Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Adición del grupo de reglas administradas por ACFP a la nueva ACL web
En esta sección se explica cómo se agrega y configura el grupo de reglas AWSManagedRulesACFPRuleSet.
Con el fin de configurar el grupo de reglas administradas de la ACFP para que reconozca las actividades fraudulentas de creación de cuentas en su tráfico web, debe proporcionar información sobre cómo los clientes acceden a su página de registro y enviar las solicitudes de creación de cuentas a su aplicación. En el caso de CloudFront las distribuciones protegidas de Amazon, también debes proporcionar información sobre cómo responde tu aplicación a las solicitudes de creación de cuentas. Esta configuración se suma a la configuración normal de un grupo de reglas administradas.
Para ver la descripción del grupo de reglas y la lista de reglas, consulte AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude.
nota
La base de datos de credenciales robadas de la ACFP solo contiene nombres de usuario en formato de correo electrónico.
Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar la AWS WAF web ACLs, las reglas y los grupos de reglas. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administradas a su ACL web, consulte Adición de un grupo de reglas administradas a una ACL web a través de la consola.
Seguir las prácticas recomendadas
Utilice el grupo de reglas de la ACFP de acuerdo con las prácticas recomendadas de Mejores prácticas para la mitigación inteligente de amenazas en AWS WAF.
Uso del grupo de reglas de AWSManagedRulesACFPRuleSet en su ACL web
-
Agregue el grupo de reglas AWS administrado
AWSManagedRulesACFPRuleSeta su ACL web y edite la configuración del grupo de reglas antes de guardarlo.nota
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administradas. Para obtener más información, consulte AWS WAF Precios
. En el panel configuración del grupo de reglas, proporcione la información que el grupo de reglas de la ACFP utiliza para inspeccionar las solicitudes de creación de cuentas.
-
En Usar expresiones regulares en las rutas, active esta opción si desea AWS WAF hacer coincidir las expresiones regulares con las especificaciones de las rutas de las páginas de registro y creación de cuentas.
AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE
libpcrecon algunas excepciones. La biblioteca está documentada en PCRE, expresiones regulares compatibles con Perl. Para obtener información sobre el AWS WAF soporte, consulteSintaxis de expresiones regulares admitida en AWS WAF. -
En Ruta de la página de registro, indique la ruta del punto de conexión de la página de registro de su aplicación. Esta página debe aceptar solicitudes de texto/html
GET. El grupo de reglas inspecciona solo las solicitudes de texto/htmlGETHTTP enviadas al punto de conexión de la página de registro especificada.nota
La coincidencia de puntos de conexión no distingue entre mayúsculas y minúsculas. Las especificaciones de expresiones regulares no deben incluir la marca
(?-i), ya que desactiva la coincidencia sin distinción entre mayúsculas y minúsculas. Las especificaciones de las cadenas deben empezar con una barra diagonal/.Por ejemplo, para la URL
https://example.com/web/registration, puede proporcionar la especificación de la ruta de la cadena/web/registration. Las rutas de las páginas de registro que comienzan con la ruta que proporcione se consideran coincidentes. Por ejemplo,/web/registrationcoincide con las rutas de registro/web/registration,/web/registration/,/web/registrationPagey/web/registration/thisPage, pero no coincide con la ruta/home/web/registrationo/website/registration.nota
Asegúrese de que los usuarios finales carguen la página de registro antes de enviar una solicitud de creación de cuenta. Esto ayuda a garantizar que las solicitudes de creación de cuenta que envía el cliente incluyan tókenes válidos.
-
Para la ruta de creación de la cuenta, proporcione el URI de su sitio web que acepte los detalles completados del nuevo usuario. Este URI debe aceptar solicitudes
POST.nota
La coincidencia de puntos de conexión no distingue entre mayúsculas y minúsculas. Las especificaciones de expresiones regulares no deben incluir la marca
(?-i), ya que desactiva la coincidencia sin distinción entre mayúsculas y minúsculas. Las especificaciones de las cadenas deben empezar con una barra diagonal/.Por ejemplo, para la URL
https://example.com/web/newaccount, puede proporcionar la especificación de la ruta de la cadena/web/newaccount. Las rutas de creación de cuentas que comienzan con la ruta que usted proporciona se consideran coincidentes. Por ejemplo,/web/newaccountcoincide con las rutas de creación de cuentas/web/newaccount,/web/newaccount/,/web/newaccountPagey/web/newaccount/thisPage, pero no coincide con la ruta/home/web/newaccounto/website/newaccount. -
Para Inspeccionar solicitudes, especifique cómo acepta su aplicación los intentos de creación de cuentas. Para ello, proporcione el tipo de carga útil de la solicitud y los nombres de los campos del cuerpo de la solicitud en los que se incluyen el nombre de usuario, la contraseña y otros detalles de creación de la cuenta.
nota
Para los campos de dirección y número de teléfono principales, proporcione los campos en el orden en que aparecen en la carga útil de la solicitud.
La especificación de los nombres de los campos depende del tipo de carga útil.
-
Tipo de carga útil JSON: especifique los nombres de los campos en la sintaxis del puntero JSON. Para obtener información sobre la sintaxis del puntero JSON, consulte la documentación del Grupo de trabajo de ingeniería de Internet (IETF) sobre el puntero de notación de JavaScript objetos (JSON)
. Por ejemplo, para el siguiente ejemplo de carga útil JSON, la especificación del campo de nombre de usuario es
/signupform/usernamey las especificaciones del campo de dirección principal son/signupform/addrp1,/signupform/addrp2y/signupform/addrp3.{ "signupform": { "username": "THE_USERNAME", "password": "THE_PASSWORD", "addrp1": "PRIMARY_ADDRESS_LINE_1", "addrp2": "PRIMARY_ADDRESS_LINE_2", "addrp3": "PRIMARY_ADDRESS_LINE_3", "phonepcode": "PRIMARY_PHONE_CODE", "phonepnumber": "PRIMARY_PHONE_NUMBER" } } -
Tipo de carga útil FORM_ENCODED: use los nombres de los formularios HTML.
Por ejemplo, para un formulario HTML con elementos de entrada de usuario y contraseña denominados
username1ypassword1, la especificación del campo de nombre de usuario esusername1y la especificación del campo de contraseña espassword1.
-
-
Si estás protegiendo CloudFront las distribuciones de Amazon, en la inspección de respuestas, especifica cómo indica tu aplicación el éxito o el fracaso en sus respuestas a los intentos de creación de cuentas.
nota
La inspección de respuestas de la ACFP solo está disponible en los sitios web ACLs que protegen CloudFront las distribuciones.
Especifique un único componente en la respuesta de creación de la cuenta que desee que inspeccione la ACFP. Para los tipos de componentes Body y JSON, AWS WAF puede inspeccionar los primeros 65.536 bytes (64 KB) del componente.
Indique sus criterios de inspección para el tipo de componente, tal y como se indica en la interfaz. Debe proporcionar los criterios de éxito y fracaso para inspeccionar el componente.
Por ejemplo, supongamos que su solicitud indica el estado de un intento de creación de cuenta en el código de estado de la respuesta y utiliza
200 OKpara indicar si se ha realizado correctamente, y401 Unauthorizedo403 Forbiddensi ha fallado. Debe establecer el Tipo de componente de inspección de respuesta en el Código de estado y, a continuación, en el cuadro de texto Éxito, introducir200, y, en el cuadro de texto Error, introducir401en la primera línea y403en la segunda.El grupo de reglas de la ACFP solo cuenta las respuestas que coinciden con sus criterios de inspección de éxito o fracaso. Las reglas del grupo de reglas actúan sobre los clientes cuando tienen una tasa de éxito demasiado alta entre las respuestas que se cuentan, con el fin de mitigar los intentos de creación masiva de cuentas. Para cumplir con precisión las reglas del grupo de reglas, asegúrese de proporcionar información completa tanto para los intentos de creación de cuentas exitosos como para los fallidos.
Para ver las reglas que inspeccionan las respuestas de creación de cuentas, busque
VolumetricIPSuccessfulResponseyVolumetricSessionSuccessfulResponseen la lista de reglas que aparece en AWS WAF Grupo de reglas de prevención del fraude (ACFP) para la creación de cuentas de Control de Fraude.
-
-
Proporcione cualquier configuración adicional que desee para el grupo de reglas.
Puede limitar aún más el alcance de las solicitudes que el grupo de reglas inspecciona agregando una instrucción de restricción de acceso a la instrucción del grupo de reglas administradas. Por ejemplo, solamente puede inspeccionar las solicitudes con un argumento de consulta o una cookie específicos. El grupo de reglas solo inspeccionará las solicitudes que coincidan con los criterios de su instrucción de restricción de acceso y que se envíen a las rutas de registro y creación de cuentas que especificó en la configuración del grupo de reglas. Para obtener información sobre las instrucciones de restricción de acceso, consulte Uso de declaraciones de alcance reducido en AWS WAF.
-
Guarde los cambios en la ACL web.
Antes de implementar cambios en su ACFP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación.
