Sécurisez votre service BIND DNS

  BIND a été pendant longtemps une méthode répandue de résolution d’adresses IP et de noms d’hôtes Internet. L’ISC (Internet Software Consortium) développe et maintient des codes source BIND, téléchargeables gratuitement à  ftp://ftp.isc.org. Les trois générations de BIND sont BIND 4, BIND 8, et BIND 9 ; au moment où nous écrivons cet article, les versions les plus récentes sont BIND 4.9.8, BIND 8.2.4 et BIND 9.1.3, respectivement. Cependant, l’ISC a annoncé qu’il ne maintiendra plus activement BIND 4 et donc, si vous utilisez cette version, il vaut mieux passer à  BIND ou à  BIND 9. BIND 8.2.3 et ultérieur offrent de nombreuses possibilités importantes, comme DDNS (Dynamic DNS), DNSSEC (DNS Security), TSIG (Transaction Signature) et IXFR (incremental zone transfer). BIND 8.2.3 et ultérieur corrigent également des bogues – y compris les lacunes de sécurité que le CERT Coordination Center (CERT/CC) a publiées – depuis les versions BIND antérieures. BIND 9.1.3 comprend les fonctions de BIND 8.2.3 plus le support d’IPv6, des multiprocesseurs, et des bases de données tierces backend ; de meilleures possibilités DNSSEC; une nouvelle architecture de portabilité et une nouvelle fonction View permettent de diviser le service DNS sur un serveur DNS. Les dernières versions BIND prennent également mieux en charge Windows 2000. (BIND s’exécute essentiellement sur des platesformes UNIX et Linux, mais des développeurs ont porté BIND 8.2.3 et ultérieur sur Win2K ou Windows NT ; par conséquent, vous pouvez utiliser facilement BIND 8 sur des systèmes Win2K et NT, comme l’explique l’encadré « BIND sur Win2K ou NT ». Pour plus d’informations sur le support de Win2K par BIND, voir l’article « Integrating UNIX DNS and Windows 2000 », février 2000. Pour dire à  un serveur BIND DNS comment il doit se comporter, BIND utilise un fichier de configuration à  base de texte, appelé named.conf dans BIND 8 et BIND 9. (Le fichier de configuration de BIND 4 est appelé named. boot, mais comme BIND 4 n’est plus pris en charge, les exemples de cet article font référence à  named.conf.) BIND procure plusieurs réglages de contrôle d’accès élémentaires mais utiles que vous pouvez ajouter aux diverses sections du fichier (options, zone, par exemple) pour sécuriser le service DNS. Le listing 1 présente un exemple de fichier named.conf.