Follow Techotopia on Twitter

On-line Guides
All Guides
eBook Store
iOS / Android
Linux for Beginners
Office Productivity
Linux Installation
Linux Security
Linux Utilities
Linux Virtualization
Linux Kernel
System/Network Admin
Programming
Scripting Languages
Development Tools
Web Development
GUI Toolkits/Desktop
Databases
Mail Systems
openSolaris
Eclipse Documentation
Techotopia.com
Virtuatopia.com
Answertopia.com

How To Guides
Virtualization
General System Admin
Linux Security
Linux Filesystems
Web Servers
Graphics & Desktop
PC Hardware
Windows
Problem Solutions
Privacy Policy

  




 

 

Linuxtopia - Red Hat Enterprise Linux 4: Manual de referencia - Caracter�sticas avanzadas de BIND

12.5. Caracter�sticas avanzadas de BIND

La mayor�a de las implementaciones BIND solamente utilizan named para proporcionar servicios de resoluci�n de nombres o para actuar como una autoridad para un dominio particular o sub-dominio. Sin embargo, BIND versi�n 9 tiene un n�mero de caracter�sticas avanzadas que permiten un servicio DNS m�s seguro y avanzado.

Atenci�nAtenci�n
 

Algunas de estas propiedades avanzadas, tales como DNSSEC, TSIG e IXFR (las cuales se definen en la secci�n siguiente), solamente se deber�an usar en los entornos de red que tengan servidores de nombres que soporten estas propiedades. Si su entorno de red incluye servidores de nombres no-BIND o versiones anteriores de BIND, verifique que cada caracter�stica avanzada sea soportada antes de intentar utilizarla.

Todas las propiedades citadas aqu� se describen en detalle en el Manual de referencia para el administrador de BIND 9 referenciado en la Secci�n 12.7.1.

12.5.1. Mejoras al protocolo DNS

BIND soporta Transferencias de zona incremental (Incremental Zone Transfers, IXFR), donde un servidor de nombres esclavo s�lo descargar� las porciones actualizadas de una zona modificada en un servidor de nombres maestro. El proceso de transferencia est�ndar requiere que la zona completa sea transferida a cada servidor de nombres esclavo hasta por el cambio m�s peque�o. Para dominios muy populares con archivos de zona muy largos y muchos servidores de nombres esclavos, IXFR hace que la notificaci�n y los procesos de actualizaci�n sean menos exigentes en recursos.

Observe que IXFR solamente est� disponible cuando utiliza la actualizaci�n din�mica para realizar los cambios en los registros de zona maestra. Si cambia los archivos de zona manualmente, tiene que usar AXFR (Automatic Zone Transfer). Encontrar� m�s informaci�n sobre la actualizaci�n din�mica en el Manual de referencia para el administrador de BIND 9. Consulte la Secci�n 12.7.1 para m�s informaci�n.

12.5.2. Vistas m�ltiples

A trav�s del uso de la declaraci�n view en named.conf, BIND puede presentar informaci�n diferente dependiendo desde cu�l red se est� realizando la petici�n.

Esto es b�sicamente usado para negar entradas DNS confidenciales a clientes fuera de la red local, mientras se permiten consultas desde clientes dentro de la red local.

La declaraci�n view usa la opci�n match-clients para coincidir direcciones IP o redes completas y darles opciones especiales y datos de zona.

12.5.3. Seguridad

BIND soporta un n�mero de m�todos diferentes para proteger la actualizaci�n y zonas de transferencia, en los servidores de nombres maestro y esclavo:

  • DNSSEC — Abreviaci�n de DNS SECurity, esta propiedad permite firmar con caracteres criptogr�ficos zonas con una clave de zona.

    De esta manera, puede verificar que la informaci�n de una zona provenga de un servidor de nombres que la ha firmado con caracteres criptogr�ficos con una clave privada, siempre y cuando el recipiente tenga esa clave p�blica del servidor de nombres.

    BIND versi�n 9 tambi�n soporta el m�todo SIG(0) de llave p�blica/privada de autenticaci�n de mensajes.

  • TSIG — Abreviaci�n para Transaction SIGnatures, esta caracter�stica permite una transferencia desde el maestro al esclavo s�lo despu�s de verificar que una llave secreta compartida existe en ambos servidores maestro y en el esclavo.

    Esta caracter�stica fortalece el m�todo est�ndar basado en direcciones IP de transferencia de autorizaci�n. Un intruso no solamente necesitar� acceso a la direcci�n IP para transferir la zona, sino tambi�n necesitar� conocer la clave secreta.

    BIND versi�n 9 tambi�n soporta TKEY, el cual es otro m�todo de autorizaci�n de zonas de transferencia basado en clave secreta compartida.

12.5.4. IP versi�n 6

BIND versi�n 9 puede proporcionar servicios de nombres en ambientes IP versi�n 6 (IPv6) a trav�s del uso de registros de zona A6.

Si el entorno de red incluye hosts IPv4 e IPv6, use el demonio ligero de resoluci�n lwresd en todos los clientes de la red. Este demonio es muy eficiente, funciona solamente en cach� y adem�s entiende los nuevos registros A6 y DNAME usados bajo IPv6. Consulte la p�gina de manual para lwresd para m�s informaci�n.

 
 
  Published under the terms of the GNU General Public License Design by Interspire