DNS-palvelin siirtää kopion osasta tietokantaansa toiselle DNS-palvelimelle. Kopioitua tietokannan osaa kutsutaan vyöhykkeeksi.

Vyöhykesiirrossa käytetään TCP-protokollaa (Transmission Control Protocol), ja se on muodoltaan asiakas-palvelin-transaktio.

Vyöhykesiirtoa pyytävä asiakas voi olla orjapalvelin tai toissijainen palvelin, joka pyytää tietoja pääpalvelimelta tai ensisijaiselta palvelimelta.

Milloin DNS-vyöhykkeen siirto yleensä tapahtuu?

Vyöhykkeen siirto tapahtuu yleensä silloin, kun otat uuden DNS-palvelimen käyttöön toissijaisena DNS-palvelimena.

Kokonaan kaikki vyöhyketiedot siirretään, jotta kyseisen vyöhykkeen jo olemassa olevat tietueet voidaan kopioida. Tämä on aikaa ja resursseja vievä prosessi. Niinpä kehitettiin inkrementaaliset DNS-siirrot.

Inkrementaalisessa siirrossa palvelin hakee vain ne resurssitietueet, jotka ovat muuttuneet vyöhykkeessä, jotta se pysyy synkronoituna ensisijaisen DNS-palvelimen kanssa.

Käyttäessä inkrementaalista siirtoa verrataan SOA-tietuetta, jotta nähdään, onko muutoksia tehty. Jos ensisijaisella nimipalvelimella on korkeampi SOA-versionumero kuin toissijaisella nimipalvelimella, vyöhykesiirto aloitetaan.

Jos SOA-tietueiden versionumero on sama, vyöhykesiirtoa ei aloiteta.

Kun vyöhyketiedostoon on tehty muutoksia ensisijaisella nimipalvelimella ja DNS-ilmoitusluettelo on olemassa, ensisijainen nimipalvelin ilmoittaa välittömästi toissijaiselle nimipalvelimelle, että vyöhyketiedostoa on muutettu. Sen jälkeen se kehottaa sitä aloittamaan vyöhykesiirron odottamatta päivitysvälin umpeutumista.

Ilmoitusluettelo on luettelo IP-osoitteista, jotka määrittävät, mitkä toissijaiset nimipalvelimet saavat käyttää ensisijaisen nimipalvelimen vyöhyketietoja vyöhykesiirtoa varten.

Tässä esimerkissä näytetään, miten DNS-vyöhykesiirto suoritetaan digin avulla:

Komento:

 dig axfr @nsztm1.digi.ninja zonetransfer.me 

Tässä nimipalvelin on nsztm1.digi.ninja ja vyöhykesiirto.me on verkkotunnus.

Nämä DNS-tietueet selitetään tarkemmin alla.

SOA-tietue

DNS-vyöhykkeeseen tallennetut tiedot alkavat SOA (Start Of Authority) -tietueella.

Tämä tietue sisältää tietoja seuraavista:

  1. palvelimen nimi

  2. vyöhykkeen ylläpitäjän nimi

  3. SOA-tietueen tämänhetkisestä versiosta

  4. sekuntien määrästä, jonka toissijaisen nimipalvelimen on odotettava, ennen kuin se tarkastaa päivitykset

  5. .

  6. sekuntien määrä, joka on odotettava, ennen kuin epäonnistunutta vyöhykesiirtoa yritetään uudelleen

  7. sekuntien enimmäismäärä, jonka toissijainen nimipalvelin voi käyttää tietoja, ennen kuin ne on joko päivitettävä tai vanhentuvat

  8. sekunnin oletusarvo ajalleto-live (TTL) -tiedostolle resurssitietueissa.

Tässä:

  1. zonetransfer.me on verkkotunnuksen nimi

  2. nsztm1.digi.ninja.on ensisijainen nimipalvelin

  3. robin.digi.ninja. edustaa verkkotunnuksen vastuuhenkilöä

  4. sähköpostiosoite (swap first . @:n tilalle)

  5. 2014101601- Verkkotunnuksen nykyinen SOA-sarjanumero

  6. 172800- sekuntien määrä, jota toissijaisen nimipalvelimen pitäisi odottaa muutospyyntöjen tekemisen välillä

  7. 900- sekuntien määrä, jota ensisijaisen nimipalvelimen pitäisi odottaa, jos se ei päivity kunnolla

  8. 1209600- Niiden sekuntien määrä, jotka toissijainen nimipalvelin voi väittää, että sillä on arvovaltaista tietoa

  9. 3600- Minimi TTL

MX-tietue

Max-tietue (MX-rekisteröinti) määrittää sähköpostipalvelimen, joka on vastuussa sähköpostiviestien vastaanottamisesta verkkotunnuksen puolesta. Tässä uhri käyttää Googlen sähköpostipalvelua. Tämä on hyödyllistä tietoa, kun suoritetaan mahdollisia social engineering -hyökkäyksiä.

TXT-tietue

Tekstitietue (TXT-tietue) on DNS-verkkotunnusjärjestelmän (Domain Name System) eräänlainen resurssitietue, jota käytetään tarjoamaan mahdollisuus liittää isäntäkoneeseen tai -nimiin mielivaltaista tekstiä, kuten ihmiselle luettavissa olevia tietoja, verkko- ja datakeskustietoja tai muita kirjanpitotietoja.

TXT-tietueet voivat sisältyä arvokkaita tietoja. Tästä TXT-tietueesta saimme sähköpostitunnuksen ja puhelinnumeron.

SRV-tietue

SRV-tietue (Service) osoittaa SIP-palvelimen sijainnin, yksilöi palvelun näyttämällä protokollan, isännän ja portin, jolla se toimii.

Tämä osoittaa palvelimeen nimeltä _sip._tcp.zonetransfer.me, joka kuuntelee TCP-portissa 5060 SIP-protokollaa (Session Initiation Protocol), ja www.zonetransfer.me on palvelun tarjoava isäntä. Tässä annettu prioriteetti on 0, ja painoarvo on 0.

A-record

A-record kuvaa verkkotunnuksen nimeä vastaavaan IP-osoitteeseen. A-rekisteristä saimme kolme datakeskuksen IP-osoitetta ja kolme toimiston IP-osoitetta, mikä antaa yhteensä 6 kohdetta.

CNAME

Canonical Name (CNAME) -rekisteriä (CNAME-tietue) käytetään kartoittamaan alias yhdestä verkkotunnuksesta toiseen verkkotunnukseen. Tästä voidaan nähdä testaus- ja lavastuspalvelin.

DNS-vyöhykesiirron haavoittuvuuden vaikutus

DNS-vyöhykesiirto ei tarjoa todennusta. Niinpä kuka tahansa asiakas tai joku, joka esiintyy asiakkaana, voi pyytää DNS-palvelimelta kopiota koko vyöhykkeestä.

Tämä tarkoittaa, että ellei jonkinlaista suojausta oteta käyttöön, kuka tahansa pystyy saamaan luettelon kaikista tietyn verkkotunnuksen isännistä, mikä antaa heille paljon potentiaalisia hyökkäysvektoreita.

Miten DNS-vyöhykkeensiirron haavoittuvuus estetään?

  • Lupaa vyöhykkeensiirto vain luotetuilta IP-osoitteilta. Seuraavassa on esimerkki siitä, miten tämä korjataan BIND DNS-palvelimessa.

Navigoi tiedostoon /etc/named.conf ja lisää nämä:

 ACL trusted-servers { 173.88.21.10; // ns1 184.144.221.82; // ns2 }; zone securitytrails.com { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-servers; }; }; 
  • Käytä Transaction SIGnatures (TSIG) vyöhykesiirtoja varten
Tarkista verkkosivujesi tietoturva jo tänään ja

identifioi haavoittuvuudet, ennen kuin hakkerit hyödyntävät niitä.

ALOITA

Vastaa

Sähköpostiosoitettasi ei julkaista.