12.5. Fonctionnalit�s avanc�es de BIND
La plupart des impl�mentations de BIND utilisent named pour fournir un service de r�solution de noms ou pour faire autorit� pour un domaine ou sous-domaine particuliers. Toutefois, la version 9 de BIND poss�de aussi un certain nombre de fonctionnalit�s avanc�es qui permettent d'offrir un service DNS plus efficace et plus s�curis�.
| Attention |
---|
| Certaines de ces fonctionnalit�s avanc�es, comme DNSSEC, TSIG et IXFR (qui sont d�finies dans la section suivante), ne doivent �tre utilis�es que dans les environnements r�seau ayant des serveurs de noms qui prennent en charge ces fonctionnalit�s. Si votre environnement r�seau inclut des serveurs de noms autres que BIND ou des versions de BIND plus anciennes, v�rifiez que chaque fonctionnalit� avanc�e est bien prise en charge avant d'essayer de l'utiliser. |
Toutes les fonctionnalit�s mentionn�es ici sont d�crites en d�tail dans le document intitul� BIND 9 Administrator Reference Manual auquel la Section 12.7.1 fait r�f�rence.
12.5.1. Am�liorations du protocole DNS
BIND prend en charge les transferts de zone incr�mentaux (ou IXFR de l'anglais Incremental Zone Transfers) dans lesquels le serveur de noms esclave ne t�l�charge que les portions mises � jour d'une zone modifi�e sur un serveur de noms ma�tre. Le processus de transfert standard n�cessite que la zone enti�re soit transf�r�e vers chaque serveur de noms esclave m�me pour des changements mineurs. Pour des domaines tr�s populaires avec des fichiers de zones tr�s longs et pour de nombreux serveurs de noms esclaves, IXFR rend la notification et les processus de mise � jour bien moins exigeants en ressources.
Notez que IXFR n'est disponible que si vous utilisez une mise � jour dynamique pour apporter des modifications aux informations de zone ma�tre. Si vous �ditez manuellement des fichiers de zone pour effectuer des changements, le processus de transfert AXFR (Automatic Zone Transfer) est utilis�. Davantage d'informations sur les mises � jour dynamiques sont disponibles dans le document intitul� BIND 9 Administrator Reference Manual. Reportez-vous � la Section 12.7.1 pour obtenir davantage d'informations.
12.5.2. Vues multiples
En fonction de l'utilisation de la d�claration view dans named.conf, BIND peut fournir diff�rentes informations en fonction du r�seau puis lequel la requ�te provient.
Cette option est utilis�e essentiellement pour refuser des entr�es DNS confidentielles depuis des clients externes au r�seau local, tout en permettant des requ�tes provenant de clients internes au r�seau local.
La d�claration view utilise l'option match-clients pour �tablir la correspondance entre des adresses IP ou des r�seaux entiers et pour leur attribuer des options et des donn�es de zones sp�ciales.
12.5.3. S�curit�
BIND supporte plusieurs m�thodes diff�rentes pour prot�ger la mise � jour et le transfert de zones, aussi bien sur les serveurs de noms ma�tres qu'esclaves�:
DNSSEC — Abr�viation de DNS SECurity, cette fonctionnalit� permet de signer cryptographiquement des zones avec une cl� de zone.
De cette fa�on, on peut v�rifier que les informations relatives � une zone sp�cifique proviennent d'un serveur de noms qui les a sign�es avec une cl� priv�e particuli�re, du moment que le receveur poss�de la cl� publique de ce serveur de noms.
La version 9 de BIND prend aussi en charge la m�thode d'authentification de messages SIG(0) utilisant un syst�me de cl� publique/priv�e.
TSIG — Abr�viation de Transaction SIGnatures�; cette fonctionnalit� permet d'effectuer un transfert de ma�tre � esclave, mais seulement apr�s v�rification qu'une cl� secr�te partag�e existe sur le serveur ma�tre et sur le serveur esclave.
Cette fonctionnalit� renforce la m�thode d'autorisation de transfert bas�e sur l'adresse IP standard. Un agresseur devra non seulement acc�der � l'adresse IP pour transf�rer la zone, mais il devra aussi conna�tre la cl� secr�te.
La version 9 de BIND prend aussi en charge TKEY, qui est une autre m�thode de cl� secr�te partag�e pour autoriser les transferts de zone.
12.5.4. IP version 6
La version 9 de BIND prend en charge un service de noms dans des environnements IP version 6 (IPv6) gr�ce aux enregistrements de zone A6.
Si votre environnement r�seau inclut aussi bien des h�tes IPv4 que des h�tes IPv6, utilisez le d�mon de r�solution l�ger lwresd sur tous les clients du r�seau. Ce d�mon est un serveur de noms tr�s efficace, de type caching-only, qui prend en charge les nouveaux enregistrements d'informations A6 et DNAME utilis�s sous IPv6. Consultez la page de manuel de lwresd pour obtenir davantage d'informations.