Listas de dominios administrados - Amazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Listas de dominios administrados

Las listas de dominios gestionados contienen nombres de dominio asociados a actividades maliciosas u otras amenazas potenciales. AWS mantiene estas listas para permitir que los clientes de Route 53 Resolver comprueben DNS las consultas salientes de forma gratuita cuando utilizan DNS Firewall.

Mantenerse al día del panorama de amenazas en constante cambio puede resultar lento y costoso. Las listas de dominios gestionadas pueden ahorrarle tiempo a la hora de implementar y utilizar DNS Firewall. AWS actualiza automáticamente las listas cuando aparecen nuevas vulnerabilidades y amenazas. AWS suele recibir notificaciones sobre nuevas vulnerabilidades antes de divulgarlas públicamente, por lo que DNS Firewall puede implementar medidas de mitigación por usted con frecuencia antes de que se dé a conocer ampliamente una nueva amenaza.

Las listas de dominios administradas están diseñadas para ayudarlo a protegerse de las amenazas web más comunes y agregan otra capa de seguridad para las aplicaciones. Las listas de dominios AWS gestionados obtienen sus datos tanto de AWS fuentes internas como de fuentes internas RecordedFuture, y se actualizan continuamente. Sin embargo, las listas de dominios AWS gestionados no pretenden sustituir a otros controles de seguridad Amazon GuardDuty, como los que se determinan en función de los AWS recursos que seleccione.

Como práctica recomendada, pruebe una lista de dominios administrados en un entorno que no sea de producción antes de usarlo en producción, con la acción de la regla establecida en Alert. Evalúe la regla mediante CloudWatch métricas de Amazon combinadas con solicitudes muestreadas de Route 53 Resolver DNS Firewall o registros de DNS Firewall. Cuando la regla haga lo que quería, cambie la configuración de la acción según sea necesario.

Listas de dominios AWS gestionados disponibles

En esta sección se describen las listas de dominios administrados por que están disponibles actualmente. Cuando se encuentra en una región en la que se admiten estas listas, las ve en la consola cuando administra listas de dominios y cuando especifica la lista de dominios para una regla. En los registros, la lista de dominios se registra en el elemento firewall_domain_list_id field.

AWS proporciona las siguientes listas de dominios gestionados, en las regiones en las que están disponibles, para todos los usuarios de Route 53 Resolver DNS Firewall.

  • AWSManagedDomainsMalwareDomainList: dominios asociados al envío, alojamiento o distribución de malware.

  • AWSManagedDomainsBotnetCommandandControl: dominios asociados al control de redes de ordenadores infectados con malware de envío de spam.

  • AWSManagedDomainsAggregateThreatList— Dominios asociados a varias categorías de DNS amenazas, como el malware, el ransomware, las redes de bots, el spyware y la creación de DNS túneles, para ayudar a bloquear varios tipos de amenazas. AWSManagedDomainsAggregateThreatListincluye todos los dominios de las demás listas de dominios AWS gestionados que se muestran aquí.

  • AWSManagedDomainsAmazonGuardDutyThreatList— Dominios asociados a los hallazgos GuardDuty DNS de seguridad de Amazon. Los dominios provienen únicamente de los sistemas GuardDuty de inteligencia de amenazas de la empresa y no contienen dominios procedentes de fuentes externas de terceros. Más específicamente, actualmente esta lista solo bloquea los dominios que se generan internamente y se utilizan para las siguientes detecciones enGuardDuty: Impact: EC2/AbusedDomainRequest.Reputation, Impact:EC2/BitcoinDomainRequest.Reputation, Impact:EC2/MaliciousDomainRequest.Reputation, Impact:Runtime/AbusedDomainRequest.Reputation, Impact:Runtime/BitcoinDomainRequest.Reputation, and Impact:Runtime/MaliciousDomainRequest .Reputation.

    Para obtener más información, consulta Búsqueda de tipos en la Guía del GuardDuty usuario de Amazon.

AWS Las listas de dominios gestionados no se pueden descargar ni consultar. Para proteger la propiedad intelectual, no puedes ver ni editar las especificaciones de los dominios individuales de una lista de dominios AWS gestionados. Esta restricción también permite impedir que usuarios malintencionados diseñen amenazas que eludan específicamente las listas publicadas.

Cómo probar las listas de dominios administradas

Proporcionamos el siguiente conjunto de dominios para probar las listas de dominios administradas:

AWSManagedDomainsBotnetCommandandControl

  • controldomain1.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.botnetlist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsMalwareDomainList

  • controldomain1.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.malwarelist.firewall.route53resolver.us-east-1.amazonaws.com

AWSManagedDomainsAggregateThreatListy AWSManagedDomainsAmazonGuardDutyThreatList

  • controldomain1.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain2.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

  • controldomain3.aggregatelist.firewall.route53resolver.us-east-1.amazonaws.com

Estos dominios pasarán a ser 1.2.3.4 si no están bloqueados. Si utilizas las listas de dominios gestionados en unVPC, al consultar estos dominios se obtendrá la respuesta que se ha establecido en una acción de bloqueo en la regla (por ejemploNODATA).

Para obtener más información sobre las listas de dominios administrados, contacte con el Centro de AWS Support.

En la siguiente tabla se muestra la disponibilidad regional de las listas de dominios AWS gestionados.

Disponibilidad por región de la lista de dominios administradas
Región ¿Hay disponibilidad de las listas de dominios administrados?

Asia-Pacífico (Mumbai)

Asia-Pacífico (Seúl)

Asia-Pacífico (Singapur)

Asia-Pacífico (Sídney)

Asia-Pacífico (Tokio)

Región Asia-Pacífico (Osaka)

Asia-Pacífico (Yakarta)

Asia-Pacífico (Hyderabad)

Asia-Pacífico (Melbourne)

Asia-Pacífico (Hong Kong)

Región de Canadá (centro)

Oeste de Canadá (Calgary)

Región de Europa (Fráncfort)

Región de Europa (Irlanda)

Región de Europa (Londres)

Europa (Milán)

Región Europa (París)

Europa (Estocolmo)

Europa (Zúrich)

Europa (España)

América del Sur (São Paulo)

EE. UU. Este (Norte de Virginia)

EE. UU. Este (Ohio)

EE. UU Oeste (Norte de California)

Oeste de EE. UU. (Oregón)

África (Ciudad del Cabo)

China (Pekín)

China (Ningxia)

AWS GovCloud (US)

Medio Oriente (Baréin)

Oriente Medio (UAE)

Israel (Tel Aviv)
Consideraciones adicionales de seguridad

AWS Las listas de dominios gestionados están diseñadas para ayudarlo a protegerse de las amenazas web más comunes. Cuando se utilizan de acuerdo con la documentación, estas listas agregan otra capa de seguridad a sus aplicaciones. No obstante, las listas de dominios administrados por no están destinadas a reemplazar otros controles de seguridad, que vienen determinados por los recursos de AWS que seleccione. Para garantizar que sus recursos AWS estén debidamente protegidos, consulte la guía del Modelo de responsabilidad compartida.

Mitigación de escenarios falsos positivos

Si encuentra escenarios de falsos positivos en reglas que utilizan listas de dominios administrados por para bloquear consultas, realice los siguientes pasos:

  1. En los registros de Resolver, identifique el grupo de reglas y la lista de dominios administrados que están provocando el falso positivo. Para ello, busque el registro de la consulta que DNS Firewall está bloqueando, pero que desea permitir. La entrada de registro muestra el grupo de reglas, la acción de la regla y la lista administrada. Para obtener información acerca de los registros, consulte Valores que aparecen en los registros de consulta de Resolver.

  2. Cree una regla en el grupo de reglas que permita de forma explícita la consulta bloqueada. Al crear la regla, puede definir su propia lista de dominios con solo la especificación de dominio que desea permitir. Siga las instrucciones para la administración de reglas y grupos de reglas en Creación de reglas y de un grupo de reglas.

  3. Dé prioridad a la nueva regla dentro del grupo de reglas para que se ejecute antes de la regla que utiliza la lista administrada. Para ello, asigne a la nueva regla un valor de prioridad numérica más bajo.

Cuando haya actualizado el grupo de reglas, la nueva regla permitirá de forma explícita el nombre de dominio que desea permitir antes de que se ejecute la regla de bloqueo.