В статье "The Basics of DNSSEC" показано как увеличить безопасность DNS сервера используя возможности DNSSEC (DNS Security Extensions) - расширение DNS протокола, появившиеся в BIND 9 (особенно хорош в этом плане BNID 9.3.0), позволяющее производить аутентификацию запросов и гарантировать целостность передаваемых данных (обмен ключами для предотвращения спуффинга, HMAC-MD5 шифрование).
PS. Использование DNSSEC имеет обратную сторону - необходимо производить сборку BIND с поддержкой OpenSSL, библиотекой в которой не раз находили проблемы безопасности и проблемы в которой могут отразится на безопасности DNS сервера. Практически все обнаруженные проблемы безопасности BIND 9 связаны с OpenSSL, поэтому приходится указывать при сборке "--with-openssl=no".
|