Configure y administre las reglas del firewall de DNS - Amazon Route 53
Creación y visualización de reglas de firewallConfiguración de las reglas en DNS FirewallAcciones de regla en DNS Firewall

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure y administre las reglas del firewall de DNS

Creación y visualización de reglas de firewall

Las reglas de firewall definen la forma en que Route 53 Global Resolver gestiona las consultas de DNS en función de las listas de dominios, las listas de dominios gestionados, las categorías de contenido o la protección avanzada contra amenazas. Cada regla especifica una prioridad, los dominios de destino y la acción que se debe realizar.

Prácticas recomendadas para la prioridad de las reglas:

  • Utilice la prioridad 100-999 para las reglas de autorización de alta prioridad (dominios de confianza)

  • Utilice la prioridad 1000-4999 para las reglas de bloqueo (amenazas conocidas)

  • Utilice la prioridad 5000-9999 para las reglas de alerta (supervisión y análisis)

  • Deje brechas entre las prioridades para permitir la inserción de reglas en el futuro

Para crear una regla de firewall de DNS

  1. En la consola de Route 53 Global Resolver, navegue hasta la vista de DNS.

  2. Seleccione la pestaña de reglas del firewall.

  3. Selecciona Crear regla de firewall.

  4. En la sección de detalles de la regla:

    1. En Nombre de la regla, introduzca un nombre descriptivo para la regla (hasta 128 caracteres).

    2. (Opcional) En Descripción de la regla, introduzca una descripción para la regla (255 caracteres como máximo).

  5. En la sección Configuración de la regla, elija el tipo de configuración de la regla:

    • Listas de dominios gestionadas por el cliente: utilice una lista de dominios que usted cree y administre

    • AWS listas de dominios gestionados: utilice listas de dominios proporcionadas por Amazon que pueda utilizar

    • Protecciones avanzadas de DNS Firewall: elija entre una gama de protecciones administradas y especifique un umbral de confianza

  6. En Acción de regla, elija la acción que se realizará cuando la regla coincida:

    • Permitir: la consulta de DNS está resuelta

    • Alerta: permite la consulta de DNS pero crea una alerta

    • Bloquear: la consulta de DNS está bloqueada

  7. Selecciona Crear regla de firewall.

Utilice el siguiente procedimiento para ver las reglas que se les han asignado. También puede actualizar la regla y su configuración.

Para ver y actualizar una regla

  1. En la consola de Route 53 Global Resolver, navegue hasta la vista DNS.

  2. Seleccione la pestaña de reglas del firewall de DNS.

  3. Elija la regla que desee ver o editar y, a continuación, seleccione Editar.

  4. En la página de reglas, puede ver y editar la configuración.

Para obtener información acerca de los valores para las reglas, consulte Configuración de las reglas en DNS Firewall.

Para eliminar una regla

  1. En la consola de Route 53 Global Resolver, navegue hasta la vista DNS.

  2. Seleccione la pestaña de reglas del firewall de DNS.

  3. Elija la regla que desee eliminar, elija Eliminar y confirme la eliminación.

Configuración de las reglas en DNS Firewall

Al crear o editar una regla de firewall de DNS en la vista de DNS, se especifican los siguientes valores:

Name

Un identificador único para la regla en la vista de DNS.

(Opcional) Descripción

Una breve descripción que proporciona más información acerca de la regla.

Lista de dominios

La lista de dominios que inspecciona la regla. Puedes crear y administrar tu propia lista de dominios o puedes suscribirte a una lista de dominios que se AWS administre por ti.

Una regla puede contener una lista de dominios o una protección de DNS Firewall Advanced, pero no ambas.

Tipo de consulta (solo listas de dominios)

La lista de tipos de consultas de DNS que inspecciona la regla. Los siguientes valores son válidos:

  • R: Devuelve una IPv4 dirección.

  • AAAA: devuelve una dirección Ipv6.

  • CAA: Limita la CAs posibilidad de crear SSL/TLS certificaciones para el dominio.

  • CNAME: devuelve otro nombre de dominio.

  • DS: registro que identifica la clave de firma del DNSSEC de una zona delegada.

  • MX: especifica los servidores de correo.

  • NAPTR: Regular-expression-based reescritura de nombres de dominio.

  • NS: servidores de nombres autorizados.

  • PTR: asigna una dirección IP a un nombre de dominio.

  • SOA: registro de inicio de autoridad de la zona.

  • SPF: muestra los servidores autorizados a enviar correos electrónicos desde un dominio.

  • SRV: valores específicos de la aplicación que identifican a los servidores.

  • TXT: verifica los remitentes de correo electrónico y los valores específicos de la aplicación.

Un tipo de consulta que se define mediante el ID de tipo de DNS, por ejemplo, 28 para AAAA. Los valores deben definirse como TYPENUMBER, donde NUMBER pueden estar comprendidos entre 1 y 65334, por ejemplo. TYPE28 Para obtener más información, consulte la sección Lista de tipos de registros de DNS.

Puede crear un tipo de consulta por regla.

Protección de DNS Firewall Advanced

Detecta las consultas de DNS sospechosas en función de las firmas de amenazas conocidas en las consultas de DNS. Puede elegir que se proteja de lo siguiente:

  • Algoritmos de generación de dominios () DGAs

    DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.

  • Túneles de DNS

    Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.

En una regla de DNS Firewall Advanced, puede elegir entre bloquear las consultas que coincidan con la amenaza o alertar sobre estas.

Para obtener más información, consulte Protecciones avanzadas de DNS Firewall.

Una regla puede contener una protección de DNS Firewall Advanced o una lista de dominios, pero no ambas.

Umbral de confianza (solo con DNS Firewall Advanced)

El umbral de confianza para DNS Firewall Advanced. Debe proporcionar este valor al crear una regla de DNS Firewall Advanced. Los valores del nivel de confianza significan lo siguiente:

  • Alto: detecta solo las amenazas mejor corroboradas con una baja tasa de falsos positivos.

  • Medio: proporciona un equilibrio entre la detección de amenazas y los falsos positivos.

  • Bajo: proporciona la tasa de detección de amenazas más alta, pero también aumenta los falsos positivos.

Para obtener más información, consulte Configuración de reglas en el Firewall de DNS.

Action

Cómo desea que DNS Firewall gestione una consulta de DNS cuyo nombre de dominio coincida con las especificaciones de la lista de dominios de la regla. Para obtener más información, consulte Acciones de regla en DNS Firewall.

Priority (Prioridad)

Configuración única de enteros positivos para la regla en la vista DNS que determina el orden de procesamiento. El firewall de DNS inspecciona las consultas de DNS según las reglas de una vista de DNS, empezando por la configuración de prioridad numérica más baja y subiendo. Puede cambiar la prioridad de una regla en cualquier momento; por ejemplo, para cambiar el orden de procesamiento o dejar espacio para otras reglas.

Acciones de regla en DNS Firewall

Cuando DNS Firewall encuentra una coincidencia entre una consulta de DNS y una especificación de dominio en una regla, aplica a la consulta la acción especificada en la regla.

Se le pide que especifique una de las opciones siguientes en cada regla que cree:

  • Permitir: deja de inspeccionar la consulta y deja que se complete. No está disponible para DNS Firewall Advanced.

  • Alerta: deje de inspeccionar la consulta, deje que se realice y registre una alerta para la consulta en los registros de Route 53 Resolver.

  • Bloquear: interrumpa la inspección de la consulta, impida que vaya al destino previsto y registre la acción de bloqueo de la consulta en los registros de Route 53 Resolver.

    Responda con la respuesta de bloqueo configurada, a partir de lo siguiente:

    • NODATA: responde indicando que la consulta se ha realizado correctamente, pero no hay ninguna respuesta disponible para ella.

    • NXDOMAIN: responde indicando que el nombre de dominio de la consulta no existe.

    • Anulación: proporciona una anulación personalizada en la respuesta. Esta opción requiere los siguientes ajustes adicionales:

      • Valor de registro: el registro DNS personalizado que se va a devolver en respuesta a la consulta.

      • Tipo de registro: el tipo de registro DNS. Esto determina el formato del valor del registro. Debe ser CNAME.

      • Tiempo de vida en segundos: tiempo recomendado para que la resolución de DNS o el navegador web almacenen en caché el registro de anulación y lo utilicen en respuesta a esta consulta, si se vuelve a recibir. De forma predeterminada, es cero y el registro no se almacena en caché.