A rede é relativamente simples: no interior há o Active Directory, na DMZ é um encaminhador DNS BIND9. O controlador de domínio do Active Directory é o servidor DNS interno para todos os clientes Windows e todas as máquinas devem usar o encaminhador DNS para executar consultas DNS.
Estou tentando impedir que meus clientes realizem determinados tipos de pesquisa, por exemplo, registros TXT. Isso ocorre devido a uma preocupação com a segurança, especificamente, o tunelamento de DNS (consulte uma ferramenta chamada iodo para obter mais informações).
Eu estava esperando encontrar uma opção fácil no BIND9 para desabilitar certos tipos de pesquisa de registros, mas não consigo encontrar nada aplicável. Alguém sabe de algo que vai fazer o truque? Ou na configuração do BIND ou outra coisa?
Tags security bind txt-record tunneling