Propriétés avancées de BIND
La plupart des mises en oeuvres de BIND n'utilisent named que pour fournir un service de résolution de noms ou pour faire autorité pour un domaine ou sous-domaine particulier. Mais la version 9 de BIND possède aussi un certain nombre de propriétés avancées qui, quand on les configure et utilise de manière adéquate, permettent d'offrir un service DNS plus efficace et plus sécurisé.
 | Attention |
|---|---|
Quelques unes des ces propriétés avancées, comme DNSSEC, TSIG et IXFR, ne doivent être utilisées que dans les environnements de réseau munis de serveurs de noms qui supportent ces propriétés. Si votre environnement de réseau inclue des serveurs de noms non-BIND ou des versions de BIND plus anciennes, il vous faut vérifier si une propriété avancée est bien supportée avant d'essayer de la mettre en oeuvre. Il ne faut pas présumer qu'un autre type de serveur de noms supportera ces propriétés, en fait beaucoup ne le font pas. |
Toutes les propriétés évoquées ici sont décrites en détail dans le BIND 9 Administrator Reference Manual. Consultez la la section intitulée Autres ressources pour trouver les endroits où vous pourrez vous procurer ce manuel.
Améliorations du protocole DNS
BIND supporte les Transferts de zone incrémentaux (Incremental Zone Transfers, IXFR), dans lesquels le serveur de noms esclave ne télécharge que les portions mises à jour d'une zone modifiée sur un serveur de noms maître. Le processus de transfert AXFR standard nécessite que la zone entière soit transférée vers chaque serveur de noms esclave même pour le plus petit changement. Pour des domaines très populaires avec des fichiers de zones très longs, IXFR rend la notification et les processus de mise à jour bien moins exigeants en ressources.
Notez que IXFR n'est disponible que si vous utilisez en même temps le dynamic updating pour opérer des changements sur les enregistrements de zone maître. Si vous éditez manuellement des fichiers de zone pour opérer des changements, c'est AXFR qui doit être utilisé. Vous trouverez plus d'informations sur les mises à jour dynamiques dans le BIND 9 Administrator Reference Manual.
Vues multiples
BIND vous permet, en utilisant la déclaration view dans /etc/named.conf, de configurer un serveur de noms pour répondre aux requêtes de certains clients d'une manière différente que pour les autres clients.
Cela est utile surtout si vous souhaitez que des clients extérieurs à votre réseau ne puissent pas exécuter un service DNS particulier ou accéder à un certain type d'information, tout en y autorisant les clients internes.
La déclaration view utilise l'option match-clients pour faire correspondre les adresses IP ou des réseaux entiers et leur attribuer des options et des données de zones spéciales.
Sécurité
BIND supporte plusieurs méthodes différentes pour protéger la mise à jour et le transfert de zones, à la fois sur les serveurs de noms maîtres et esclaves :
DNSSEC — Abbréviation de DNS SECurity, cette propriété permet de signer cryptographiquement des zones avec une clé de zone (zone key).
De cette façon, on peut vérifier que les informations au sujet d'une zone spécifique proviennent d'un serveur de noms qui les a signées avec une clé privée particulière, du moment que le receveur possède la clé publique de ce serveur de noms.
La version 9 de BIND supporte aussi la méthode de clé publique/privée SIG(0) d'authentification de messages.
TSIG — Abbréviation de Transaction SIGnatures, installe une clé secrète partagée sur le serveur maître et le serveur esclave, et vérifie qu'un transfert de maître à esclave est autorisé.
Cette propriété renforce la méthode d'autorisation de transfert basée sur l'adresse IP standard. Un agresseur n'aura pas seulement besoin d'accéder à l'adresse IP pour transférer la zone, mais devra aussi connaître la clé secrète.
La version 9 de BIND supporte aussi TKEY, qui est une autre méthode de clé secrète partagée pour autoriser les transferts de zone.
IP version 6
La version 9 de BIND peut fournir un service de noms en environnement IP version 6 (IPv6), grâce aux enregistrements de zone A6.
Si votre environnement de réseau inclue à la fois des hôtes IPv4 et IPv6, il vous faut utiliser le démon de résolution très léger lwresd sur vos clients de réseau. Ce démon est essentiellement un serveur de noms très efficace et fonctionnant uniquement en cache, qui supporte les nouveaux enregistrements A6 et DNAME qui fonctionnent avec IPv6. Consultez la page de manuel lwresd pour plus d'informations.