As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Protegendo o DNS para clientes com o Route 53 Global Resolver
As seções a seguir descrevem como criar regras para proteger as consultas de DNS feitas por seus clientes.
**Topics**
+ [Configurar e gerenciar regras de firewall de DNS](gr-configure-manage-firewall-rules.md)
+ [Listas de domínios gerenciados](gr-managed-domain-lists.md)
+ [Crie listas de domínios](gr-build-domain-lists.md)
+ [Proteções avançadas do firewall DNS](gr-dns-firewall-advanced-protections.md)
+ [Gerencie políticas de segurança](gr-manage-dns-security-policies.md)
# Configurar e gerenciar regras de firewall de DNS
## Criação e visualização de regras de firewall
As regras de firewall definem como o Route 53 Global Resolver lida com consultas de DNS com base em listas de domínios, listas de domínios gerenciados, categorias de conteúdo ou proteção avançada contra ameaças. Cada regra especifica uma prioridade, domínios de destino e uma ação a ser tomada.
**Práticas recomendadas para prioridade de regras:**
+ Use a prioridade 100-999 para regras de permissão de alta prioridade (domínios confiáveis)
+ Use a prioridade 1000-4999 para regras de bloqueio (ameaças conhecidas)
+ Use a prioridade 5000-9999 para regras de alerta (monitoramento e análise)
+ Deixe lacunas entre as prioridades para permitir a inserção futura de regras
**Para criar uma regra de firewall de DNS**
1. No console do Route 53 Global Resolver, navegue até sua visualização de DNS.
1. Escolha a guia **Regras de firewall**.
1. Escolha **Criar regra de firewall**.
1. Na seção **Detalhes da regra**:
1. **Em Nome da regra**, insira um nome descritivo para a regra (até 128 caracteres).
1. (Opcional) **Em Descrição da regra**, insira uma descrição para a regra (até 255 caracteres).
1. Na seção **Configuração da regra**, escolha o **tipo de configuração da regra**:
+ **Listas de domínios gerenciados pelo cliente** - Use uma lista de domínios criada e gerenciada por você
+ **AWS listas de domínios gerenciados** - Use listas de domínio fornecidas pela Amazon que você pode utilizar
+ **Proteções avançadas do firewall DNS** - Escolha entre uma variedade de proteções gerenciadas e especifique um limite de confiança
1. **Em Ação de regra**, escolha a ação a ser tomada quando a regra corresponder:
+ **Permitir** - A consulta de DNS foi resolvida
+ **Alerta** - Permite a consulta de DNS, mas cria um alerta
+ **Bloquear** - A consulta de DNS está bloqueada
1. Escolha **Criar regra de firewall**.
Use o procedimento a seguir para visualizar as regras atribuídas a eles. Você também pode atualizar a regra e as configurações da regra.
**Para visualizar e atualizar uma regra**
1. No console do Route 53 Global Resolver, navegue até sua visualização de DNS.
1. Escolha a guia **Regras de firewall do DNS**.
1. Escolha a regra que você deseja visualizar ou editar e escolha **Editar**.
1. Na página **Regra**, você pode visualizar e editar as configurações.
Para obter informações sobre os valores das regras, consulte [Configurações de regra no Firewall DNS](#gr-rule-settings-dns-firewall).
**Para excluir uma regra**
1. No console do Route 53 Global Resolver, navegue até sua visualização de DNS.
1. Escolha a guia **Regras de firewall do DNS**.
1. Escolha a regra que você deseja excluir, escolha **Excluir** e confirme a exclusão.
## Configurações de regra no Firewall DNS
Ao criar ou editar uma regra de firewall de DNS em sua visualização de DNS, você especifica os seguintes valores:
Nome
Um identificador exclusivo para a regra na visualização DNS.
Descrição (opcional)
Uma breve descrição que fornece mais informações sobre a regra.
Lista de domínios
A lista de domínios que a regra inspeciona. Você pode criar e gerenciar sua própria lista de domínios ou assinar uma lista de domínios AWS gerenciada por você.
Uma regra pode conter uma lista de domínios ou uma proteção do Firewall de DNS Avançado, mas não ambas.
Tipo de consulta (apenas listas de domínios)
A lista de tipos de consulta ao DNS que a regra inspeciona. Os valores válidos são os seguintes:
+ R: Retorna um IPv4 endereço.
+ AAAA: retorna um endereço IPv6.
+ CAA: restrições CAs que podem criar SSL/TLS certificações para o domínio.
+ CNAME: retorna outro nome de domínio.
+ DS: registro que identifica a chave de assinatura DNSSEC de uma zona delegada.
+ MX: especifica servidores de e-mail.
+ NAPTR: Regular-expression-based reescrita de nomes de domínio.
+ NS: servidores de nomes legítimos.
+ PTR: mapeia um endereço IP para um nome de domínio.
+ SOA: início do registo de autoridade (SOA) para a zona.
+ SPF: lista os servidores autorizados a enviar e-mails de um domínio.
+ SRV: valores específicos da aplicação que identificam servidores.
+ TXT: verifica os remetentes de e-mail e os valores específicos da aplicação.
Um tipo de consulta que você define usando o ID de tipo de DNS, por exemplo, 28 para AAAA. Os valores devem ser definidos como TYPE`NUMBER`, onde `NUMBER` podem ser 1-65334, por exemplo,. TYPE28 Para obter mais informações, consulte [List of DNS record types](https://en.wikipedia.org/wiki/List_of_DNS_record_types).
Você pode criar um único tipo de consulta por regra.
Proteção do Firewall de DNS Avançado.
Detecta consultas ao DNS suspeitas com base em assinaturas de ameaças conhecidas nas consultas ao DNS. É possível escolher proteção contra:
+ Algoritmos de geração de domínio (DGAs)
DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.
+ Tunelamento de DNS
O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.
Em uma regra do Firewall de DNS Avançado, você pode optar por bloquear ou alertar sobre uma consulta que corresponda à ameaça.
Para obter mais informações, consulte Proteções avançadas do firewall DNS.
Uma regra pode conter uma proteção do Firewall de DNS Avançado ou uma lista de domínios, mas não ambos.
Limiar de confiança (apenas Firewall de DNS Avançado)
O limite de confiança do DNS Firewall Advanced. Você deve fornecer esse valor ao criar uma regra do DNS Firewall Advanced. Os valores do nível de confiança indicam o seguinte:
+ Alto: detecta somente as ameaças mais bem corroboradas com uma baixa taxa de falsos positivos.
+ Médio: fornece um equilíbrio entre a detecção de ameaças e falsos positivos.
+ Baixo: fornece a maior taxa de detecção de ameaças, mas também aumenta os falsos positivos.
Para obter mais informações, consulte Configurações de regras no Firewall DNS.
Ação
Como você deseja que o Firewall DNS manipule uma consulta de DNS cujo nome de domínio corresponda às especificações na lista de domínios da regra. Para obter mais informações, consulte [Ações de regra no Firewall DNS](#gr-rule-actions-dns-firewall).
Prioridade
Configuração exclusiva de números inteiros positivos para a regra na Visualização DNS que determina a ordem de processamento. O Firewall do DNS inspeciona as consultas de DNS em relação às regras em uma visualização de DNS, começando com a configuração de prioridade numérica mais baixa e subindo. Você pode alterar a prioridade de uma regra a qualquer momento, por exemplo, para alterar a ordem de processamento ou abrir espaço para outras regras.
## Ações de regra no Firewall DNS
Quando o Firewall DNS localiza uma correspondência entre uma consulta de DNS e uma especificação de domínio em uma regra, ele aplica a ação especificada na regra à consulta.
Você tem que especificar uma das seguintes opções em cada regra criada:
+ **Permitir**: interrompa a inspeção da consulta e permita que ela passe. Não disponível para o Firewall de DNS Avançado.
+ **Alerta**: interrompa a inspeção da consulta, permita que ela passe e registre um alerta para a consulta nos logs do Route 53 Resolver.
+ **Bloquear**: interrompa a inspeção da consulta, impeça-a de ir para o destino pretendido e registre a ação de bloqueio para a consulta nos logs do Route 53 Resolver.
Responda com a resposta de bloco configurada, a partir do seguinte:
+ **NODATA**: responde indicando que a consulta foi bem-sucedida, mas nenhuma resposta está disponível para ela.
+ **NXDOMAIN** — Responda indicando que o nome de domínio da consulta não existe.
+ **SUBSTITUIR** — Forneça uma substituição personalizada na resposta. Além disso, essa instrução requer as seguintes configurações:
+ **Valor de registro**: o registro DNS personalizado a ser enviado de volta em resposta à consulta.
+ **Tipo de registro** — O tipo do registro DNS. Isso determina o formato do valor do registro. Deve ser `CNAME`.
+ **Tempo de vida em segundos** — O tempo de vida recomendado para o resolvedor de DNS ou o navegador da Web armazenar em cache o registro de substituição e usá-lo em resposta a essa consulta, caso ele seja recebido novamente. Por padrão, isso é zero e o registro não está armazenado em cache.
# Listas de domínios gerenciados para o Route 53 Global Resolver
As listas de domínios gerenciados contêm nomes de domínio associados a atividades maliciosas ou outras ameaças em potencial. AWS mantém essas listas para permitir que os clientes do Route 53 Global Resolver verifiquem as consultas de DNS vinculadas à Internet em relação a eles ao usar o DNS Firewall.
Manter se atualizado sobre o panorama de ameaças em constante alteração pode ser demorado e caro. As listas de domínios gerenciados podem economizar seu tempo ao implementar e usar o firewall DNS no Global Resolver. AWS atualiza automaticamente as listas quando surgem novas vulnerabilidades e ameaças.
As listas de domínios gerenciados são categorizadas nas categorias Ameaça e Conteúdo, projetadas para ajudar a protegê-lo contra ameaças comuns na Web e também bloquear a resolução de consultas para não safe-for-work domínios.
Como prática recomendada, antes de usar uma lista de domínios gerenciada na produção, teste-a em um ambiente que não seja de produção, com a ação da regra definida como `Alert`. Avalie a regra usando CloudWatch métricas da Amazon combinadas com amostras de solicitações do DNS Firewall ou registros do Global Resolver. Quando você estiver satisfeito de que a regra faz o que você deseja, altere a configuração de ação, conforme necessário.
## Listas de domínios AWS gerenciados disponíveis
Esta seção descreve as listas de domínios gerenciados que estão atualmente disponíveis para o Global Resolver. AWS fornece as seguintes listas de domínios gerenciados, para todos os usuários do Global Resolver, classificadas por **ameaça** ou tipo de **conteúdo**.
**Categorias de ameaças**
| |
| --- |
| Malware |
| Botnet/Comando e Controle |
| Lista agregada de ameaças |
| Lista de GuardDuty ameaças da Amazon |
| Phishing |
| Spam |
**Categorias de conteúdo**
| |
| --- |
| Violência e discurso de ódio |
| Para crianças |
| Anúncios on-line |
| Ciência |
| Família e parentalidade |
| Pets |
| Procura de Carreira e Emprego |
| Religião |
| Lifestyle |
| Casa e jardim |
| Atividades criminosas e ilegais |
| Esportes e recreação |
| Veículos |
| Serviços financeiros |
| Imóveis |
| Hobbies e interesses |
| Travel |
| Comida e jantar |
| Governamental e jurídico |
| Educação |
| Moda |
| Integridade |
| Compras |
| Conteúdo adulto e adulto |
| Tecnologia e Internet |
| Negócios e economia |
| Notícias |
| Mecanismos de busca e portais |
| Artes e cultura |
| Entretenimento |
| Militar |
| Redes sociais |
| Evitação por procuração |
| Redirecionar |
| E-mail |
| Tradução |
| Abuso infantil |
| Aborto |
| Jogos de aposta |
| Hackeando |
| Maconha |
| Criptomoedas |
| Namoro |
| Inteligência Artificial e Machine Learning |
| Domínios estacionados |
| Endereço IP privado |
As listas de domínios gerenciados não é possível baixar essas listas nem navegar por elas. Para proteger a propriedade intelectual, você não pode visualizar nem editar as especificações de domínio individuais nas Listas de Domínios Gerenciados. Essa restrição também ajuda a impedir que usuários mal-intencionados criem ameaças que contornem especificamente as regras publicadas.
# Crie listas de domínios para bloquear ou permitir
Você pode criar suas próprias listas de domínios para especificar categorias de domínio que você não encontra nas ofertas de lista de domínios gerenciados ou que você mesmo prefere manipular.
Além dos procedimentos descritos nesta seção, no console, você pode criar uma lista de domínios no contexto do gerenciamento de regras do Firewall DNS, ao criar ou atualizar uma regra.
Cada especificação de domínio na lista de domínios deve atender aos seguintes requisitos:
+ Ela pode, opcionalmente, começar com `*` (asterisco).
+ Com exceção do asterisco inicial opcional e um ponto, como delimitador entre rótulos, ele deve conter apenas os seguintes caracteres: `A-Z`, `a-z`, `0-9`, `-` (hífen).
+ Deve ter de 1 a 255 caracteres.
**Para criar uma lista de domínios**
1. No console do Route 53 Global Resolver, navegue até seu Global Resolver.
1. Escolha a guia **Listas de domínios**.
1. Escolha **Criar lista de domínios**.
1. Forneça um nome e uma descrição opcional para sua lista de domínios, junto com as tags, e selecione **Criar lista de domínios**.
1. Depois de criado e operacional, você pode começar a adicionar domínios à sua lista de domínios selecionando **Adicionar domínios**.
1. Se você optar por fazer o **upload de uma lista de domínios de um bucket do Amazon S3**, insira o URI do bucket do Amazon S3 em que você criou uma lista de domínios. Esta lista de domínios deve ter um nome de domínio por linha.
1. Caso contrário, insira as especificações do seu domínio na caixa de texto, uma por linha.
1. Escolha **Adicionar domínios**.
**Para excluir uma lista de domínios**
1. No console do Route 53 Global Resolver, navegue até seu Global Resolver.
1. Escolha a guia **Listas de domínios**.
1. Selecione a lista de domínios que você deseja excluir e escolha **Delete** (Excluir) e confirme a exclusão.
# Proteções avançadas do firewall DNS
O Firewall de DNS Avançado detecta consultas ao DNS suspeitas com base em assinaturas de ameaças conhecidas nas consultas ao DNS. Você pode especificar um tipo de ameaça em uma regra que você usa em uma regra de firewall de DNS, associada a uma visualização de DNS.
O Firewall de DNS Avançado funciona identificando assinaturas de ameaças de DNS suspeitas, inspecionando uma série de identificadores-chave na carga útil do DNS, incluindo o carimbo de data/hora das solicitações, a frequência das solicitações e respostas, as string de consulta ao DNS e o comprimento, tipo ou tamanho das consultas ao DNS de saída e de entrada. Com base no tipo de assinatura de ameaça, você pode configurar políticas para bloquear ou simplesmente registrar em log e alertar sobre a consulta. Ao usar um conjunto expandido de identificadores de ameaças, você pode se proteger contra ameaças de DNS de origens de domínio que ainda podem não estar classificadas pelos feeds de inteligência de ameaças mantidos pela comunidade de segurança mais ampla.
Atualmente, o Firewall de DNS Avançado oferece proteções contra:
+ Algoritmos de geração de domínio (DGAs)
DGAs são usados por atacantes para gerar um grande número de domínios para lançar ataques de malware.
+ Dicionário DGA
Detecte ataques de DGA que usam nomes de domínio associados a palavras do dicionário em grandes números para executar comandos maliciosos e controlar comunicações de DNS.
+ Tunelamento de DNS
O tunelamento de DNS é usado por invasores para extrair dados do cliente usando o túnel de DNS sem estabelecer uma conexão de rede com o cliente.
Para saber como criar regras, consulte[Configurar e gerenciar regras de firewall de DNS](gr-configure-manage-firewall-rules.md).
## Como atenuar cenários falsos positivos
Se você estiver enfrentando cenários de falsos positivos em regras que usam proteções do Firewall de DNS Avançado para bloquear consultas, execute as seguintes etapas:
1. Nos registros do Global Resolver, identifique a regra e as proteções avançadas do DNS Firewall que estão causando o falso positivo. Faça isso localizando o log para a consulta que o Firewall DNS está bloqueando, mas que você deseja permitir. O registro de log lista a visualização de DNS, a regra, a ação da regra e a proteção avançada do firewall DNS.
1. Crie uma nova regra na visualização DNS que permita explicitamente a passagem da consulta bloqueada. Ao criar a regra, você pode definir sua própria lista de domínios apenas com a especificação de domínio que deseja permitir. Siga as orientações para gerenciamento de regras em[Configurar e gerenciar regras de firewall de DNS](gr-configure-manage-firewall-rules.md).
1. Priorize a nova regra dentro da regra para que ela seja executada antes da regra que está usando a lista gerenciada. Para fazer isso, dê à nova regra uma configuração de prioridade numérica mais baixa.
Depois de atualizar suas regras, a nova regra permitirá explicitamente o nome de domínio que você deseja permitir antes que a regra de bloqueio seja executada.
# Gerencie políticas de segurança de DNS no Route 53 Global Resolver
## Gerenciando resolvedores globais
Depois de criar um resolvedor global, você pode visualizar seus detalhes, editar sua configuração e gerenciar os recursos associados na página Resolvedores globais.
### Visualizando detalhes do resolvedor
A página Global Resolvers exibe uma lista de todos os seus resolvedores com informações importantes, incluindo nome do resolvedor, regiões implantadas, visualizações de DNS associadas, região de observabilidade e status operacional.
### Editando resolvedores globais
Você pode modificar o nome e a descrição do resolvedor após a criação. Você não pode modificar as regiões em que um resolvedor global é implantado após a criação.
## Gerenciando regras de firewall
Depois de criar as regras de firewall, você pode modificar suas prioridades, atualizar suas configurações ou excluí-las conforme necessário.
### Prioridade da regra e ordem de avaliação
As regras de firewall são avaliadas em ordem de prioridade, com números menores processados primeiro. Quando uma consulta corresponde a várias regras, somente a ação da primeira regra correspondente é aplicada.
### Atualizando as regras de firewall
Você pode atualizar a maioria dos aspectos de uma regra de firewall após a criação, incluindo seus domínios de prioridade, ação e destino.