Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions

  




 

 

Linuxtopia - Red Hat Enterprise Linux Reference Guide (Italiano) - BIND: caratteristiche avanzate

12.5. BIND: caratteristiche avanzate

La maggior parte delle versioni di BIND utilizza named per fornire servizi di risoluzione dei nomi o per fungere da autorit� per un particolare dominio o sottodominio. Tuttavia la versione 9 di BIND comprende una serie di caratteristiche avanzate che, se opportunamente configurate e utilizzate, garantiscono un servizio DNS pi� sicuro ed efficiente.

CautelaAvvertenza
 

Alcuni di questi contenuti, come DNSSEC, TSIG e IXFR (i quali vengono definiti nella seguente sezione), andrebbero usati solo in ambienti di rete con server dei nomi capaci di supportarli. Se l'ambiente di rete comprende i server dei nomi non BIND o versioni BIND precedenti, verificate che ogni contenuto sia supportato prima di usarlo.

Tutte le caratteristiche trattate in questo paragrafo vengono approfondite nel BIND 9 Administrator Reference Manual nella Sezione 12.7.

12.5.1. Miglioramenti del protocollo DNS

BIND supporta i trasferimenti di zona incrementali (IXFR), grazie ai quali un server dei nomi slave effettua solo il download delle parti aggiornate di una zona modificata su di un server dei nomi master. Il processo di trasferimento standard richiede che l'intera zona venga trasferita a ogni server dei nomi slave, perfino per la pi� piccola modifica. Per domini molto diffusi con file di zona lunghi e numerosi server dei nomi slave, IXFR semplifica i processi di notifica e aggiornamento.

IXFR � disponibile solo se utilizzate un aggiornamento dinamico per modificare i record della zona master. Se invece modificate manualmente il file zone per effettuare delle modifiche, viene utilizzato Automatic Zone Transfer (AXFR). Per maggiori informazioni sull'aggiornamento dinamico, consultate il BIND 9 Administrator Reference Manual. Per maggiori informazioni, far riferimento a la Sezione 12.7.1.

12.5.2. Visualizzazioni multiple

Mediante l'uso dell'istruzione view del file named.conf BIND presenta informazioni diverse a seconda di quale rete effettua la richiesta.

Questa opzione � utile soprattutto se desiderate che i client esterni alla vostra rete non possano eseguire un determinato servizio DNS, ma non volete invece escludere i client interni.

L'istruzione view utilizza l'opzione match-clients per far corrispondere indirizzi IP o reti intere conferendo loro opzioni speciali e dati di zona.

12.5.3. Sicurezza

BIND supporta vari metodi di protezione per l'aggiornamento e il trasferimento di zone, in entrambi i server master e slave:

  • DNSSEC — abbreviazione di DNS SECurity, questa caratteristica consente di cifrare alcune zone con una chiave zona.

    In tal modo le informazioni relative a zone specifiche possono essere verificate come provenienti da un server che le ha firmate con una determinata chiave privata, se il destinatario possiede la chiave pubblica del server dei nomi.

    La versione 9 di BIND supporta inoltre il metodo SIG(0) chiave pubblica/privata per l'autenticazione del messaggio.

  • TSIG — abbreviazione di Transaction SIGnatures, questa caratteristica permette un trasferimento da master a slave solo dopo aver verificato l'esistenza della chiave segreta condivisa su entrambi i nameserver.

    Questa caratteristica rafforza il metodo IP standard basato sull'indirizzo per l'autorizzazione al trasferimento. Infatti un eventuale intruso per poter trasferire la zona non solo dovrebbe conoscere l'indirizzo IP ma anche la chiave segreta.

    La versione 9 di BIND supporta inoltre TKEY, ovvero un altro metodo a chiave segreta condivisa per l'autorizzazione a trasferimenti di zona.

12.5.4. IP versione 6

La versione 9 di BIND supporta il servizio del nome in ambienti IP versione 6 (IPv6) utilizzando i record di zona A6.

Se il vostro ambiente di rete comprende host con IPv4 e IPv6, � necessario usare il demone lwresd, lightweight resolver daemon, nei vostri client. Questo demone � un server dei nomi 'caching-only' davvero efficiente, che riconosce i nuovi record A6 e DNAME utilizzati con IPv6. Per maggiori informazioni, consultate la pagina man di lwresd.

 
 
  Published under the terms of the GNU General Public License Design by Interspire