12.5. BIND: caratteristiche avanzate
La maggior parte delle versioni di BIND utilizza named per fornire servizi di risoluzione nomi o per fungere da autorità per un particolare dominio o sottodominio. Tuttavia la versione 9 di BIND comprende una serie di caratteristiche avanzate che, se opportunamente configurate e utilizzate, garantiscono un servizio DNS più sicuro ed efficiente.
 | Avvertenza |
|---|---|
Alcune di queste caratteristiche avanzate, come DNSSEC, TSIG e IXFR, andrebbero usate solo in ambienti di rete con server dei nomi che le supportino. Se la vostra rete comprende server dei nomi non BIND o con versioni precedenti, verificate che una determinata caratteristica avanzata sia disponibile, prima di cercare di utilizzarla. |
Tutte le caratteristiche trattate in questo paragrafo vengono approfondite nel BIND 9 Administrator Reference Manual. Per sapere dove reperire questo manuale, consultate la Sezione 12.7.
12.5.1. Miglioramenti del protocollo DNS
BIND supporta i trasferimenti di zona incrementali (IXFR), grazie ai quali i server slave effettuano il download solo delle parti aggiornate (o modificate) di una zona in un server master. Invece il processo di trasferimento standard richiede che l'intera zona venga trasferita a ogni server slave, perfino per la più piccola modifica. Per domini molto diffusi con file della zona lunghi e molti server slave, IXFR semplifica i processi di notifica e aggiornamento.
IXFR è disponibile solo se utilizzate un aggiornamento dinamico per modificare i record di zona master. Se invece modificate manualmente il file zone, viene utilizzato AXFR. Per maggiori informazioni sull'aggiornamento dinamico, consultate il BIND 9 Administrator Reference Manual. Per maggiori informazioni, far riferimento a la Sezione 12.7.1.
12.5.2. Visualizzazioni multiple
Mediante il commento view del file named.conf BIND presenta informazioni diverse a seconda di chi sta effettuando la richiesta.
Questa possibilità è utile soprattutto se desiderate che i client esterni alla vostra rete non possano eseguire un determinato servizio DNS, ma non volete invece escludere i client interni.
Il commento view utilizza l'opzione match-clients per far corrispondere indirizzi IP o reti intere e per offrire loro opzioni speciali e dati di zona.
12.5.3. Sicurezza
BIND supporta vari metodi di protezione per l'aggiornamento e il trasferimento di zone, in entrambi i server master e slave:
DNSSEC — abbreviazione di DNS SECurity, questa caratteristica consente di cifrare alcune zone con una chiave zona.
In tal modo le informazioni relative a zone specifiche possono essere verificate come provenienti da un server che le ha firmate con una determinata chiave privata, se il destinatario possiede la chiave pubblica del server dei nomi.
La versione 9 di BIND supporta inoltre il metodo SIG(0) chiave pubblica/privata per l'autenticazione del messaggio.
TSIG — abbreviazione di Transaction SIGnatures, si tratta di una chiave segreta condivisa, presente sui server master e slave, che verifica l'autorizzazione a un trasferimento da master a slave.
Questa caratteristica rafforza il metodo IP standard basato sull'indirizzo per l'autorizzazione al trasferimento. Infatti un eventuale intruso per poter trasferire la zona non solo dovrebbe conoscere l'indirizzo IP ma anche la chiave segreta.
La versione 9 di BIND supporta inoltre TKEY, ovvero un altro metodo a chiave segreta condivisa per l'autorizzazione a trasferimenti di zona.
12.5.4. IP versione 6
La versione 9 di BIND può fornire il servizio dei nomi in ambienti IP versione 6 (IPv6) utilizzando i record di zona A6.
Se la vostra rete comprende host con IPv4 e IPv6, è necessario usare il demone lwresd (lightweight resolver daemon) nei vostri client. Questo demone è un server dei nomi caching-only davvero efficiente, che riconosce i nuovi record A6 e DNAME utilizzati con IPv6. Per maggiori informazioni, consultate la pagina man di lwresd.