Büyük ölçekli kurumlarda sıklıkla kullanılan, özellikle birden fazla DNS Server için hayati önem taşıyan Zone Transfer, doğru yapılandırılmazsa ciddi bir güvenlik zafiyetine sebebiyet verebilir. Gelin DNS Zone Transfer zafiyeti nedir, nasıl önlenir hızlıca inceleyelim.
DNS Nedir?
DNS (Domain Name System) yani alan adı sistemi, bir insan tarafından girilen web adresinin, makine dilinde anlaşılabilir olan IP adresiyle eşleştirilmesini sağlayan gelişmiş bir yönlendirme servisidir.
Örneğin “google.com” şeklindeki bir adres, makine dilinde hiçbir anlam ifade etmez. Eğer Domain Name Server olmadan doğrudan bu adrese gitmeye çalışsaydık ana makinemiz localhost içerisinde “google.com” sunucusunu aramak zorunda kalacaktı.
Domain Name Serverlar ise, IP adreslerini ve alan adlarını sakladığı ve bunları yönlendirdiği için kritik öneme sahiptir. Web üzerindeki trafik yükünün, farklı sunucu ve bölgelere dağıtılmasını da üstelenerek verimli bir iletişim sağlar.
DNS Zone Transfer Nedir?
Zone Transfer, birden fazla DNS Server kullanan ağ yapılarında, zone içeriklerinin güncel kalabilmesi için ana serverdan yani Primary DNS Serverdan yapılan seknronizasyona denir. Daha büyük ölçekli ağ yapılarında ikiden fazla DNS Server da bulunabilir. Bu serverların içerisinde Host, MX (Mail Exchanger), TXT, NS (Name Server), AAA (Address Record) gibi kayıtlar bulunur.
DNS Zone Transfer, bir DNS veritabanının farklı sunucuya aktarılmasına denir. Bu aktarım, genellikle yanlış konfigüre edilmiş bir ruleset sebebiyle ciddi bir zafiyete dönüşebilir. Özellikle saldırı yüzeyini genişletmesi sebebiyle, kurumsal firmalarda kritik bir risk oluşturur.
Zone Transfer Testi
İlk testte, doğru yapılandırılmış bir sunucuda zone transfer isteğinin nasıl engellendiğini göreceksiniz. Bu test için kullanılabilecek birkaç farklı araç var.
- dig
- dnsrecon
- dnsenum
- host
Test öncesinde, hedef sunucu hakkında bilgi toplamak gerekli, bu sebeple recon araçları kullanılacak. Test sırasında aynı işlevi görseler de tüm araçlara değineceğiz.
Test için hedef siteyi Amazon olarak seçtik. Amazon’un sunucuları zone transferi engelleyecek şekilde doğru konfigüre edilmiş durumda. Bu sebeple “Zone Transfer Failed” almamız gerekli.
1- Name Server Tespiti
NS tespiti için “dig” ve “host” komutları kullanılabilir.
dig ns amazon.com +short
Bu komutta “ns”, nameserver sorgusu yapıyor, “+short” ise verbose edilmemiş yani detaylandırılmamış bir sorgu yapıyor.
“ns1.amzndns.com” ismindeki hedef name server’ı tespit ettik.
Aynı sonuca host komutu ile de ulaşmak mümkün.
host -t ns amazon.com
amazon.com name server ns1.amzndns.com
Hedef name server tespitinden sonra sırada zone transfer testi var. Bu testi 3 farklı araç ile yapmak mümkün.
- dnsenum
- host
- dig
2- Zone Transfer Testi
İlk olarak dnsenum aracını kullanıyorum.
dnsenum amazon.com
AXFR ( Zone transfer protokol) Refused dönüyor. Zone Transfer testi başarısız.
Aynı testi host ile de gerçekleştirmek mümkün.
host -l amazon.com ns1.amzndns.com
Host kullanırken, ana yapının [root domain][nameserver] şeklinde olmasına dikkat edin.
Şimdi “dig” kullanarak deniyoruz.
dig @ns1.amzndns.com amazon.com axfr
“dig” ile gerçekleştirilen testte AXFR yani Zone Transfer protokol seçmeniz gerekli, aksi taktirde dig, server info döndürmeye devam edecek.
Sonuç olarak doğru konfigüre edilmiş bir serverdan zone transfer gerçekleştiremedik.
Sıradaki testte ise “zonetransfer.me” adresini kullanacağız zira bu adres özel olarak zone transfer testi için yanlış bir ruleset’e sahip.
1- Name Server Tespiti
dig ns zonetransfer.me
host -t ns zonetransfer.me
Name serverları bulduk, şimdi teste geçelim.
2- Zone Transfer Testi
dnsenum zonetransfer.me
Görüldüğü gibi Zone Transfer testi başarılı, NS üstünden verileri transfer ettik, MX, TXT, AAA kayıtlarına erişim mümkün.
host -l zonetransfer.me nsztm1.digi.ninja
dig @nsztm1.digi.ninja zonetransfer.me axfr
“zonetransfer.me” adresindeki örnek zafiyeti kullanarak ilgili serverdan adresleri transfer etmeyi başardık. Gerçek bir senaryoda bu durum, saldırı yüzeyini genişleteceğinden ötürü, özellikle büyük çaplı kurumsal firmalarda kritik güvenlik zafiyetlerine yol açacak.
DNS Zone Transfer Nasıl Engellenir?
Öncelikle DNS Zone Transfer, DNS hizmeti için gerekli kritik bir önlemdir. Her ne kadar istismar edilebilir olsa da, en az iki farklı DNS server arasındaki iletişimi sağlar. Aksi taktirde önbelleğe alınan datalara erişimin kaybedildiği durumlarda etki alanı altındaki tüm web, mail ve diğer servisler erişilemez hale gelir.
Ancak zonelar için tek tek elle düzenleme yapmak hem hata olasılığını arttıracak hem de çok zaman gerektirecektir. Bu sebeple DNS Zone Transfer yapılır ve topluca kayıt aktarımı gerçekleştirilir. Bu aktarım için kullanılan en basit ve yaygın protokol AXFR protokolüdür. Client tarafından başlatılan bu istek, doğru konfigüre edilmemiş Primary DNS Serverdaki kayıtların sızdırılmasına sebep olabilir.
Bunun önüne geçmek için;
[important]allow-transfer {“none”;};[/important]
kullanılmalıdır. Ancak çeşitli güvenilir name serverlar ve IP’ler için istisna yapılacaksa (düzenli AXFR protokolleri için) aşağıdaki gibi bir örnek ile BIND DNS istisnası tanınabilir:
acl trusted-nameservers {
192.168.0.10; //ns2
192.168.1.20; //ns3
};
zone zonetransfer.me {
type master;
file “zones/zonetransfer.me”;
allow-transfer { trusted-nameservers; };
};
Bir başka içerikte görüşmek üzere, güvenli günler…
İlginizi çekebilir: TCP-UDP Nedir? Avantajları ve dezavantajları..
