Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Adición del grupo de reglas administradas por ATP a la nueva ACL web
Para configurar el grupo de reglas administradas de ATP y que reconozca las actividades de apropiación de cuentas en su tráfico web, debe proporcionar información sobre cómo los clientes envían las solicitudes de inicio de sesión a su aplicación. En el caso de CloudFront las distribuciones protegidas de Amazon, también debes proporcionar información sobre cómo responde tu aplicación a las solicitudes de inicio de sesión. Esta configuración se suma a la configuración normal de un grupo de reglas administrado.
Para ver la descripción del grupo de reglas y la lista de reglas, consulte AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude.
nota
La base de datos de credenciales robadas de ATP solo contiene nombres de usuario en formato de correo electrónico.
Esta guía está destinada a los usuarios que, en general, saben cómo crear y administrar las ACL web, las reglas y los grupos de reglas de AWS WAF . Estos temas se tratan en secciones anteriores de esta guía. Para obtener información básica sobre cómo agregar un grupo de reglas administrado a su ACL web, consulte Adición de un grupo de reglas administrado a una ACL web a través de la consola.
Seguir las prácticas recomendadas
Utilice el grupo de reglas de ATP de acuerdo con las prácticas recomendadas de Las prácticas recomendadas para la mitigación inteligente de amenazas.
Uso del grupo de reglas de AWSManagedRulesATPRuleSet en su ACL web
-
Añada el grupo de reglas AWS gestionado
AWSManagedRulesATPRuleSeta su ACL web y edite la configuración del grupo de reglas antes de guardarlo.nota
Se le cobrarán tarifas adicionales cuando utilice este grupo de reglas administrado. Para obtener más información, consulte AWS WAF Precios
. En el panel Configuración del grupo de reglas, proporcione la información que el grupo de reglas de ATP utiliza para inspeccionar las solicitudes de creación de cuentas.
-
En Usar expresiones regulares en las rutas, active esta opción si quiere AWS WAF hacer coincidir las expresiones regulares con las especificaciones de las rutas de la página de inicio de sesión.
AWS WAF admite la sintaxis de patrones utilizada por la biblioteca PCRE
libpcrecon algunas excepciones. La biblioteca está documentada en PCRE, expresiones regulares compatibles con Perl. Para obtener información sobre el AWS WAF soporte, consulteCoincidencia de patrones de expresiones regulares en AWS WAF. -
En el caso de la ruta de inicio de sesión, proporcione la ruta del punto de conexión de inicio de sesión de su aplicación. El grupo de reglas inspecciona solo las solicitudes HTTP de
POSTenviadas al punto de conexión que ha especificado.nota
La coincidencia de puntos de conexión no distingue entre mayúsculas y minúsculas. Las especificaciones de expresiones regulares no deben incluir la marca
(?-i), ya que desactiva la coincidencia sin distinción entre mayúsculas y minúsculas. Las especificaciones de las cadenas deben empezar con una barra diagonal/.Por ejemplo, para la URL
https://example.com/web/login, puede proporcionar la especificación de la ruta de la cadena/web/login. Las rutas de las páginas de registro que comienzan con la ruta que proporcione se consideran coincidentes. Por ejemplo,/web/logincoincide con las rutas de registro/web/login,/web/login/,/web/loginPagey/web/login/thisPage, pero no coincide con la ruta de registro/home/web/logino/website/login. -
Para Inspeccionar solicitudes, especifique cómo acepta su aplicación los intentos de inicio de sesión. Para ello, proporcione el tipo de carga útil de la solicitud y los nombres de los campos del cuerpo de la solicitud en los que se incluyen el nombre de usuario y la contraseña. La especificación de los nombres de los campos depende del tipo de carga útil.
-
Tipo de carga útil JSON: especifique los nombres de los campos en la sintaxis del puntero JSON. Para obtener información sobre la sintaxis del puntero JSON, consulte la documentación del Grupo de trabajo de ingeniería de Internet (IETF) sobre el puntero de notación de JavaScript objetos (JSON)
. Por ejemplo, para el siguiente ejemplo de carga útil JSON, la especificación del campo de nombre de usuario es
/login/usernamey la especificación del campo de contraseña es/login/password.{ "login": { "username": "THE_USERNAME", "password": "THE_PASSWORD" } } -
Tipo de carga útil FORM_ENCODED: use los nombres de los formularios HTML.
Por ejemplo, para un formulario HTML con elementos de entrada de usuario denominados
username1ypassword1, la especificación del campo de nombre de usuario esusername1y la especificación del campo de contraseña espassword1.
-
-
Si estás protegiendo CloudFront las distribuciones de Amazon, en la sección Inspección de respuestas, especifica cómo indica tu aplicación el éxito o el fracaso en sus respuestas a los intentos de inicio de sesión.
nota
La inspección de respuestas de ATP solo está disponible en las ACL web que protegen CloudFront las distribuciones.
Especifique un único componente en la respuesta de inicio de sesión que desee que inspeccione la ATP. Para los tipos de componentes Cuerpo y JSON, AWS WAF puede inspeccionar los primeros 65 536 bytes (64 KB) del componente.
Indique sus criterios de inspección para el tipo de componente, tal y como se indica en la interfaz. Debe proporcionar los criterios de éxito y fracaso para inspeccionar el componente.
Por ejemplo, supongamos que su solicitud indica el estado de un intento de inicio de sesión en el código de estado de la respuesta y utiliza
200 OKpara indicar si se ha realizado correctamente, y401 Unauthorizedo403 Forbiddensi ha fallado. Debe establecer el Tipo de componente de inspección de respuesta en el Código de estado y, a continuación, en el cuadro de texto Éxito, introducir200, y, en el cuadro de texto Error, introducir401en la primera línea y403en la segunda.El grupo de reglas de la ATP solo cuenta las respuestas que coinciden con sus criterios de inspección de éxito o fracaso. Las reglas del grupo de reglas actúan sobre los clientes cuando tienen una tasa de error demasiado alta entre las respuestas del recuento. Para cumplir con precisión las reglas del grupo de reglas, asegúrese de proporcionar información completa tanto para los intentos de inicio de sesión como para los fallidos.
Para ver las reglas que inspeccionan las respuestas de inicio de sesión, busque
VolumetricIpFailedLoginResponseHighyVolumetricSessionFailedLoginResponseHighen la lista de reglas que aparece en AWS WAF Grupo de reglas de prevención de apropiación de cuentas (ATP) para el control del fraude.
-
-
Proporcione cualquier configuración adicional que desee para el grupo de reglas.
Puede limitar aún más el alcance de las solicitudes que el grupo de reglas inspecciona agregando una instrucción de restricción de acceso a la instrucción del grupo de reglas administrado. Por ejemplo, solamente puede inspeccionar las solicitudes con un argumento de consulta o una cookie específicos. El grupo de reglas inspeccionará únicamente las solicitudes
POSTHTTP enviadas al punto de conexión de inicio de sesión especificado que coincidan con los criterios de la instrucción de restricción de acceso. Para obtener información sobre las instrucciones de restricción de acceso, consulte Instrucciones de restricción de acceso. -
Guarde los cambios en la ACL web.
Antes de implementar cambios en su ATP para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de prueba hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas en el modo de recuento con el tráfico de producción antes de habilitarlas. Consulte la sección siguiente para obtener orientación.
