制御されたDNSゾーンがどのように表示されるかを示します。 AXFR- とIXFR転送、IP共有、TSIGはスパイ行為から守られている。また、オープン・トランスファーの危険性、実用的なセキュリティ・レベル、ハード・コンフィギュレーション、TSIGの保護についても説明する。 モニタリング 虐待に対して。.
中心点
ゾーン転送を安全に行うために、主要なトピックを簡単にまとめておこう。ゾーンと転送の仕組みの基本から始めて、セキュリティの意味合いに入っていきます。そして、どのような環境でも機能する実践的な堅牢化の手順を紹介する。そして、不審な活動を確実に認識し、迅速に対応する方法について説明する。最後に、このトピックをホスティングとチーム・プロセスに分類し、次のように説明します。 オペレーション とセキュリティは一緒だ。.
- AXFR/IXFR 意図的に制限する
- TSIG-一貫した認証を使用する
- アイピー-any „の代わりに “based allowlists "を使用する。“
- 分離 内外ゾーン
- モニタリング 反応
DNSゾーンとゾーン転送の簡単な説明
DNSゾーンは、以下を含むドメインの解決を制御するすべてのエントリーを束ねたものである。 A-AAAA、NS、MX、TXTレコード。私はこのデータをプライマリ・サーバーで管理し、障害によるギャップがないようにセカンダリに配信しています。この転送により、複数の権威あるサーバーが同期され、世界中で短いレスポンスタイムが保証されます。このレプリケーションがないと、応答が古くなるリスクが高まり、メールやウェブサービスに支障をきたすことになる。同時に、転送中に誤った設定が行われると、第三者がその完全なサーバーにアクセスした時点で、攻撃対象が広がってしまう。 ゾーン が読み上げられる。.
AXFRとIXFR:安全性に影響を及ぼす相違点
AXFRはゾーン全体を一度に送信するため、完全な送信を形成する。 画像 インフラストラクチャのIXFRは最終バージョン以降の変更点のみを送信するため、帯域幅と時間を節約できる。セキュリティ上最も重要なのは、誰がリクエストを送信する権限を持つかであり、どのタイプが送信されるかではない。AXFRやIXFRをどんな送信者にもオープンにしておくと、誰でも構造全体を見ることができる。したがって、私は狭い権限に依存し、セカンダリを明確に定義し、追加の 試験 問い合わせのたびに。.
オープンゾーン移籍が危険な理由
完全なゾーン転送は、外部および内部だけでなく、可能なテストおよび管理システムを含むすべてのホスト名を明らかにします。 アイピー-ターゲット。これにより攻撃者は、組織的なスキャンや標的型フィッシング・キャンペーンのためのコンパクトなリストを得ることができる。また、管理インターフェイスやパブリック・ゾーン内のVPNエンドポイントなど、設定ミスも明らかになる。こうした情報は、攻撃の初期段階での検知を大幅にスピードアップする。私は、既知のパートナーへの転送を釘付けにし、すべてのアクセスを厳しく制限することでこれを防いでいる。 ログ.
ゾーン移動のセキュリティ・レベルの比較
私はセキュリティーを3つのレベルに分けており、リスクと環境に応じて使い分けている。any „へのオープントランスファーは便利なようだが、すぐに見知らぬ人に完全な ホストリスト. .ゾーンに表示されるNSホストへの共有はより良いが、この情報は一般に公開される。最も安全な方法は、セカンダリの固定IPアドレスリストと追加認証である。これにより、不正なクエリのリスクを大幅に低減し、セカンダリの安全性を 確保することができる。 誠実さ あなたのディストリビューション.
| レベル | ルール | リスク | 実施要項 |
|---|---|---|---|
| 低い | 全ソースへの移管 | ゾーン全公開 | 必ず電源を切り 許可リスト セット |
| ミディアム | ゾーン内のNSホストのみ | 制限は存在するが、公に派生させることができる | より良いソリッド 知的財産権 とTSIGを紹介する。 |
| 高い | 固定IP+TSIG | 攻撃対象領域を大幅に縮小 | 定期的なテストと 回転 |
特にエンタープライズ・ゾーンでは、私は一貫して目標ステータスを高いレベルに誘導している。厳密な認証と暗号化署名によって、信頼性の高いコントロールを実現しています。また、定期的にサーバーのログをチェックし、異常なリクエストにはアラートを設定しています。ゾーンやセカンダリIPの変更はすべて文書化しています。これにより、ステータスの再現性が保たれ 試験可能.
アクセス制限の徹底:コンフィギュレーションの実際
私は正確に定義されたセカンダリIPへの転送のみを許可し、それ以外のソースは拒否します。BINDではallow-transferとACLを使用し、Windows DNSではゾーンプロパティで特定のIP共有を使用します。PowerDNSとUnboundは同様のディレクティブを提供しており、私はインスタンスごとに明確に定義しています。新しいインフラを計画しているのであれば、以下について簡単に読んでおくとよいだろう。 ネームサーバーの設定 そして、最初から厳格なルールを定義する。こうすることで、便利だが安全でないデフォルト設定を防ぎ 譲渡 持続可能な形で。.
各ルールの効果は、不正なソースからのAXFRテストでチェックしている。これが失敗すれば、ロックは機能し、私はコンフィギュレーションを記録する。セカンダリを移動するときは、ロールを変更する前に、まず許可リストを調整する。こうすることで、短期間により多くのソースがアクセスできるようになるウィンドウ効果を避けることができる。この順序により、変更が計算可能になり 可変.
TSIGの正しい使用と管理
TSIGは、各リクエストとレスポンスに対する暗号署名でIPフィルタリングを補完する。プライマリとセカンダリは秘密鍵を共有し、正当なパートナーだけが有効な転送を実行する。私は各パートナー・ペアに個別の鍵を割り当て、他の鍵とは厳密に区別して保管している。 秘密. .鍵はバージョン管理システムには入れず、安全な秘密の保管場所に置く。また、私はすべてのデプロイメントを文書化し、監査が転送の流れを追跡できるようにしている。 チェック 缶。
キーのメンテナンスとローテーション
私はTSIGキーを定期的に入れ替え、入れ替えのために一定の時間枠を設けている。変更の前に、一時的に両方のキーをアクティブにし、転送にずれが生じないようにする。同期に成功したら、すべてのシステムから古いキーをきれいに削除する。その後、ログをチェックし、新しいキーのみが表示されるようにする。こうして、古い鍵のリスクを最小限に抑え、新しい鍵の安全性を確保する。 オーセンティシティ 移籍は.
アルゴリズムの選択、時間同期、プラットフォームの詳細
TSIGには最新のHMACアルゴリズム(hmac-sha256など)を使用し、時代遅れの亜種は避ける。NTPを使った信頼性の高い時刻同期は重要である。TSIGは狭い時間ウィンドウ内でリクエストを検証する。BINDでは、パートナーごとに鍵と割り当てを明確に定義し、Windows DNSでは、ゾーン間転送がTSIGで保護されているか、AD環境ではGSS-TSIGで保護されているかをチェックする。GSS-TSIGはKerberos IDを使用し、役割ベースの委任を持つドメインにシームレスに適合する。漏洩したシークレットの影響を厳密に制限するため、ゾーンとセカンダリごとに別々の鍵またはアカウントを保持している。.
allowlistにはセカンダリのv4アドレスとv6アドレスが含まれます。セカンダリがNATの後ろにある場合は、安定した、文書化されたイグレスアドレスに同意する。動的なソースIPは転送のタブーだ。マルチクラウド環境では、プロバイダーごとに許可されるネットワークを正確に定義し、各パスをシグネチャでテストする。.
AXFRを最小限に抑える
AXFRは常に完全なゾーンを配信する。日常的な変更にはIXFRを使用し、大きなデータ転送を避けています。最初は、新しいセカンダリを作成する際に、AXFRを一度だけ使用するようにしています。 調整. .フルフレームの数が異常に多い場合は、セカンダリが常に再起動していないか、カウンターを失っていないかをチェックする。こうして技術的な原因を突き止め、ゾーン内の高感度フル画像の数を低く抑えることで、撮影の失敗を最小限に抑えている。 展示 を減らした。
NOTIFY、SOAシリアル、一貫性の確保
私は、NOTIFYとクリーンなSOAシリアルで転送をプロアクティブに制御している。ゾーン変更後、プライマリは認証されたセカンダリにNOTIFYを送信し(ブロードキャストなし)、セカンダリはIXFR経由で更新を行う。私はallow-notify/also-notifyを使って、誰がシグナルを送受信できるかを厳密に制限し、外部ソースが更新のトリガーにならないようにしている。SOAのシリアルは決定論的なもの(例えばyyyymmddnn)にしているので、レプリケーションは一意であり、ドリフトをより簡単に認識できる。インクリメントが欠落した場合は、再同期をトリガーし、AXFRの代わりにIXFRが本当に使用されたかどうかをチェックする。.
回線そのものについては、AXFR/IXFRがTCP経由で実行されるため、セカンダリにはTCP/53だけを確保している。ファイアウォールでは、ディレクションごとに厳密なルールを設定し、オプションで接続設定のレート制限も設定する。トランスポート・ルートの機密性も確保したい場合は、XFR-over-TLS(XoT)を検討することができる。.
内部ゾーンと外部ゾーンをきれいに分ける
私は一貫して社内システムをプライベートDNSゾーンに保ち、本当に必要なサービスだけを外部に公開している。 必要. .テスト用ホストと管理用ホストはパブリックDNSに属さないので、ゾーン転送には出現しない。また、DNSSECは無許可の転送を防御するものではないことを承知の上で、 応答の完全性と信頼性のためにDNSSECを使用しています。このトピックについてより詳しく知りたい場合は、以下のコンパクトなガイドを参照してください。 DNSSEC署名 署名と鍵の管理に関する有用なヒントこの分離は、リスクを軽減し、データ衛生を向上させ、公衆を保護します。 アタック・サーフェス 小さい。
アーキテクチャ:ヒドゥン・プライマリとエニーキャスト・セカンダリ
可能であれば、プライマリをファイアウォールの後ろに „隠れたプライマリ “として置き、セカンダリだけをゾーンのNSとして公開する。セカンダリはエニーキャストを使って世界中に素早く対応し、プライマリは定義された管理経路しか受け付けない。転送は、厳密にAllowlistとTSIGを経由して、隠れたプライマリとセカンダリの間でのみ実行される。マルチサイトのセットアップでは、私はリージョンごとに少なくとも2つのセカンダリを固定し、転送経路をアクティブに監視します。こうすることで、管理チャネルは狭くなり、レスポンス・パスは高性能に保たれ、攻撃者はプライマリを直接見ることはない。.
また、更新ソース(署名者、ゾーンビルダーなど)と転送エンドポイントの役割を分けることも有効である。私はパイプラインを自動化し、チェックされ署名されたゾーンステータスのみがプライマリに 到達するようにし、その後にレプリケーションを開始するようにしている。これは、設定ミスを早期に発見し、全体に分散させないことを意味する。.
モニタリング、ロギング、迅速な対応
サーバーのログを分析して、疑わしいAXFRやIXFRの試行を調べ、明確な閾値でアラームを設定しています。予期せぬソース、頻繁な試行失敗、変更ウィンドウ外の完全な転送は問題を示しています。概要で説明したように、構造化されたチェックは原因の分析に役立ちます。 DNSの設定ミス が記述されている。インシデントを検出したら、すぐに既知の許可リストへの転送をブロックし、公開エントリーに余計なコンテンツがないかチェックする。そして、公開されているホストを強化し、パッチを適用して プロセス 将来の変更のために。.
レート制限とネットワーク制御
アプリケーションフィルターに加えて、ネットワーク保護も使っている:ポート53のTCPレート制限、SYNフラッドからの保護、同時転送のコネクション側クォータなどです。BINDとPowerDNSでは、悪用によって他のゾーンがブロックされないように、並行して実行できるXFRの数を制限しています。転送自体をスロットルしないとしても、オーソリティレスポンスに対してResponse Rate Limiting (RRL)を有効にします。ファイアウォールとロードバランサーでは、セカンダリーごとに明確なルールを作成し、ドロップイベントのロギングを行います。これにより、目立つパターンを迅速に認識し、的を絞った対策を講じることができる。.
ロギングには明確に分けられたカテゴリーを使用しています(例:xfer-in/xfer-out、notify、security)。コンバージェンスまでの時間、失敗したNOTIFYの数、IXFR/AXFRの比率、平均転送サイズなどのメトリクスがダッシュボードに流れます。制限値は通常の変更ウィンドウから導き出され、逸脱はチケットまたはページャーアラートとしてトリガーされます。.
ホスティングコンテキストにおけるDNS:プロバイダーチェック
ホスティングのオファーについては、プロバイダーがきめ細かい転送フィルター、TSIG、クリーンなログを提供しているかどうかをチェックします。分散され、冗長化された権威サーバとリゾルバとの明確な分離も重要です。私は、変更が再現可能かつ安全に展開できるように、自動化における単純な統合に注意を払っています。DNSSEC、CAA、SPF、DMARCは、迂回することなく有効化し、維持したい。これらの点をカバーするプロバイダーは オペレーション セキュリティリスクを恒久的に軽減する。.
自動化、カタログゾーン、変更規律
私はセカンダリーを、例えばカタログゾーンやIaCテンプレートを介して、プログラムで管理している。これにより、承認された移籍先のリストを多くのインスタンスで一貫性を保つことができます。すべての変更は、コードと同じレビュープロセスを経ます:四つの目の原則、ステージングでのテスト、そしてロールアウトだ。TSIGキーはシークレットストアに保管される。デプロイメントでは、ファイルシステムに広く分散させることなく、実行時にそれを取り込む。私は、セカンダリIPの変更、シリアル番号の規約、緊急時の手順を、ゾーンソースと同じリポジトリに文書化しています。.
バックアップでは、ゾーンの状態と設定を暗号化して保存しています。リストア後、„any “シェアやデフォルト設定が戻っていないことを確認します。カタログゾーンは、生産的なゾーンと同じ方法でバックアップします。.
典型的な過ちとそれを避ける方法
よくある間違いは、„any “というオープンな転送共有で、私は一貫して固定IPリストに置き換えている。同様に重要なのは、古くなったTSIGキーで、私は明確な文書化とともに定期的にローテーションを行うことでこれを軽減している。また、内部システムがうっかりパブリックゾーンに入り込んでしまうことでも問題が発生するが、私は厳格な分離と定期的なチェックによってこれを防いでいる。アラートの欠如は、気づかないうちに流出していたことに気づくのが遅くなることを意味するため、私はしきい値ベースの通知を設定している。最後に、私はリビジョン・セキュリティーに注意を払っています。ルールの変更はすべてログに残し、積極的にテストし、変更を確認します。 効果 クロスチェック付き.
テストと監査ランブックとツール
私は定期的に安全性を確認するための簡単なチェックリストを用意している:
- 海外からの情報だ:
dig AXFR deinezone.tld @ns1.deinedomain.tld +tcp- 期待:移籍は失敗。. - 公認ソースからのTSIGを使用:
dig AXFR deinezone.tld @secondary.example +tcp -y keyname:BASE64SECRET- 期待:移籍の成功、サイン。. - NOTIFY パスをテストする:
rndcはdeinezone.tldに通知します。そして、受け入れられたNOTIFYのログをチェックする。. - フォースIXFR
rndc再転送deinezone.tldそして、履歴がある限りAXFRが行われないようにする。. - 設定を確認する:
ネームドチェックコンフそして名前付きチェックゾーン各ロールアウトの前に。.
結果を記録し、関連するログの抜粋をアーカイブし、定義された権限リストと比較します。監査では、これを利用して、権限のないソースがアクセスできないこと、署名され承認された経路でのみ転送が行われていることを証明することができる。こうすることで、単なる思い込みではなく、測定可能なコントロールを維持することができる。.
要約:ゾーン・トランスファーを安全に保つには
私は、認可されたセカンダリーへの譲渡を厳格に制限している。 TSIG の上に置き、すべての変更をログに記録します。当初は完全な転送だけが必要で、その後は段階的に作業し、機密性の高いフルイメージは最小限に抑えています。内部ゾーンと外部ゾーンを明確に分け、機密システムが公開データ記録に載ることがないようにしています。信頼性の高いモニタリングにより、私は異常を素早く認識し、即座に対応することができます。こうすることで、DNSゾーンは運用には透過的であるが、攻撃者には不透明である。 保護 は要所で効果を発揮する。.
