Firewall de DNS Avançado do Route 53 Resolver - Amazon Route 53

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Firewall de DNS Avançado do Route 53 Resolver

O Firewall de DNS Avançado detecta consultas ao DNS suspeitas com base em assinaturas de ameaças conhecidas nas consultas ao DNS. É possível especificar um tipo de ameaça em uma regra que você utiliza em uma regra do Firewall de DNS, dentro de um grupo de regras. Quando um grupo de regras está associado a uma VPC, o Firewall de DNS compara as consultas ao DNS com os domínios sinalizados nas regras. Se encontrar uma correspondência, ele manipula a consulta de DNS de acordo com a ação da regra correspondente.

O Firewall de DNS Avançado funciona identificando assinaturas de ameaças de DNS suspeitas, inspecionando uma série de identificadores-chave na carga útil do DNS, incluindo o carimbo de data/hora das solicitações, a frequência das solicitações e respostas, as string de consulta ao DNS e o comprimento, tipo ou tamanho das consultas ao DNS de saída e de entrada. Com base no tipo de assinatura de ameaça, você pode configurar políticas para bloquear ou simplesmente registrar em log e alertar sobre a consulta. Ao usar um conjunto expandido de identificadores de ameaças, você pode se proteger contra ameaças de DNS de origens de domínio que ainda podem não estar classificadas pelos feeds de inteligência de ameaças mantidos pela comunidade de segurança mais ampla.

Atualmente, o Firewall de DNS Avançado oferece proteções contra:

  • Algoritmos de geração de domínio (DGAs)

    DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.

  • Tunelamento de DNS

    O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.

  • Dicionário DGA

    DGAs Os dicionários são usados pelos atacantes para gerar domínios usando palavras do dicionário para evitar a detecção nas comunicações de malware. command-and-control

Para saber como criar regras, consulte Criar um grupo de regras e regras e Configurações de regra no Firewall DNS.

Como atenuar cenários falsos positivos

Se você estiver enfrentando cenários de falsos positivos em regras que usam proteções do Firewall de DNS Avançado para bloquear consultas, execute as seguintes etapas:

  1. Nos logs do Resolver, identifique o grupo de regras e as proteções avançadas do Firewall de DNS Avançado que estão causando o falso positivo. Faça isso localizando o log para a consulta que o Firewall DNS está bloqueando, mas que você deseja permitir. O registro do log lista o grupo de regras, a ação da regra e a proteção do Firewall de DNS Avançado. Para obter mais informações sobre logs, consulte (Valores que aparecem em logs de consultas do Resolver).

  2. Crie uma nova regra no grupo de regras que permita explicitamente a consulta bloqueada. Ao criar a regra, você pode definir sua própria lista de domínios apenas com a especificação de domínio que deseja permitir. Siga as orientações para o gerenciamento de regras e grupo de regras em Criar um grupo de regras e regras.

  3. Priorize a nova regra dentro do grupo de regras para que ela seja executada antes da regra que está usando a lista gerenciada. Para fazer isso, dê à nova regra uma configuração de prioridade numérica mais baixa.

Quando tiver atualizado o grupo de regras, a nova regra permitirá explicitamente o nome de domínio que pretende permitir antes da execução da regra de bloqueio.