12.5. BIND: caratteristiche avanzate
La maggior parte delle versioni di BIND utilizza named per fornire servizi di risoluzione dei nomi o per fungere da autorità per un particolare dominio o sottodominio. Tuttavia la versione 9 di BIND comprende una serie di caratteristiche avanzate che, se opportunamente configurate e utilizzate, garantiscono un servizio DNS più sicuro ed efficiente.
 | Avvertenza |
|---|---|
Alcuni di questi contenuti, come DNSSEC, TSIG e IXFR (i quali vengono definiti nella seguente sezione), andrebbero usati solo in ambienti di rete con server dei nomi capaci di supportarli. Se l'ambiente di rete comprende i server dei nomi non BIND o versioni BIND precedenti, verificate che ogni contenuto sia supportato prima di usarlo. |
Tutte le caratteristiche trattate in questo paragrafo vengono approfondite nel BIND 9 Administrator Reference Manual nella Sezione 12.7.
12.5.1. Miglioramenti del protocollo DNS
BIND supporta i trasferimenti di zona incrementali (IXFR), grazie ai quali un server dei nomi slave effettua solo il download delle parti aggiornate di una zona modificata su di un server dei nomi master. Il processo di trasferimento standard richiede che l'intera zona venga trasferita a ogni server dei nomi slave, perfino per la più piccola modifica. Per domini molto diffusi con file di zona lunghi e numerosi server dei nomi slave, IXFR semplifica i processi di notifica e aggiornamento.
IXFR è disponibile solo se utilizzate un aggiornamento dinamico per modificare i record della zona master. Se invece modificate manualmente il file zone per effettuare delle modifiche, viene utilizzato Automatic Zone Transfer (AXFR). Per maggiori informazioni sull'aggiornamento dinamico, consultate il BIND 9 Administrator Reference Manual. Per maggiori informazioni, far riferimento a la Sezione 12.7.1.
12.5.2. Visualizzazioni multiple
Mediante l'uso dell'istruzione view del file named.conf BIND presenta informazioni diverse a seconda di quale rete effettua la richiesta.
Questa opzione è utile soprattutto se desiderate che i client esterni alla vostra rete non possano eseguire un determinato servizio DNS, ma non volete invece escludere i client interni.
L'istruzione view utilizza l'opzione match-clients per far corrispondere indirizzi IP o reti intere conferendo loro opzioni speciali e dati di zona.
12.5.3. Sicurezza
BIND supporta vari metodi di protezione per l'aggiornamento e il trasferimento di zone, in entrambi i server master e slave:
DNSSEC — abbreviazione di DNS SECurity, questa caratteristica consente di cifrare alcune zone con una chiave zona.
In tal modo le informazioni relative a zone specifiche possono essere verificate come provenienti da un server che le ha firmate con una determinata chiave privata, se il destinatario possiede la chiave pubblica del server dei nomi.
La versione 9 di BIND supporta inoltre il metodo SIG(0) chiave pubblica/privata per l'autenticazione del messaggio.
TSIG — abbreviazione di Transaction SIGnatures, questa caratteristica permette un trasferimento da master a slave solo dopo aver verificato l'esistenza della chiave segreta condivisa su entrambi i nameserver.
Questa caratteristica rafforza il metodo IP standard basato sull'indirizzo per l'autorizzazione al trasferimento. Infatti un eventuale intruso per poter trasferire la zona non solo dovrebbe conoscere l'indirizzo IP ma anche la chiave segreta.
La versione 9 di BIND supporta inoltre TKEY, ovvero un altro metodo a chiave segreta condivisa per l'autorizzazione a trasferimenti di zona.
12.5.4. IP versione 6
La versione 9 di BIND supporta il servizio del nome in ambienti IP versione 6 (IPv6) utilizzando i record di zona A6.
Se il vostro ambiente di rete comprende host con IPv4 e IPv6, è necessario usare il demone lwresd, lightweight resolver daemon, nei vostri client. Questo demone è un server dei nomi 'caching-only' davvero efficiente, che riconosce i nuovi record A6 e DNAME utilizzati con IPv6. Per maggiori informazioni, consultate la pagina man di lwresd.