DNS Zone Transfer

DNS Zone Transfer, Domain Name System (DNS) altyapısının temel bileşenlerinden biridir. Bu süreç, birincil (primary) DNS sunucusundan ikincil (secondary) sunuculara DNS zone verilerinin otomatik olarak aktarılmasını sağlar. Zone, bir domain adına ait tüm kayıtları (A, MX, CNAME gibi) içeren veritabanıdır. Zone transfer, DNS sunucularının senkronize kalmasını sağlayarak yüksek erişilebilirlik ve yedeklilik sunar. Özellikle büyük ölçekli ağlarda, bu mekanizma kesintisiz hizmet için vazgeçilmezdir. Ancak, yanlış yapılandırıldığında güvenlik açıklarına yol açabilir. Bu makalede, DNS zone transfer’ın işleyişini, yöntemlerini ve güvenli kullanımını detaylı olarak ele alacağız.

DNS Zone Transfer Mekanizması

DNS zone transfer, master-slave mimarisinde çalışır. Birincil sunucu zone verilerini tutarken, ikincil sunucular bu verileri periyodik olarak çeker. Süreç, ikincil sunucunun birincil sunucuya belirli bir sorgu göndermesiyle başlar. Birincil sunucu, yetkiyi doğruladıktan sonra zone dosyasını aktarır. Bu işlem, TCP protokolü üzerinden gerçekleşir çünkü UDP ile sınırlı veri boyutu yetersiz kalır. Transfer sırasında, serial numarası (SOA kaydındaki) karşılaştırılır; değişiklik varsa transfer tetiklenir.

Pratikte, zone transfer’ı etkinleştirmek için DNS yazılımı yapılandırmalarında slave sunucular tanımlanır. Örneğin, BIND sunucusunda named.conf dosyasında zone bloğunda “allow-transfer” direktifi kullanılır. Bu, transfer iznini belirli IP’lere kısıtlar. Transfer tamamlandıktan sonra ikincil sunucu kendi cache’ini günceller ve sorgulara yanıt vermeye hazır hale gelir. Bu mekanizma, ağ kesintilerinde bile DNS hizmetinin devamlılığını sağlar, ancak sık transferler bant genişliğini tüketebilir. Optimal yapılandırma için serial numaralarını stratejik güncelleyin ve transfer aralıklarını SOA kaydındaki refresh değerine göre ayarlayın.

Yaygın Zone Transfer Yöntemleri

AXFR (Full Zone Transfer)

AXFR, zone’un tamamının aktarıldığı tam transfer yöntemidir. İkincil sunucu, birincil sunucuya AXFR sorgusu gönderir ve tüm kayıtlar tek seferde alınır. Bu yöntem, zone’da büyük değişiklikler olduğunda veya ilk senkronizasyonda idealdir. Ancak, zone boyutu arttıkça işlem süresi uzar ve ağ trafiği yükselir. BIND gibi sunucularda varsayılan yöntemdir; yapılandırmada masters bloğu ile birincil sunucu IP’si belirtilir. Örnek: zone “example.com” { type slave; file “slaves/example.com”; masters { 192.168.1.10; }; }; Bu komutla AXFR otomatik tetiklenir. Dezavantajı, gereksiz verilerin aktarılmasıdır; bu yüzden büyük zonlar için alternatifler tercih edilir.

IXFR (Incremental Zone Transfer)

IXFR, yalnızca değişen kayıtların aktarıldığı artımlı yöntemdir. SOA serial numaraları karşılaştırılır; farklılık varsa delta (fark) dosyası gönderilir. Bu, bant genişliğini %90’a varan oranda tasarruf sağlar. RFC 1995 ile standartlaştırılmıştır. BIND 8 ve üzeri sürümlerde desteklenir; enable-ixfr yes; direktifiyle etkinleştirilir. İkincil sunucu, eski serial’ı belirterek IXFR sorgusu yapar. Birincil sunucu, IXFR veritabanını tutar ve sadece ekleme/silme değişikliklerini iletir. Pratik adım: named.conf’ta ixfr-tmp dizinini tanımlayın ve logları izleyin. Bu yöntem, dinamik DNS ortamlarında performansı artırır, ancak ilk AXFR sonrası devreye girer.

Güvenlik Önlemleri ve Yapılandırma İpuçları

Zone transfer, saldırganların zone verilerini ele geçirmesi için exploited edilebilir; bu yüzden kısıtlama zorunludur. Varsayılan olarak herkese açık transfer, reconnaissance saldırılarına kapı aralar. Kurumsal ağlarda, allow-transfer direktifini yalnızca güvenilir ikincil sunucu IP’lerine sınırlayın. TSIG (Transaction Signature) veya IP bazlı ACL’ler kullanın. Ayrıca, rate limiting ile brute-force sorguları engelleyin. Günlük logları etkinleştirerek transfer girişimlerini izleyin; named.log’ta “zone transfer” anahtar kelimesini arayın.

• Adım 1: named.conf’ta zone bloğuna “allow-transfer { 192.168.1.20; 192.168.1.30; };” ekleyin.
• Adım 2: TSIG anahtarı oluşturun: tsig-keygen -a hmac-md5 example.key; ve named.conf’a dahil edin.
• Adım 3: rndc reload ile yapılandırmayı yenileyin ve dig @ikincil-sunucu example.com AXFR ile test edin.
• Adım 4: Firewall kurallarıyla TCP 53 portunu sadece yetkili IP’lere açın.

Bu adımlar, zone transfer’ı güvenli kılar. PowerDNS veya Microsoft DNS gibi alternatiflerde benzer direktifler (allow-axfr) bulunur. Düzenli denetimler yapın; nmap gibi araçlarla dışarıdan erişimi tarayın.

DNS zone transfer’ı doğru yönetmek, ağınızın güvenilirliğini ve performansını doğrudan etkiler. Pratik uygulamalarda, her zaman en az iki ikincil sunucu kullanın ve otomatik bildirimleri (NOTIFY) etkinleştirin. Bu yaklaşımlar, olası arızalarda hızlı kurtarma sağlar. Kurumsal ortamda, zone transfer politikalarını belgelendirin ve ekip eğitimleriyle destekleyin. Sonuç olarak, bilinçli yapılandırma ile bu mekanizma, DNS altyapınızın temel taşlarından biri haline gelir.