O blog da AWS
Configurando o Amazon Route 53 Resolver DNS Firewall
Por Bruno Almeida, Arquiteto de Soluções Especialista em Networking
O Amazon Route 53 Resolver é um servidor de DNS, algumas vezes referido como AmazonprovidedDNS (Servidor DNS provido pela Amazon), ou .2 resolver, que é habilitado por default em todas as Amazon Virtual Private Cloud (VPC).
Já o Amazon Route 53 Resolver DNS Firewall, é um firewall gerenciado, que permite aos clientes bloquear consultas DNS feitas para domínios mal-intencionados conhecidos, e autorizar consultas para domínios confiáveis. O Amazon Route 53 Resolver DNS Firewall fornece um controle mais granular sobre o comportamento de consultas DNS dos recursos dentro das suas VPCs.
O Firewall DNS do Route 53 permite que você crie listas de bloqueios para domínios com os quais não deseja que seus recursos de VPC se comuniquem via DNS. Esta solução também te auxilia na proteção contra exfiltração de DNS, em que atores mal-intencionados usam consultas DNS para vazar dados confidenciais da rede. Você também pode criar listas de permissão que permitem consultas DNS de saída apenas para domínios especificados.
Além disso, é possível criar alertas para quando consultas DNS de saída corresponderem a determinadas regras de firewall, testar estas regras antes de implantá-las no tráfego de produção.
O Firewall DNS do Route 53 oferece duas listas de domínios gerenciados (domínios de malware e domínios comando e controle de botnet), permitindo que você comece rapidamente com proteções gerenciadas contra ameaças comuns.
Neste blog vamos explorar a configuração básica do Firewall DNS do Route 53.
Este passo-a-passo se resume em 3 etapas:
- Criar o grupo de regras que deseja utilizar.
- Para cada regra, preencher a lista de domínios que deseja inspecionar. Você pode criar suas próprias listas de domínio, e usar as listas de domínio gerenciado da AWS.
- Associar o grupo de regras às VPCs onde deseja utilizá-lo.
Neste tutorial, criaremos um grupo de regras que bloqueia todos os domínios, exceto os domínios de um grupo selecionado. Isso é chamado de plataforma fechada.
Configurando o grupo de regras do DNS Firewall no assistente de console:
- Faça login no Console de Gerenciamento da AWS e abra o console Amazon VPC
https://console.thinkwithwp.com/vpc/
- No painel de navegação, escolha Rule Groups
- Na barra de navegação, escolha a Região que você deseja aplicar o grupo de regras.
- Escolha Create rule group (Criar grupo de regras)
- No campo Name utilizaremos WalledGardenExample em nosso exemplo, mas pode ser o nome de sua escolha, o ideal é que o nome da regra tenha relação com o objetivo da mesma.
- Escolha Next
- Na página de adição das regras, escolha Add rule
a. Em Rule details, digite o nome da regra BlockAll
b. Em Domain list, escolha Add my own domain list, para criar uma lista de domínios personalizada
c. Em Choose or create a new domain list, escolha Create a new domain list, para criar uma nova lista de domínios
d. No campo domain list name digite AllDomains (todos os domínios), e na caixa de texto digite um asterisco (*)
e. Em action, que é a ação que será executada nesta regra, escolha BLOCK (bloquear) e deixe a opção select a response to send for the BLOCK action (selecione uma resposta para ser enviada para ação de bloqueio) como NODATA
f. Escolha Add rule (adicionar regra). O assistente exibirá a página de adição de grupo de regras com sua regra BlockAll listada.
- Escolha em Add rule novamente para adicionar uma segunda regra para seu grupo de regras.
a. No painel Rule details, para o nosso exemplo digite o nome da regra AllowSelectDomains (Permitir os domínios selecionados)
b. No painel Domain list (lista de domínios), escolha Add my own domain list (adicionar minha própria lista de domínios)
c. Em Choose or create a new domain list (Escolher ou criar uma nova lista de domínios), escolha Create a new domain list (Criar uma nova lista de domínios)
d. No campo Domain list name (Nome da lista domínio) digite ExampleDomains
e. Na caixa de texto, na primeira linha digite example.com, e na segunda linha digite example.org
f. Em Action (Ação) escolha ALLOW (permitir)
g. Escolha em Add rule (Adicionar regra). O assistente exibirá as duas regras que foram criadas
9. Escolha Next
10. Na página Set rule priority (Configurar prioridade da regra), você pode ajustar a ordem de avaliação das regras em seu grupo de regras. O DNS Firewall avalia as regras começando com a configuração de prioridade mais baixa, portanto, a regra no topo da lista é a primeira avaliada.
Para este exemplo, queremos que o DNS Firewall primeiro identifique e permita consultas DNS da lista de domínios selecionados e, em seguida, bloqueie todas as demais consultas.
Escolha e ajuste a ordem da regra, para que a regra AllowSelectDomains seja a primeira listada.
Uma vez selecionada a regra, você pode alterar a ordem de prioridade clicando em Move Up (Mover para cima) ou Move down (Mover para baixo)
- Escolha Next
- Na página de adição de tags, escolha Next novamente
- Na página revisar e criar, confirme se as configurações especificadas nas páginas anteriores estão corretas. Se necessário, escolha Edit e atualize as configurações. Quando estiver satisfeito com as configurações, escolha Create rule group (Criar grupo de regras). O assistente o levará de volta à página Grupo de regras, onde seu novo grupo de regras está listado.Você agora tem um grupo de regras que permite apenas consultas através de um grupo específico de domínios. Para começar a usá-lo, associe às VPCs que você deseja que este filtro seja aplicado.
- Para associar o grupo de regras criado a uma VPC,
a. No painel de navegação escolha Rule groups, (Grupo de regras)
b. Na barra de navegação, escolha a Região que você deseja aplicar o grupo de regras.
c. Escolha o grupo de regras que você deseja associar e escolha View details (Visualizar detalhes). Será exibida a página de grupo de regras
d. Escolha View details (Visualizar detalhes). Será exibida a página de grupo de regras
e. Escolha a aba Associated VPCs (VPCs associadas)
f. Escolha Associate VPC (Associar VPC)
g. Escolha a VPC que você deseja associar a regra e escolha Associate (Associar)
- Inicialmente, o status da associação será Updating (atualizando), quando a associação estiver finalizada, o status será alterado para Complete.
Conclusão:
Neste blog vimos como criar uma configuração básica no Amazon Route 53 Resolver DNS Firewall, criando uma regra simples para bloquear e permitir uma lista de domínios, definindo em qual ordem as regras devem ser processadas, e associando à uma VPC.
Links de Referência:
- Anúncio do Amazon Route 53 Resolver DNS Firewall
- Amazon Route 53 resolver DNS Firewall
- Amazon Virtual Private Cloud (VPC)
Sobre o autor
Bruno Almeida é um Arquiteto de Soluções especialista em Networking, ele ajuda os clientes da AWS a criar soluções de nuvem escaláveis, altamente disponíveis e inovadoras.
Revisores
Michelle Pérez é Arquiteta de Soluções CSC Latam, e ajuda os clientes a identificarem e criarem soluções inovadoras para seus casos de uso. Tem experiência no mercado de Telecom com provedores de serviço e foco em Networking.
Leonardo Azize Martins é Arquiteto de Infraestrutura Cloud em Professional Services para o Setor Público. Tendo trabalhado com desenvolvimento e infraestrutura deaplicações web em multinacionais. Quando não está trabalhando, Leonardo gosta de passar otempo com a família, ler conteúdo técnico, assistir filmes e séries, e brincar com a filha.