🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
it-themen:grundlagen:netzwerkdienste:dns-zonentransfer

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:dns-zonentransfer [01.12.2025 11:50] – angelegt larsit-themen:grundlagen:netzwerkdienste:dns-zonentransfer [01.12.2025 11:58] (aktuell) – [Zusammenfassung] lars
Zeile 43: Zeile 43:
 Beispiel: Beispiel:
 <code> <code>
-example.com. IN SOA ns1.example.com. admin.example.com. ( + 
-                2025010101 ; Seriennummer + example.com. IN SOA ns1.example.com. admin.example.com. ( 
-                3600       ; Refresh +                 2025010101 ; Seriennummer 
-                600        ; Retry +                 3600       ; Refresh 
-                604800     ; Expire +                 600        ; Retry 
-                86400 )    ; Minimum TTL+                 604800     ; Expire 
 +                 86400 )    ; Minimum TTL 
 + 
 </code> </code>
  
Zeile 56: Zeile 59:
  
 <code> <code>
-Primary DNS  ----AXFR/IXFR---->  Secondary DNS+ 
 + Primary DNS  ----AXFR/IXFR---->  Secondary DNS 
 + 
 </code> </code>
  
-1. Secondary fragt beim Primary die SOA-Seriennummer ab   +1. Secondary fragt beim Primary die SOA-Seriennummer ab 
-2. Wenn Seriennummer unterschiedlich: +2. Wenn Seriennummer unterschiedlich:\\ 
-     → Anfrage eines Transfers   +    → Anfrage eines Transfers 
-3. Primary sendet AXFR oder IXFR   +3. Primary sendet AXFR oder IXFR 
-4. Secondary aktualisiert seine Zone  +4. Secondary aktualisiert seine Zone
  
 ===== Sicherheit: Zonentransfers dürfen NICHT öffentlich sein ====== ===== Sicherheit: Zonentransfers dürfen NICHT öffentlich sein ======
  
 Ein offener Zonentransfer erlaubt Angreifern: Ein offener Zonentransfer erlaubt Angreifern:
-  * vollständigen Einblick in interne DNS-Strukturen  +  * vollständigen Einblick in interne DNS-Strukturen
   * Auflistung aller Hosts, Server, internen Systeme   * Auflistung aller Hosts, Server, internen Systeme
  
 Gefährlich: Gefährlich:
 <code> <code>
-dig AXFR example.com @ns1.example.com+ 
 +  dig AXFR example.com @ns1.example.com 
 + 
 </code> </code>
  
Zeile 89: Zeile 98:
 Beispiel (BIND): Beispiel (BIND):
 <code> <code>
-allow-transfer { 192.0.2.10; };+ 
 + allow-transfer { 192.0.2.10; }; 
 + 
 </code> </code>
  
Zeile 95: Zeile 107:
  
 TSIG sorgt für: TSIG sorgt für:
-  * Authentifizierung   +  * Authentifizierung 
-  * Integrität   +  * Integrität 
-  * Schutz vor Spoofing  +  * Schutz vor Spoofing
  
 Beispiel-Key: Beispiel-Key:
 <code> <code>
-hmac-sha256  "RANDOMBASE64KEY==";+ 
 + hmac-sha256  "RANDOMBASE64KEY=="; 
 + 
 </code> </code>
  
 ===== Unterschied: Transfer vs. Delegation ====== ===== Unterschied: Transfer vs. Delegation ======
  
-  * **Delegation** = Parent-Zone verweist auf Child-Zone (NS-Records)   +  * **Delegation** = Parent-Zone verweist auf Child-Zone (NS-Records) 
-  * **Transfer** = Child-Zone wird auf Secondary kopiert  +  * **Transfer** = Child-Zone wird auf Secondary kopiert
  
 ===== Prüfung per dig ====== ===== Prüfung per dig ======
Zeile 113: Zeile 128:
 ==== SOA prüfen ==== ==== SOA prüfen ====
 <code> <code>
-dig example.com SOA+ 
 + dig example.com SOA 
 + 
 </code> </code>
  
 ==== AXFR versuchen ==== ==== AXFR versuchen ====
 <code> <code>
-dig AXFR example.com @ns1.example.com+ 
 + dig AXFR example.com @ns1.example.com 
 + 
 </code> </code>
  
 ==== Seriennummer vergleichen ==== ==== Seriennummer vergleichen ====
 <code> <code>
-dig example.com SOA @ns1 + 
-dig example.com SOA @ns2+ dig example.com SOA @ns1 
 + dig example.com SOA @ns2 
 + 
 </code> </code>
  
Zeile 140: Zeile 164:
 ===== Zusammenfassung ====== ===== Zusammenfassung ======
  
-  * Zonentransfer = Übertragung einer DNS-Zone von Primary zu Secondary   +  * Zonentransfer = Übertragung einer DNS-Zone von Primary zu Secondary 
-  * AXFR = vollständiger Transfer   +  * AXFR = vollständiger Transfer 
-  * IXFR = inkrementeller Transfer (nur Änderungen)   +  * IXFR = inkrementeller Transfer (nur Änderungen) 
-  * Seriennummer (SOA) steuert den Prozess   +  * Seriennummer (SOA) steuert den Prozess 
-  * Zonentransfers müssen abgesichert werden (IP-ACL, TSIG)   +  * Zonentransfers müssen abgesichert werden (IP-ACL, TSIG) 
-  * offene AXFR sind ein massives Sicherheitsrisiko  +  * offene AXFR sind ein massives Sicherheitsrisiko
  
it-themen/grundlagen/netzwerkdienste/dns-zonentransfer.1764586225.txt.gz · Zuletzt geändert: von lars