12.5. BINDの高度な機能
ほとんどのBIND実装では、namedだけを使用して名前解決サービスを提供したり、特定のドメインかサブドメインの 権限として動作したりします。しかしBINDバージョン9には数多くの高度な機能があり、より安全で効率的なDNSサービスを 利用することができます。
 | 重要 |
|---|---|
DNSSEC、TSIG、IXFRなど先進機能のうちいくつかは、この機能に対応したネームサーバーを持つネットワーク環境でのみ使用することができます。ネットワーク環境に非BINDのネームサーバーか、旧式のBINDネームサーバーがある場合には、これらを利用する前に特定の先進機能が利用可能であるかどうかを確認してください。 |
ここで述べる機能はすべて、BIND9管理者リファレンスマニュアルでさらに詳細に 説明されています。このマニュアルの説明については、項12.7.1を 参照してください。
12.5.1. DNSプロトコル改良
BINDは、IXFR(増分ゾーン転送:Incremental Zone Transfers)をサポートしています。 ここでは、スレーブネームサーバーはマスターネームサーバー上で変更されたゾーンの更新部分をダウンロードするだけです。 標準転送プロセスでは、たとえほんのわずかな変更であってもゾーン全体を各スレーブネームサーバーに転送しなくては なりませんでした。非常に長いゾーンファイルと数多くのスレーブネームサーバーを持つ非常に人気のあるドメインについては、 IXFRを利用することにより、通知と更新プロセスのリソース集中を大幅に削減することができます。
IXFRは、動的更新を利用してマスターゾーンレコードの変更を行っている場合に のみ利用可能であることに注意してください。手作業でゾーンファイルを編集して変更を行っている場合は、 AXFRが使用されます。動的更新の詳細については、BIND9管理者リファレンスマニュアルを 参照してください。その詳細は項12.7.1で御覧下さい。
12.5.2. 複数ビュー
named.confのviewステートメントを使用することにより、 BINDでは、誰が要求を出しているかに応じて異なる情報を提出することができます。
ローカルネットワーク以外のクライアントには重要なタイプのDNSクエリを拒絶し、 内部のクライアントはこれができるようにしたいというような場合、この機能が 使用されます。
viewステートメントは、match-clientsオプションを使用して IPアドレスかネットワーク全体を一致させ、特別のオプションとゾーンデータを与えるようにします。
12.5.3. セキュリティ
BINDはマスターネームサーバーとスレーブネームサーバーの両方でゾーンの更新と転送を保護するためのさまざまな方法をサポートしてしています。
DNSSEC — DNS SECurityの短縮形。この機能を利用すると、ゾーン鍵でゾーンを暗号的に署名することができます。
この方法により、ある特定のゾーンの情報は、受領者がそのネームサーバーの公開鍵を持っている限り、特定の秘密鍵で署名したネームサーバーから来たものとして検証することができます。
BINDバージョン9はまた、メッセージ認証のSIG(0)公開秘密鍵方法をサポートしています。
TSIG — Transaction SIGnaturesの略語です。 マスターサーバーとスレーブサーバーに共有秘密鍵が存在することが証明された後でのみ、この機能で マスターからスレーブへの転送が認可されます。
この機能により標準IPアドレスに基づいた転送許可の方法が強化されます。攻撃者はIPアドレスにアクセスしてゾーンを転送しなくてはならないだけでなく、秘密鍵を知らなくてはならなくなります。
BINDバージョン9はまた、TKEYをサポートしています。 これは、ゾーン転送を許可するもう1つの共有秘密鍵方法です。