Présentation du proxy DNS
Un proxy DNS (Domain Name System) permet aux clients d’utiliser un périphérique SRX300, SRX320, SRX340, SRX345, SRX550M ou SRX1500 comme serveur proxy DNS. Un proxy DNS améliore les performances de recherche de domaine en mettant en cache les recherches précédentes. Un proxy DNS classique traite les requêtes DNS en émettant une nouvelle requête de résolution DNS à chaque serveur de noms qu’il a détecté jusqu’à ce que le nom d’hôte soit résolu.
DNS Proxy Cache
Lorsqu’une requête DNS est résolue par un proxy DNS, le résultat est stocké dans le cache DNS de l’appareil. Ce cache stocké permet à l’appareil de résoudre les requêtes ultérieures à partir du même domaine et d’éviter le délai de latence du réseau.
Si le cache proxy n’est pas disponible, l’appareil envoie la requête au serveur DNS configuré, ce qui entraîne des retards de latence du réseau.
Le proxy DNS conserve une entrée de cache pour chaque requête DNS résolue. Ces entrées sont dotées d’une minuterie de durée de vie (TTL), de sorte que l’appareil purge chaque entrée du cache lorsqu’elle atteint sa TTL et expire. Vous pouvez vider un cache à l’aide de la clear system services dns-proxy cache commande , sinon le cache expirera automatiquement avec le TTL lorsqu’il passera à zéro.
Proxy DNS avec Split DNS
La fonctionnalité de proxy DNS fractionné vous permet de configurer votre serveur proxy pour diviser la requête DNS en fonction de l’interface et du nom de domaine. Vous pouvez également configurer un ensemble de serveurs de noms et les associer à un nom de domaine donné. Lorsque vous interrogez ce nom de domaine, l’appareil envoie les requêtes DNS uniquement aux serveurs de noms configurés pour ce nom de domaine afin d’assurer la localisation des requêtes DNS.
Vous pouvez configurer la méthode de transport utilisée pour résoudre un nom de domaine donné, par exemple lorsque l’appareil se connecte au réseau de l’entreprise via un VPN IPsec ou tout autre tunnel sécurisé. Lorsque vous configurez un tunnel VPN sécurisé pour transporter les noms de domaine appartenant au réseau d’entreprise, les requêtes de résolution DNS ne sont pas divulguées au serveur DNS du FAI et sont contenues dans le réseau d’entreprise.
Vous pouvez également configurer un ensemble de domaines par défaut (*) et de serveurs de noms sous le domaine par défaut afin de résoudre les requêtes DNS pour un domaine pour lequel un serveur de noms n’est pas configuré.
Chaque proxy DNS doit être associé à une interface. Si une interface n’a pas de configuration de proxy DNS, toutes les requêtes DNS reçues sur cette interface sont abandonnées.
Figure 1 montre comment le proxy DNS fractionné fonctionne dans un réseau d’entreprise.
Dans le réseau d’entreprise illustré en , un client PC qui pointe vers le pare-feu SRX Series en Figure 1tant que serveur DNS effectue deux requêtes : vers www.your-isp.com et vers www.intranet.com, Le proxy DNS redirige la requête www.intranet.com vers le serveur DNS www.intranet.com (203.0.113.253), tandis que la requête www.your-isp.com est redirigée vers le serveur DNS du FAI (209.100.3.130). Bien que la requête pour www.your-isp.com soit envoyée au serveur DNS du FAI en tant que requête DNS standard utilisant des protocoles en texte clair (TCP/UDP), la requête pour le domaine www.intranet.com est envoyée aux serveurs DNS de l’intranet via un tunnel VPN sécurisé.
Un proxy DNS fractionné présente les avantages suivants :
Les recherches de domaine sont généralement plus efficaces. Par exemple, les requêtes DNS destinées à un domaine d’entreprise (tel que acme.com) peuvent être acheminées exclusivement vers le serveur DNS d’entreprise, tandis que toutes les autres sont dirigées vers le serveur DNS du FAI. Le fractionnement des recherches DNS réduit la charge sur le serveur d’entreprise et peut également empêcher les informations de domaine d’entreprise de fuiter sur Internet.
Un proxy DNS vous permet de transmettre des requêtes DNS sélectionnées via une interface de tunnel, ce qui empêche les utilisateurs malveillants de connaître la configuration interne d’un réseau. Par exemple, les requêtes DNS destinées au serveur d’entreprise peuvent passer par une interface de tunnel pour utiliser des fonctionnalités de sécurité telles que l’authentification et le chiffrement.
Client de système de noms de domaine dynamiques
Le DNS dynamique (DDNS) permet aux clients de mettre à jour dynamiquement les adresses IP des noms de domaine enregistrés. Cette fonctionnalité est utile lorsqu’un FAI utilise le protocole PPP (Point-to-Point Protocol), le protocole DHCP (Dynamic Host Configuration Protocol) ou l’authentification externe (XAuth) pour modifier dynamiquement l’adresse IP d’un routeur CPE (customer-premises equipment) (tel qu’un équipement de sécurité) qui protège un serveur Web. Les clients Internet peuvent accéder au serveur Web à l’aide d’un nom de domaine, même si l’adresse IP du dispositif de sécurité a déjà changé dynamiquement.
Un serveur DDNS tient à jour une liste des adresses modifiées dynamiquement et des noms de domaine qui leur sont associés. L’appareil met régulièrement à jour ces serveurs DDNS avec ces informations ou en réponse à des changements d’adresse IP. Le client DDNS Junos OS prend en charge les serveurs DDNS populaires tels que dyndns.org et ddo.jp
Figure 2 illustre le fonctionnement du client DDNS.
L’adresse IP du serveur Web interne est traduite par la traduction d’adresses réseau (NAT) en l’adresse IP de l’interface de la zone d’opposition sur l’équipement. Le nom d’hôte abc-host.com est enregistré auprès du serveur DDNS et est associé à l’adresse IP de l’interface de zone d’approbation de l’appareil, qui est surveillée par le client DDNS sur l’appareil. Lorsque l’adresse IP de abc-host.com est modifiée, le serveur DDNS est informé de la nouvelle adresse.
Si un client du réseau affiché dans Figure 2 a besoin d’accéder à abc-host.com, il interroge les serveurs DNS sur Internet. Lorsque la requête atteint le serveur DDNS, il résout la demande et fournit au client la dernière adresse IP de abc-host.com.