{"id":19433,"date":"2026-05-17T11:50:17","date_gmt":"2026-05-17T09:50:17","guid":{"rendered":"https:\/\/webhosting.de\/dns-zone-transfer-security-axfr-protection-sicherheitsleitfaden\/"},"modified":"2026-05-17T11:50:17","modified_gmt":"2026-05-17T09:50:17","slug":"dns-zone-transfer-security-axfr-protection-security-guide","status":"publish","type":"post","link":"https:\/\/webhosting.de\/es\/dns-zone-transfer-security-axfr-protection-sicherheitsleitfaden\/","title":{"rendered":"Transferencias de zona DNS y seguridad: protecci\u00f3n contra usos indebidos"},"content":{"rendered":"<p>Muestro como una zona dns con control <strong>AXFR<\/strong>- y las transferencias IXFR, IP compartidas y TSIG permanecen protegidas contra el espionaje. Tambi\u00e9n explico los riesgos de las transferencias abiertas, los niveles de seguridad practicables, la configuraci\u00f3n dura y <strong>Monitoreo<\/strong> contra los abusos.<\/p>\n\n<h2>Puntos centrales<\/h2>\n<p>Para ayudarte a proteger las transferencias de zonas, resumir\u00e9 los temas clave en pocas palabras. Empezar\u00e9 con los fundamentos de las zonas y los mecanismos de transferencia y luego pasar\u00e9 directamente a las implicaciones de seguridad. A continuaci\u00f3n, te mostrar\u00e9 pasos pr\u00e1cticos de refuerzo que funcionan en cualquier entorno. A continuaci\u00f3n, describo c\u00f3mo se puede reconocer de forma fiable una actividad sospechosa y reaccionar con rapidez. Por \u00faltimo, clasifico el tema en procesos de alojamiento y de equipo para que <strong>Operaci\u00f3n<\/strong> y seguridad van de la mano.<\/p>\n<ul>\n  <li><strong>AXFR\/IXFR<\/strong> Restringir a prop\u00f3sito<\/li>\n  <li><strong>TSIG<\/strong>-Utilizar la autenticaci\u00f3n de forma coherente<\/li>\n  <li><strong>IP<\/strong>-en lugar de \u201eany\u201c.\u201c<\/li>\n  <li><strong>Separaci\u00f3n<\/strong> zonas internas y externas<\/li>\n  <li><strong>Monitoreo<\/strong> y reacci\u00f3n<\/li>\n<\/ul>\n\n<h2>Breve explicaci\u00f3n de la zona DNS y la transferencia de zona<\/h2>\n<p>Una zona DNS agrupa todas las entradas que controlan la resoluci\u00f3n de un dominio, incluyendo <strong>A<\/strong>-AAAA, NS, MX y TXT. Mantengo estos datos en un servidor primario y los distribuyo a los secundarios para que no haya lagunas por fallos. La transferencia mantiene sincronizados varios servidores autoritativos y garantiza tiempos de respuesta cortos en todo el mundo. Sin esta replicaci\u00f3n, aumenta el riesgo de respuestas obsoletas, lo que provoca interrupciones en los servicios de correo y web. Al mismo tiempo, una configuraci\u00f3n incorrecta durante las transferencias abre superficies de ataque en cuanto terceros acceden a la informaci\u00f3n completa. <strong>Zona<\/strong> pueden leer en voz alta.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/05\/dns-sicherheit-serverraum-4837.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>AXFR e IXFR: diferencias con consecuencias para la seguridad<\/h2>\n<p>AXFR transmite toda la zona de una sola vez y forma as\u00ed un <strong>Imagen<\/strong> de la infraestructura. IXFR s\u00f3lo env\u00eda los cambios desde la \u00faltima versi\u00f3n, lo que ahorra ancho de banda y tiempo. Lo m\u00e1s importante para la seguridad es qui\u00e9n est\u00e1 autorizado a enviar solicitudes, no qu\u00e9 tipo se transmite. Si dejas AXFR o IXFR abiertos a cualquier remitente, cualquiera puede ver toda la estructura. Por eso yo me baso en autorizaciones restringidas, defino claramente los secundarios y uso adicionales <strong>Ex\u00e1menes<\/strong> con cada consulta.<\/p>\n\n<h2>Por qu\u00e9 son arriesgadas las transferencias de zona abierta<\/h2>\n<p>Una transferencia de zona completa revela todos los nombres de host, incluidos los posibles sistemas de prueba y de administraci\u00f3n, as\u00ed como los externos e internos. <strong>IP<\/strong>-objetivos. Esto proporciona a los atacantes una lista compacta para escaneos sistem\u00e1ticos y campa\u00f1as de phishing dirigidas. Tambi\u00e9n salen a la luz errores de configuraci\u00f3n, como interfaces de gesti\u00f3n o puntos finales VPN en la zona p\u00fablica. Esta informaci\u00f3n acelera considerablemente la detecci\u00f3n en las primeras fases de un ataque. Yo lo evito fijando las transferencias a socios conocidos y restringiendo estrictamente todos los accesos. <strong>registro<\/strong>.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/05\/dns_sicherheit_meeting_9382.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Comparaci\u00f3n de los niveles de seguridad para las transferencias de zona<\/h2>\n<p>Yo diferencio tres niveles de seguridad, que se utilizan en funci\u00f3n del riesgo y del entorno. Las transferencias abiertas a \u201ecualquiera\u201c parecen c\u00f3modas, pero proporcionan de inmediato a extra\u00f1os una completa <strong>Lista de anfitriones<\/strong>. Las comparticiones a hosts NS que se muestran en la zona son mejores, pero esta informaci\u00f3n es visible p\u00fablicamente. La forma m\u00e1s segura de trabajar es con listas de direcciones IP fijas para los secundarios m\u00e1s autenticaci\u00f3n adicional. Esto reduce significativamente el riesgo de consultas no autorizadas y asegura el <strong>Integridad<\/strong> su distribuci\u00f3n.<\/p>\n<table>\n  <thead>\n    <tr>\n      <th>Nivel<\/th>\n      <th>Regla<\/th>\n      <th>Riesgo<\/th>\n      <th>Nota de aplicaci\u00f3n<\/th>\n    <\/tr>\n  <\/thead>\n  <tbody>\n    <tr>\n      <td>Bajo<\/td>\n      <td>Transferencia para todas las fuentes<\/td>\n      <td>Divulgaci\u00f3n de toda la zona<\/td>\n      <td>Aseg\u00farese de apagar y <strong>Lista de permisos<\/strong> configure<\/td>\n    <\/tr>\n    <tr>\n      <td>Medio<\/td>\n      <td>S\u00f3lo los hosts NS de la zona<\/td>\n      <td>La restricci\u00f3n existe, pero puede derivarse p\u00fablicamente<\/td>\n      <td>M\u00e1s s\u00f3lido <strong>IPs<\/strong> e introducir TSIG<\/td>\n    <\/tr>\n    <tr>\n      <td>Alta<\/td>\n      <td>IP fijas + TSIG<\/td>\n      <td>Superficie de ataque significativamente menor<\/td>\n      <td>Pruebe y <strong>girar<\/strong><\/td>\n    <\/tr>\n  <\/tbody>\n<\/table>\n<p>Dirijo sistem\u00e1ticamente el estado de los objetivos hacia el nivel alto, especialmente en las zonas empresariales. Las autorizaciones estrictas y las firmas criptogr\u00e1ficas crean all\u00ed un control fiable. Tambi\u00e9n compruebo regularmente los registros del servidor y establezco alertas para solicitudes inusuales. Cada cambio en las zonas o en las IP secundarias est\u00e1 claramente documentado. De este modo, el estado es reproducible y <strong>comprobable<\/strong>.<\/p>\n\n<h2>Restringir estrictamente el acceso: configuraci\u00f3n en la pr\u00e1ctica<\/h2>\n<p>S\u00f3lo permito transferencias a IPs secundarias definidas con precisi\u00f3n y rechazo cualquier otra fuente. En BIND utilizo allow-transfer y ACLs, en Windows DNS las propiedades de zona con acciones IP espec\u00edficas. PowerDNS y Unbound ofrecen directivas similares, que defino claramente para cada instancia. Si est\u00e1s planificando una nueva infraestructura, lo mejor es que leas brevemente sobre <a href=\"https:\/\/webhosting.de\/es\/configure-su-propio-servidor-de-nombres-dns-zonas-dominio-pegamento-registros-guia-poder\/\">Configure su propio servidor de nombres<\/a> y definir reglas estrictas desde el principio. De este modo, evitar\u00e1s configuraciones por defecto c\u00f3modas pero inseguras y asegurar\u00e1s el <strong>Transferencia<\/strong> de forma sostenible.<\/p>\n<p>Compruebo el efecto de cada regla con una prueba AXFR dirigida desde una fuente no autorizada. Si falla, el bloqueo funciona y registro la configuraci\u00f3n. Cuando muevo secundarios, ajusto primero la lista de permitidos antes de cambiar el rol. De esta forma, evito los efectos ventana en los que m\u00e1s fuentes tendr\u00edan acceso durante un breve periodo de tiempo. Esta secuencia hace que los cambios sean calculables y <strong>controlable<\/strong>.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/05\/dns-security-zone-transfer-3478.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Utilizar y gestionar correctamente la TSIG<\/h2>\n<p>TSIG complementa el filtrado IP con una firma criptogr\u00e1fica para cada solicitud y respuesta. El primario y el secundario comparten una clave secreta, lo que significa que s\u00f3lo los socios leg\u00edtimos realizan transferencias v\u00e1lidas. Asigno una clave independiente para cada par de socios y la almaceno estrictamente separada de otras claves. <strong>Secretos<\/strong>. La clave no debe ir al sistema de control de versiones, sino que debe estar en un almac\u00e9n secreto seguro. Tambi\u00e9n documento cada despliegue para que las auditor\u00edas puedan rastrear el flujo de transferencias y <strong>consulte<\/strong> puede.<\/p>\n<h3>Mantenimiento y rotaci\u00f3n de llaves<\/h3>\n<p>Roto las llaves TSIG con regularidad y organizo ventanas de tiempo fijas para el intercambio. Antes del cambio, activo temporalmente ambas claves para que no haya interrupciones en la transferencia. Tras la sincronizaci\u00f3n, elimino la clave antigua de todos los sistemas. A continuaci\u00f3n, compruebo los registros para asegurarme de que s\u00f3lo aparece la nueva clave. De este modo, minimizo el riesgo de que las claves queden obsoletas y garantizo la seguridad de los sistemas. <strong>Autenticidad<\/strong> la transferencia.<\/p>\n\n<h2>Selecci\u00f3n de algoritmos, sincronizaci\u00f3n horaria y detalles de la plataforma<\/h2>\n<p>Uso algoritmos HMAC modernos (por ejemplo, hmac-sha256) para TSIG y evito variantes obsoletas. Es importante una sincronizaci\u00f3n horaria fiable mediante NTP: TSIG valida las solicitudes dentro de un estrecho margen de tiempo; las desviaciones horarias mayores provocan rechazos. En BIND, defino claramente las claves y asignaciones por interlocutor, en Windows DNS compruebo si las transferencias de zona a zona est\u00e1n aseguradas con TSIG o -en entornos AD- con GSS-TSIG. GSS-TSIG utiliza identidades Kerberos y se adapta perfectamente a los dominios con delegaciones basadas en funciones. Mantengo claves o cuentas separadas por zona y secundarias para limitar estrictamente el impacto de un secreto comprometido.<\/p>\n<p>Tampoco me olvido de IPv6: la allowlist incluye direcciones v4 y v6 de los secundarios. Si los secundarios est\u00e1n detr\u00e1s de NAT, acepto direcciones de salida estables y documentadas; las IP de origen din\u00e1micas son tab\u00fa para las transferencias. En entornos multicloud, defino con precisi\u00f3n las redes permitidas para cada proveedor y pruebo cada ruta con una firma.<\/p>\n\n<h2>Reducir el AXFR al m\u00ednimo<\/h2>\n<p>AXFR siempre entrega la zona completa, que en la pr\u00e1ctica utilizo lo menos posible. Utilizo IXFR para los cambios cotidianos y as\u00ed evito grandes transferencias de datos. Inicialmente, al crear un nuevo secundario, permito que AXFR se utilice una vez, despu\u00e9s de lo cual incremental <strong>Sincronizaci\u00f3n<\/strong>. Si hay un n\u00famero inusualmente alto de fotogramas completos, compruebo si un secundario se reinicia constantemente o pierde contadores. As\u00ed encuentro las causas t\u00e9cnicas y mantengo bajo el n\u00famero de fotogramas llenos sensibles en la zona, lo que minimiza el <strong>Exposici\u00f3n<\/strong> reducido.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/05\/dns_zone_security_nacht1234.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>NOTIFY, seriales SOA y garant\u00eda de coherencia<\/h2>\n<p>Controlo las transferencias proactivamente con NOTIFY y seriales SOA limpios. Tras los cambios de zona, el primario env\u00eda NOTIFY a los secundarios autorizados (sin difusi\u00f3n), que se actualizan a trav\u00e9s de IXFR. Utilizo allow-notify\/also-notify para restringir exactamente qui\u00e9n est\u00e1 autorizado a enviar o recibir se\u00f1ales, de modo que ninguna fuente externa active las actualizaciones. El n\u00famero de serie de la SOA es determinista (por ejemplo, aaaammddnn) para que las r\u00e9plicas sean \u00fanicas y pueda reconocer las desviaciones m\u00e1s f\u00e1cilmente. Si se pierden incrementos, desencadeno espec\u00edficamente una resincronizaci\u00f3n y compruebo si realmente se ha utilizado IXFR en lugar de AXFR.<\/p>\n<p>Para las l\u00edneas en s\u00ed, s\u00f3lo aseguro TCP\/53 a las secundarias, porque AXFR\/IXFR funcionan v\u00eda TCP. En los cortafuegos, establezco reglas estrictas por direcci\u00f3n, opcionalmente con l\u00edmites de velocidad para la configuraci\u00f3n de las conexiones. Si tambi\u00e9n quieres confidencialidad en la ruta de transporte, puedes considerar XFR-sobre-TLS (XoT), siempre que ambos lados lo soporten; entonces aseguro la identidad con anclas de confianza claras como con TSIG.<\/p>\n\n<h2>Separe claramente las zonas internas de las externas<\/h2>\n<p>Mantengo sistem\u00e1ticamente los sistemas internos en zonas DNS privadas y s\u00f3lo publico externamente lo que los servicios realmente necesitan. <strong>necesita<\/strong>. Los hosts de prueba y de administraci\u00f3n no pertenecen al DNS p\u00fablico y, por tanto, no aparecen en ninguna transferencia de zona. Tambi\u00e9n utilizo DNSSEC para la integridad y autenticidad de las respuestas, sabiendo que DNSSEC no protege contra transferencias no autorizadas. Si quieres profundizar en el tema, puedes encontrar m\u00e1s informaci\u00f3n en la gu\u00eda compacta de <a href=\"https:\/\/webhosting.de\/es\/dnssec-firma-gestion-de-claves-dominio-seguridad-rotacion-seguridad\/\">Firma DNSSEC<\/a> consejos \u00fatiles sobre firmas y mantenimiento de claves. Esta separaci\u00f3n reduce los riesgos, aumenta la higiene de los datos y mantiene al p\u00fablico <strong>Superficie de ataque<\/strong> peque\u00f1o.<\/p>\n\n<h2>Arquitectura: primario oculto y secundarios anycast<\/h2>\n<p>Si es posible, coloco el primario como \u201eprimario oculto\u201c detr\u00e1s de cortafuegos y s\u00f3lo expongo los secundarios como NS de la zona. Los secundarios pueden utilizar anycast para responder r\u00e1pidamente en todo el mundo, mientras que el primario s\u00f3lo acepta rutas de gesti\u00f3n definidas. Las transferencias s\u00f3lo se realizan entre el primario oculto y los secundarios, estrictamente a trav\u00e9s de Allowlist y TSIG. En configuraciones multi-sitio, anclo al menos dos secundarios por regi\u00f3n y monitorizo activamente la ruta de transferencia. Esto mantiene el canal de administraci\u00f3n estrecho, la ruta de respuesta performante y los atacantes nunca ven el primario directamente.<\/p>\n<p>Tambi\u00e9n es \u00fatil: roles separados para fuentes de actualizaci\u00f3n (por ejemplo, firmante, creador de zona) y puntos finales de transferencia. Automatizo el proceso para que s\u00f3lo los estados de zona verificados y firmados lleguen al primario y s\u00f3lo entonces comience la replicaci\u00f3n. Esto significa que los errores de configuraci\u00f3n se detectan pronto y no se distribuyen por todo el sistema.<\/p>\n\n<h2>Supervisi\u00f3n, registro y respuesta r\u00e1pida<\/h2>\n<p>Analizo los registros del servidor en busca de intentos sospechosos de AXFR e IXFR y establezco alarmas con umbrales claros. Las fuentes inesperadas, los frecuentes intentos fallidos o las transferencias completas fuera de las ventanas de cambio indican problemas. Las comprobaciones estructuradas, como las descritas en el resumen, ayudan a analizar las causas. <a href=\"https:\/\/webhosting.de\/es\/reconocer-errores-de-configuracion-dns-herramientas-de-analisis-de-errores-consejos-dns\/\">Configuraciones incorrectas del DNS<\/a> se describen. Si detecto un incidente, bloqueo inmediatamente las transferencias a la lista permitida conocida y compruebo las entradas p\u00fablicas en busca de contenido superfluo. A continuaci\u00f3n, endurezco los hosts expuestos, aplico parches y refuerzo el <strong>Procesos<\/strong> para futuros cambios.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/05\/dns-security-devdesk-4312.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Limitaci\u00f3n de velocidad y controles de red<\/h2>\n<p>Adem\u00e1s de los filtros de aplicaciones, utilizo protecci\u00f3n de red: L\u00edmites de velocidad TCP en el puerto 53, protecci\u00f3n contra inundaciones SYN y cuotas del lado de la conexi\u00f3n para transferencias simult\u00e1neas. En BIND y PowerDNS, limito el n\u00famero de XFR que pueden ejecutarse en paralelo para que el uso indebido no bloquee otras zonas. Habilito la limitaci\u00f3n de la velocidad de respuesta (RRL) para las respuestas autoritativas, aunque no limite las transferencias en s\u00ed: reduce el abuso simult\u00e1neo. En cortafuegos y equilibradores de carga, creo reglas expl\u00edcitas por secundario con registro de eventos de ca\u00edda. Esto me permite reconocer r\u00e1pidamente patrones llamativos y tomar contramedidas espec\u00edficas.<\/p>\n<p>Utilizo categor\u00edas claramente separadas para el registro (por ejemplo, xfer-in\/xfer-out, notify, security). M\u00e9tricas como el tiempo de convergencia, el n\u00famero de NOTIFYs fallidos, el ratio IXFR\/AXFR y el tama\u00f1o medio de transferencia fluyen hacia los cuadros de mando. Los valores l\u00edmite se derivan de las ventanas de cambio normales; las desviaciones se activan como tickets o alertas de buscapersonas.<\/p>\n\n<h2>DNS en el contexto del alojamiento: Comprobaci\u00f3n del proveedor<\/h2>\n<p>Para las ofertas de alojamiento, compruebo si el proveedor ofrece filtros de transferencia granulares, TSIG y registros limpios. Tambi\u00e9n son importantes los servidores autoritativos distribuidos y redundantes y una clara separaci\u00f3n de los resolvers. Presto atenci\u00f3n a una integraci\u00f3n sencilla en la automatizaci\u00f3n, para que los cambios puedan realizarse de forma reproducible y segura. DNSSEC, CAA, SPF y DMARC, que quiero activar y mantener sin rodeos, son igual de relevantes. Un proveedor que cubra estos puntos hace que <strong>Operaci\u00f3n<\/strong> y reduce permanentemente los riesgos de seguridad.<\/p>\n\n<h2>Automatizaci\u00f3n, zonas de cat\u00e1logo y disciplina del cambio<\/h2>\n<p>Gestiono los secundarios de forma program\u00e1tica, por ejemplo mediante zonas de cat\u00e1logo o plantillas IaC. Esto me permite mantener listas de socios de transferencia autorizados coherentes en muchas instancias. Cada cambio pasa por el mismo proceso de revisi\u00f3n que el c\u00f3digo: Principio de los cuatro ojos, prueba en el staging, luego rollout. Las claves TSIG terminan en un almac\u00e9n secreto; los despliegues las extraen en tiempo de ejecuci\u00f3n sin dispersarlas ampliamente en el sistema de archivos. Documento los cambios en las IP secundarias, las convenciones de los n\u00fameros de serie y los procedimientos de emergencia en el mismo repositorio que las fuentes de zona: rastreables y a prueba de auditor\u00edas.<\/p>\n<p>Para las copias de seguridad, guardo los estados y configuraciones de las zonas de forma encriptada. Despu\u00e9s de las restauraciones, verifico que no haya vuelto ninguna acci\u00f3n o configuraci\u00f3n por defecto. Hago copias de seguridad de las zonas de cat\u00e1logo del mismo modo que de las zonas productivas, porque cualquiera que pueda leerlas reconocer\u00e1 la estructura interna de tu configuraci\u00f3n DNS.<\/p>\n\n<h2>Errores t\u00edpicos y c\u00f3mo evitarlos<\/h2>\n<p>Un error com\u00fan es una transferencia abierta compartida \u201ecualquiera\u201c, que sustituyo sistem\u00e1ticamente por listas de IP fijas. Igualmente cr\u00edticas son las claves TSIG obsoletas, que mitigo mediante una rotaci\u00f3n peri\u00f3dica con documentaci\u00f3n clara. Tambi\u00e9n surgen problemas cuando los sistemas internos se cuelan inadvertidamente en zonas p\u00fablicas, lo que evito mediante una separaci\u00f3n estricta y comprobaciones recurrentes. La falta de alertas tambi\u00e9n significa que s\u00f3lo se ven salidas inadvertidas en una fase tard\u00eda; por eso establezco notificaciones basadas en umbrales. Por \u00faltimo, presto atenci\u00f3n a la seguridad de las revisiones: registro cada cambio de regla, lo pruebo activamente y confirmo los cambios. <strong>Efecto<\/strong> con comprobaciones cruzadas.<\/p>\n\n\n<figure class=\"wp-block-image size-full is-resized\">\n  <img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/webhosting.de\/wp-content\/uploads\/2026\/05\/dns-sicherheit-rechenzentrum-8372.png\" alt=\"\" width=\"1536\" height=\"1024\"\/>\n<\/figure>\n\n\n<h2>Pruebas y auditor\u00edas: Runbook y herramientas<\/h2>\n<p>Tengo preparada una breve lista de comprobaci\u00f3n para validar la seguridad de forma peri\u00f3dica:<\/p>\n<ul>\n  <li>De una fuente extranjera: <code>dig AXFR deinezone.tld @ns1.deinedomain.tld +tcp<\/code> - Expectativa: Transferencia fallida.<\/li>\n  <li>Con TSIG de fuente autorizada: <code>dig AXFR deinezone.tld @secondary.example +tcp -y keyname:BASE64SECRET<\/code> - Expectativa: transferencia exitosa y firmada.<\/li>\n  <li>Ruta NOTIFY de prueba: <code>rndc notificar a deinezone.tld<\/code> y comprueba los registros de NOTIFY aceptados.<\/li>\n  <li>Fuerza IXFR: <code>rndc retransfer deinezone.tld<\/code> y garantizar que no se produzca ninguna AXFR mientras se disponga de historial.<\/li>\n  <li>Comprueba la configuraci\u00f3n: <code>named-checkconf<\/code> y <code>named-checkzone<\/code> antes de cada despliegue.<\/li>\n<\/ul>\n<p>Registro los resultados, archivo los extractos de registro pertinentes y los comparo con las listas de autorizaci\u00f3n definidas. En las auditor\u00edas, puedo utilizar esto para demostrar que las fuentes no autorizadas no tienen acceso y que las transferencias s\u00f3lo se realizan a trav\u00e9s de canales firmados y aprobados. De este modo, el control puede medirse y no s\u00f3lo suponerse.<\/p>\n\n<h2>Resumen: C\u00f3mo mantener segura la transferencia de zona<\/h2>\n<p>Restrinjo las transferencias estrictamente a los secundarios autorizados, fijo <strong>TSIG<\/strong> y registro todos los cambios. S\u00f3lo necesito transferencias completas al principio, luego trabajo de forma incremental y reduzco al m\u00ednimo las im\u00e1genes completas sensibles. Separo claramente las zonas internas y externas para que los sistemas confidenciales nunca aparezcan en los registros de datos p\u00fablicos. Una supervisi\u00f3n fiable me permite reconocer r\u00e1pidamente las anomal\u00edas y reaccionar de inmediato. De este modo, la zona DNS sigue siendo transparente para las operaciones pero opaca para los atacantes, y el <strong>Protecci\u00f3n<\/strong> surte efecto en los puntos cruciales.<\/p>","protected":false},"excerpt":{"rendered":"<p>Aprenda a evitar las transferencias de zona abiertas y a proteger profesionalmente su infraestructura DNS con una sofisticada seguridad de transferencia de zona dns y una eficaz protecci\u00f3n axfr.<\/p>","protected":false},"author":1,"featured_media":19426,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_crdt_document":"","inline_featured_image":false,"footnotes":""},"categories":[794],"tags":[],"class_list":["post-19433","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit-computer_und_internet"],"acf":[],"_wp_attached_file":null,"_wp_attachment_metadata":null,"litespeed-optimize-size":null,"litespeed-optimize-set":null,"_elementor_source_image_hash":null,"_wp_attachment_image_alt":null,"stockpack_author_name":null,"stockpack_author_url":null,"stockpack_provider":null,"stockpack_image_url":null,"stockpack_license":null,"stockpack_license_url":null,"stockpack_modification":null,"color":null,"original_id":null,"original_url":null,"original_link":null,"unsplash_location":null,"unsplash_sponsor":null,"unsplash_exif":null,"unsplash_attachment_metadata":null,"_elementor_is_screenshot":null,"surfer_file_name":null,"surfer_file_original_url":null,"envato_tk_source_kit":null,"envato_tk_source_index":null,"envato_tk_manifest":null,"envato_tk_folder_name":null,"envato_tk_builder":null,"envato_elements_download_event":null,"_menu_item_type":null,"_menu_item_menu_item_parent":null,"_menu_item_object_id":null,"_menu_item_object":null,"_menu_item_target":null,"_menu_item_classes":null,"_menu_item_xfn":null,"_menu_item_url":null,"_trp_menu_languages":null,"rank_math_primary_category":null,"rank_math_title":null,"inline_featured_image":null,"_yoast_wpseo_primary_category":null,"rank_math_schema_blogposting":null,"rank_math_schema_videoobject":null,"_oembed_049c719bc4a9f89deaead66a7da9fddc":null,"_oembed_time_049c719bc4a9f89deaead66a7da9fddc":null,"_yoast_wpseo_focuskw":null,"_yoast_wpseo_linkdex":null,"_oembed_27e3473bf8bec795fbeb3a9d38489348":null,"_oembed_c3b0f6959478faf92a1f343d8f96b19e":null,"_trp_translated_slug_en_us":null,"_wp_desired_post_slug":null,"_yoast_wpseo_title":null,"tldname":null,"tldpreis":null,"tldrubrik":null,"tldpolicylink":null,"tldsize":null,"tldregistrierungsdauer":null,"tldtransfer":null,"tldwhoisprivacy":null,"tldregistrarchange":null,"tldregistrantchange":null,"tldwhoisupdate":null,"tldnameserverupdate":null,"tlddeletesofort":null,"tlddeleteexpire":null,"tldumlaute":null,"tldrestore":null,"tldsubcategory":null,"tldbildname":null,"tldbildurl":null,"tldclean":null,"tldcategory":null,"tldpolicy":null,"tldbesonderheiten":null,"tld_bedeutung":null,"_oembed_d167040d816d8f94c072940c8009f5f8":null,"_oembed_b0a0fa59ef14f8870da2c63f2027d064":null,"_oembed_4792fa4dfb2a8f09ab950a73b7f313ba":null,"_oembed_33ceb1fe54a8ab775d9410abf699878d":null,"_oembed_fd7014d14d919b45ec004937c0db9335":null,"_oembed_21a029d076783ec3e8042698c351bd7e":null,"_oembed_be5ea8a0c7b18e658f08cc571a909452":null,"_oembed_a9ca7a298b19f9b48ec5914e010294d2":null,"_oembed_f8db6b27d08a2bb1f920e7647808899a":null,"_oembed_168ebde5096e77d8a89326519af9e022":null,"_oembed_cdb76f1b345b42743edfe25481b6f98f":null,"_oembed_87b0613611ae54e86e8864265404b0a1":null,"_oembed_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_oembed_time_27aa0e5cf3f1bb4bc416a4641a5ac273":null,"_tldname":null,"_tldclean":null,"_tldpreis":null,"_tldcategory":null,"_tldsubcategory":null,"_tldpolicy":null,"_tldpolicylink":null,"_tldsize":null,"_tldregistrierungsdauer":null,"_tldtransfer":null,"_tldwhoisprivacy":null,"_tldregistrarchange":null,"_tldregistrantchange":null,"_tldwhoisupdate":null,"_tldnameserverupdate":null,"_tlddeletesofort":null,"_tlddeleteexpire":null,"_tldumlaute":null,"_tldrestore":null,"_tldbildname":null,"_tldbildurl":null,"_tld_bedeutung":null,"_tldbesonderheiten":null,"_oembed_ad96e4112edb9f8ffa35731d4098bc6b":null,"_oembed_8357e2b8a2575c74ed5978f262a10126":null,"_oembed_3d5fea5103dd0d22ec5d6a33eff7f863":null,"_eael_widget_elements":null,"_oembed_0d8a206f09633e3d62b95a15a4dd0487":null,"_oembed_time_0d8a206f09633e3d62b95a15a4dd0487":null,"_aioseo_description":null,"_eb_attr":null,"_eb_data_table":null,"_oembed_819a879e7da16dd629cfd15a97334c8a":null,"_oembed_time_819a879e7da16dd629cfd15a97334c8a":null,"_acf_changed":null,"_wpcode_auto_insert":null,"_edit_last":null,"_edit_lock":null,"_oembed_e7b913c6c84084ed9702cb4feb012ddd":null,"_oembed_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_time_bfde9e10f59a17b85fc8917fa7edf782":null,"_oembed_03514b67990db061d7c4672de26dc514":null,"_oembed_time_03514b67990db061d7c4672de26dc514":null,"rank_math_news_sitemap_robots":null,"rank_math_robots":null,"_eael_post_view_count":"68","_trp_automatically_translated_slug_ru_ru":null,"_trp_automatically_translated_slug_et":null,"_trp_automatically_translated_slug_lv":null,"_trp_automatically_translated_slug_fr_fr":null,"_trp_automatically_translated_slug_en_us":null,"_wp_old_slug":null,"_trp_automatically_translated_slug_da_dk":null,"_trp_automatically_translated_slug_pl_pl":null,"_trp_automatically_translated_slug_es_es":null,"_trp_automatically_translated_slug_hu_hu":null,"_trp_automatically_translated_slug_fi":null,"_trp_automatically_translated_slug_ja":null,"_trp_automatically_translated_slug_lt_lt":null,"_elementor_edit_mode":null,"_elementor_template_type":null,"_elementor_version":null,"_elementor_pro_version":null,"_wp_page_template":null,"_elementor_page_settings":null,"_elementor_data":null,"_elementor_css":null,"_elementor_conditions":null,"_happyaddons_elements_cache":null,"_oembed_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_time_75446120c39305f0da0ccd147f6de9cb":null,"_oembed_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_time_3efb2c3e76a18143e7207993a2a6939a":null,"_oembed_59808117857ddf57e478a31d79f76e4d":null,"_oembed_time_59808117857ddf57e478a31d79f76e4d":null,"_oembed_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_time_965c5b49aa8d22ce37dfb3bde0268600":null,"_oembed_81002f7ee3604f645db4ebcfd1912acf":null,"_oembed_time_81002f7ee3604f645db4ebcfd1912acf":null,"_elementor_screenshot":null,"_oembed_7ea3429961cf98fa85da9747683af827":null,"_oembed_time_7ea3429961cf98fa85da9747683af827":null,"_elementor_controls_usage":null,"_elementor_page_assets":[],"_elementor_screenshot_failed":null,"theplus_transient_widgets":null,"_eael_custom_js":null,"_wp_old_date":null,"_trp_automatically_translated_slug_it_it":null,"_trp_automatically_translated_slug_pt_pt":null,"_trp_automatically_translated_slug_zh_cn":null,"_trp_automatically_translated_slug_nl_nl":null,"_trp_automatically_translated_slug_pt_br":null,"_trp_automatically_translated_slug_sv_se":null,"rank_math_analytic_object_id":null,"rank_math_internal_links_processed":"1","_trp_automatically_translated_slug_ro_ro":null,"_trp_automatically_translated_slug_sk_sk":null,"_trp_automatically_translated_slug_bg_bg":null,"_trp_automatically_translated_slug_sl_si":null,"litespeed_vpi_list":null,"litespeed_vpi_list_mobile":null,"rank_math_seo_score":null,"rank_math_contentai_score":null,"ilj_limitincominglinks":null,"ilj_maxincominglinks":null,"ilj_limitoutgoinglinks":null,"ilj_maxoutgoinglinks":null,"ilj_limitlinksperparagraph":null,"ilj_linksperparagraph":null,"ilj_blacklistdefinition":null,"ilj_linkdefinition":null,"_eb_reusable_block_ids":null,"rank_math_focus_keyword":"dns zone","rank_math_og_content_image":null,"_yoast_wpseo_metadesc":null,"_yoast_wpseo_content_score":null,"_yoast_wpseo_focuskeywords":null,"_yoast_wpseo_keywordsynonyms":null,"_yoast_wpseo_estimated-reading-time-minutes":null,"rank_math_description":null,"surfer_last_post_update":null,"surfer_last_post_update_direction":null,"surfer_keywords":null,"surfer_location":null,"surfer_draft_id":null,"surfer_permalink_hash":null,"surfer_scrape_ready":null,"_thumbnail_id":"19426","footnotes":null,"_links":{"self":[{"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/posts\/19433","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/comments?post=19433"}],"version-history":[{"count":0,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/posts\/19433\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/media\/19426"}],"wp:attachment":[{"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/media?parent=19433"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/categories?post=19433"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/webhosting.de\/es\/wp-json\/wp\/v2\/tags?post=19433"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}