12.5. Fonctionnalités avancées de BIND
La plupart des implémentations de BIND utilisent named pour fournir un service de résolution de noms ou pour faire autorité pour un domaine ou sous-domaine particuliers. Toutefois, la version 9 de BIND possède aussi un certain nombre de fonctionnalités avancées qui permettent d'offrir un service DNS plus efficace et plus sécurisé.
 | Attention |
|---|---|
Certaines de ces fonctionnalités avancées, comme DNSSEC, TSIG et IXFR (qui sont définies dans la section suivante), ne doivent être utilisées que dans les environnements réseau ayant des serveurs de noms qui prennent en charge ces fonctionnalités. Si votre environnement réseau inclut des serveurs de noms autres que BIND ou des versions de BIND plus anciennes, vérifiez que chaque fonctionnalité avancée est bien prise en charge avant d'essayer de l'utiliser. |
Toutes les fonctionnalités mentionnées ici sont décrites en détail dans le document intitulé BIND 9 Administrator Reference Manual auquel la Section 12.7.1 fait référence.
12.5.1. Améliorations du protocole DNS
BIND prend en charge les transferts de zone incrémentaux (ou IXFR de l'anglais Incremental Zone Transfers) dans lesquels le serveur de noms esclave ne télécharge que les portions mises à jour d'une zone modifiée sur un serveur de noms maître. Le processus de transfert standard nécessite que la zone entière soit transférée vers chaque serveur de noms esclave même pour des changements mineurs. Pour des domaines très populaires avec des fichiers de zones très longs et pour de nombreux serveurs de noms esclaves, IXFR rend la notification et les processus de mise à jour bien moins exigeants en ressources.
Notez que IXFR n'est disponible que si vous utilisez une mise à jour dynamique pour apporter des modifications aux informations de zone maître. Si vous éditez manuellement des fichiers de zone pour effectuer des changements, le processus de transfert AXFR (Automatic Zone Transfer) est utilisé. Davantage d'informations sur les mises à jour dynamiques sont disponibles dans le document intitulé BIND 9 Administrator Reference Manual. Reportez-vous à la Section 12.7.1 pour obtenir davantage d'informations.
12.5.2. Vues multiples
En fonction de l'utilisation de la déclaration view dans named.conf, BIND peut fournir différentes informations en fonction du réseau puis lequel la requête provient.
Cette option est utilisée essentiellement pour refuser des entrées DNS confidentielles depuis des clients externes au réseau local, tout en permettant des requêtes provenant de clients internes au réseau local.
La déclaration view utilise l'option match-clients pour établir la correspondance entre des adresses IP ou des réseaux entiers et pour leur attribuer des options et des données de zones spéciales.
12.5.3. Sécurité
BIND supporte plusieurs méthodes différentes pour protéger la mise à jour et le transfert de zones, aussi bien sur les serveurs de noms maîtres qu'esclaves :
DNSSEC — Abréviation de DNS SECurity, cette fonctionnalité permet de signer cryptographiquement des zones avec une clé de zone.
De cette façon, on peut vérifier que les informations relatives à une zone spécifique proviennent d'un serveur de noms qui les a signées avec une clé privée particulière, du moment que le receveur possède la clé publique de ce serveur de noms.
La version 9 de BIND prend aussi en charge la méthode d'authentification de messages SIG(0) utilisant un système de clé publique/privée.
TSIG — Abréviation de Transaction SIGnatures ; cette fonctionnalité permet d'effectuer un transfert de maître à esclave, mais seulement après vérification qu'une clé secrète partagée existe sur le serveur maître et sur le serveur esclave.
Cette fonctionnalité renforce la méthode d'autorisation de transfert basée sur l'adresse IP standard. Un agresseur devra non seulement accéder à l'adresse IP pour transférer la zone, mais il devra aussi connaître la clé secrète.
La version 9 de BIND prend aussi en charge TKEY, qui est une autre méthode de clé secrète partagée pour autoriser les transferts de zone.
12.5.4. IP version 6
La version 9 de BIND prend en charge un service de noms dans des environnements IP version 6 (IPv6) grâce aux enregistrements de zone A6.
Si votre environnement réseau inclut aussi bien des hôtes IPv4 que des hôtes IPv6, utilisez le démon de résolution léger lwresd sur tous les clients du réseau. Ce démon est un serveur de noms très efficace, de type caching-only, qui prend en charge les nouveaux enregistrements d'informations A6 et DNAME utilisés sous IPv6. Consultez la page de manuel de lwresd pour obtenir davantage d'informations.