BINDの先進機能
ほとんどのBINDインプリメンテーションでは、namedだけを使用して名前解決サービスを提供したり、特定のドメインかサブドメインの権限として動作したりします。しかしBINDバージョン9には数多くの機能があり、適切に設定して使用すれば、より安全で効率的なDNSサービスを利用することができます。
 | 重要 |
|---|---|
DNSSEC、TSIG、IXFRなど先進機能のうちいくつかは、この機能に対応したネームサーバーを持つネットワーク環境でのみ使用することができます。ネットワーク環境に非BINDのネームサーバーか、旧式のBINDネームサーバーがある場合には、これらを利用する前に特定の先進機能が利用可能であるかどうかを確認してください。 他のタイプのネームサーバーがこれらの機能をすべてサポートしているとは考えない方がよいでしょう。 |
ここで述べる機能はすべて、BIND9管理者リファレンスマニュアルでさらに詳細に説明されています。このマニュアルの説明については、追加リソース項を参照してください。
DNSプロトコル改良
BINDは、IXFR(増分ゾーン転送:Incremental Zone Transfers)をサポートしています。ここでは、スレーブネームサーバーはマスターネームサーバー上で変更されたゾーンの更新部分をダウンロードするだけです。標準転送AXFRプロセスでは、たとえほんのわずかな変更であってもゾーン全体を各スレーブネームサーバーに転送しなくてはなりませんでした。非常に長いゾーンファイルと数多くのスレーブネームサーバーを持つ非常に人気のあるドメインについては、IXFRを利用することにより、通知と更新プロセスのリソース集中を大幅に削減することができます。
IXFRは、動的更新を利用してマスターゾーンレコードの変更を行っている場合にのみ利用可能であることに注意してください。手作業でゾーンファイルを編集して変更を行っている場合は、AXFRが使用されます。動的更新の詳細については、BIND9管理者リファレンスマニュアルを参照してください。
複数ビュー
BINDでは、/etc/named.confのviewステートメントを使用することにより、あるクライアントには他のクライアントとは異なった方法でクエリに回答するネームサーバーを設定することがでます。
ネットワーク外のクライアントには特定のタイプのDNSクエリを拒絶し、内部のクライアントはこれができるようにしたいというような場合、この機能が特に役に立ちます。
viewステートメントは、match-clientsオプションを使用してIPアドレスかネットワーク全体を一致させ、特別のオプションとゾーンデータを与えるようにします。
セキュリティ
BINDはマスターネームサーバーとスレーブネームサーバーの両方でゾーンの更新と転送を保護するためのさまざまな方法をサポートしてしています。
DNSSEC — DNS SECurityの短縮形。この機能を利用すると、ゾーン鍵でゾーンを暗号的に署名することができます。
この方法により、ある特定のゾーンの情報は、受領者がそのネームサーバーの公開鍵を持っている限り、特定の秘密鍵で署名したネームサーバーから来たものとして検証することができます。
BINDバージョン9はまた、メッセージ認証のSIG(0)公開秘密鍵方法をサポートしています。
TSIG — Transaction SIGnaturesの短縮形。マスターサーバーとスレーブサーバーに共有秘密鍵が存在するため、マスターサーバーからスレーブサーバーへの転送が許可されていることを検証することができます。
この機能により標準IPアドレスに基づいた転送許可の方法が強化されます。攻撃者はIPアドレスにアクセスしてゾーンを転送しなくてはならないだけでなく、秘密鍵を知らなくてはならなくなります。
BINDバージョン9はまた、TKEYをサポートしています。これは、ゾーン転送を許可するもう1つの共有秘密鍵方法です。
IPバージョン6
BINDバージョン9は、A6ゾーンレコードを使用することによりIPバージョン6(IPv6)でのネームサービスを提供することができます。
ネットワーク環境にIPv4ホストとIPv6ホストが両方とも含まれている場合、ネットワーククライアントでlwresd軽量リゾルバデーモンを使用しなくてはなりません。このデーモンは、本質的に非常に効率の高いキャッシュのみのネームサーバーであり、IPv6で利用されている新しいA6レコードとDNAMEレコードを理解します。詳細についてはlwresdのmanページを参照してください。