DNS Firewall Advanced de Route 53 Resolver - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

DNS Firewall Advanced de Route 53 Resolver

DNS Firewall Advanced detecta las consultas de DNS sospechosas en función de las firmas de amenazas conocidas en las consultas de DNS. Puede especificar un tipo de amenaza en una regla que utiliza en una regla de DNS Firewall, dentro de un grupo de reglas. Al asociar un grupo de reglas a una VPC, DNS Firewall compara las consultas de DNS con los dominios que se marcan en las reglas. Si encuentra una coincidencia, gestiona la consulta de DNS según la acción de la regla coincidente.

DNS Firewall Advanced identifica las firmas de amenazas del DNS sospechosas mediante la inspección de una serie de identificadores clave en la carga útil del DNS, como la marca horaria de las solicitudes, la frecuencia de las solicitudes y las respuestas, las cadenas de consulta de DNS y la longitud, el tipo o el tamaño de las consultas de DNS entrantes y salientes. Según el tipo de firma de la amenaza, puede configurar políticas para bloquear la consulta o simplemente registrarla y alertar sobre ella. Si utiliza un conjunto ampliado de identificadores de amenazas, puede protegerse contra las amenazas del DNS procedentes de fuentes de dominio que tal vez aún no estén clasificadas por las fuentes de inteligencia de amenazas mantenidas por la comunidad de seguridad en general.

En la actualidad, DNS Firewall Advanced ofrece protección contra:

  • Algoritmos de generación de dominios (DGAs)

    DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.

  • Túneles de DNS

    Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.

  • Diccionario (DGA)

    Los atacantes DGAs utilizan los diccionarios para generar dominios utilizando palabras del diccionario para evitar ser detectados en las comunicaciones con malware command-and-control.

Para obtener información acerca de cómo crear reglas, consulte Creación de reglas y de un grupo de reglas y Configuración de las reglas en DNS Firewall.

Mitigación de escenarios falsos positivos

Si encuentra escenarios de falsos positivos en reglas que utilizan protecciones de DNS Firewall Advanced para bloquear consultas, realice los siguientes pasos:

  1. En los registros de Resolver, identifique el grupo de reglas y las protecciones de DNS Firewall Advanced que están provocando el falso positivo. Para ello, busque el registro de la consulta que DNS Firewall está bloqueando y que desea permitir. La entrada del registro muestra el grupo de reglas, la acción de la regla y la protección de DNS Firewall Advanced. Para obtener información acerca de los registros, consulte Valores que aparecen en los registros de consulta de Resolver.

  2. Cree una regla en el grupo de reglas que permita de forma explícita la consulta bloqueada. Al crear la regla, puede definir su propia lista de dominios con solo la especificación de dominio que desea permitir. Siga las instrucciones para la administración de reglas y grupos de reglas en Creación de reglas y de un grupo de reglas.

  3. Dé prioridad a la nueva regla dentro del grupo de reglas para que se ejecute antes de la regla que utiliza la lista administrada. Para ello, asigne a la nueva regla un valor de prioridad numérica más bajo.

Cuando haya actualizado el grupo de reglas, la nueva regla permitirá de forma explícita el nombre de dominio que desea permitir antes de que se ejecute la regla de bloqueo.