14.2.5. BIND の高度な機能

ほとんどの BIND 実装は、名前解決サービスを提供するため、または特定のドメイン用の権威として機能するために named を使用するだけです。しかし、BIND バージョン 9 は数種の高度な機能を含んでおり、より安全で効率的な DNS サービスを可能にします。

重要

DNSSEC、TSIG、IXFR (増分ゾーン転送) などの高度な機能の使用を試みる前に、特に BIND の古いバージョンや BIND 以外のサーバーを使用している場合は、その特定の機能がネットワーク環境内のすべてのネームサーバーでサポートされていることを確認して下さい。
ここで言及されているすべての機能は 「インストールされているドキュメント」 内で参照されている 『BIND 9 Administrator Reference Manual (管理者参照マニュアル)』 でより詳細に説明してあります。

14.2.5.1. 複数表示

オプションとして、要求発信元のネットワークに応じて異なる情報をクライアントに提供することができます。これは主に、ローカルネットワーク外のクライアントからの要注意 DNS エントリを拒否するために、そしてそれと同時にローカルネットワーク内のクライアントからのクエリを受け付けるために使用されます。
複数表示を設定するには、view ステートメントを /etc/named.conf 設定ファイルに追加します。match-clients オプションを使用して、IP アドレスか、またはネットワーク全体とマッチするようにしてから、それらに特別なオプションとゾーンデータを与えます。

14.2.5.2. IXFR (Incremental Zone Transfers 差分ゾーン転送)

Incremental Zone Transfers 差分ゾーン転送 (IXFR) により、セカンダリネームサーバーはプライマリネームサーバー上で修正されたゾーンの更新部分だけをダウンロードすることができます。標準の転送プロセスに比較すると、これが通知と更新のプロセスを格段に効率的にします。
IXFR は、動的な更新を使用してマスターゾーンレコードに変更を加える時にのみ使用可能なことに注意して下さい。ゾーンファイルを手動の編集で変更する場合は、Automatic Zone Transfer 自動ゾーン転送 (AXFR) が使用されます。

14.2.5.3. Transaction SIGnatures トランザクション署名 (TSIG)

Transaction SIGnatures トランザクション署名 (TSIG) は、転送を許可する前に共有の秘密鍵がプライマリとセカンダリの両方のサーバー上に存在することを確認します。これにより標準の IP アドレスベースの転送認証メソッドが強化されます。攻撃者は、ゾーンを転送するのに IP アドレスにアクセスする必要があるだけでなく、秘密鍵を知っている必要があります。
バージョン 9 からは、BIND は TKEY をサポートしますが、これはゾーン転送認証のもう1つの共有秘密鍵メソッドです。

重要

安全でないネットワーク上で通信している時には、IP アドレスベース認証のみに頼らないで下さい。

14.2.5.4. DNSSEC (DNS Security Extensions)

Domain Name System Security Extensions ドメイン名システムセキュリティ拡張 (DNSSEC) は、DNS データの発信元認証、認証による存在否定、及びデータ整合性を提供します。特定のドメインが安全としてマークされている時、検証に失敗した各リソースレコードに SERFVAIL 応答が返されます。
DNSSEC 署名のドメイン、または DNSSEC 認識のリゾルバーをデバッグするには、「dig ユーティリティの使用」 に説明してあるように、dig ユーティリティを使用することができます。役に立つオプションとして、+dnssec (DNSSEC OK キットを設定することで、DNSSEC 関連のリソースレコードを要求)、+cd (応答を検証しないように再帰的ネームサーバーに指示)、そして+bufsize=512 (一部のファイヤーウォールを通過する為にパケットサイズを 512B に変更) があります。

14.2.5.5. インターネットプロトコルバージョン 6 (IPv6)

Internet Protocol version 6 インターネットプロトコルバージョン 6 (IPv6) は 表14.3「一般的に使用されるオプション」 に説明してあるように AAAA リソースレコードの使用、及び listen-on-v6 指示文を介してサポートされています。