DNS zónaátvitel sebezhetőség

Mi az a DNS zónaátvitel?

A DNS zónatranszfer, más néven DNS-lekérdezés típusú AXFR egy olyan folyamat, amelynek során egy DNS-kiszolgáló átadja adatbázisának egy részének másolatát egy másik DNS-kiszolgálónak. Az adatbázis replikált részét zónának nevezzük.

A zónaátvitel a TCP (Transmission Control Protocol) protokollt használja, és ügyfél-kiszolgáló tranzakció formájában zajlik.

A zónaátvitelt kérő ügyfél lehet szolga vagy másodlagos kiszolgáló, amely adatokat kér egy fő vagy elsődleges kiszolgálótól.

Mikor történik általában DNS-zónaátvitel?

A zónaátvitel általában akkor történik, amikor egy új DNS-kiszolgálót másodlagos DNS-kiszolgálóként hoz létre.

A zóna összes információjának teljes átvitelére kerül sor az adott zóna már meglévő rekordjainak replikálása érdekében. Ez egy időigényes és erőforrás-igényes folyamat. Ezért fejlesztették ki az inkrementális DNS-átvitelt.

Az inkrementális átvitel során a kiszolgáló csak azokat az erőforrásrekordokat kéri le, amelyek megváltoztak egy zónán belül, így szinkronban marad az elsődleges DNS-kiszolgálóval.

Az inkrementális átvitel használatakor a SOA-rekordot összehasonlítják, hogy megnézzék, történt-e változás. Ha az elsődleges névkiszolgáló magasabb SOA verziószámmal rendelkezik, mint a másodlagos névkiszolgáló, akkor zónaátvitelre kerül sor.

Ha a SOA rekordok verziószáma megegyezik, akkor nem kerül sor zónaátvitelre.

Ha az elsődleges névkiszolgáló zónafájljában változások történtek, és van DNS értesítő lista, az elsődleges névkiszolgáló azonnal értesíti a másodlagos névkiszolgálót a zónafájl módosításáról. Ezután utasítja azt, hogy kezdeményezzen zónaátvitelt anélkül, hogy megvárná a frissítési intervallum lejártát.

A notify-lista egy olyan IP-címekből álló lista, amely meghatározza, hogy mely másodlagos névkiszolgálók férhetnek hozzá az elsődleges névkiszolgáló zónainformációihoz a zónaátvitel céljából.

Itt egy példa, amely azt mutatja, hogyan lehet DNS-zónaátvitelt végrehajtani a dig használatával:

Parancs:

 dig axfr @nsztm1.digi.ninja zonetransfer.me 

Itt az nsztm1.digi.ninja a névszerver és a zónatranszfer.me a tartománynév.

Ezek a DNS-rekordok az alábbiakban kerülnek részletesebben kifejtésre.

SOA rekord

A DNS-zónában tárolt információk egy SOA (Start Of Authority) rekorddal kezdődnek.

Ez a rekord a következő információkat tartalmazza:

1. a kiszolgáló neve

2. a zóna adminisztrátorának neve

3. a SOA-rekord aktuális verziója

4. a másodlagos névkiszolgálónak hány másodpercet kell várnia a frissítések ellenőrzése előtt

.

5. a másodpercek száma, amelyet várni kell a sikertelen zónaátvitel újbóli megkísérlése előtt

6. a másodlagos névkiszolgáló által felhasználható adatok maximális másodpercszáma, mielőtt azokat frissíteni kell vagy lejárnak

7. az alapértelmezett másodpercek száma az idő-to-live (TTL) fájl az erőforrásrekordoknál.

Itt:

1. zonetransfer.me a domain neve

2. nsztm1.digi.ninja.az elsődleges névszerver

3. robin.digi.ninja. képviseli a domainért felelős személyt

4. az e-mail cím (swap first . egy @-ra)

5. 2014101601- A tartomány aktuális SOA sorszáma

6. 172800- azon másodpercek száma, amelyeket a másodlagos névkiszolgálónak várnia kell a módosítási kérelmek között

7. 900- azon másodpercek száma, amelyeket az elsődleges névkiszolgálónak várnia kell, ha nem sikerül megfelelően frissítenie

8. 1209600-. Azon másodpercek száma, amelyek alatt egy másodlagos névkiszolgáló azt állíthatja, hogy hiteles információval rendelkezik

9. 3600- Minimum TTL

MX rekord

A Mail eXchange rekord (MX rekord) megadja a domain név nevében az e-mail üzenetek fogadásáért felelős levelező szervert. Itt az áldozat a Google levelezőszolgáltatását használja. Ez hasznos információ bármilyen social engineering támadás végrehajtása során.

TXT rekord

A Text (TXT) rekord a Domain Name System (DNS) egyfajta erőforrásrekordja, amely arra szolgál, hogy tetszőleges szöveget lehessen társítani egy állomáshoz vagy nevekhez, például ember által olvasható információkat, hálózati, adatközponti vagy egyéb számviteli információkat.

A TXT rekordok értékes információkat tartalmazhatnak. Ebből a TXT rekordból egy e-mail azonosítót és egy telefonszámot kaptunk.

SRV rekord

A SRV (Service) rekord megmutatja a SIP szerver helyét, azonosít egy szolgáltatást azáltal, hogy megmutatja a protokollt, az állomás és a portot, amelyen fut.

Ez egy _sip._tcp.zonetransfer.me nevű kiszolgálóra mutat, amely az 5060-as TCP porton hallgat a Session Initiation Protocol (SIP) számára, a www.zonetransfer.me pedig a szolgáltatást nyújtó állomás. Az itt megadott prioritás 0, a súly 0.

A rekord

A rekord egy tartománynevet képez le a megfelelő IP-címhez. Az A rekordból három adatközpont IP-címét és három irodai IP-címet kaptunk, ami összesen 6 célt ad.

CNAME

A kanonikus név (CNAME) rekordot arra használjuk, hogy egy tartománynév aliasát leképezzük egy másik tartománynévre. Ebből láthatunk egy tesztelő és egy staging szervert.

A DNS zónaátvitel sebezhetőségének hatása

A DNS zónaátvitel nem kínál hitelesítést. Így bármelyik ügyfél vagy valaki, aki ügyfélnek adja ki magát, kérheti a DNS-kiszolgálótól a teljes zóna másolatát.

Ez azt jelenti, hogy hacsak nem vezetünk be valamilyen védelmet, bárki képes megszerezni az adott tartomány összes állomáshelyének listáját, ami rengeteg potenciális támadási vektort biztosít.

Hogyan lehet megelőzni a DNS zónaátvitel sebezhetőségét?

• Csak megbízható IP-címekről engedélyezzük a zónaátvitelt. Az alábbiakban egy példát mutatjuk be, hogyan lehet ezt a hibát a BIND DNS-kiszolgálóban kijavítani.

Navigáljon az /etc/named könyvtárba.conf, és adja hozzá a következőket:

 ACL trusted-servers { 173.88.21.10; // ns1 184.144.221.82; // ns2 }; zone securitytrails.com { type master; file "zones/zonetransfer.me"; allow-transfer { trusted-servers; }; }; 

• Tranzakciós SIGnatures (TSIG) használata a zónaátvitelhez