Firewall DNS Route 53 Resolver avanzado - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Firewall DNS Route 53 Resolver avanzado

DNS Firewall Advanced detecta las consultas de DNS sospechosas basándose en las firmas de amenazas conocidas en las consultas de DNS. Puede especificar un tipo de amenaza en una regla que utilice en una regla de firewall de DNS, dentro de un grupo de reglas. Al asociar un grupo de reglas a una VPC, el firewall de DNS compara las consultas de DNS con los dominios marcados en las reglas. Si encuentra una coincidencia, gestiona la consulta de DNS según la acción de la regla coincidente.

DNS Firewall Advanced identifica las firmas de amenazas de DNS sospechosas mediante la inspección de una serie de identificadores clave de la carga útil del DNS, como la marca de tiempo de las solicitudes, la frecuencia de las solicitudes y las respuestas, las cadenas de consulta del DNS y la longitud, el tipo o el tamaño de las consultas de DNS entrantes y salientes. En función del tipo de firma de la amenaza, puede configurar políticas para bloquear la consulta o simplemente registrarla y alertarla. Al utilizar un conjunto ampliado de identificadores de amenazas, puede protegerse contra las amenazas al DNS procedentes de fuentes de dominio que aún no estén clasificadas por las fuentes de inteligencia sobre amenazas mantenidas por la comunidad de seguridad en general.

En la actualidad, DNS Firewall Advanced ofrece protección contra:

  • Algoritmos de generación de dominios (DGAs)

    DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.

  • Tunelización de DNS

    Los atacantes utilizan los túneles DNS para extraer datos del cliente mediante el túnel DNS sin establecer una conexión de red con el cliente.

Para obtener información sobre cómo crear reglas, consulte y. Creación de reglas y de un grupo de reglas Configuración de las reglas en DNS Firewall

Mitigación de escenarios falsos positivos

Si encuentra situaciones de falsos positivos en las reglas que utilizan las protecciones avanzadas del firewall de DNS para bloquear las consultas, lleve a cabo los siguientes pasos:

  1. En los registros del Resolver, identifique el grupo de reglas y las protecciones avanzadas del firewall de DNS que están causando el falso positivo. Para ello, busque el registro de la consulta que DNS Firewall está bloqueando y que desea permitir. El registro muestra el grupo de reglas, la acción de la regla y la protección avanzada del firewall de DNS. Para obtener información acerca de los registros, consulte Valores que aparecen en los registros de consulta de Resolver.

  2. Cree una regla en el grupo de reglas que permita de forma explícita la consulta bloqueada. Al crear la regla, puede definir su propia lista de dominios con solo la especificación de dominio que desea permitir. Siga las instrucciones para la administración de reglas y grupos de reglas en Creación de reglas y de un grupo de reglas.

  3. Dé prioridad a la nueva regla dentro del grupo de reglas para que se ejecute antes de la regla que utiliza la lista administrada. Para ello, asigne a la nueva regla un valor de prioridad numérica más bajo.

Cuando haya actualizado el grupo de reglas, la nueva regla permitirá de forma explícita el nombre de dominio que desea permitir antes de que se ejecute la regla de bloqueo.