BIND 9.4 セキュリティ

BIND 9 は、named のセキュリティー方法としてトランザクション署名 (TSIG) と署名 (SIG) を提供します。

BIND 9 で機能するネーム・サーバーは、デフォルトでは、BIND 8 の場合と同様に、権限のあるゾーンの動的更新はできません。

BIND 9 は、主にサーバー間の通信のためのトランザクション署名 (TSIG) をサポートします。これには、ゾーン転送、通知、および再帰的照会メッセージが含まれます。また、TSIG は動的更新にも有用です。動的ゾーンの 1 次サーバーは更新を制御するためのアクセス制御に使用しますが、IP ベースのアクセス制御では十分ではありません。

アクセス制御リストの現行方式ではなくキーをベースにした暗号化を使用することで、TSIG を、動的ゾーンを更新できる人を制限するために使用できます。動的更新の ACL (アクセス制御リスト) 方式と異なり、TSIG キーは、ネーム・サーバー上の構成ファイルを変更せずに、他の更新者に配布できます。これは、ネーム・サーバーが構成ファイルを再度読み取る必要はないということです。

BIND 9 は、BIND 8 でインプリメントされたすべてのキーワードを備えているわけではないことに注意してください。この例では、BIND 8からの簡単なマスター構成を使用しています。

注意: named 9を使うには、以下のコマンドを実行して、namedデーモンへのシンボリックリンクをnamed9に、nsupdateをnsupdate9に再リンクしなければならない：

ln -fs /usr/sbin/named9 /usr/sbin/named
ln -fs /usr/sbin/nsupdate9 /usr/sbin/nsupdate

dnssec-keygen コマンドを使用して、キーを生成します。
```
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST keyname
```
- HMAC-MD5 は、暗号化に使用するアルゴリズム
- 128 は使用するキーの長さ (ビット数)
- HOST: HOST は、共有鍵暗号化に関するホスト・キーの生成に使用する TSIG キーワードです。
次のコマンドは、
```
dnssec-keygen -a HMAC-MD5 -b 128 -n HOST venus-batman.abc.aus.century.com
```
次の 2 つのキー・ファイルを生成します。
```
Kvenus-batman.abc.aus.century.com.+157+35215.key
Kvenus-batman.abc.aus.century.com.+157+35215.private
```
- 157 は使用するアルゴリズム (HMAC-MD5)
- 35215 は指紋。これは 1 つのゾーンに複数のキーが許されるため、DNNSEC 内で有用
エントリーを、マスター・ネーム・サーバー上の named.conf に追加します。
```
// TSIG Key
key venus-batman.abc.aus.century.com. {
        algorithm hmac-md5;
        secret "+UWSvbpxHWFdNwEAdy1Ktw==";
};
```
HMAC-MD5 が使用されていると想定すると、両方のキー・ファイルには共有鍵が含まれ、これらのキー・ファイルは、ファイル内の最後のエントリーとして保管されます。共有秘密鍵をクライアントにコピーするセキュアな方法を見付けます。共有秘密鍵のコピーだけで、キー・ファイルはコピーする必要はありません。
次は、ファイル Kvenus-batman.abc.aus.century.com.+157+35215.private のエントリーです。
```
Private-key-format: v1.2
Algorithm: 157 (HMAC_MD5)
Key: +UWSvbpxHWFdNwEAdy1Ktw==
```
次は、マスター・ネーム・サーバーの named.conf ファイルの例です。ゾーン abc.aus.century.com によって、キー venus-batman.abc.aus.century.com を持つサーバーに対してのみ、ゾーン転送と動的更新ができます。同じことを逆ゾーンに行います。こちらは、更新者は共有鍵を持っている必要があります。
```
// TSIG Key
key venus-batman.abc.aus.century.com. {
        algorithm hmac-md5;
        secret "+UWSvbpxHWFdNwEAdy1Ktw==";
};

options {
        directory "/usr/local/domain";
};

zone "abc.aus.century.com" in {
        type master;
        file "named.abc.data";
        allow-transfer { key venus-batman.abc.aus.century.com.;};
        allow-update{ key venus-batman.abc.aus.century.com.; };
};
```
ゾーン転送がキーを持つものに制限されているため、スレーブ・ネーム・サーバーの named.conf ファイルも編集する必要があります。 192.9.201.1(venus.abc.aus.century.com) に対するすべての要求は、キーによって署名されます。キーの名前に注意（venus-batman.abc.aus.century.com）を使用するサーバーのものと一致しなければならない。
次の例は、ワーカーネームサーバー上の'named.confファイルの例である：
```
// TSIG Key
key venus-batman.abc.aus.century.com. {
        algorithm hmac-md5;
        secret "+UWSvbpxHWFdNwEAdy1Ktw==";
};

server 192.9.201.1{
        keys { venus-batman.abc.aus.century.com.;};
};

options {
        directory "/usr/local/domain";
};

zone "abc.aus.century.com" IN {
    type slave;
    file "named.abc.data.bak";
    masters { 192.9.201.1; };
};
```

BIND 9のセキュリティとDNSSEC - BINDバージョン9.18

BIND 9では、'namedコマンドのセキュリティ対策として、アクセス制御リスト、'chroot環境、'setuid機能、ダイナミック・アップデートを提供している。

BINDバージョン9.18におけるセキュリティの考慮点については、BIND 9のセキュリティの考慮点を参照のこと。

ドメイン・ネーム・システム・セキュリティー (DNSSEC) について詳しくは、以下のトピックを参照してください。