Globalny test bezpieczeństwa transferu strefy (AXFR)
Żądanie AXFR (Asynchronous Full Transfer Zone) to podstawowy mechanizm używany przez serwery DNS do replikacji całych baz danych routingu w klastrze sieciowym. W przeciwieństwie do standardowych wyszukiwań A lub MX, które wykorzystują lekkie, bezstanowe (stateless) pakiety UDP w celu pobrania pojedynczego punktu danych, transfer AXFR jest ściśle protokołem typu serwer-serwer. Ponieważ pobranie infrastruktury całej domeny obejmuje transmisję potencjalnie tysięcy rekordów, RFC 5936 nakazuje, by żądania AXFR ustanawiały stanowe, niezawodne połączenie TCP na porcie 53, aby zagwarantować pełne dostarczenie pakietów i integralność danych.
Wyzwalacze SOA i optymalizacja IXFR
Proces replikacji jest aktywnie regulowany przez rekord SOA (Start of Authority) domeny. Zapasowe (Secondary) serwery nazw rutynowo odpytują podstawowy serwer Master. Jeśli serwer Secondary wykryje, że numer seryjny SOA został zwiększony, inicjuje transfer w celu zsynchronizowania danych. Podczas gdy protokół AXFR pobiera całkowitą zawartość pliku strefy, w nowoczesnych architekturach domyślnie wykorzystuje się częściej protokół IXFR (Incremental Zone Transfer). IXFR oblicza różnicę (delta) — czyli dokładnie zmiany między starym numerem seryjnym a nowym — i transmituje tylko zmodyfikowane rekordy, znacząco redukując narzut obciążenia (overhead) przepustowości i obciążenie procesów na masywnych strefach korporacyjnych.
Zone Walking i cyberzagrożenia
Z punktu widzenia bezpieczeństwa informacji nieodpowiednio zabezpieczony endpoint AXFR stanowi katastrofalną podatność sprzyjającą rozpoznaniu infrastruktury (reconnaissance). Jeśli główny serwer nazw jest źle skonfigurowany i przyjmuje żądania AXFR z każdego dowolnego, publicznego adresu IP, zezwala to nieautoryzowanym aktorom na wykonanie operacji "Zone Walk". Wpisując zaledwie jedną komendę (np. dig AXFR @ns.example.com example.com), intruz może pobrać kompletną mapę wewnętrznego routingu organizacji. Proces taki niemal natychmiast ujawnia niepołączone środowiska deweloperskie (staging), zapomniane wewnętrzne bramy VPN, przestarzałe węzły końcowe dla platform SaaS podatne na ataki (Subdomain Takeovers) oraz własnościowe konwencje w sposobie nazywania serwerów.
Zabezpieczanie obwodu (Perimeter) za pomocą TSIG i list ACL
Testowanie swojego środowiska (Perimeter) pod kątem otwartej podatności na AXFR stanowi podstawowy wymóg w każdego rodzaju testach penetracyjnych. Prawidłowo i bezpiecznie skonfigurowany (hardened) serwer nazw musi agresywnie blokować zapytania związane z transferem na podstawie rygorystycznych list kontroli dostępu powiązanych z IP (ACL). Taki zabieg upewnia organizację o tym, że jedynym bytem mogącym wywołać inicjalizację danych jest autoryzowany do takich akcji IP zapasowego serwera. Dla utrzymania dzisiejszych wymogów bezpieczeństwa korporacyjnego, specjaliści IT decydują się na wdrożenia typu TSIG (Transaction Signature). Mechanizm TSIG robi użytek ze swobodnie współdzielonego i poddanego odpowiednim przekształceniom matematycznym (cryptographically hashed secret key) ukrytego klucza funkcjonującego pomiedzy podstawową oraz zastępczą platformą. Jeżeli do systemu nadejdzie pakiet zapytania powiązany z transferem w formie AXFR pozbawiony poprawnej wariacji w zapisie cyfrowym certyfikatu bazowego, host pierwotny błyskawicznie przerwie trwającą już warstwę przekazywania pakietów powiązaną w warstwie kanału TCP ze złączem odsyłając uśmiercający z perspektywy operacji powód zdefiniowany klasą REFUSED. Właściwa czynność owocuje utrzymaniem całkowitej ochrony całej rozbudowanej mapy organizacyjnej przed całkowitym publicznym ujawnieniem.