Blog de Amazon Web Services (AWS)

Configuración de Amazon Route 53 Resolve DNS Firewall

Por Bruno Almeida, Arquitecto de Soluciones Especialista en Networking

 

Amazon Route 53 Resolver es un servidor DNS, a veces denominado AmazonProvidedDNS (servidor DNS proporcionado por Amazon) o .2 resolver, que está habilitado de forma predeterminada en todas las AdeAmazon Virtual Private Cloud (VPC).

Amazon Route 53 Resolve DNS Firewall es un firewall administrado que permite a los clientes bloquear consultas DNS realizadas a dominios malintencionados conocidos y autorizar consultas a dominios de confianza. Además proporciona un control más detallado sobre el comportamiento de las consultas DNS de los recursos dentro de las VPC.

Route 53 DNS Firewall le permite crear listas de bloqueo para dominios con los que no desea que los recursos de su VPC se comuniquen a través de DNS.  Esta solución también le ayuda a protegerse contra la exfiltración de DNS, donde los actores malintencionados utilizan consultas DNS para filtrar datos confidenciales de la red. También puede crear listas de permisos que permitan consultas DNS salientes sólo para dominios especificados.

Además, puede crear alertas para cuando las consultas DNS salientes coinciden con ciertas reglas de firewall, se recomienda probar estas reglas antes de implementarlas en el tráfico de producción.

Route 53 DNS Firewall ofrece dos listas de dominios administrados (dominios de malware y dominios de comando y control botnet), lo que le permite comenzar rápidamente con protecciones administradas contra amenazas comunes.

En este blog vamos a explorar la configuración básica de Route 53 DNS Firewall.

El procediemiento se resume en 3 pasos:

  1. Cree el grupo de reglas que desee utilizar.
  2. Para cada regla, rellene la lista de dominios que desea inspeccionar. Puede crear sus propias listas de dominios y utilizar listas de dominios administrados por AWS.
  3. Asocie el grupo de reglas con las VPC en las que desee utilizarlo.

 

En este blog, crearemos un grupo de reglas que bloquea todos los dominios excepto los dominios de un grupo seleccionado. Esto se denomina plataforma cerrada.

Configuración del grupo de reglas de Firewall DNS en el asistente de consola:

  1. Inicie sesión en AWS Management Console y abra la consola de Amazon VPC

https://console.aws.amazon.com/vpc/

  1. En el panel de navegación, elija Grupos de reglas
  2. En la barra de navegación, elija la Región a la que desea aplicar el grupo de reglas.
  3. Elija Crear grupo de reglas

 

  1. En el campo Nombre utilizaremos WalledGardenExample en nuestro ejemplo, pero puede ser el nombre de su elección, idealmente el nombre de la regla se relaciona con el propósito de la regla.

 

  1. Elija Siguiente
  2. En la página Agregar reglas, elija Agregar regla

a. En Detalles de regla, escriba el nombre de la regla BlockAll
b. En la lista Dominio, seleccione Agregar mi propia lista de dominios para crear una lista de dominios personalizada.
c. En Elegir o crear una nueva lista de dominios, seleccione Crear una nueva lista de dominios para crear una nueva lista de dominios
d. En el campo nombre de lista de dominios escriba AllDomains (todos los dominios) y en el cuadro de texto escriba un asterisco (*)
e. En acción, que es la acción que se realizará en esta regla, seleccione BLOCK y deje el seleccionar una respuesta para enviar para la opción de acción BLOQUE como NODATA
f. Elija Agregar regla. El asistente mostrará la página agregar grupo de reglas con la regla BlockAll en la lista.

  1. Elija Agregar regla de nuevo para agregar una segunda regla al grupo de reglas.

a. En el panel Detalles de la regla, para nuestro ejemplo escriba el nombre de la regla AllowSelectDomains

b. En el panel Lista de dominios, seleccione Agregar mi propia lista de dominios

c. En Elegir o crear una nueva lista de dominios, seleccione Crear una nueva lista de dominios

d. En el campo Nombre de lista de dominio, escriba ExampleDomains

e. En el cuadro de texto, en la primera línea escriba example.com y en el segundo tipo de línea example.org

f. En Acción, seleccione PERMITIR

g. Elija entre Agregar regla. El asistente mostrará las dos reglas que se han creado

 

9. Elija Siguiente

10. En la página Establecer prioridad de regla, puede ajustar el orden de evaluación de las reglas del grupo de reglas. El servicio de seguridad DNS evalúa las reglas empezando por la configuración de prioridad más baja, por lo que la regla situada en la parte superior de la lista es la primera regla evaluada.

Para este ejemplo, queremos que Firewall DNS primero identifique y permita consultas DNS de la lista de dominios seleccionados y, a continuación, bloquee todas las demás consultas.
Seleccione y ajuste el orden de la regla para que la regla AllowSelectDomains sea la primera regla enumerada.
Una vez seleccionada la regla, puede cambiar el orden de prioridad haciendo clic en Subir o Bajar

 

  1. Elija Siguiente
  2. En la página Agregar etiquetas, vuelva a elegir Siguiente
  3. En la página de revisión y creación, confirme que la configuración especificada en las páginas anteriores es correcta. Si es necesario, elija Editar y actualice la configuración. Cuando esté satisfecho con la configuración, elija Crear grupo de reglas. El asistente le llevará de vuelta a la página Grupo de reglas, donde aparece el nuevo grupo de reglas.
    Ahora tiene un grupo de reglas que sólo permite consultas en un grupo específico de dominios. Para empezar, asocie a las VPC a las que desea aplicar este filtro.
  4. Para asociar el grupo de reglas creado a una VPC,

a. En el panel de navegación, elija Grupos de reglas,

b. En la barra de navegación, elija la Región a la que desea aplicar el grupo de reglas.

 

c. Seleccione el grupo de reglas que desee asociar y elija Ver detalles. Aparecerá la página del grupo de reglas

 

d. Elija Ver detalles. Aparecerá la página del grupo de reglas

 

 

e. Seleccione la pestanã VPC asociadas (VPC asociadas)

f. Elegir asociar VPC

g. Seleccione la VPC a la que desea asociar la regla y elija Asociar

  1. Inicialmente, el estado de la asociación será Actualizando, cuando la membresía haya finalizado, el estado cambiará a Completo.

Conclusión:

En este blog hemos visto cómo crear una configuración básica en Amazon Route 53 Resolve DNS Firewall, creando una regla sencilla para bloquear y permitir una lista de dominios, definir en qué orden se deben procesar las reglas y asociarse con una VPC.

 

Enlaces de referencia:

 

Este artículo fue traducido del Blog de AWS en Portugués

 


Sobre los autor

Bruno Almeida es arquitecto de soluciones de red que ayuda a los clientes de AWS a crear soluciones en la nube escalables, de alta disponibilidad, bien diseñadas e innovadoras.

 

 

 

 

Revisores

Michelle Pérez es arquitecto latam CSC Solutions Architect, ayudando a los clientes a identificar y crear soluciones innovadoras para sus casos de uso. Tiene experiencia en el mercado de Telecomunicaciones con proveedores de servicios y foco en Networking.

 

 

 

 

Leonardo Azize Martins es arquitecto de infraestructura en la nube en Servicios Profesionales para el Sector Público. Habiendo trabajado con el desarrollo y la infraestructura de aplicaciones web en multinacionales. Cuando no está trabajando, Leonardo le gusta pasar el tiempo en familia, leer contenido técnico, ver películas y serie, y jugar con la hija.

 

 

 

Omner Barajas es Senior Security Arquitecto de Soluciones en AWS México.