Firewall de DNS: protecciones avanzadas - Amazon Route 53
Mitigación de escenarios falsos positivos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Firewall de DNS: protecciones avanzadas

DNS Firewall Advanced detecta las consultas de DNS sospechosas en función de las firmas de amenazas conocidas en las consultas de DNS. Puede especificar un tipo de amenaza en una regla que utilice en una regla de firewall de DNS asociada a una vista de DNS.

DNS Firewall Advanced identifica las firmas de amenazas del DNS sospechosas mediante la inspección de una serie de identificadores clave en la carga útil del DNS, como la marca horaria de las solicitudes, la frecuencia de las solicitudes y las respuestas, las cadenas de consulta de DNS y la longitud, el tipo o el tamaño de las consultas de DNS entrantes y salientes. Según el tipo de firma de la amenaza, puede configurar políticas para bloquear la consulta o simplemente registrarla y alertar sobre ella. Si utiliza un conjunto ampliado de identificadores de amenazas, puede protegerse contra las amenazas del DNS procedentes de fuentes de dominio que tal vez aún no estén clasificadas por las fuentes de inteligencia de amenazas mantenidas por la comunidad de seguridad en general.

En la actualidad, DNS Firewall Advanced ofrece protección contra:

  • Algoritmos de generación de dominios (DGAs)

    DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.

  • Túneles de DNS

    Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.

Para obtener información sobre cómo crear reglas, consulteConfigure y administre las reglas del firewall de DNS.

Mitigación de escenarios falsos positivos

Si encuentra escenarios de falsos positivos en reglas que utilizan protecciones de DNS Firewall Advanced para bloquear consultas, realice los siguientes pasos:

  1. En los registros de Global Resolver, identifique la regla y las protecciones avanzadas del firewall de DNS que están causando el falso positivo. Para ello, busque el registro de la consulta que DNS Firewall está bloqueando y que desea permitir. El registro incluye la vista de DNS, la regla, la acción de la regla y la protección avanzada del firewall de DNS.

  2. Cree una nueva regla en la vista DNS que permita de forma explícita el acceso a la consulta bloqueada. Al crear la regla, puede definir su propia lista de dominios con solo la especificación de dominio que desea permitir. Siga las instrucciones para la administración de reglas que se encuentran enConfigure y administre las reglas del firewall de DNS.

  3. Priorice la nueva regla dentro de la regla para que se ejecute antes que la regla que usa la lista administrada. Para ello, asigne a la nueva regla un valor de prioridad numérica más bajo.

Cuando hayas actualizado las reglas, la nueva regla permitirá explícitamente el nombre de dominio que desees permitir antes de que se ejecute la regla de bloqueo.