勉強前イメージ
Route 53 Resolver って昨日やったやつじゃなかったっけ?
調査
Route 53 Resolver DNS Firewall とは
VPCから Route 53 Resolver に対するアウトバウンドのDNSのクエリを見て
特定のドメイン名に対するクエリをブロックすることができます。
VPCから悪意のあるドメインに対するDNSのクエリをブロックして、信頼できるDNDのクエリのみ許可するfirewallになります。
DNSトンネリング の対策になります。
Route 53 Resolver DNS Firewallで防ぐもの
Route 53 Resolver に対するDNSのトラフィックになります。
DNS以外のhttpやsshのトラフィックに関しては関係ないです。
ブロックに対して
特定のドメイン名に対するクエリをブロックすることができます。
と記載していますが、ブロックするドメインは以下の方法で決定します。
- AWSが提供するリスト
- AWSManagedDomainsMalwareDomainList
- 既知のマルウェアの通信先ドメインのリスト
- AWSManagedDomainsBotnetCommandandControl
- 既知のボットネットの Command & Control サーバのドメインのリスト
- AWSManagedDomainsMalwareDomainList
- 自分でリストを作成
- 新規にドメインリストを作成する
また、ブロックすべきドメイン名に対してのDNSクエリが来た際にどうアクションするかも決められます。
- ALLOW : 許可
- BLOCK : 許可しない
- NODATA : DNSクエリは成功するが利用可能な応答がないことを示す
- NXDOMAIN : DNSクエリのドメインがないことを示す
- OVERRIDE : 応答をカスタムする
- ALERT : アラートを出す
勉強後イメージ
DNSトンネリングは検知が難しいっていわれてるから
事前に防ぐ必要がある・・・