<html>
  <head>
    <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">Mittag,<br>
      <br>
      Am 21.10.2013 14:16, schrieb Gert Doering:<br>
    </div>
    <blockquote cite="mid:20131021121638.GU161@greenie.muc.de"
      type="cite">
      <blockquote type="cite">
        <pre wrap="">Und es sollen nur einzelne Record-Types zugelassen werden.
</pre>
      </blockquote>
      <pre wrap="">
Da wüsste ich jetzt nichts, u.U. geht's mit BIND RPZ
( <a class="moz-txt-link-freetext" href="http://en.wikipedia.org/wiki/Response_policy_zone">http://en.wikipedia.org/wiki/Response_policy_zone</a> ),</pre>
    </blockquote>
    <br>
    Danke, das könnte die Lösung sein. Ich werde es mir mal rein ziehen
    und Feedback geben.<br>
    <br>
    <blockquote cite="mid:20131021121638.GU161@greenie.muc.de"
      type="cite">
      <pre wrap="">wobei sich mir der Use-Case nicht wirklich erschliesst - würde einer
meiner Kollegen nach sowas fragen, würde ich erstmal zu verstehen
versuchen, was eigentlich das zu lösende Problem ist...
</pre>
    </blockquote>
    <br>
    Der Use-Case ist, DNS-Tunnel zu verhindern. Eigentlich sollen
    deswegen alle Geräte über einen Proxy nach außen, aber einige
    Software mag das nicht (war eine längere Diskussion). Darum sollen
    *einzelne* Server *einzelne* Records für *einzelne* externe FQDNs
    auflösen können.<br>
    <br>
    /etc/hosts scheidet aus, da es ja *externe* FQDNs sind.<br>
    <br>
    Daher die Idee einer Whitelist von Geräten/IP-Adressen, wie in
    meinem Ausgangsposting skizziert. <br>
    <br>
    <div class="moz-signature">-- <br>
      <span style="color:black">
        Schönen Gruß <br>
        Hartmut Goebel <br>
      </span>
      <span style="font-size:smaller">Dipl.-Informatiker (univ), CISSP,
        CSSLP</span><br>
      <span style="font-size:smaller">Information Security Management,
        Security Governance, Secure Software Development</span>
      <p style="color:black" lang="de">
        Goebel Consult, Landshut <br>
        <a style="color:black" href="http://www.goebel-consult.de">http://www.goebel-consult.de</a>
      </p>
      <p style="color:grey;font-size:smaller">
        Monatliche Kolumne:
        <a style="color:grey !important;text-decoration:none !important"
href="http://www.cissp-gefluester.de/2010-01-hinterturen-allen-ortes">http://www.cissp-gefluester.de/2010-01-hinterturen-allen-ortes</a>
        <br>
        Blog:
        <a style="color:grey !important;text-decoration:none !important"
href="http://www.goebel-consult.de/blog/trustcenter.de-nimmt-es-mit-der-sicherheit-nicht-mehr-so-genau">http://www.goebel-consult.de/blog/trustcenter.de-nimmt-es-mit-der-sicherheit-nicht-mehr-so-genau</a>
      </p>
      <p style="color:grey;font-size:smaller">
        Goebel Consult ist Mitglied bei <a style="color:grey
          !important;text-decoration:none !important"
          href="http://www.7-it.de/">http://www.7-it.de/</a>
      </p>
    </div>
  </body>
</html>