Adición del grupo de reglas administradas por ACFP a la nueva ACL web - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Adición del grupo de reglas administradas por ACFP a la nueva ACL web

En esta sección se explica cómo se agrega y configura el grupo de reglas AWSManagedRulesACFPRuleSet.

Con el fin de configurar el grupo de reglas administrado de la ACFP para que reconozca las actividades fraudulentas de creación de cuentas en su tráfico web, debe proporcionar información sobre cómo los clientes acceden a su página de registro y enviar las solicitudes de creación de cuentas a su aplicación. En el caso de las distribuciones protegidas de Amazon CloudFront, también debe proporcionar información sobre cómo responde su aplicación a las solicitudes de creación de cuentas. Esta configuración se suma a la configuración normal de un grupo de reglas administrado.

Para ver la descripción del grupo de reglas y la lista de reglas, consulte Grupo de reglas de prevención contra fraude en la creación de cuentas (ACFP) de control de fraudes de AWS WAF.

nota

La base de datos de credenciales robadas de la ACFP solo contiene nombres de usuario en formato de correo electrónico.

Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar las ACL web, las reglas y los grupos de reglas de AWS WAF. Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administrado a su ACL web, consulte Adición de un grupo de reglas administrado a una ACL web a través de la consola.

Seguir las prácticas recomendadas

Utilice el grupo de reglas de la ACFP de acuerdo con las prácticas recomendadas de Prácticas recomendadas para la mitigación inteligente de amenazas en AWS WAF.

Uso del grupo de reglas de AWSManagedRulesACFPRuleSet en su ACL web

  1. Agregue el grupo de reglas administrado de AWS AWSManagedRulesACFPRuleSet a su ACL web y edite la configuración del grupo de reglas antes de guardarlo.

    nota

    Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administrado. Para más información, consulte Precios de AWS WAF.

  2. En el panel configuración del grupo de reglas, proporcione la información que el grupo de reglas de la ACFP utiliza para inspeccionar las solicitudes de creación de cuentas.

    1. En cuanto a Usar expresiones regulares en las rutas, active esta opción si desea que AWS WAF haga coincidir las expresiones regulares con las especificaciones de las rutas de las páginas de registro y creación de cuentas.

      AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE libpcre, con algunas excepciones. La biblioteca está documentada en PCRE, expresiones regulares compatibles con Perl. Para obtener más información sobre la compatibilidad en AWS WAF, consulte Sintaxis de expresiones regulares compatibles en AWS WAF.

    2. En Ruta de la página de registro, indique la ruta del punto de conexión de la página de registro de su aplicación. Esta página debe aceptar solicitudes de texto/html GET. El grupo de reglas inspecciona solo las solicitudes de texto/html GET HTTP enviadas al punto de conexión de la página de registro especificada.

      nota

      La coincidencia de puntos de conexión no distingue entre mayúsculas y minúsculas. Las especificaciones de expresiones regulares no deben incluir la marca (?-i), ya que desactiva la coincidencia sin distinción entre mayúsculas y minúsculas. Las especificaciones de las cadenas deben empezar con una barra diagonal /.

      Por ejemplo, para la URL https://example.com/web/registration, puede proporcionar la especificación de la ruta de la cadena /web/registration. Las rutas de las páginas de registro que comienzan con la ruta que proporcione se consideran coincidentes. Por ejemplo, /web/registration coincide con las rutas de registro /web/registration, /web/registration/, /web/registrationPage y /web/registration/thisPage, pero no coincide con la ruta /home/web/registration o /website/registration.

      nota

      Asegúrese de que los usuarios finales carguen la página de registro antes de enviar una solicitud de creación de cuenta. Esto ayuda a garantizar que las solicitudes de creación de cuenta que envía el cliente incluyan tókenes válidos.

    3. Para la ruta de creación de la cuenta, proporcione el URI de su sitio web que acepte los detalles completados del nuevo usuario. Este URI debe aceptar solicitudes POST.

      nota

      La coincidencia de puntos de conexión no distingue entre mayúsculas y minúsculas. Las especificaciones de expresiones regulares no deben incluir la marca (?-i), ya que desactiva la coincidencia sin distinción entre mayúsculas y minúsculas. Las especificaciones de las cadenas deben empezar con una barra diagonal /.

      Por ejemplo, para la URL https://example.com/web/newaccount, puede proporcionar la especificación de la ruta de la cadena /web/newaccount. Las rutas de creación de cuentas que comienzan con la ruta que usted proporciona se consideran coincidentes. Por ejemplo, /web/newaccount coincide con las rutas de creación de cuentas /web/newaccount, /web/newaccount/, /web/newaccountPage y /web/newaccount/thisPage, pero no coincide con la ruta /home/web/newaccount o /website/newaccount.

    4. Para Inspeccionar solicitudes, especifique cómo acepta su aplicación los intentos de creación de cuentas. Para ello, proporcione el tipo de carga útil de la solicitud y los nombres de los campos del cuerpo de la solicitud en los que se incluyen el nombre de usuario, la contraseña y otros detalles de creación de la cuenta.

      nota

      Para los campos de dirección y número de teléfono principales, proporcione los campos en el orden en que aparecen en la carga útil de la solicitud.

      La especificación de los nombres de los campos depende del tipo de carga útil.

      • Tipo de carga útil JSON: especifique los nombres de los campos en la sintaxis del puntero JSON. Para obtener información acerca de la sintaxis del puntero JSON, consulte la documentación del grupo de trabajo de ingeniería de Internet (IETF) sobre el Puntero JavaScript Object Notation (JSON).

        Por ejemplo, para el siguiente ejemplo de carga útil JSON, la especificación del campo de nombre de usuario es /signupform/username y las especificaciones del campo de dirección principal son /signupform/addrp1, /signupform/addrp2 y /signupform/addrp3.

        {
    "signupform": {
        "username": "THE_USERNAME",
        "password": "THE_PASSWORD",
        "addrp1": "PRIMARY_ADDRESS_LINE_1",
        "addrp2": "PRIMARY_ADDRESS_LINE_2",
        "addrp3": "PRIMARY_ADDRESS_LINE_3",
        "phonepcode": "PRIMARY_PHONE_CODE",
        "phonepnumber": "PRIMARY_PHONE_NUMBER"
    }
}

      • Tipo de carga útil FORM_ENCODED: use los nombres de los formularios HTML.

        Por ejemplo, para un formulario HTML con elementos de entrada de usuario y contraseña denominados username1 y password1, la especificación del campo de nombre de usuario es username1 y la especificación del campo de contraseña es password1.

    5. Si está protegiendo las distribuciones de Amazon CloudFront, en la Inspección de respuestas, especifique cómo indica la aplicación el éxito o el fracaso en sus respuestas a los intentos de creación de cuentas.

      nota

      La inspección de respuestas de ACFP solo está disponible en las ACL web que protegen las distribuciones de CloudFront.

      Especifique un único componente en la respuesta de creación de la cuenta que desee que inspeccione la ACFP. Para los tipos de componentes Cuerpo y JSON, AWS WAF puede inspeccionar los primeros 65 536 bytes (64 KB) del componente.

      Indique sus criterios de inspección para el tipo de componente, tal y como se indica en la interfaz. Debe proporcionar los criterios de éxito y fracaso para inspeccionar el componente.

      Por ejemplo, supongamos que su solicitud indica el estado de un intento de creación de cuenta en el código de estado de la respuesta y utiliza 200 OK para indicar si se ha realizado correctamente, y 401 Unauthorized o 403 Forbidden si ha fallado. Debe establecer el Tipo de componente de inspección de respuesta en el Código de estado y, a continuación, en el cuadro de texto Éxito, introducir 200, y, en el cuadro de texto Error, introducir 401 en la primera línea y 403 en la segunda.

      El grupo de reglas de la ACFP solo cuenta las respuestas que coinciden con sus criterios de inspección de éxito o fracaso. Las reglas del grupo de reglas actúan sobre los clientes cuando tienen una tasa de éxito demasiado alta entre las respuestas que se cuentan, con el fin de mitigar los intentos de creación masiva de cuentas. Para cumplir con precisión las reglas del grupo de reglas, asegúrese de proporcionar información completa tanto para los intentos de creación de cuentas exitosos como para los fallidos.

      Para ver las reglas que inspeccionan las respuestas de creación de cuentas, busque VolumetricIPSuccessfulResponse y VolumetricSessionSuccessfulResponse en la lista de reglas que aparece en Grupo de reglas de prevención contra fraude en la creación de cuentas (ACFP) de control de fraudes de AWS WAF.

  3. Proporcione cualquier configuración adicional que desee para el grupo de reglas.

    Puede limitar aún más el alcance de las solicitudes que el grupo de reglas inspecciona agregando una instrucción de restricción de acceso a la instrucción del grupo de reglas administrado. Por ejemplo, solamente puede inspeccionar las solicitudes con un argumento de consulta o una cookie específicos. El grupo de reglas solo inspeccionará las solicitudes que coincidan con los criterios de su instrucción de restricción de acceso y que se envíen a las rutas de registro y creación de cuentas que especificó en la configuración del grupo de reglas. Para obtener información sobre las instrucciones de restricción de acceso, consulte Uso de instrucciones de restricción de acceso en AWS WAF.

  4. Guarde los cambios en la ACL web.

Antes de implementar cambios en su ACFP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación.