Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Proteger el DNS de los clientes con Route 53 Global Resolver
En las siguientes secciones se describe cómo crear reglas para proteger las consultas de DNS realizadas por sus clientes.
**Topics**
+ [Configure y administre las reglas del firewall de DNS](gr-configure-manage-firewall-rules.md)
+ [Listas de dominios administrados](gr-managed-domain-lists.md)
+ [Crea listas de dominios](gr-build-domain-lists.md)
+ [Firewall de DNS: protecciones avanzadas](gr-dns-firewall-advanced-protections.md)
+ [Administre las políticas de seguridad](gr-manage-dns-security-policies.md)
# Configure y administre las reglas del firewall de DNS
## Creación y visualización de reglas de firewall
Las reglas de firewall definen la forma en que Route 53 Global Resolver gestiona las consultas de DNS en función de las listas de dominios, las listas de dominios gestionados, las categorías de contenido o la protección avanzada contra amenazas. Cada regla especifica una prioridad, los dominios de destino y la acción que se debe realizar.
**Prácticas recomendadas para la prioridad de las reglas:**
+ Utilice la prioridad 100-999 para las reglas de autorización de alta prioridad (dominios de confianza)
+ Utilice la prioridad 1000-4999 para las reglas de bloqueo (amenazas conocidas)
+ Utilice la prioridad 5000-9999 para las reglas de alerta (supervisión y análisis)
+ Deje brechas entre las prioridades para permitir la inserción de reglas en el futuro
**Para crear una regla de firewall de DNS**
1. En la consola de Route 53 Global Resolver, navegue hasta la vista de DNS.
1. Seleccione la pestaña de **reglas del firewall**.
1. Selecciona **Crear regla de firewall**.
1. En la sección de **detalles de la regla**:
1. En **Nombre de la regla**, introduzca un nombre descriptivo para la regla (hasta 128 caracteres).
1. (Opcional) En **Descripción de la regla**, introduzca una descripción para la regla (255 caracteres como máximo).
1. En la sección **Configuración de la regla**, elija el **tipo de configuración de la regla**:
+ **Listas de dominios gestionadas por el cliente**: utilice una lista de dominios que usted cree y administre
+ **AWS listas de dominios gestionados**: utilice listas de dominios proporcionadas por Amazon que pueda utilizar
+ **Protecciones avanzadas de DNS Firewall**: elija entre una gama de protecciones administradas y especifique un umbral de confianza
1. En **Acción de regla**, elija la acción que se realizará cuando la regla coincida:
+ **Permitir**: la consulta de DNS está resuelta
+ **Alerta**: permite la consulta de DNS pero crea una alerta
+ **Bloquear**: la consulta de DNS está bloqueada
1. Selecciona **Crear regla de firewall**.
Utilice el siguiente procedimiento para ver las reglas que se les han asignado. También puede actualizar la regla y su configuración.
**Para ver y actualizar una regla**
1. En la consola de Route 53 Global Resolver, navegue hasta la vista DNS.
1. Seleccione la pestaña de **reglas del firewall de DNS**.
1. Elija la regla que desee ver o editar y, a continuación, seleccione **Editar**.
1. En la página de **reglas**, puede ver y editar la configuración.
Para obtener información acerca de los valores para las reglas, consulte [Configuración de las reglas en DNS Firewall](#gr-rule-settings-dns-firewall).
**Para eliminar una regla**
1. En la consola de Route 53 Global Resolver, navegue hasta la vista DNS.
1. Seleccione la pestaña de **reglas del firewall de DNS**.
1. Elija la regla que desee eliminar, elija **Eliminar** y confirme la eliminación.
## Configuración de las reglas en DNS Firewall
Al crear o editar una regla de firewall de DNS en la vista de DNS, se especifican los siguientes valores:
Name
Un identificador único para la regla en la vista de DNS.
(Opcional) Descripción
Una breve descripción que proporciona más información acerca de la regla.
Lista de dominios
La lista de dominios que inspecciona la regla. Puedes crear y administrar tu propia lista de dominios o puedes suscribirte a una lista de dominios que se AWS administre por ti.
Una regla puede contener una lista de dominios o una protección de DNS Firewall Advanced, pero no ambas.
Tipo de consulta (solo listas de dominios)
La lista de tipos de consultas de DNS que inspecciona la regla. Los siguientes valores son válidos:
+ R: Devuelve una IPv4 dirección.
+ AAAA: devuelve una dirección Ipv6.
+ CAA: Limita la CAs posibilidad de crear SSL/TLS certificaciones para el dominio.
+ CNAME: devuelve otro nombre de dominio.
+ DS: registro que identifica la clave de firma del DNSSEC de una zona delegada.
+ MX: especifica los servidores de correo.
+ NAPTR: Regular-expression-based reescritura de nombres de dominio.
+ NS: servidores de nombres autorizados.
+ PTR: asigna una dirección IP a un nombre de dominio.
+ SOA: registro de inicio de autoridad de la zona.
+ SPF: muestra los servidores autorizados a enviar correos electrónicos desde un dominio.
+ SRV: valores específicos de la aplicación que identifican a los servidores.
+ TXT: verifica los remitentes de correo electrónico y los valores específicos de la aplicación.
Un tipo de consulta que se define mediante el ID de tipo de DNS, por ejemplo, 28 para AAAA. Los valores deben definirse como TYPE`NUMBER`, donde `NUMBER` pueden estar comprendidos entre 1 y 65334, por ejemplo. TYPE28 Para obtener más información, consulte la sección [Lista de tipos de registros de DNS](https://en.wikipedia.org/wiki/List_of_DNS_record_types).
Puede crear un tipo de consulta por regla.
Protección de DNS Firewall Advanced
Detecta las consultas de DNS sospechosas en función de las firmas de amenazas conocidas en las consultas de DNS. Puede elegir que se proteja de lo siguiente:
+ Algoritmos de generación de dominios () DGAs
DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.
+ Túneles de DNS
Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.
En una regla de DNS Firewall Advanced, puede elegir entre bloquear las consultas que coincidan con la amenaza o alertar sobre estas.
Para obtener más información, consulte Protecciones avanzadas de DNS Firewall.
Una regla puede contener una protección de DNS Firewall Advanced o una lista de dominios, pero no ambas.
Umbral de confianza (solo con DNS Firewall Advanced)
El umbral de confianza para DNS Firewall Advanced. Debe proporcionar este valor al crear una regla de DNS Firewall Advanced. Los valores del nivel de confianza significan lo siguiente:
+ Alto: detecta solo las amenazas mejor corroboradas con una baja tasa de falsos positivos.
+ Medio: proporciona un equilibrio entre la detección de amenazas y los falsos positivos.
+ Bajo: proporciona la tasa de detección de amenazas más alta, pero también aumenta los falsos positivos.
Para obtener más información, consulte Configuración de reglas en el Firewall de DNS.
Action
Cómo desea que DNS Firewall gestione una consulta de DNS cuyo nombre de dominio coincida con las especificaciones de la lista de dominios de la regla. Para obtener más información, consulte [Acciones de regla en DNS Firewall](#gr-rule-actions-dns-firewall).
Priority (Prioridad)
Configuración única de enteros positivos para la regla en la vista DNS que determina el orden de procesamiento. El firewall de DNS inspecciona las consultas de DNS según las reglas de una vista de DNS, empezando por la configuración de prioridad numérica más baja y subiendo. Puede cambiar la prioridad de una regla en cualquier momento; por ejemplo, para cambiar el orden de procesamiento o dejar espacio para otras reglas.
## Acciones de regla en DNS Firewall
Cuando DNS Firewall encuentra una coincidencia entre una consulta de DNS y una especificación de dominio en una regla, aplica a la consulta la acción especificada en la regla.
Se le pide que especifique una de las opciones siguientes en cada regla que cree:
+ **Permitir**: deje de inspeccionar la consulta y permita que pase por ella. No está disponible para DNS Firewall Advanced.
+ **Alertar**: deje de inspeccionar la consulta, permita que pase por ella y registre una alerta para la consulta en los registros del solucionador de Route 53.
+ **Bloquear**: interrumpa la inspección de la consulta, bloquee su destino previsto y registre la acción de bloqueo para la consulta en los registros del solucionador de Route 53.
Responda con la respuesta de bloqueo configurada, a partir de lo siguiente:
+ **NODATA**: responda indicando que la consulta se realizó correctamente, pero no hay respuesta disponible para ella.
+ **NXDOMAIN**: responde indicando que el nombre de dominio de la consulta no existe.
+ **Anulación**: proporciona una anulación personalizada en la respuesta. Esta opción requiere los siguientes ajustes adicionales:
+ **Valor de registro**: el registro de DNS personalizado que se va a enviar de vuelta en respuesta a la consulta.
+ **Tipo de registro**: el tipo de registro DNS. Esto determina el formato del valor del registro. Debe ser `CNAME`.
+ **Tiempo de vida en segundos**: tiempo recomendado para que la resolución de DNS o el navegador web almacenen en caché el registro de anulación y lo utilicen en respuesta a esta consulta, si se vuelve a recibir. De forma predeterminada, es cero y el registro no se almacena en caché.
# Listas de dominios gestionados para Route 53 Global Resolver
Las listas de dominios gestionados contienen nombres de dominio asociados a actividades maliciosas u otras amenazas potenciales. AWS mantiene estas listas para permitir que los clientes de Route 53 Global Resolver comprueben las consultas de DNS enlazadas a Internet cuando utilizan el Firewall de DNS.
Mantenerse al día del panorama de amenazas en constante cambio puede resultar lento y costoso. Las listas de dominios administradas pueden ahorrarle tiempo al implementar y usar el firewall de DNS en Global Resolver. AWS actualiza automáticamente las listas cuando aparecen nuevas vulnerabilidades y amenazas.
Las listas de dominios gestionados se clasifican en las categorías de amenazas y contenido, diseñadas para ayudar a protegerlo de las amenazas web más comunes y también bloquear la resolución de consultas a dominios que no pertenecen safe-for-work.
Como práctica recomendada, pruebe una lista de dominios administrados en un entorno que no sea de producción antes de usarlo en producción, con la acción de la regla establecida en `Alert`. Evalúe la regla mediante CloudWatch métricas de Amazon combinadas con solicitudes muestreadas de DNS Firewall o registros de Global Resolver. Cuando la regla haga lo que quería, cambie la configuración de la acción según sea necesario.
## Listas de dominios AWS gestionados disponibles
En esta sección se describen las listas de dominios gestionados que están disponibles actualmente para Global Resolver. AWS proporciona las siguientes listas de dominios gestionados, para todos los usuarios de Global Resolver, clasificadas por **amenaza** o tipo de **contenido**.
**Categorías de amenazas**
| |
| --- |
| Malware |
| Botnet/Comando y Control |
| Lista agregada de amenazas |
| Lista de GuardDuty amenazas de Amazon |
| Phishing |
| No deseado |
**Categorías de contenido**
| |
| --- |
| Violencia y discurso de odio |
| Para niños |
| Anuncios en línea |
| Ciencia |
| Familia y paternidad |
| Pets |
| Búsqueda de empleo y carrera |
| Religión |
| Lifestyle |
| Hogar y jardín |
| Actividades delictivas e ilegales |
| Deportes y recreación |
| Vehículos |
| Servicios financieros |
| Bienes raíces |
| Pasatiempos e intereses |
| Travel |
| Comida y gastronomía |
| Gobierno y asuntos legales |
| Educación |
| Moda |
| Estado |
| Compras |
| Contenido para adultos y adultos |
| Tecnología e Internet |
| Negocios y economía |
| Noticias |
| Motores de búsqueda y portales |
| Arte y cultura |
| Entretenimiento |
| Militar |
| Redes sociales |
| Evitación de poderes |
| Redirigir |
| Correo electrónico |
| Traducción |
| Abuso infantil |
| Aborto |
| Apuestas |
| Hackeando |
| Marihuana |
| Cryptocurrency |
| Citas |
| Inteligencia Artificial y Machine Learning |
| Dominios estacionados |
| Dirección IP privada |
Las listas de dominios administrados no se pueden descargar ni explorar. Para proteger la propiedad intelectual, no puede ver ni editar las especificaciones de los dominios individuales en las listas de dominios gestionados. Esta restricción también permite impedir que usuarios malintencionados diseñen amenazas que eludan específicamente las listas publicadas.
# Crea listas de dominios para bloquear o permitir
Puede crear sus propias listas de dominios para especificar categorías de dominios que no encuentre en las ofertas de listas de dominios administrados o para gestionarlos por su cuenta, si así lo prefiere.
Además de los procedimientos descritos en esta sección, en la consola puede crear una lista de dominios en el contexto de la administración de reglas del firewall de DNS, al crear o actualizar una regla.
Cada especificación de dominio en la lista de dominios debe cumplir los siguientes requisitos:
+ Opcionalmente, puede comenzar por `*` (asterisco).
+ Con la excepción del asterisco inicial opcional y de un punto, como delimitadores entre etiquetas solo se debe contener los siguientes caracteres: `A-Z`, `a-z`, `0-9` y `-` (guion).
+ Debe tener una longitud de entre 1 y 255 caracteres.
**Para crear una lista de dominios**
1. En la consola de Route 53 Global Resolver, navegue hasta su Global Resolver.
1. Seleccione la pestaña **de listas de dominios**.
1. Selecciona **Crear lista de dominios**.
1. Proporciona un nombre y una descripción opcional para tu lista de dominios, junto con las etiquetas, y selecciona **Crear lista de dominios**.
1. Una vez creada y operativa, puedes empezar a añadir dominios a tu lista de dominios seleccionando **Añadir dominios**.
1. Si decide **cargar una lista de dominios de un bucket de Amazon S3**, introduzca el URI del bucket de Amazon S3 en el que creó la lista de dominios. Esta lista de dominios debe tener un nombre de dominio por línea.
1. De lo contrario, introduce las especificaciones de tu dominio en el cuadro de texto, una por línea.
1. Selecciona **Añadir dominios**.
**Para eliminar una lista de dominios**
1. En la consola de Route 53 Global Resolver, navegue hasta su Global Resolver.
1. Seleccione la pestaña **de listas de dominios**.
1. Seleccione la lista de dominios que desea eliminar y, a continuación, elija **Delete** (Eliminar) y confirme la eliminación.
# Firewall de DNS: protecciones avanzadas
DNS Firewall Advanced detecta las consultas de DNS sospechosas en función de las firmas de amenazas conocidas en las consultas de DNS. Puede especificar un tipo de amenaza en una regla que utilice en una regla de firewall de DNS asociada a una vista de DNS.
DNS Firewall Advanced identifica las firmas de amenazas del DNS sospechosas mediante la inspección de una serie de identificadores clave en la carga útil del DNS, como la marca horaria de las solicitudes, la frecuencia de las solicitudes y las respuestas, las cadenas de consulta de DNS y la longitud, el tipo o el tamaño de las consultas de DNS entrantes y salientes. Según el tipo de firma de la amenaza, puede configurar políticas para bloquear la consulta o simplemente registrarla y alertar sobre ella. Si utiliza un conjunto ampliado de identificadores de amenazas, puede protegerse contra las amenazas del DNS procedentes de fuentes de dominio que tal vez aún no estén clasificadas por las fuentes de inteligencia de amenazas mantenidas por la comunidad de seguridad en general.
En la actualidad, DNS Firewall Advanced ofrece protección contra:
+ Algoritmos de generación de dominios (DGAs)
DGAs son utilizados por los atacantes para generar una gran cantidad de dominios con los que lanzar ataques de malware.
+ Diccionario (DGA)
Detecte los ataques de DGA que utilizan grandes cantidades de nombres de dominio asociados a palabras del diccionario para ejecutar comandos y controlar las comunicaciones DNS de forma malintencionada.
+ Túneles de DNS
Los atacantes utilizan los túneles de DNS para extraer datos del cliente mediante el uso del túnel de DNS sin establecer una conexión de red con el cliente.
Para obtener información sobre cómo crear reglas, consulte[Configure y administre las reglas del firewall de DNS](gr-configure-manage-firewall-rules.md).
## Mitigación de escenarios falsos positivos
Si encuentra escenarios de falsos positivos en reglas que utilizan protecciones de DNS Firewall Advanced para bloquear consultas, realice los siguientes pasos:
1. En los registros de Global Resolver, identifique la regla y las protecciones avanzadas del firewall de DNS que están causando el falso positivo. Para ello, busque el registro de la consulta que DNS Firewall está bloqueando y que desea permitir. El registro incluye la vista de DNS, la regla, la acción de la regla y la protección avanzada del firewall de DNS.
1. Cree una nueva regla en la vista DNS que permita de forma explícita el acceso a la consulta bloqueada. Al crear la regla, puede definir su propia lista de dominios con solo la especificación de dominio que desea permitir. Siga las instrucciones para la administración de reglas en[Configure y administre las reglas del firewall de DNS](gr-configure-manage-firewall-rules.md).
1. Priorice la nueva regla dentro de la regla para que se ejecute antes que la regla que usa la lista administrada. Para ello, asigne a la nueva regla un valor de prioridad numérica más bajo.
Cuando hayas actualizado las reglas, la nueva regla permitirá explícitamente el nombre de dominio que desees permitir antes de que se ejecute la regla de bloqueo.
# Administre las políticas de seguridad de DNS en Route 53 Global Resolver
## Administrar los solucionadores globales
Tras crear un solucionador global, puede ver sus detalles, editar su configuración y gestionar los recursos asociados desde la página Resolvers globales.
### Ver los detalles del solucionador
La página Global Resolvers muestra una lista de todos sus resolutores con información clave, como el nombre de la resolución, las regiones implementadas, las vistas de DNS asociadas, la región de observabilidad y el estado operativo.
### Edición de resolutores globales
Puede modificar el nombre y la descripción del solucionador después de crearlo. No puede modificar las regiones en las que se implementa un solucionador global después de su creación.
## Administrar las reglas de firewall
Tras crear las reglas de firewall, puede modificar su prioridad, actualizar su configuración o eliminarlas según sea necesario.
### Prioridad de las reglas y orden de evaluación
Las reglas del firewall se evalúan por orden de prioridad, procesándose primero los números más bajos. Cuando una consulta coincide con varias reglas, solo se aplica la acción de la primera regla coincidente.
### Actualización de las reglas del firewall
Puede actualizar la mayoría de los aspectos de una regla de firewall después de crearla, incluidos sus dominios de prioridad, acción y destino.