🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: • dns-zonentransfer • firewall-arten
it-themen:grundlagen:netzwerkdienste:dns-zonentransfer

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Ăśberarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:dns-zonentransfer [01.12.2025 11:52] – [SOA (Start of Authority) – wichtig für Transfers] larsit-themen:grundlagen:netzwerkdienste:dns-zonentransfer [01.12.2025 11:58] (aktuell) – [Zusammenfassung] lars
Zeile 59: Zeile 59:
  
 <code> <code>
-Primary DNS  ----AXFR/IXFR---->  Secondary DNS+ 
 + Primary DNS  ----AXFR/IXFR---->  Secondary DNS 
 + 
 </code> </code>
  
-1. Secondary fragt beim Primary die SOA-Seriennummer ab  Â +1. Secondary fragt beim Primary die SOA-Seriennummer ab 
-2. Wenn Seriennummer unterschiedlich: +2. Wenn Seriennummer unterschiedlich:\\ 
-     â†’ Anfrage eines Transfers  Â +    â†’ Anfrage eines Transfers 
-3. Primary sendet AXFR oder IXFR  Â +3. Primary sendet AXFR oder IXFR 
-4. Secondary aktualisiert seine Zone  +4. Secondary aktualisiert seine Zone
  
 ===== Sicherheit: Zonentransfers dĂĽrfen NICHT öffentlich sein ====== ===== Sicherheit: Zonentransfers dĂĽrfen NICHT öffentlich sein ======
  
 Ein offener Zonentransfer erlaubt Angreifern: Ein offener Zonentransfer erlaubt Angreifern:
-  * vollständigen Einblick in interne DNS-Strukturen  +  * vollständigen Einblick in interne DNS-Strukturen
   * Auflistung aller Hosts, Server, internen Systeme   * Auflistung aller Hosts, Server, internen Systeme
  
 Gefährlich: Gefährlich:
 <code> <code>
-dig AXFR example.com @ns1.example.com+ 
 +  dig AXFR example.com @ns1.example.com 
 + 
 </code> </code>
  
Zeile 92: Zeile 98:
 Beispiel (BIND): Beispiel (BIND):
 <code> <code>
-allow-transfer { 192.0.2.10; };+ 
 + allow-transfer { 192.0.2.10; }; 
 + 
 </code> </code>
  
Zeile 98: Zeile 107:
  
 TSIG sorgt fĂĽr: TSIG sorgt fĂĽr:
-  * Authentifizierung  Â +  * Authentifizierung 
-  * Integrität  Â +  * Integrität 
-  * Schutz vor Spoofing  +  * Schutz vor Spoofing
  
 Beispiel-Key: Beispiel-Key:
 <code> <code>
-hmac-sha256  "RANDOMBASE64KEY==";+ 
 + hmac-sha256  "RANDOMBASE64KEY=="; 
 + 
 </code> </code>
  
 ===== Unterschied: Transfer vs. Delegation ====== ===== Unterschied: Transfer vs. Delegation ======
  
-  * **Delegation** = Parent-Zone verweist auf Child-Zone (NS-Records)  Â +  * **Delegation** = Parent-Zone verweist auf Child-Zone (NS-Records) 
-  * **Transfer** = Child-Zone wird auf Secondary kopiert  +  * **Transfer** = Child-Zone wird auf Secondary kopiert
  
 ===== PrĂĽfung per dig ====== ===== PrĂĽfung per dig ======
Zeile 116: Zeile 128:
 ==== SOA prĂĽfen ==== ==== SOA prĂĽfen ====
 <code> <code>
-dig example.com SOA+ 
 + dig example.com SOA 
 + 
 </code> </code>
  
 ==== AXFR versuchen ==== ==== AXFR versuchen ====
 <code> <code>
-dig AXFR example.com @ns1.example.com+ 
 + dig AXFR example.com @ns1.example.com 
 + 
 </code> </code>
  
 ==== Seriennummer vergleichen ==== ==== Seriennummer vergleichen ====
 <code> <code>
-dig example.com SOA @ns1 + 
-dig example.com SOA @ns2+ dig example.com SOA @ns1 
 + dig example.com SOA @ns2 
 + 
 </code> </code>
  
Zeile 143: Zeile 164:
 ===== Zusammenfassung ====== ===== Zusammenfassung ======
  
-  * Zonentransfer = Ăśbertragung einer DNS-Zone von Primary zu Secondary  Â +  * Zonentransfer = Ăśbertragung einer DNS-Zone von Primary zu Secondary 
-  * AXFR = vollständiger Transfer  Â +  * AXFR = vollständiger Transfer 
-  * IXFR = inkrementeller Transfer (nur Ă„nderungen)  Â +  * IXFR = inkrementeller Transfer (nur Ă„nderungen) 
-  * Seriennummer (SOA) steuert den Prozess  Â +  * Seriennummer (SOA) steuert den Prozess 
-  * Zonentransfers mĂĽssen abgesichert werden (IP-ACL, TSIG)  Â +  * Zonentransfers mĂĽssen abgesichert werden (IP-ACL, TSIG) 
-  * offene AXFR sind ein massives Sicherheitsrisiko  +  * offene AXFR sind ein massives Sicherheitsrisiko
  
it-themen/grundlagen/netzwerkdienste/dns-zonentransfer.1764586333.txt.gz · Zuletzt geändert: von lars