Descripción general del proxy DNS
Un proxy del sistema de nombres de dominio (DNS) permite a los clientes usar un dispositivo SRX300, SRX320, SRX340, SRX345, SRX550M o SRX1500 como servidor proxy DNS. Un proxy DNS mejora el rendimiento de la búsqueda de dominios mediante el almacenamiento en caché de búsquedas anteriores. Un proxy DNS típico procesa las consultas DNS mediante la emisión de una nueva consulta de resolución de DNS a cada servidor de nombres que haya detectado hasta que se resuelva el nombre de host.
Caché de proxy DNS
Cuando un proxy DNS resuelve una consulta DNS, el resultado se almacena en la caché dns del dispositivo. Esta caché almacenada ayuda al dispositivo a resolver consultas posteriores del mismo dominio y evitar retrasos en la latencia de la red.
Si la caché de proxy no está disponible, el dispositivo envía la consulta al servidor DNS configurado, lo que provoca retrasos en la latencia de la red.
El proxy DNS mantiene una entrada en caché para cada consulta DNS resuelta. Estas entradas tienen un temporizador de tiempo de duración (TTL), por lo que el dispositivo purga cada entrada de la caché a medida que alcanza su TTL y caduca. Puede borrar una caché mediante el clear system services dns-proxy cache comando, o la caché caducará automáticamente junto con TTL cuando pase a cero.
Proxy DNS con DNS dividido
La función de proxy DNS dividido le permite configurar el servidor proxy para que divida la consulta DNS según la interfaz y el nombre de dominio. También puede configurar un conjunto de servidores de nombres y asociarlo con un nombre de dominio determinado. Cuando se consulta ese nombre de dominio, el dispositivo envía las consultas DNS solo a los servidores de nombres que están configurados para ese nombre de dominio para garantizar la localización de consultas DNS.
Puede configurar el método de transporte utilizado para resolver un nombre de dominio determinado; por ejemplo, cuando el dispositivo se conecta a la red corporativa a través de una VPN IPsec o cualquier otro túnel seguro. Cuando configure un túnel VPN seguro para transportar los nombres de dominio que pertenecen a la red corporativa, las consultas de resolución DE DNS no se filtran al servidor DNS del ISP y están contenidas en la red corporativa.
También puede configurar un conjunto de dominios predeterminados (*) y servidores de nombres en el dominio predeterminado para resolver las consultas DNS de un dominio para el que no está configurado un servidor de nombres.
Cada proxy DNS debe estar asociado a una interfaz. Si una interfaz no tiene ninguna configuración de proxy DNS, se pierden todas las consultas DNS recibidas en esa interfaz.
Figura 1 muestra cómo funciona el proxy DNS dividido en una red corporativa.
En la red corporativa que se muestra en Figura 1, un cliente de PC que apunta al firewall serie SRX como su servidor DNS hace dos consultas: a www.your-isp.com y a www.intranet.com, El proxy DNS redirige el www.intranet.com, la consulta al www.intranet.com servidor DNS (203.0.113.253), mientras que la consulta de www.your-isp.com se redirige al servidor DNS del ISP (209.100.3.130). Aunque la consulta de www.your-isp.com se envía al servidor DNS del ISP como una consulta DNS regular mediante protocolos de texto sin formato (TCP/UDP), la consulta del dominio www.intranet.com va a los servidores DNS de la intranet a través de un túnel VPN seguro.
Un proxy DNS dividido tiene las siguientes ventajas:
Las búsquedas de dominio suelen ser más eficientes. Por ejemplo, las consultas DNS destinadas a un dominio corporativo (como acme.com) pueden ir al servidor DNS corporativo exclusivamente, mientras que todas las demás van al servidor DNS del ISP. La división de las búsquedas DNS reduce la carga en el servidor corporativo y también puede evitar que la información de dominio corporativo se filtre en Internet.
Un proxy DNS le permite transmitir consultas DNS seleccionadas a través de una interfaz de túnel, lo que impide que los usuarios maliciosos aprendan acerca de la configuración interna de una red. Por ejemplo, las consultas DNS vinculadas al servidor corporativo pueden pasar a través de una interfaz de túnel para usar funciones de seguridad, como la autenticación y el cifrado.
Cliente del sistema de nombres de dominio dinámico
El DNS dinámico (DDNS) permite a los clientes actualizar dinámicamente las direcciones IP de los nombres de dominio registrados. Esta función es útil cuando un ISP usa el protocolo punto a punto (PPP), el protocolo de configuración dinámica de host (DHCP) o la autenticación externa (XAuth) para cambiar dinámicamente la dirección IP de un enrutador de instalaciones del cliente (CPE) (como un dispositivo de seguridad) que protege un servidor Web. Los clientes de Internet pueden comunicarse con el servidor Web mediante un nombre de dominio, incluso si la dirección IP del dispositivo de seguridad ha cambiado dinámicamente anteriormente.
Un servidor DDNS mantiene una lista de las direcciones cambiadas dinámicamente y sus nombres de dominio asociados. El dispositivo actualiza estos servidores DDNS con esta información periódicamente o en respuesta a cambios de dirección IP. El cliente DDNS de Junos OS admite servidores DDNS populares, como dyndns.org y ddo.jp
Figura 2 ilustra cómo funciona el cliente DDNS.
La dirección IP del servidor web interno se traduce mediante traducción de direcciones de red (TDR) a la dirección IP de la interfaz de zona de no confianza en el dispositivo. El nombre de host abc-host.com está registrado con el servidor DDNS y está asociado con la dirección IP de la interfaz de zona de no confianza del dispositivo, que es supervisada por el cliente DDNS en el dispositivo. Cuando se cambia la dirección IP de abc-host.com, se informa al servidor DDNS de la nueva dirección.
Si un cliente de la red que se muestra necesita Figura 2 acceder a abc-host.com, el cliente consulta los servidores DNS en Internet. Cuando la consulta llega al servidor DDNS, resuelve la solicitud y proporciona al cliente la dirección IP más reciente de abc-host.com.