Cómo funciona Resolver DNS Firewall - Amazon Route 53
Componentes y configuración de DNS FirewallCómo filtra Resolver DNS Firewall las consultas de DNSPasos generales para utilizar DNS FirewallUso de grupos de reglas de DNS Firewall en varias regiones

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funciona Resolver DNS Firewall

El firewall de DNS de Resolver le permite controlar el acceso a los sitios y bloquear las amenazas a nivel de DNS para las consultas de DNS que se envían desde su VPC a través del Resolver de VPC de Route 53. Con el firewall de DNS, usted define las reglas de filtrado de nombres de dominio en los grupos de reglas que asocia a su. VPCs Puede especificar listas de nombres de dominio para permitir o bloquear, o bien reglas avanzadas de Resolver DNS Firewall que ofrecen protección contra las amenazas basadas en los túneles de DNS y los algoritmos de generación de dominios (DGA). Puede personalizar las respuestas a las consultas de DNS que bloquee. En el caso de las reglas que contienen listas de dominios, también puede refinar estas reglas para permitir determinados tipos de consultas, como los registros MX.

DNS Firewall solo filtra por el nombre de dominio. No resuelve ese nombre a una dirección IP que se va a bloquear. Además, DNS Firewall filtra el tráfico de DNS, pero no filtra otros protocolos de capa de aplicación, como HTTPS, SSH, TLS, FTP, entre otros.

Componentes y ajustes del firewall DNS de Resolver

Puede administrar DNS Firewall con los siguientes componentes y configuración centrales.

Grupo de reglas de DNS Firewall

Define una colección, con nombre y reutilizable, de reglas de DNS Firewall para filtrar consultas de DNS. Rellene el grupo de reglas con las reglas de filtrado y, a continuación, asocie el grupo de reglas a una o más VPCs. Cuando se asocia un grupo de reglas a una VPC, se habilita el filtrado de DNS Firewall en la VPC. A continuación, cuando el Resolver de VPC recibe una consulta de DNS para una VPC que tiene un grupo de reglas asociado, el Resolver de VPC pasa la consulta al Firewall de DNS para que la filtre.

Si asocia varios grupos de reglas a una sola VPC, indicará su orden de procesamiento a través de la configuración de prioridad de cada asociación. DNS Firewall procesa grupos de reglas para una VPC a partir de la configuración de prioridad numérica más baja activada.

Para obtener más información, consulte Reglas y grupos de reglas de DNS Firewall.

Regla de DNS Firewall

Define una regla de filtrado para consultas de DNS en un grupo de reglas de DNS Firewall. Cada regla especifica una lista de dominios o una protección de DNS Firewall y una acción que se debe realizar en relación con las consultas de DNS cuyos dominios coincidan con las especificaciones de dominios de la regla. Puede elegir que las consultas concordantes se acepten (solo en reglas con listas de dominios), se bloqueen, o bien que se emita una alerta sobre ellas. En las reglas con listas de dominios, también puede especificar tipos de consulta para los dominios de la lista; por ejemplo, puede bloquear o permitir un tipo de consulta MX para uno o varios dominios específicos. También se pueden definir respuestas personalizadas para las consultas bloqueadas.

Cuando se trata de reglas de DNS Firewall, solo puede bloquear las consultas coincidentes o alertar sobre ellas.

Cada regla de un grupo de reglas tiene una configuración de prioridad única en dicho grupo. DNS Firewall procesa las reglas en un grupo de reglas a partir de la configuración de prioridad numérica más baja activada.

Las reglas de DNS Firewall solo existen en el contexto del grupo de reglas en el que están definidas. No se puede reutilizar una regla ni hacer referencia a ella con independencia de su grupo de reglas.

Para obtener más información, consulte Reglas y grupos de reglas de DNS Firewall.

Lista de dominios

Define una colección con nombre y reutilizable de especificaciones de dominio para su uso en el filtrado de DNS. Cada regla de un grupo de reglas requiere una lista única de dominios. Puede optar por especificar los dominios a los que desea permitir el acceso, a los que desea denegar el acceso o una combinación de ambos. Puede crear sus propias listas de dominios y utilizar listas de dominios que se AWS administren por usted.

Para obtener más información, consulte Listas de dominios del firewall de DNS de Resolver.

Configuración de redireccionamiento de dominios (solo listas de dominios)

La configuración de redireccionamiento de dominios le permite configurar una regla de DNS Firewall para inspeccionar todos los dominios de la cadena de redireccionamiento de DNS (predeterminado), como CNAME, DNAME, entre otros, o solo el primer dominio y confiar en el resto. Si decide inspeccionar toda la cadena de redireccionamiento de DNS, debe agregar los dominios subsiguientes a una lista de dominios configurada como PERMITIDA en la regla. Si decide inspeccionar toda la cadena de redireccionamiento de DNS, debe añadir los dominios subsiguientes a una lista de dominios y establecer la acción que desea que lleve a cabo la regla: PERMITIR, BLOQUEAR o ALERTAR.

Para obtener más información, consulte Configuración de las reglas en DNS Firewall.

Tipo de consulta (solo listas de dominios)

La configuración del tipo de consulta le permite configurar una regla de DNS Firewall para filtrar un tipo de consulta de DNS concreto. Si no selecciona un tipo de consulta, la regla se aplica a todos los tipos de consultas de DNS. Por ejemplo, es posible que desee bloquear todos los tipos de consultas de un dominio concreto, pero permitir los registros MX.

Para obtener más información, consulte Configuración de las reglas en DNS Firewall.

Protección de DNS Firewall Advanced

Detecta las consultas de DNS sospechosas en función de las firmas de amenazas conocidas en las consultas de DNS. Cada regla de un grupo de reglas requiere una configuración de protección única de DNS Firewall Advanced. Puede elegir que se proteja de lo siguiente:

  • Algoritmos de generación de dominios (DGAs)

    DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.

  • Túneles de DNS

    Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.

  • Diccionario (DGA)

    Los atacantes DGAs utilizan los diccionarios para generar dominios utilizando palabras del diccionario para evitar ser detectados en las comunicaciones con malware command-and-control.

En una regla de DNS Firewall Advanced, puede elegir entre bloquear las consultas que coincidan con la amenaza o alertar sobre estas. Los algoritmos de protección contra amenazas son gestionados y actualizados por AWS.

Para obtener más información, consulte Resolver DNS Firewall Advanced.

Umbral de confianza (solo con protección de DNS Firewall Advanced)

El umbral de confianza para la protección contra las amenazas del DNS. Debe proporcionar este valor al crear una regla de DNS Firewall Advanced. Los valores del nivel de confianza significan lo siguiente:

  • Alto: detecta solo las amenazas mejor corroboradas con una baja tasa de falsos positivos.

  • Medio: proporciona un equilibrio entre la detección de amenazas y los falsos positivos.

  • Bajo: proporciona la tasa de detección de amenazas más alta, pero también aumenta los falsos positivos.

Para obtener más información, consulte Configuración de las reglas en DNS Firewall.

Asociación entre un grupo de reglas de DNS Firewall y una VPC

Define una protección para una VPC mediante un grupo de reglas de firewall de DNS y habilita la configuración del firewall de DNS de VPC Resolver para la VPC.

Si asocia varios grupos de reglas a una sola VPC, indicará su orden de procesamiento a través de la configuración de prioridades en las asociaciones. DNS Firewall procesa grupos de reglas para una VPC a partir de la configuración de prioridad numérica más baja activada.

Para obtener más información, consulte Habilitar las protecciones de Resolver DNS Firewall para su VPC.

Configuración del firewall DNS para una VPC

Especifica cómo VPC Resolver debe gestionar las protecciones del firewall de DNS a nivel de VPC. Esta configuración está vigente siempre que tenga al menos un grupo de reglas de DNS Firewall asociado a la VPC.

Esta configuración especifica la forma en que Route 53 VPC Resolver gestiona las consultas cuando el firewall de DNS no las filtra. De forma predeterminada, si el Resolver de VPC no recibe una respuesta del firewall de DNS para una consulta, no se cierra y bloquea la consulta.

Para obtener más información, consulte Configuración de la VPC de DNS Firewall.

Supervisión de las acciones del DNS Firewall

Puede utilizar Amazon CloudWatch para supervisar el número de consultas de DNS que filtran los grupos de reglas del firewall de DNS. CloudWatch recopila y procesa datos sin procesar para convertirlos en métricas legibles y prácticamente en tiempo real.

Para obtener más información, consulte Supervisión de los grupos de reglas de Resolver DNS Firewall con Amazon CloudWatch.

Puede usar Amazon EventBridge, un servicio sin servidor que usa eventos para conectar los componentes de la aplicación y crear aplicaciones escalables basadas en eventos.

Para obtener más información, consulte Administrar los eventos de Resolver DNS Firewall mediante Amazon EventBridge.

Cómo filtra Resolver DNS Firewall las consultas de DNS

Cuando un grupo de reglas de firewall de DNS está asociado a la resolución de VPC Route 53 de su VPC, el firewall filtra el siguiente tráfico:

  • Consultas de DNS que se originan en esa VPC y que atraviesan el DNS de la VPC.

  • Consultas de DNS que pasan a través de los puntos de enlace de Resolver desde recursos locales a la misma VPC que tiene DNS Firewall asociado a su solucionador.

Cuando el Firewall de DNS recibe una consulta de DNS, la filtra mediante los grupos de reglas, las reglas y otros ajustes que haya configurado y envía los resultados a VPC Resolver:

  • DNS Firewall evalúa la consulta de DNS con los grupos de reglas asociados a la VPC hasta que encuentre una coincidencia o agote todos los grupos de reglas. DNS Firewall evalúa los grupos de reglas según la prioridad establecida en la asociación, comenzando por la configuración numérica más baja. Para obtener más información, consulte Reglas y grupos de reglas de DNS Firewall y Habilitar las protecciones de Resolver DNS Firewall para su VPC.

  • En cada grupo de reglas, DNS Firewall evalúa la consulta de DNS en relación con la lista de dominios de cada regla o con las protecciones de DNS Firewall Advanced hasta que encuentra una coincidencia o agota todas las reglas. DNS Firewall evalúa las reglas por orden de prioridad, comenzando por la configuración numérica más baja. Para obtener más información, consulte Reglas y grupos de reglas de DNS Firewall.

  • Cuando el firewall de DNS encuentra una coincidencia con la lista de dominios de una regla o anomalías identificadas por las protecciones de reglas avanzadas del firewall de DNS, finaliza la evaluación de la consulta y responde a VPC Resolver con el resultado. Si la acción esalert, el firewall de DNS también envía una alerta a los registros configurados del Resolver de VPC. Para obtener más información, consulte Acciones de regla en DNS Firewall, Listas de dominios del firewall de DNS de Resolver y Resolver DNS Firewall Advanced.

  • Si DNS Firewall evalúa todos los grupos de reglas sin encontrar una coincidencia, responde a la consulta de forma normal.

El solucionador de VPC enruta la consulta según la respuesta del firewall de DNS. En el improbable caso de que el firewall de DNS no responda, el solucionador de VPC aplica el modo de error del firewall de DNS configurado por la VPC. Para obtener más información, consulte Configuración de la VPC de DNS Firewall.

Pasos de alto nivel para usar Resolver DNS Firewall

Para implementar el filtrado de Resolver DNS Firewall en su VPC de Amazon Virtual Private Cloud, lleve a cabo los siguientes pasos de alto nivel.

  • Definir el enfoque de filtrado, las listas de dominios o las protecciones de DNS Firewall: decida cómo desea filtrar las consultas, identifique las especificaciones de dominio que necesitará y defina la lógica que utilizará para evaluar las consultas. Por ejemplo, puede que quiera permitir todas las consultas excepto las que se encuentran en una lista de dominios incorrectos conocidos. O es posible que desee hacer lo contrario y bloquearlos todos, menos una lista autorizada de dominios; a esto se le llama enfoque de jardín vallado. Puede crear y administrar sus propias listas de especificaciones de dominio aprobadas o bloqueadas y puede usar listas de dominios que se AWS administren por usted. Para proteger el firewall de DNS, puede filtrar las consultas bloqueándolas todas o puede alertar sobre cualquier tráfico de consultas sospechoso a dominios que puedan contener anomalías asociadas a amenazas (DGA, túneles de DNS, DGA de diccionario) para comprobar la configuración del firewall de DNS. Para obtener más información, consulte Listas de dominios del firewall de DNS de Resolver y Resolver DNS Firewall Advanced.

  • Crear un grupo de reglas de firewall: en DNS Firewall, cree un grupo de reglas para filtrar las consultas de DNS de la VPC. Debe crear un grupo de reglas en cada región en la que desee utilizarlo. También puedes separar tu comportamiento de filtrado en más de un grupo de reglas para poder volver a usarlo en varios escenarios de filtrado según tus necesidades. VPCs Para obtener información acerca de los grupos de reglas, consulte Reglas y grupos de reglas de DNS Firewall.

  • Agregar y configurar las reglas: agregue una regla al grupo de reglas para cada lista de dominios y comportamiento de filtrado que desee que proporcione el grupo de reglas. Establezca la configuración de prioridades de las reglas para que se procesen en el orden correcto en el grupo de reglas, dando la prioridad más baja a la regla que desee evaluar en primer lugar. Para obtener más información acerca de las reglas, consulte Reglas y grupos de reglas de DNS Firewall.

  • Asociar el grupo de reglas a la VPC: para comenzar a utilizar el grupo de reglas de DNS Firewall, asócielo a la VPC. Si utiliza más de un grupo de reglas para la VPC, establezca la prioridad de cada asociación para que los grupos de reglas se procesen en el orden correcto, dando la prioridad más baja al grupo de reglas que desee evaluar en primer lugar. Para obtener más información, consulte Administrar las asociaciones entre la VPC y el grupo de reglas de Resolver DNS Firewall.

  • (Opcional) Cambie la configuración del firewall de la VPC: si desea que Route 53 VPC Resolver bloquee las consultas cuando el firewall de DNS no puede devolverles una respuesta, en VPC Resolver, cambie la configuración del firewall de DNS de la VPC. Para obtener más información, consulte Configuración de la VPC de DNS Firewall.

Uso de grupos de reglas del firewall DNS de Resolver en varias regiones

Resolver DNS Firewall es un servicio regional, por lo que los objetos que cree en una AWS región solo están disponibles en esa región. Para usar el mismo grupo de reglas en más de una región, debe crearlo en cada región.

La AWS cuenta que creó un grupo de reglas puede compartirlo con otras AWS cuentas. Para obtener más información, consulte Compartir los grupos de reglas de Resolver DNS Firewall entre cuentas AWS.