Unrestricted DNS Zone Transfers

Transferencias de Zona DNS No Restringidas

Risk: medium

Descripción

Las transferencias de zona DNS (DNS Zone Transfers) son un mecanismo que permite a un servidor DNS secundario recibir una copia de los registros DNS de un servidor DNS primario. Aunque esta característica es esencial para mantener la redundancia DNS y la distribución de carga, los servidores DNS mal configurados pueden permitir transferencias de zona no autorizadas, exponiendo potencialmente información sensible sobre la infraestructura de red de una organización.

Puntos clave sobre las Transferencias de Zona DNS:

• Propósito: Las transferencias de zona se utilizan para replicar datos DNS a través de múltiples servidores de nombres, asegurando la consistencia y proporcionando redundancia.

• Riesgo de Seguridad: Si no se restringen adecuadamente, las transferencias de zona pueden ser explotadas por atacantes para recopilar información sobre la topología de red de una organización, incluyendo direcciones IP internas, nombres de host y otros datos sensibles.

• Divulgación de Información: Las transferencias de zona no autorizadas exitosas pueden revelar:

• Estructura de la red interna
• Convenciones de nomenclatura
• Esquemas de direccionamiento IP

• Objetivos potenciales para futuros ataques

• Protocolo AXFR: El método principal para las transferencias de zona es el protocolo AXFR (Authoritative Transfer), el cual transfiere el archivo de zona completo.

• Protocolo IXFR: Una alternativa es el protocolo IXFR (Incremental Zone Transfer), el cual solo transfiere los cambios realizados desde la última actualización.

Recomendación

Para mitigar los riesgos asociados con las transferencias de zona DNS no restringidas, considere implementar las siguientes recomendaciones:

1. Restringir las Transferencias de Zona: Configure los servidores DNS para permitir solo transferencias de zona desde servidores de nombres secundarios autorizados.

2. Usar Listas de Control de Acceso (ACLs): Implemente ACLs en los servidores DNS para especificar qué direcciones IP están autorizadas para solicitar transferencias de zona.

3. Implementar TSIG: Use firmas de transacción (TSIG) para autenticar y cifrar las transferencias de zona entre servidores DNS autorizados.

4. Usar Arquitectura Split-DNS: Separe el DNS interno y externo para minimizar la exposición de la información.

Pasos Prácticos para Mitigar:

1. Verificar Transferencias de Zona No Restringidas: Use el comando dig para intentar una transferencia de zona:

dig axfr @ns1.example.com example.com

Si el comando devuelve el archivo de zona completo, las transferencias no están correctamente restringidas.

1. Configurar el Servidor DNS BIND: Edite el archivo /etc/named.conf para restringir las transferencias de zona:

zone "example.com" {
    type master;
    file "example.com.zone";
    allow-transfer { 192.168.1.2; };  // Only allow transfers to this IP
};

1. Implementar Autenticación TSIG: Genere una clave TSIG:

dnssec-keygen -a HMAC-SHA256 -b 256 -n HOST example-transfer-key

Agregue la clave a su configuración DNS:

key "example-transfer-key" {
    algorithm hmac-sha256;
    secret "BASE64_ENCODED_SECRET";
};

zone "example.com" {
    type master;
    file "example.com.zone";
    allow-transfer { key example-transfer-key; };
};

Enlaces

• OWASP Testing Guide
• DNS Zone Transfer
• DNS Security

Estándares

• SOC2_CONTROLS:
  • CC_6_1
  • CC_6_6
  • CC_6_7
  • CC_7_1
• GDPR:
  • ART_32
• CCPA:
  • CCPA_1798_150
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213
  • SECURITY259