[sage] Suche DNS-Firewall oder speziellen DNS-Resolver
Hartmut Goebel
h.goebel at goebel-consult.de
Mon Oct 21 14:31:49 CEST 2013
Mittag,
Am 21.10.2013 14:16, schrieb Gert Doering:
>> Und es sollen nur einzelne Record-Types zugelassen werden.
> Da wüsste ich jetzt nichts, u.U. geht's mit BIND RPZ
> ( http://en.wikipedia.org/wiki/Response_policy_zone ),
Danke, das könnte die Lösung sein. Ich werde es mir mal rein ziehen und
Feedback geben.
> wobei sich mir der Use-Case nicht wirklich erschliesst - würde einer
> meiner Kollegen nach sowas fragen, würde ich erstmal zu verstehen
> versuchen, was eigentlich das zu lösende Problem ist...
Der Use-Case ist, DNS-Tunnel zu verhindern. Eigentlich sollen deswegen
alle Geräte über einen Proxy nach außen, aber einige Software mag das
nicht (war eine längere Diskussion). Darum sollen *einzelne* Server
*einzelne* Records für *einzelne* externe FQDNs auflösen können.
/etc/hosts scheidet aus, da es ja *externe* FQDNs sind.
Daher die Idee einer Whitelist von Geräten/IP-Adressen, wie in meinem
Ausgangsposting skizziert.
--
Schönen Gruß
Hartmut Goebel
Dipl.-Informatiker (univ), CISSP, CSSLP
Information Security Management, Security Governance, Secure Software
Development
Goebel Consult, Landshut
http://www.goebel-consult.de
Monatliche Kolumne:
http://www.cissp-gefluester.de/2010-01-hinterturen-allen-ortes
Blog:
http://www.goebel-consult.de/blog/trustcenter.de-nimmt-es-mit-der-sicherheit-nicht-mehr-so-genau
Goebel Consult ist Mitglied bei http://www.7-it.de/
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.guug.de/pipermail/sage/attachments/20131021/80696c90/attachment-0001.htm
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 3883 bytes
Desc: S/MIME Kryptografische Unterschrift
Url : http://lists.guug.de/pipermail/sage/attachments/20131021/80696c90/attachment-0001.bin
More information about the SAGE
mailing list