As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção contra registros de delegação pendentes no Route 53
Com o Route 53, você pode rotear tráfego para um subdomínio criando registros NS. Quando esses registros de NS apontam para servidores de nomes do Route 53, espera-se que os servidores de nomes correspondam aos do conjunto de delegação de uma zona hospedada que é autoritativa para o subdomínio. Se esses registros de NS não estiverem apontando para os servidores de nomes corretos, isso expõe ao risco de um ataque para explorar e assumir o controle do subdomínio. Eles registros são chamados de registros de NS pendurados.
Por exemplo, quando uma zona hospedada do Route 53 para um subdomínio é excluída, seus registros de NS podem ficar pendurados no domínio principal. Quando isso acontece, um ataque pode sequestrar o subdomínio criando uma nova zona hospedada nos servidores de nomes da zona excluída. O Route 53 tenta evitar isso acompanhando os pares de conjuntos de delegação do subdomínio e não permitindo que novas zonas do subdomínio sejam criadas nesses servidores de nomes antes que você remova os registros NS pendurados.
Porém, registros de NS pendurados ainda podem ocorrer devido à configuração incorreta dos registros de NS. Para mitigar esse risco, recomendamos que você tome as seguintes precauções:
Confira se os registros de NS apex da zona hospedada autoritativa do Route 53 do subdomínio correspondem ao conjunto de delegação da zona hospedada. Você pode encontrar o conjunto de delegações de uma zona hospedada por meio do console do Route 53 ou AWS CLI. Para ter mais informações, consulte Listar registros ou get-hosted-zone
. Habilite a DNSSEC assinatura para a zona hospedada do Route 53. DNSSECautentica que DNS as respostas vêm da fonte autorizada, evitando efetivamente o risco. Para ter mais informações, consulte Configurando a DNSSEC assinatura no Amazon Route 53.
Remova os servidores de nomes que não hospedam o subdomínio dos registros de NS do subdomínio na zona hospedada superior.
- ou -
Substitua os servidores de nomes pelos quatro servidores de nomes no conjunto de delegação da zona hospedada autoritativa do subdomínio do Route 53. Isso também reduz eficazmente o risco.
Exemplos
Nos exemplos a seguir, presumimos que você tenha um domínio superior, parent-domain.com
, e um subdomínio, sub-domain.parent-domain.com
, mostramos três cenários em que há registros de NS pendurados e como reduzir o risco.
- Cenário 1:
Na zona hospedada superior
parent-domain.com
, você cria registros de NS parasub-domain.parent-domain.com
com quatro servidores de nomes <ns1>, <ns2>, <ns3> e <ns4>. E os servidores de nomes do subdomínio autoritativo são <ns5>, <ns6>, <ns7> e <ns8>. Assim sendo, <ns1>, <ns2>, <ns3> e <ns4> são todos registros de NS pendurados e isso expõe ao risco de que um ataque para obter o controle de subdomain.parent-domain.com. Para reduzir o risco, substitua o registro de NS do subdomínio por <ns5>, <ns6>, <ns7> e <ns8>.- Cenário 2:
parent-domain.com
tem pontos de registros de NSsub-domain.parent-domain.com
em <ns1>, <ns2>, <ns3>, <ns4>, <ns5>, <ns6>, <ns7> e <ns8>. E os servidores de nomes da zona hospedada do subdomínio autoritativo são <ns5>, <ns6>, <ns7> e <s8>. Assim sendo, <ns1>, <ns2>, <ns3> e <ns4> são novamente registros de NS pendurados. Para reduzir o risco, remova <ns1>, <ns2>, <ns3> e <ns4> dos registros de NS.- Cenário 3:
Você tem um conjunto de delegação reutilizável <ns1>, <ns2>, <ns3> e <ns4>. Você cria um registro de NS na zona superior e delega o subdomínio a esses servidores de nomes no conjunto de delegação reutilizável. Porém, você não criou a zona de subdomínio no conjunto de delegação reutilizável. Assim sendo, <ns1>, <ns2>, <ns3> e <ns4> são registros de NS pendurados. Para reduzir o risco, crie a zona hospedada do subdomínio com o conjunto de delegação reutilizável.