Route 53 Resolver DNS Firewall avanzato - Amazon Route 53

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Route 53 Resolver DNS Firewall avanzato

DNS Firewall Advanced rileva le query DNS sospette sulla base di firme di minacce note nelle query DNS. È possibile specificare un tipo di minaccia in una regola utilizzata in una regola del firewall DNS, all'interno di un gruppo di regole. Quando associ un gruppo di regole a un VPC, DNS Firewall confronta le tue query DNS con i domini contrassegnati nelle regole. Se trova una corrispondenza, la query DNS viene gestita in base all'operazione della regola corrispondente.

DNS Firewall Advanced funziona identificando le firme di minacce DNS sospette ispezionando una serie di identificatori chiave nel payload DNS, tra cui il timestamp delle richieste, la frequenza delle richieste e delle risposte, le stringhe di query DNS e la lunghezza, il tipo o la dimensione delle query DNS in uscita e in entrata. In base al tipo di firma della minaccia, è possibile configurare policy di blocco o semplicemente registrare e inviare avvisi sulla query. Utilizzando un set esteso di identificatori di minacce, è possibile proteggersi dalle minacce DNS provenienti da fonti di dominio che potrebbero non essere ancora classificate dai feed di intelligence sulle minacce gestiti dalla più ampia comunità di sicurezza.

Attualmente, DNS Firewall Advanced offre protezioni da:

  • Algoritmi di generazione di domini () DGAs

    DGAs vengono utilizzati dagli aggressori per generare un gran numero di domini per lanciare attacchi di malware.

  • tunneling DNS

    Il tunneling DNS viene utilizzato dagli aggressori per esfiltrare dati dal client utilizzando il tunnel DNS senza stabilire una connessione di rete con il client.

Per informazioni su come creare regole, consulta e. Creazione di gruppi di regole e regole Impostazioni delle regole in DNS Firewall

Mitigazione degli scenari di falsi positivi

Se riscontri scenari di falsi positivi nelle regole che utilizzano le protezioni DNS Firewall Advanced per bloccare le query, procedi nel seguente modo:

  1. Nei log del Resolver, identifica il gruppo di regole e le protezioni DNS Firewall Advanced che causano i falsi positivi. A tale scopo, individua il log per la query che DNS Firewall sta bloccando, ma che si desidera consentire. Il record di registro elenca il gruppo di regole, l'azione delle regole e la protezione DNS Firewall Advanced. Per ulteriori informazioni sui log, consulta Valori che vengono visualizzati nei log di query di Resolver.

  2. Crea una nuova regola nel gruppo di regole che consenta esplicitamente la query bloccata. Quando crei la regola, puoi definire un elenco di domini personalizzato con la sola specifica del dominio che desideri consentire. Segui le istruzioni per la gestione dei gruppi di regole e delle regole riportate in Creazione di gruppi di regole e regole.

  3. Assegna la priorità alla nuova regola all'interno del gruppo di regole in modo che venga eseguita prima della regola che utilizza l'elenco dei domini gestiti. A tale scopo, assegna alla nuova regola un'impostazione di priorità inferiore.

Dopo aver aggiornato il gruppo di regole, la nuova regola consentirà esplicitamente il nome di dominio che desideri consentire prima dell'esecuzione della regola di blocco.