Mi az a "DNS zone transfer attack"?

Hálózatok általános

Azt írja a RHEL9 doksi, hogy: "Attackers can use zone transfers to update DNS servers with false information."

Namost, ez nekem gyanús, mert addig oké, hogy ha valaki tud AXFR-t (vagy akár IXFR-t), akkor megtudhat olyanokat is, amit nem feltétlen akarunk hogy megtudjon. Ez oké.

De... hogyan lehet AXFR-rel hamis információt juttatni a DNS szervernek? Mármint értem én hogy lehúzok egy zónát, átírom amit akarok, és valahogy bekamuzom hogy én vagyok az egyetlen igazi DNS szervere a zónának, de ebben az esetben nem magát az AXFR-t látom az igazi problémának.

Vagy... mit értek félre?

  • 678 megtekintés

( godot v | 2023. 12. 12., k – 09:25 )

Szerkesztve: 2023. 12. 12., k – 09:26

Ha rendesen be van állítva ki kérhet le zónát illetve kitől fogad el notify-t és be van állítva a TSIG vagy újabban az XoT (XFR over TLS) akkor nincs probléma.

Alapból amúgy az AXFR nem titkosított tehát ha csak IP-re van szűrve ki  küldhet/fogadhat zóna transzfert/notifyt akkor egy MITM támadással hamisítható a zóna tartalma.

De a  cikk is azt mondja hogy: " if an administrator forgets to limit which servers can perform a zone transfer, the default SELinux policy prevent updates for zone files"

Ez egy extra védelem a béna Bind adminoknak :)

"akkor egy MITM támadással hamisítható a zóna tartalma."

De ez ellen nem véd se a selinux, se az [IA]XFR limitálása (és nagyobb baj van ezeknél).

Az oké, hogy notifyt nem enged bárkinek, de itt most mezei AXFR-ről van szó, és valami olyasmi a magyarázat, hogy még a bind se tudja módosítani a zónafájlt, húdejó a selinux(*). És valahogy nem áll össze a kép.

 

*) Nem, ezt nem vitatom, csak az erőltetett példá(k)tól kapok sírógörcsöt.

Nekem sem világos ez a SELinux szabály halmaz  pontosan mit csinálhat a Bind zónákkal. Látni kéne.....

Szerk:

https://www.youtube.com/watch?v=B8dA0mUGMtQ

 

named_write_master_zones=off

Az elsődleges szerveren ha ezt bekapcsolod nem hagyja írni a zónafileokat a bind-nak. Az elsődleges szerveren nem is kell mert ott te írod nem a Bind.

Persze ha vegyesen vannak primary és secondary zónák a szerveren (antipattern)  vagy mondjuk dinamikus zónák akkor máris nem lehet használni.

Csak be kell konfigolni rendesen azt a fránya Bind-et. :)

( cstamas | 2023. 12. 12., k – 13:42 )

RHEL SELinux marketing anyag, mindenféle konkrétum nélkül :).