Global AXFR (Zone Transfer) Güvenlik Kontrol Aracı
Bir AXFR (Asynchronous Full Transfer Zone) talebi, DNS sunucularının routing veritabanlarının tamamını bir ağ kümesi (cluster) üzerinde çoğaltmak (replicate) için kullandığı temel mekanizmadır. Tek bir veri noktasını getirmek için hafif, durumsuz (stateless) UDP paketlerini kullanan standart A veya MX lookup'larının aksine, bir AXFR transferi kesinlikle sunucudan sunucuya (server-to-server) bir protokoldür. Tüm bir alan adı altyapısını indirmek, potansiyel olarak binlerce kaydın iletilmesini içerdiğinden, RFC 5936, tam paket teslimatını ve veri bütünlüğünü garanti etmek için AXFR taleplerinin 53 numaralı port üzerinde durum bilgisi olan (stateful), güvenilir bir TCP bağlantısı kurmasını zorunlu kılar.
SOA Tetikleyicileri ve IXFR Optimizasyonu
Replikasyon süreci, alan adının SOA (Start of Authority) kaydı tarafından aktif olarak yönetilir. İkincil (secondary) name server'lar, birincil master sunucuyu rutin olarak yoklar (poll). İkincil sunucu SOA Seri Numarasının arttığını tespit ederse, verileri senkronize etmek için bir transfer başlatır. AXFR zone dosyasının tamamını indirirken, modern mimariler genellikle varsayılan olarak IXFR'ye (Incremental Zone Transfer - Artımlı Bölge Aktarımı) geçer. IXFR, deltayı —eski seri numarası ile yeni seri numarası arasındaki tam farkları— hesaplar ve yalnızca değiştirilen kayıtları ileterek devasa kurumsal zone'larda bant genişliği ek yükünü (overhead) ve işleme yükünü önemli ölçüde azaltır.
Zone Walking ve Siber Güvenlik Tehditleri
Bilgi güvenliği perspektifinden bakıldığında, uygun şekilde güvenliği sağlanmamış bir AXFR endpoint'i felaket getiren bir keşif (reconnaissance) güvenlik açığıdır. Birincil name server, herhangi bir rastgele genel IP adresinden gelen AXFR isteklerini kabul edecek şekilde yanlış yapılandırılmışsa, yetkisiz aktörlerin bir "Zone Walk" gerçekleştirmesine olanak tanır. Tek bir komut vererek (örneğin, dig AXFR @ns.example.com example.com), bir saldırgan kuruluşun tüm dahili routing haritasını indirebilir. Bu, bağlantısız hazırlık (staging) ortamlarını, unutulmuş dahili VPN ağ geçitlerini, devralınmaya (takeover) karşı savunmasız kalmış kullanımdan kaldırılan SaaS endpoint'lerini ve tescilli sunucu isimlendirme kurallarını anında ifşa eder.
Çevreyi (Perimeter) TSIG ve ACL'lerle Güvence Altına Alma
Çevrenizi (perimeter) açık bir AXFR güvenlik açığına karşı test etmek, herhangi bir sızma testinin (penetration test) temel bir gereksinimidir. Düzgün bir şekilde sıkılaştırılmış (hardened) bir name server, yalnızca yetkili ikincil sunucu IP'lerinin indirmeyi başlatabilmesini sağlamak için katı IP tabanlı Erişim Kontrol Listeleri (ACL'ler) kullanarak transfer sorgularını agresif bir şekilde kısıtlamalıdır. Modern kurumsal güvenlik için yöneticiler TSIG (Transaction Signature) dağıtır. TSIG, birincil ve ikincil sunucular arasında paylaşılan, kriptografik olarak hash'lenmiş gizli bir anahtar (secret key) kullanır. Gelen AXFR talebi doğru matematiksel imzaya sahip değilse, birincil sunucu TCP bağlantısını anında düşürür ve ölümcül bir REFUSED hatası döndürerek ağ topolojisini halka açık ifşadan (public exposure) korur.