12.5. BINDの高度な機能
ほとんどのBIND実装では、namedだけを使用して名前解決サービスを提供したり、特定のドメインかサブドメインの 権限として動作したりします。しかしBINDバージョン9には数多くの高度な機能があり、より安全で効率的なDNSサービスを 利用することができます。
 | 重要 |
|---|---|
DNSSEC、TSIG、IXFR(次ぎのセクションで定義)など先進機能のうちいくつかは、この機能に対応したネームサーバーを持つネットワーク環境でのみ使用することができます。ネットワーク環境に非 BIND のネームサーバーや、旧式の BINDネームサーバーがある場合には、これらを利用する前に各先進機能に対応しているかどうか確認してください。 |
ここで述べる機能はすべて、項12.7.1の BIND9管理者リファレンスマニュアルでさらに詳細に説明されています。
12.5.1. DNSプロトコル改良
BINDは、IXFR(増分ゾーン転送:Incremental Zone Transfers)をサポートしています。 ここでは、スレーブネームサーバーはマスターネームサーバー上で変更されたゾーンの 更新部分をダウンロードするだけです。 標準転送プロセスでは、 たとえほんのわずかな変更であってもゾーン全体を各スレーブネームサーバーに 転送しなくてはなりません。非常に長いゾーンファイルと数多くのスレーブネームサーバーを持つ 非常に人気のあるドメインには、IXFRを利用することにより、 通知と更新プロセスのリソース集中を大幅に削減することができます。
IXFR は、動的更新を利用してマスターゾーンレコードの変更を行っている場合にのみ利用可能であることに注意してください。手作業でゾーンファイルを編集して変更を行っている場合は、AXFR(Automatic Zone Transfer)が使用されます。動的更新の詳細については、BIND 9 管理者リファレンスマニュアルを参照してください。その詳細は項12.7.1で御覧下さい。
12.5.2. 複数ビュー
named.confのviewステートメントを使用することにより、 BINDでは、要求発信先のネットワークに応じて異なる情報を提出することができます。
ローカルネットワーク以外のクライアントには重要なタイプのDNSクエリを拒絶し、 内部のクライアントはこれができるようにしたいというような場合、この機能が 使用されます。
viewステートメントは、match-clientsオプションを使用して IPアドレスかネットワーク全体を一致させ、特別のオプションとゾーンデータを与えるようにします。
12.5.3. セキュリティ
BINDはマスターネームサーバーとスレーブネームサーバーの両方でゾーンの更新と転送を保護するためのさまざまな方法をサポートしてしています。
DNSSEC — DNS SECurityの短縮形。この機能を利用すると、ゾーン鍵でゾーンを暗号的に署名することができます。
この方法により、ある特定のゾーンの情報は、受領者がそのネームサーバーの公開鍵を持っている限り、特定の秘密鍵で署名したネームサーバーから来たものとして検証することができます。
BINDバージョン9はまた、メッセージ認証のSIG(0)公開秘密鍵方法をサポートしています。
TSIG — Transaction SIGnaturesの略語です。 マスターサーバーとスレーブサーバーに共有秘密鍵が存在することが証明された後でのみ、この機能で マスターからスレーブへの転送が認可されます。
この機能により標準IPアドレスに基づいた転送許可の方法が強化されます。攻撃者はIPアドレスにアクセスしてゾーンを転送しなくてはならないだけでなく、秘密鍵を知らなくてはならなくなります。
BINDバージョン9はまた、TKEYをサポートしています。 これは、ゾーン転送を許可するもう1つの共有秘密鍵方法です。