Unrestricted DNS Zone Transfers

Transferts de Zone DNS Non Restreints

Risk: medium

Description

Les transferts de zone DNS (DNS Zone Transfers) sont un mécanisme permettant à un serveur DNS secondaire de recevoir une copie des enregistrements DNS d'un serveur DNS primaire. Bien que cette fonctionnalité soit essentielle pour maintenir la redondance DNS et la répartition de charge, des serveurs DNS mal configurés peuvent autoriser des transferts de zone non autorisés, exposant potentiellement des informations sensibles sur l'infrastructure réseau d'une organisation.

Points clés concernant les transferts de zone DNS :

• Objectif : Les transferts de zone sont utilisés pour répliquer les données DNS sur plusieurs serveurs de noms, assurant la cohérence et offrant une redondance.

• Risque de Sécurité : S'ils ne sont pas correctement restreints, les transferts de zone peuvent être exploités par des attaquants pour recueillir des informations sur la topologie du réseau d'une organisation, y compris les adresses IP internes, les noms d'hôtes et d'autres données sensibles.

• Divulgación d'Informations : Les transferts de zone non autorisés réussis peuvent révéler :

• La structure du réseau interne
• Les conventions de nommage
• Les schémas d'adressage IP

• Des cibles potentielles pour de futures attaques

• Protocole AXFR : La méthode principale pour les transferts de zone est le protocole AXFR (Authoritative Transfer), qui transfère l'intégralité du fichier de zone.

• Protocole IXFR : Une alternative est le protocole IXFR (Incremental Zone Transfer), qui ne transfère que les modifications apportées depuis la dernière mise à jour.

Recommandation

Pour atténuer les risques associés aux transferts de zone DNS non restreints, envisagez de mettre en œuvre les recommandations suivantes :

1. Restreindre les Transferts de Zone : Configurez les serveurs DNS pour n'autoriser les transferts de zone qu'à partir de serveurs de noms secondaires autorisés.

2. Utiliser des Listes de Contrôle d'Accès (ACL) : Implémentez des ACL sur les serveurs DNS pour spécifier quelles adresses IP sont autorisées à demander des transferts de zone.

3. Implémenter TSIG : Utilisez la signature de transaction (TSIG) pour authentifier et chiffrer les transferts de zone entre les serveurs DNS autorisés.

4. Utiliser une Architecture Split-DNS : Séparez le DNS interne et externe pour minimiser l'exposition des informations.

Étapes Pratiques pour l'Atténuation :

1. Vérifier les Transferts de Zone Non Restreints : Utilisez la commande dig pour tenter un transfert de zone :

dig axfr @ns1.example.com example.com

Si la commande renvoie le fichier de zone complet, les transferts ne sont pas correctement restreints.

1. Configurer le Serveur DNS BIND : Modifiez le fichier /etc/named.conf pour restreindre les transferts de zone :

zone "example.com" {
    type master;
    file "example.com.zone";
    allow-transfer { 192.168.1.2; };  // Only allow transfers to this IP
};

1. Implémenter l'Authentification TSIG : Générez une clé TSIG :

dnssec-keygen -a HMAC-SHA256 -b 256 -n HOST example-transfer-key

Ajoutez la clé à votre configuration DNS :

key "example-transfer-key" {
    algorithm hmac-sha256;
    secret "BASE64_ENCODED_SECRET";
};

zone "example.com" {
    type master;
    file "example.com.zone";
    allow-transfer { key example-transfer-key; };
};

Liens

• OWASP Testing Guide
• DNS Zone Transfer
• DNS Security

Normes

• SOC2_CONTROLS:
  • CC_6_1
  • CC_6_6
  • CC_6_7
  • CC_7_1
• GDPR:
  • ART_32
• CCPA:
  • CCPA_1798_150
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213
  • SECURITY259