Passer au contenu 
Je vais montrer comment créer une zone dns avec des AXFR- et les transferts IXFR, les partages IP et TSIG. J'explique à cet effet les risques des transferts ouverts, les niveaux de sécurité praticables, la configuration dure et les Suivi contre les abus.
Points centraux
Pour que tu puisses mettre en œuvre la sécurisation des transferts de zones en toute sécurité, je résume brièvement les thèmes clés. Je commence par les bases concernant les zones et les mécanismes de transfert, puis j'aborde directement les conséquences en matière de sécurité. Ensuite, je te montre des étapes de durcissement réalisables qui fonctionnent dans tous les environnements. Ensuite, je décris comment tu peux identifier de manière fiable les activités suspectes et réagir rapidement. Enfin, je place le sujet dans les processus d'hébergement et d'équipe, afin que Exploitation et la sécurité vont de pair.
- AXFR/IXFR limiter de manière ciblée
- TSIG-Utiliser systématiquement l'authentification
- IP-Allowlists basées sur „any“ au lieu de "any".“
- Séparation zones internes et externes
- Suivi et établir une réaction
La zone DNS et le transfert de zone expliqués en bref
Une zone DNS regroupe tous les enregistrements qui contrôlent la résolution d'un domaine, notamment A-, AAAA-, NS-, MX- et TXT-Records. Je gère ces données sur un serveur primaire et les distribue à des serveurs secondaires afin que les pannes ne créent pas de brèches. Ce transfert maintient la synchronisation de plusieurs serveurs faisant autorité et garantit des temps de réponse courts dans le monde entier. Sans cette réplication, le risque de réponses obsolètes augmente, ce qui entraîne des perturbations du courrier et des services web. En même temps, une mauvaise configuration lors des transferts ouvre des surfaces d'attaque, dès que des étrangers ont accès à l'intégralité des données. Zone peuvent lire.
AXFR et IXFR : des différences qui ont des conséquences sur la sécurité
L'AXFR transmet la zone complète en une seule fois, formant ainsi un Image de l'infrastructure. IXFR n'envoie que les modifications depuis la dernière version, ce qui permet d'économiser de la bande passante et du temps. Pour la sécurité, ce qui compte avant tout, c'est de savoir qui peut faire la demande et non pas quel type est transmis. Si tu laisses AXFR ou IXFR ouvert à n'importe quel expéditeur, n'importe qui peut voir l'ensemble de la structure. C'est pourquoi je mise sur des partages restreints, je définis clairement les seconds et j'utilise des Examens à chaque demande.
Pourquoi les transferts de zone ouverts sont risqués
Un transfert de zone complet révèle tous les noms d'hôtes, y compris les éventuels systèmes de test et d'administration, ainsi que les systèmes externes et internes. IP-cibles. Les pirates disposent ainsi d'une liste compacte pour des analyses systématiques et des campagnes d'hameçonnage ciblées. Les erreurs de configuration apparaissent également au grand jour, par exemple les interfaces de gestion ou les points d'accès VPN dans la zone publique. De telles informations accélèrent considérablement la détection dans les premières phases de l'attaque. J'évite cela en fixant les transferts à des partenaires connus et en restreignant strictement tout accès. enregistre.
Comparaison des niveaux de sécurité pour les transferts de zone
Je distingue trois niveaux de sécurité, que tu utilises en fonction du risque et de l'environnement. Les transferts ouverts à „any“ semblent confortables, mais fournissent immédiatement aux étrangers une information complète. Liste d'hôtes. Il est préférable de partager les hôtes NS qui sont affichés dans la zone, mais ces données peuvent être consultées publiquement. Le plus sûr est de travailler avec des listes d'adresses IP fixes pour les seconds et une authentification supplémentaire. Tu réduiras ainsi considérablement le risque de requêtes non autorisées et tu sécuriseras l'accès aux données. Intégrité de ta distribution.
| Niveau | Règle | Risque | Note de mise en œuvre |
|---|---|---|---|
| Faible | Transfert pour toutes les sources | Ouverture complète des zones | A déconnecter impérativement et Allowlist mettre |
| Moyens | Hôtes NS de la zone uniquement | Restriction existante, mais pouvant être déduite publiquement | Mieux vaut des aliments solides IPs et introduire la TSIG |
| Haute | IP fixes + TSIG | Surface d'attaque nettement réduite | Tester régulièrement et tourner |
Je contrôle systématiquement l'état cible au niveau élevé, surtout pour les zones d'entreprise. Là, des autorisations étroites et des signatures cryptographiques créent un contrôle fiable. En outre, je vérifie régulièrement les journaux de serveur et je mets en place des alertes en cas de demandes inhabituelles. Je documente proprement chaque modification de zone ou d'IP secondaire. Ainsi, la situation reste reproductible et vérifiable.
Limiter strictement l'accès : configuration dans la pratique
Je n'autorise les transferts que vers des IP secondaires définies avec précision et je refuse toute autre source. Dans BIND, j'utilise à cet effet allow-transfer et les ACL, dans Windows DNS les propriétés de zone avec des partages d'IP ciblés. PowerDNS et Unbound offrent des directives similaires que j'enregistre clairement pour chaque instance. Si tu prévois une nouvelle infrastructure, tu devrais lire brièvement la section mettre en place ses propres serveurs de noms et définir des règles strictes dès le départ. Tu évites ainsi des réglages par défaut pratiques mais peu sûrs et tu sécurises le Transfert durablement.
Je vérifie l'effet de chaque règle en effectuant un test AXFR ciblé à partir d'une source non autorisée. Si ce test échoue, le blocage fonctionne et je consigne la configuration. Lors de déménagements de seconds, j'adapte d'abord l'allowlist avant de changer de rôle. J'évite ainsi les effets de fenêtre, dans lesquels davantage de sources auraient brièvement accès. Cette séquence rend les changements prévisibles et contrôlable.
Utiliser et gérer correctement les TSIG
TSIG complète le filtrage IP par une signature cryptographique par requête et par réponse. Le primaire et le secondaire se partagent une clé secrète, ce qui fait que seuls les partenaires légitimes effectuent des transferts valables. J'attribue une clé distincte à chaque paire de partenaires et la stocke de manière strictement séparée des autres clés. Secrets. La clé ne doit pas être placée dans le système de contrôle de version, mais dans un Secret-Store sécurisé. De plus, je documente chaque utilisation afin que les audits puissent suivre le flux des transferts et vérifier peut.
Gestion des clés et rotation
Je fais régulièrement tourner les clés TSIG et je m'accorde sur des créneaux horaires fixes pour l'échange. Avant le changement, j'active temporairement les deux clés afin d'éviter toute lacune dans le transfert. Après une synchronisation réussie, je supprime proprement l'ancienne clé de tous les systèmes. Je vérifie ensuite dans les journaux si seule la nouvelle clé apparaît encore. De cette manière, je limite le risque de clés obsolètes et je sécurise les données. Authenticité de la transmission.
Choix de l'algorithme, synchronisation et détails de la plateforme
Pour TSIG, je mise sur des algorithmes HMAC modernes (par ex. hmac-sha256) et j'évite les variantes obsolètes. Il est important d'avoir une synchronisation fiable à l'aide de NTP : TSIG valide les demandes dans une fenêtre temporelle étroite ; des écarts d'heure plus importants entraînent des rejets. Dans BIND, je définis clairement les clés et les attributions par partenaire, dans Windows DNS, je vérifie si les transferts de zone à zone sont sécurisés avec TSIG ou - dans les environnements AD - avec GSS-TSIG. GSS-TSIG utilise les identités Kerberos et s'intègre parfaitement dans les domaines avec des délégations basées sur les rôles. Je conserve des clés ou des comptes séparés par zone et par secondaire afin de limiter strictement l'impact d'une clé compromise.
Je n'oublie pas non plus IPv6 : l'allowlist comprend les adresses v4 et v6 des secondaries. Si les secondaires sont derrière NAT, je conviens d'adresses de sortie stables et documentées ; les IP sources dynamiques sont taboues pour les transferts. Dans les environnements multi-cloud, je définis précisément les réseaux autorisés par fournisseur et je teste chaque chemin avec signature.
Réduire l'AXFR au minimum
AXFR fournit toujours la zone complète, ce que j'utilise aussi rarement que possible dans la pratique. Pour les modifications quotidiennes, j'utilise IXFR et j'évite ainsi de gros transferts de données. Initialement, lors de la création d'un nouveau secondarie, j'autorise AXFR une fois, puis j'utilise à nouveau la méthode incrémentielle. Ajustement. Si le nombre de transmissions complètes est anormalement élevé, je vérifie si un secondaire redémarre constamment ou perd des compteurs. Ainsi, je trouve des causes techniques et je maintiens la quantité d'images complètes sensibles de la zone à un niveau faible, ce qui exposition réduit.
Sécuriser NOTIFY, les séries SOA et la cohérence
Je gère les transferts de manière proactive avec NOTIFY et des séries SOA propres. Après des changements de zone, le primaire envoie NOTIFY de manière ciblée aux secondaires autorisés (pas de diffusion), qui actualisent ensuite par IXFR. Ce faisant, je limite exactement avec allow-notify/also-notify qui peut envoyer ou recevoir des signaux, afin d'éviter que des sources étrangères ne déclenchent des mises à jour. Je gère la série SOA de manière déterministe (par ex. yyyymmddnn), afin que les réplications soient univoques et que je puisse reconnaître plus facilement les dérives. En cas d'incréments manqués, je déclenche une resynchronisation ciblée et je vérifie si IXFR a vraiment été utilisé au lieu d'AXFR.
Pour les lignes elles-mêmes, je sécurise TCP/53 uniquement vers les secondaires, car AXFR/IXFR passent par TCP. Dans les pare-feux, je définis des règles strictes par direction, avec des limites de débit optionnelles pour les connexions. Si l'on souhaite en plus la confidentialité sur le chemin de transport, on peut envisager XFR-over-TLS (XoT), dans la mesure où les deux parties le supportent ; je sécurise alors l'identité comme pour TSIG avec des ancres de confiance claires.
Séparer proprement les zones internes des zones externes
Je garde systématiquement les systèmes internes dans des zones DNS privées et ne publie à l'extérieur que ce que les services ont vraiment besoin de voir. ont besoin de. Les hôtes de test et d'administration n'appartiennent pas au DNS public et n'apparaissent donc pas non plus dans un transfert de zone. En outre, j'utilise DNSSEC pour l'intégrité et l'authenticité des réponses, sachant que DNSSEC ne protège pas contre les transferts non autorisés. Ceux qui souhaitent approfondir le sujet trouveront dans le guide compact sur la Signature DNSSEC des conseils utiles sur les signatures et la gestion des clés. Cette séparation réduit les risques, augmente l'hygiène des données et maintient la sécurité publique. Surface d'attaque petit.
Architecture : Primaires cachées et secondaires anycast
Dans la mesure du possible, je place la primaire comme „primaire cachée“ derrière des pare-feux et n'expose que des secondaires comme NS de la zone. Les secondaires peuvent utiliser anycast pour répondre rapidement dans le monde entier, tandis que la primaire n'accepte que des voies d'administration définies. Les transferts ne se font alors qu'entre le primaire caché et les secondaires, strictement par allowlist et TSIG. Dans les configurations multi-sites, j'ancre au moins deux secondaries par région et je surveille activement le chemin de transfert. Ainsi, le canal de gestion est étroit, le chemin de réponse est performant et les attaquants ne voient jamais directement le primaire.
Également judicieux : des rôles séparés pour les sources de mise à jour (par ex. signataire, constructeur de zones) et les points finaux de transfert. J'automatise le pipeline de manière à ce que seuls les états de zone vérifiés et signés parviennent à la primaire et que la réplication ne démarre qu'ensuite. Les configurations erronées sont ainsi bloquées très tôt et ne sont pas réparties sur toute la surface.
Surveillance, journalisation et réaction rapide
J'évalue les journaux de serveur pour détecter les tentatives suspectes d'AXFR et d'IXFR et je définis des alarmes avec des seuils clairs. Des sources inattendues, de fréquentes tentatives infructueuses ou des transferts complets en dehors des fenêtres de modification indiquent des problèmes. Pour l'analyse des causes, les contrôles structurés, tels qu'ils sont présentés dans l'aperçu de Erreurs de configuration DNS sont décrits. Si je constate un incident, je bloque immédiatement les transferts vers la liste d'autorisation connue et je vérifie les entrées publiques pour voir si elles ne sont pas superflues. Ensuite, je durcis les hôtes exposés, j'applique des correctifs et je renforce la sécurité. Processus pour les modifications futures.
Limitation du débit et contrôles du réseau
Outre les filtres d'application, j'utilise la protection du réseau : Limites de débit TCP sur le port 53, protection contre les SYN floods et quotas côté connexion pour les transferts simultanés. Dans BIND et PowerDNS, je limite le nombre de XFR pouvant fonctionner en parallèle afin d'éviter que les abus ne bloquent d'autres zones. J'active le Response Rate Limiting (RRL) pour les réponses faisant autorité, même si cela ne limite pas les transferts eux-mêmes - cela réduit les abus concomitants. Sur les pare-feux et les équilibreurs de charge, je crée des règles explicites par secondaire avec journalisation des événements d'abandon. Cela me permet de voir rapidement les schémas qui attirent l'attention et de prendre des contre-mesures ciblées.
Pour le logging, j'utilise des catégories clairement séparées (par ex. xfer-in/xfer-out, notify, security). Les métriques telles que le temps de convergence, le nombre d'échecs de NOTIFY, le rapport IXFR/AXFR et la taille moyenne des transferts sont intégrées dans des tableaux de bord. Les valeurs limites résultent des fenêtres de modification normales ; les écarts se déclenchent sous forme de tickets ou d'alarmes de pager.
DNS dans le contexte de l'hébergement : contrôle du fournisseur d'accès
Pour les offres d'hébergement, je vérifie si le fournisseur met à disposition des filtres de transfert granulaires, TSIG et des logs propres. Il est également important que les serveurs d'autorité soient distribués et redondants et que la séparation avec les résolveurs soit claire. Je veille à ce que l'intégration dans l'automatisation soit simple, afin que les modifications soient déployées de manière reproductible et sûre. Les DNSSEC, CAA, SPF et DMARC, que je souhaite activer et entretenir sans détours, sont tout aussi pertinents. Un fournisseur qui couvre ces points facilite le travail. Exploitation et réduit durablement les risques de sécurité.
Automatisation, zones de catalogue et discipline du changement
Je gère les seconds par programme, par exemple via des zones de catalogue ou des modèles IaC. Cela me permet de maintenir la cohérence des listes de partenaires de transfert autorisés sur de nombreuses instances. Chaque modification est soumise au même processus de révision que le code : Principe des quatre yeux, test dans le staging, puis déploiement. Les clés TSIG sont placées dans un magasin secret ; les déploiements les intègrent au moment de l'exécution, sans les diffuser largement dans le système de fichiers. Je documente les changements d'IP secondaires, les conventions de numéros de série et les procédures d'urgence dans le même référentiel que les sources de zone - de manière compréhensible et avec une protection contre les révisions.
Pour les sauvegardes, je stocke les états de zone et les configurations sous forme cryptée. Après les restaurations, je vérifie qu'aucun partage „any“ ni aucun réglage par défaut n'est revenu. Je sécurise les zones de catalogue comme les zones de production, car celui qui peut les lire reconnaît la structure interne de ta configuration DNS.
Les erreurs typiques et comment les éviter
Une erreur fréquente est un partage de transfert ouvert „any“, que je remplace systématiquement par des listes d'IP fixes. Les clés TSIG obsolètes sont tout aussi critiques et je les désamorce par une rotation régulière avec une documentation claire. Des problèmes surviennent également lorsque des systèmes internes se glissent par inadvertance dans des zones publiques, ce que j'empêche par une séparation stricte et des contrôles récurrents. De même, l'absence d'alerte fait que tu ne vois que tardivement les fuites non remarquées ; je mets donc en place des notifications basées sur des seuils. Enfin, je veille à la sécurité de la révision : je consigne chaque modification de règle, je la teste activement et je confirme la validité de la règle. Effet avec des contre-échantillons.
les tests et les audits : Runbook et outils
Je tiens à disposition une courte liste de contrôle pour valider régulièrement la sécurité :
- D'une source étrangère :
dig AXFR deinezone.tld @ns1.tondomaine.tld +tcp- Attente : transfert échoué. - Avec TSIG de source autorisée :
dig AXFR deinezone.tld @secondary.example +tcp -y keyname:BASE64SECRET- Attente : transfert réussi et signé. - Tester le chemin d'accès NOTIFY :
rndc notify deinezone.tldet vérifier les logs pour les NOTIFYs acceptés. - Forcer l'IXFR :
rndc retransfer deinezone.tldet s'assurer qu'il n'y a pas d'AXFR tant que l'historique est disponible. - Vérifier la configuration :
named-checkconfetnamed-checkzoneavant chaque déploiement.
Je consigne les résultats, j'archive les extraits de journaux pertinents et je les compare aux listes d'autorisation définies. Lors des audits, je peux ainsi prouver que les sources non autorisées n'ont pas accès aux données et que les transferts ne passent que par des canaux signés et autorisés. Le contrôle reste ainsi mesurable - et pas seulement supposé.
Résumé : Comment le transfert de zone reste sûr
Je limite strictement les transferts aux secondaries autorisés, je place des TSIG et j'enregistre chaque modification. Je n'ai besoin de transferts complets qu'au début, ensuite je travaille de manière incrémentielle et garde ainsi les images complètes sensibles au minimum. Je sépare clairement les zones internes et externes afin que les systèmes confidentiels n'apparaissent jamais dans les enregistrements publics. Grâce à une surveillance fiable, je détecte rapidement les anomalies et réagis sans détour. Ainsi, la zone DNS reste transparente pour l'entreprise, mais opaque pour les attaquants, et l'utilisateur est protégé. Protection s'attaque aux points cruciaux.
