Verificador de Segurança Global AXFR (Transferência de Zona)
Uma requisição AXFR (Asynchronous Full Transfer Zone) é o mecanismo basilar usado pelos servidores DNS para replicar bancos de dados de roteamento inteiros por um cluster de rede. Diferentemente dos lookups de A ou MX padrão, que utilizam pacotes UDP stateless e leves para obter um único ponto de dados, uma transferência AXFR é estritamente um protocolo server-to-server. Como o download da infraestrutura inteira de um domínio envolve transmitir, potencialmente, milhares de registros, a RFC 5936 obriga as requisições AXFR a estabelecer uma conexão TCP stateful e confiável na porta 53 para garantir a integridade da entrega dos pacotes e dos dados.
Gatilhos SOA e Otimização IXFR
O processo de replicação é governado ativamente pelo registro SOA (Start of Authority) do domínio. Os nameservers secundários consultam rotineiramente o servidor master primário. Se o servidor secundário detectar que o Serial Number do SOA foi incrementado, ele iniciará uma transferência para sincronizar os dados. Embora o AXFR baixe a totalidade absoluta do arquivo de zona, as arquiteturas modernas frequentemente adotam como padrão o IXFR (Incremental Zone Transfer). O IXFR calcula o delta — as diferenças exatas entre o serial number antigo e o novo — e apenas transmite os registros modificados, reduzindo significativamente o overhead da largura de banda e o tempo de processamento nas grandes zonas corporativas.
Zone Walking e Ameaças de Cibersegurança
Do ponto de vista da segurança da informação, um endpoint AXFR indevidamente protegido é uma vulnerabilidade de reconhecimento (reconnaissance) catastrófica. Se um nameserver primário estiver mal configurado a ponto de aceitar requisições AXFR de qualquer endereço IP público arbitrário, ele permite que atores não autorizados executem um "Zone Walk". Por meio da emissão de um único comando (por exemplo, dig AXFR @ns.example.com example.com), um invasor pode baixar o mapa de roteamento interno inteiro da organização. Isso expõe instantaneamente ambientes de staging não listados, gateways VPN internos esquecidos, endpoints SaaS depreciados e vulneráveis a takeovers, bem como as convenções proprietárias de nomenclaturas dos servidores.
Protegendo o Perímetro com TSIG e ACLs
Testar o seu perímetro contra a vulnerabilidade aberta do AXFR é um requisito fundamental de qualquer teste de intrusão (pentest). Um nameserver propriamente protegido deve restringir de maneira dura as consultas de transferência valendo-se das Access Control Lists (ACLs) rigorosas baseadas em IPs, garantindo que somente os IPs dos servidores secundários autorizados possam iniciar a transferência. Para a segurança das corporações modernas, os administradores utilizam o TSIG (Transaction Signature). O TSIG se aproveita de uma chave secreta, criptograficamente em hash e compartilhada, entre os servidores primário e secundário. Se o pedido de AXFR que estiver chegando não contiver a assinatura matemática correta, o servidor primário imediatamente abandona a conexão TCP e emite um erro fatal de REFUSED (recusado), protegendo a topologia de rede contra uma exposição pública.