공격자가 내 등록 기관 패널에 액세스하지 않고도 내 도메인으로 전송하거나 무언가를 할 수있는 시나리오가 있습니까?

Question

내 도메인 등록 기관은 인증되지 않은 전송 및 이와 유사한 것을 방지하기 위해 내 도메인을 보안 기능으로 잠글 수있는 옵션을 제공합니다.

공격자가 등록자의 내 계정에 액세스 할 수 있다면 권한없는 전송을 수행하는 유일한 방법이라고 생각했지만 그 경우에도 도메인을 잠금 해제 할 수 있으므로 하루가 끝날 무렵에는 도메인 잠금의 유틸리티입니다. 내 말은 ... 그가 뭔가를 할 수있는 유일한 방법은 내 등록 기관 패널에 대한 액세스 권한이있는 경우, 이전 및 이전에 도메인을 잠금 해제 할 수 있다는 것입니다. :/

제 질문은 공격자가 내 등록 기관 패널에 대한 액세스 권한없이 내 도메인으로 이전하거나 무언가를 수행 할 수있는 시나리오가 있습니까? 그리고 등록자 잠금을 활성화하지 못하게하는 유일한 방법은 무엇입니까?

감사

Answer 1

는 포함하지만 등등, DNS 악용, 권한 상승에 제한 SSH 아니라, 여러 공격 경로가있을 수 있습니다. DNS 영역을 보호하기 위해 취해진 두 가지 고전적인 방법을 다루겠다. 이 답변은 현재 사용중인 등록 기관이나 도메인을 보호하는 방법을 알지 못하기 때문에 주로 나중에 참조 할 수 있습니다. 여기 내 참조 DNS 서버는 Bind이지만 동일한 논리가 NSD, 언 바운드 및 나머지에 적용됩니다.

가장 먼저 AXFR/IXFR 요청을 사용하여 영역을 전송합니다. 이 작업은 간단한 "dig @ [dns_ip] [dns_zone_name] AXFR"을 사용하여 수행됩니다 (IXFR 쿼리에는 추가 직렬 매개 변수가 필요하지만 같은 쿼리 종류). 이러한 차단하려면 DNS 서버는 다음과 같은 성명을 사용하도록 :

allow-transfer { none; }; (1)

참고 슬레이브 DNS 서버를 사용하는 경우, 당신은 자신의 IP 주소 (또는 더 나은, 사용 키를 넣어야 할 것 거래를 안전하게하십시오).

"공격"의 두 번째 가능한 종류는 영역 자체를 업데이트하는 것입니다.

allow-update { none ; }; (2)

사용은 DDNS 업데이트를 방지 할 수 있기 때문에 당신이 당신의 등록 기관의 패널을 사용하는 경우에만 이러한 종류의 구성 : 다음 문을 사용하는 경우이 쉽게 차단됩니다. allow-transfer 문과 마찬가지로 키/IP 주소를 사용하여 업데이트 정책을 세밀하게 제어 할 수 있습니다.

이 두 문장은 예제를위한 것이며 웹 구성 패널을 사용하지 않고도 DNS 서버를 구성하는 방법은 다양합니다.

이 응답이 충분히 명확하고 도움이되기를 바랍니다.

1 : http://www.zytrax.com/books/dns/ch7/xfer.html#allow-transfer

2 : http://www.zytrax.com/books/dns/ch7/xfer.html#allow-update