Vérificateur global de sécurité AXFR (Transfert de Zone)
Une requête AXFR (Asynchronous Full Transfer Zone) est le mécanisme fondamental utilisé par les serveurs DNS pour répliquer des bases de données de routage entières sur un cluster de réseau. Contrairement aux recherches A ou MX standard, qui utilisent des paquets UDP légers et sans état pour récupérer un seul point de données, un transfert AXFR est strictement un protocole de serveur à serveur. Étant donné que le téléchargement de l'infrastructure d'un domaine entier implique la transmission de milliers d'enregistrements potentiels, la RFC 5936 exige que les requêtes AXFR établissent une connexion TCP fiable et avec état sur le port 53 pour garantir la livraison complète des paquets et l'intégrité des données.
Déclencheurs SOA et Optimisation IXFR
Le processus de réplication est activement régi par l'enregistrement SOA (Start of Authority) du domaine. Les serveurs de noms secondaires interrogent régulièrement le serveur maître principal. Si le serveur secondaire détecte que le numéro de série SOA a été incrémenté, il initie un transfert pour synchroniser les données. Bien que l'AXFR télécharge l'intégralité absolue du fichier de zone, les architectures modernes ont souvent recours par défaut à l'IXFR (Incremental Zone Transfer). L'IXFR calcule le delta — les différences exactes entre l'ancien numéro de série et le nouveau — et ne transmet que les enregistrements modifiés, réduisant considérablement la surcharge de bande passante et la charge de traitement sur les zones d'entreprise massives.
Zone Walking et menaces de cybersécurité
Du point de vue de la sécurité de l'information, un endpoint AXFR mal sécurisé est une vulnérabilité de reconnaissance (reconnaissance vulnerability) catastrophique. Si un serveur de noms principal est mal configuré pour accepter les requêtes AXFR de n'importe quelle adresse IP publique arbitraire, il permet à des acteurs non autorisés d'exécuter un "Zone Walk". En émettant une seule commande (par exemple, dig AXFR @ns.example.com example.com), un attaquant peut télécharger la carte de routage interne complète de l'organisation. Cela expose instantanément les environnements de staging non liés, les passerelles VPN internes oubliées, les endpoints SaaS obsolètes vulnérables à la prise de contrôle, et les conventions de nommage des serveurs propriétaires.
Sécurisation du périmètre avec TSIG et ACLs
Tester votre périmètre contre une vulnérabilité AXFR ouverte est une exigence fondamentale de tout test d'intrusion (pentest). Un serveur de noms correctement durci doit restreindre agressivement les requêtes de transfert en utilisant des listes de contrôle d'accès (ACL) strictes basées sur l'IP, garantissant que seules les adresses IP des serveurs secondaires autorisés peuvent lancer le téléchargement. Pour la sécurité d'entreprise moderne, les administrateurs déploient le TSIG (Transaction Signature). Le TSIG utilise une clé secrète partagée, hachée cryptographiquement entre les serveurs primaire et secondaire. Si la requête AXFR entrante ne possède pas la signature mathématique correcte, le serveur principal abandonne instantanément la connexion TCP et renvoie une erreur REFUSED fatale, protégeant la topologie du réseau de l'exposition publique.